FCG Koulutuksen järjestämä webinaari, 27.4.2020, Harto Pönkä, Innowise

1. Tietosuoja
etätyössä
Harto Pönkä
27.4.2020

2. Etätyö koronakeväänä 2020

3. Yleensä etätyö on tehokasta ja turvallista
Lähde: DNA, Digitaaliset elämäntavat –tutkimus, 14.5.2018 (N=1018, 15-74-v.),
https://www.sttinfo.fi/data/attachments/00926/ab682199-7989-475f-885f-7c708c4ec7ca.pdf
Vuonna 2018 tehdyssä kyselyssä mahdollisuus etätöihin oli 39%:illa.
Tietoturva-asioiden koki olevan kunnossa 72 %.
Tavallisimmin etätöitä tehtiin kotona (89%).

4. Etätöitä halutaan tehdä jatkossakin
Lähde: Yle, 5.4.2020, Taloustutkimuksen kysely huhtikuun alussa 2020,
https://yle.fi/uutiset/3-11291865
”300 000 ihmistä aikoo jäädä etätöihin koronan jälkeenkin”

5. Etätöiden haasteita
Lähde: IF, 24.4.2020, YouGovin kysely 8.4.-12.4.2020 (N=1036 aikuista),
https://www.sttinfo.fi/tiedote/suomalaisten-etatyokokemukset-korona-aikana-ovat-paaosin-myonteisia-tyo-ja-vapaa-aika-kietoutuvat-
tiiviisti-yhteen?publisherId=69817318&releaseId=69879664
”Etätöitä hoidetaan tälläkin hetkellä esimerkiksi keittiönpöydän äärestä, sohvan
nurkasta, parvekkeelta tai vaikkapa pyykkivuorien keskeltä kodinhoitohuoneesta.”
Haaste Vastaajista
Työn ja vapaa-ajan erottaminen 37 %
Puutteellinen työergonomia 32 %
Työyhteisön tapaaminen ja tuen puute 32 %
Ahtaaksi käyvä koti
- käytössä erillinen tila etätyöhön
- etätyötilassa myös muuta käyttöä
22 %
37 %
63 %
Tekniset haasteet 20 %
Uudet viestintätavat 19 %

6. Etätyö tuo käyttöön uusia sovelluksia
Lähde: Lakimiesliitto, 20.04.2020, kysely 2.–13.4.2020, (N=797 liiton jäsentä),
https://www.lakimiesliitto.fi/uutiset/lakimiesliiton-kysely-koronaepidemia-on-muuttanut-juristien-tyota-ja-lisannyt-tyomarkkina-
asemaan-liittyvaa-epavarmuutta/
Lakimiesliiton kyselyn vastaajien mukaan eniten oli otettu käyttöön
uusia videoneuvottelusovelluksia (32 %).

7. Tietosuojan ja GDPR:n perusteet

8. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.

9. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.

10. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017,
http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Henkilötieto mahdollistaa henkilön tunnistamisen
– joko rekisterinpitäjän tai jonkun muun tahon toimesta.

11. Arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1

13. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

14. 4 artikla
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai
henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,
säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista
siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai
yhdistämistä, rajoittamista, poistamista tai tuhoamista,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittely

15. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

16. Henkilötietojen käsittelyn lähtökohtia

17. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

18. Rekisterinpitäjä  tarkoitukset  h.tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste
Tietosuojavastaava neuvoo,
kouluttaa, seuraa ja raportoi
Rekisterinpitäjä päättää ja
toimeenpanee, tarvit. kysyy

19. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
ilman suostumusta
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

20. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

21. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita

22. Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38

23. Henkilötietorekisteriä saa käyttää vain sen tarkoituksiin.
Vaikka tiedot olisivat julkisuuslain perusteella julkisia, organisaation työntekijät saavat
käyttää rekisteriä vain tehtäviinsä liittyviin tarkoituksiin annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Tampereen yliopiston professori
käytti opiskelijarekisteristä
saatavia tietoja someväittelyssä...
 Yliopisto puuttui asiaan.

24. • Vie salassa pidettävää paperiaineistoa kotiin vain, kun välttämätöntä.
• Säilytä salassa pidettäviä papereita/tietoja lukitussa tilassa, kaapissa tai
muussa tilassa.
• Älä jätä salassa pidettävää paperiaineistoa tai henkilötietoja muiden
nähtäville tai saataville.
• Palauta salassa pidettävät paperit työpaikalle heti, kun niiden
säilyttäminen etätyöpisteessä ei ole enää välttämätöntä.
• Vältä salassa pidettävien tai luottamuksellisten tietojen tulostamista tai
tallentamista työpaikan ulkopuolella säilytettäville tietovälineille.
• Huolehdi tulosteiden ja tietojen asianmukaisesta käsittelystä sekä
tarvittaessa hävittämisestä.
Työhön liittyvät asiakirjat etätyössä
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf

25. • Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa
ulkopuolisille tai säilyttää siten, että muut saavat ne tietoonsa.
• Etätyöntekijän tulee varmistaa, että sivulliset, kuten perheenjäsenet,
eivät käytä työnantajan laitteita tai saa otettua yhteyttä työnantajan
tietojärjestelmiin.
• Työnantajan laitteistoa tai järjestelmiä ei saa käyttää toimintaan, joka
vaarantaa laitteiston tai tietojärjestelmien turvallisuuden.
– Tällaisia voivat olla esim. tietokonepelit, epäluotettavien internet-sivujen selaaminen
ja netistä ladattavien ohjelmien asentaminen tai käyttö.
• Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämään liittyviä
tietoja tai yhteystietoja.
• Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa
henkilökohtaisille tallennusvälineille.
• Työpuhelut hoidetaan niin, että perheenjäsenet eivät kuule niitä.
Työnantajan laitteet etätyössä
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf

26. Kännyköiden tietosuoja
• Käytä työpuhelinta aina, kun mahdollista.
• Päivittämätön laite tai sovellus on aina tietoturvariski!
• Asenna sovelluksia vain virallisista sovelluskaupoista
• IPhonet ovat yleensä Android-laitteita turvallisempia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Androidille tehdään enemmän haittaohjelmia ja
viruksia
• Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms.
• Jos tallennat työhön liittyviä yhteystietoja kännykkään,
varmista, että ne eivät tallennu ulkopuolisiin
verkkopalveluihin ilman suostumusta tai etukäteistä
informointia.
• Esim. Google ja pikaviestimet kuten WhatsApp
• Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa
tallennustila/muistikortti
• Käytä laitteen paikantamista sen häviämisen varalta.
• Tarkista sovellusten pyytämät käyttöoikeudet.
• Käytä sovelluksissa kaksivaiheista kirjautumista.
• Tyhjennä vanha kännykkä

27. Työntekijöiden henkilötiedot

28. • Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus
tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus
tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella.
• Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä
henkilöstölleen.
• Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004)
– Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin
työnhakijaan.
– Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa
julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän
työsuhteeseen, merimieheen.
– Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006)
– Laki oltava nähtävillä työpaikalla (23 §)
• Työnantajan huomioitava lisäksi mm.
– Tietosuojalaki (1050/2018)
– Laki sähköisen viestinnän palveluista (917/2014)
– Julkisuuslaki (621/1999)
– YT-laki (laki yhteistoiminnasta yrityksissä 334/2007)
Yleistä työelämän tietosuojasta
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

29. • Henkilötietojen käsittely työpaikalla
• Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot
• Luottotiedot ja turvallisuusselvitysmenettelyt
• Terveydentilatietojen käsittely
• Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma
• Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus
• Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta,
työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö,
paikantaminen
• Sähköpostin ja tietoverkkojen käyttö
• Internetin käyttö
• YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4
• YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan
työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää).
Yhteistoimintamenettelyssä käsit. asiat
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

30. • Tarpeelliset tiedot liittyvät työntekijän työtehtäviin ja työsuhteeseen ja
työnhakijan kelpoisuuteen ja sopivuuteen työtehtäviin.
• Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi
esiin työpaikalla tai etätyössä (terveystiedot, perhe, taloudellinen tilanne ym.).
• Työntekijöiden ja -hakijoiden henkilötietojen käsittelystä tulee olla
tietosuojaseloste tai vastaava informointi.
• Terveydentilaan liittyvien tietojen kysyminen ja kerääminen tulee perustua
työtehtäviin. Niitä saavat käsitellä vain henkilöt, joiden työtehtäviin se kuuluu.
Tarpeellisuusvaatimus
Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3,
Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

31. - Saako työnhakijoiden tai työntekijöiden taustoja selvittää
Internetin hakukoneiden kuten Googlen avulla?
- Saako sopivia työntekijöitä hakea sosiaalisen median palveluista
kuten LinkedInistä?
Kysymys: saako työnhakijaa googlata?
• Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot
ensisijaisesti häneltä itseltään.
• Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan
ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta.
– Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy
luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja).
• Hakijalta voidaan työnhakulomakkeella pyytää suostumus tarpeellisten tietojen
hakuun muualta kuten hakukoneiden ja somepalvelujen avulla.
• Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on
myös oikeus tarkistaa itseään koskevat tiedot.
• Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko-
ja somepalveluista kuten LinkedInistä.
• Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä,
tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.

32. • Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet,
työyhteystiedot ja valokuvat esim. verkkosivuilla.
– Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta.
– Yhteystietojen julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tavoitettavissa.
– Kuvan julkaisun kannalta on syytä harkita, kuuluuko työtehtäviin olla tunnistettavissa.
• Työnantajan tulee tarvittaessa perustella tietojen julkaisu. Vaikka suostumusta
ei tarvittaisi, työntekijöillä on oikeus tietää, mitä tarkoitusta varten heidän
tietojaan on internetissä.
• Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön
suostumusta. Voidaan sanoa, että henkilö ei ole paikalla.
• Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen
perusteista tai irtisanomisilmoituksen sisällöstä. Voidaan sanoa, että henkilö ei
ole enää kyseisessä työtehtävässä.
Työntekijöistä julkaistavat tiedot
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

33. - Asiakkaamme haluaa meiltä lomalistoja ja yhteyshenkilölistoja.
Ovatko nämä rekistereitä ja kuka näissä on rekisterinpitäjä?
- Muodostuuko intran uutisista, joissa kerrotaan mm. uusista ja
poislähtevistä työntekijöistä, rekisteri?
Kysymys: tiedot henkilöstöstä
• Yrityksen työntekijöiden tiedot muodostavat henkilörekisterin. Yrityksen
oikeusperusteena on tällöin joko sopimus tai rekisterinpitäjän oikeutettu etu.
• Yritys voi normaalisti julkaista työntekijöiden nimet, asemat ja työhön liittyvät
yhteystiedot esimerkiksi intranetissä ja nettisivuilla sekä luovuttaa niitä mm.
asiakkaille työtehtäviin liittyen.
• Kun kerätään muiden yritysten yhteyshenkilöiden tietoja, ne muodostavat
esimerkiksi asiakas- tai yhteistyökumppaneiden rekisterin.
• Työntekijöiden valokuvien julkaisulle esimerkiksi nimitysuutisten yhteydessä
kannattaa pyytää suostumus.
• Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman
suostumusta, sillä kyse on yksityiselämään liittyvistä tiedoista. Sen sijaan
voidaan sanoa, että henkilö ei ole paikalla.

34. - Organisaation intranetiin kerätään valokuvia tapahtumista ja
työntekijät voivat julkaista muille omia kuviaan.
- Muodostavatko valokuvat henkilötietorekisterin?
Kysymys: valokuvat työntekijöistä
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään GDPR:n kannalta vain toimituksellisia tai taiteellisia tarkoituksia varten.
• Työntekijöiden esim. itsestään julkaisemat (työtehtäviin liittymättömät) kuvat
eivät automaattisesti synnytä henkilötietorekisteriä.
• Jos henkilöstön kuvia tallennetaan myöhempää käyttöä varten esim.
kuvapankiksi, kyse on henkilötietorekisteristä.
• Yleisöltä suljetut tilat ja tilaisuudet ovat julkisrauhan suojaamia. Jos
ulkopuolinen tunkeutuu tällaiseen tilaan, voi kyse olla julkisrauhan rikkomisesta.
– Jos joku ulkopuolinen kuvaa tapahtumassa ilman lupaa ja kuvat loukkaavat henkilöiden
yksityisyyttä, voi kyse olla salakatselusta.
– Tilaisuuteen kutsutut vieraat ja esim. toimittajat saavat kuvata ja julkaista kuvia.
– Yleisölle avoimessa tapahtumassa tai tilassa saa kuvata kuka tahansa.
• Yksityiselämää loukkaavia tai kotirauhaa rikkovia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa.

35. - Saako työnantaja laittaa työpaikalle näkyville listauksen, josta
käyvät ilmi eniten poissa olleiden työntekijöiden nimet?
- Entä listan työntekijöistä tehtyjen valitusten määristä?
Kysymys: sairauspoissaolot ja valitukset
• Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on
tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien
suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy.
• Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan
haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella.
• Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään
työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat
vaitiolovelvollisia.
• Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla
vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa.
• Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista
yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä
työntekijöitä voida päätellä niistä.
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama

36. - Voiko työnantaja kertoa työntekijöilleen kollegan tartunnasta tai
mahdollisesta tartunnasta?
- Miten tietosuojasta huolehditaan töiden uudelleenorganisoinnissa?
Kysymys: tiedot koronaviruksesta
• Terveystiedot kuuluvat erityisiin henkilötietoryhmiin, joita saa käsitellä vain
henkilön suostumuksella tai lain perusteella (esim. työturvallisuuslaki).
– Tieto siitä, että henkilö on saanut koronavirustartunnan, on terveystieto.
– Tieto siitä, että henkilö kuuluu koronaviruksen riskiryhmään, on terveystieto.
– Tieto siitä, että henkilö on palannut riskialueelta, ei ole terveystieto.
– Tieto siitä, että henkilö on karanteenissa (antamatta lisätietoja syystä), ei ole terveystieto.
• Työntekijän terveystietoja saavat käsitellä vain ne henkilöt, joiden tehtäviin se
kuuluu. Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia.
• Jos työntekijällä todetaan koronavirus, työnantaja ei saa lähtökohtaisesti nimetä
kyseistä työntekijää. Työnantaja voi informoida yleisesti muita työntekijöitä
tartunnasta ja ohjata heitä työskentelemään kotoa käsin.
• Työpaikan sisäisessä tiedottamisessa koskien riskiryhmäläisten uudelleen
sijoittamista on otettava huomioon välitön tarpeellisuusvaatimus ja
vaitiolovelvollisuus terveydentilatietojen käsittelyssä.
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus

37. - Saako työnantaja paikantaa työntekijöitään?
- Saako paikannuksen tietoja käyttää työajan valvonnassa?
Kysymys: työntekijöiden paikannus
• Työntekijöiden paikantaminen on teknistä valvontaa. Se on mahdollista, jos
työnantajalla on siihen asiallinen peruste ja tarve.
• Perusteita voivat olla esim. työntekijöiden turvallisuuden varmistaminen sekä
resurssien (kuten ajoneuvojen) kohdentaminen oikeaan paikkaan.
• Tarve tulee arvioida työntekijäkohtaisesti ja siihen tulee saada suostumus.
• Työntekijän tulee voida kytkeä paikannus pois päältä varsinkin silloin, jos
laitetta voi käyttää työajan ulkopuolella (esim. työsuhdepuhelin).
• Paikannustietoja ei lähtökohtaisesti pidä käyttää työoikeudellisten velvoitteiden
valvonnassa, kuten työajan seurannassa.
– Paikannuksen käyttö työajan valvontaan ja seurantaan voi olla mahdollista, jos työtä tehdään
enimmäkseen muualla kuin työnantajan tiloissa eikä valvontaan ole käytettävissä muita keinoja.
– Työnantajan tulee tällöin etukäteen määritellä työajan seuranta paikantamisen
käyttötarkoitukseksi sekä käsitellä se YT-menettelyssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama
Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

38. Tietosuoja etäyhteyksissä

39. Selaimen yksityinen tila ei suojaa yhteyttä!
Firefox
Microsoft Edge
Chrome
Yksityisessä tilassa nettiselain ei tallenna
laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja tai kirjautumistunnuksia
• Evästeitä (engl. cookie)
• Www-sivustojen tiedostoja välimuistiin
Verkkopalvelut ja verkkoyhteyden tarjoaja
näkevät kuitenkin toimintasi normaalisti.

40. Langattoman verkon turvallisuus
Kuva: Viestintävirasto, 2011

41. • VPN = virtual private network (suom. virtuaalinen erillisverkko)
• Organisaatioissa VPN-yhteyksiä käytetään liittämään useita suljettuja
verkkoja internetin välityksellä näennäisesti yhdeksi verkoksi.
• VPN-yhteydellä nettiliikenne kulkee salattuna palveluntarjoajan
palvelimen kautta.
– Netin käyttö on turvallista jopa avoimissa WLAN-verkoissa.
– Vain VPN-palveluntarjoaja pystyy seuraamaan nettiliikenteen sisältöä.
– Samaa VPN-palvelua voi käyttää yleensä tietokoneella, tabletilla ja kännykällä
– VPN estää oikean IP-osoitteesi näkymisen verkkopalveluille ja sen avulla voidaan kiertää
myös palvelujen maakohtaisia rajoituksia (laillisesti)
• Käytä organisaation VPN-yhteyttä aina, kun mahdollista
• Muita VPN-palveluita:
– F-Secure Freedome, https://www.f-secure.com/en/web/home_global/freedome
– Vertailu VPN-palveluista: https://proprivacy.com/vpn/comparison/best-vpn-services
– Opera-nettiselain suojaa www-selailun VPN:llä, http://www.opera.com/fi
• Huom. käytä vain organisaatiosi hyväksymiä VPN-sovelluksia!
VPN-yhteys salaa nettiliikenteen

42. • Etäyhteyssovelluksella voi käyttää
työpaikan tietokonetta muualta.
• Etäyhteyssovellusten tietoturva on
yleensä hyvä: salattu yhteys ja vahva
salasana.
– Jos mahdollista, käytä kaksivaiheista
kirjautumista, ja VPN-yhteyttä.
• Käytä vain organisaatiosi hyväksymiä
sovelluksia.
• Varmista, etteivät sivulliset voi nähdä
etäyhteydellä käytettävää tietokonetta,
kun olet itse eri paikassa.
• Älä jätä etäyhteyttä valvomatta ja pidä
kirjautumistunnukset suojassa!
• VPN vai etäyhteyssovellus?
https://proprivacy.com/vpn/guides/vpn-
vs-remote-desktop-comparison
Etäyhteyssovellukset
Esimerkki: LogMeIn-sovelluksen toimintaperiaate

43. Tietosuoja viestinnässä

44. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
• Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat
luottamuksellisen viestinnän piiriin.
– Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
– Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
• Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän
palveluista, 136 §):
– Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim.
kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä.
– Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
– Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
• Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka
oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon..
Viestinnän luottamuksellisuus
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

45. Henkilötietojen julkaisu netissä:
• Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille
yksityishenkilöiden henkilötietoja
• Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa esim. suojatussa extranetissä:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassa pidettäviä tietoja ja asiakirjoja
Yksityiset laitteet ja sosiaalisen median palvelut:
• Tehkää linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä
• Ohjeistus somepalvelujen käytöstä työhön liittyvässä yhteydenpidossa
Henkilötiedot digitaalisessa viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html

46. GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin
• Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä
• On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat
työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa
• Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset
rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä

47. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958

48. Esimerkki viestinnän ohjeistuksesta
Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa

49. Zoom-etäkokouspalvelun
tietosuoja
• Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta.
• Zoomista on kaksi versiota: ilmaisversio sekä organisaatioille
tarkoitettu versio. Jälkimmäinen on turvallisempi.
• Zoomin iPhone-versiosta ilmeni tietojen lähetys Facebookille
maaliskuussa, josta se ei kertonut tietosuojaselosteessa. Zoom
korjasi tämän päivässä. Sovellus kannattaa päivittää.
• Zoomin salaus ei suojaa palveluntarjoajan omalta valvonnalta.
• Zoomissa on ollut kokouksen ylläpitäjän käytössä toiminto, jolla
voi ”vakoilla”, ovatko osallistujat katsomassa lähetystä.
• Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä.
• Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi mm.
• Lukita huoneen, jolloin siihen ei voi liittyä
• Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy
osallistujat
• Poistaa osallistujia
• Estää osallistujia jakamasta ruutua, keskustelemasta
chatissa, vaihtaa nimeä
• Viimeisin uutinen: verkossa kaupitellaan Zoom-käyttäjien
tietoja. Kyse on tunnuksista, jotka on saatu selville kokeilemalla
muista palveluista vuotaneita tunnuksia ja salasanoja.
Lisää aiheesta Zoomin blogissa:
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-
new-security-toolbar-icon-for-hosts-meeting-id-hidden/

50. Tietosuoja etäkokouksissa
• Käytä vain organisaation sallimia sovelluksia
• Toimita kutsu henkilökohtaisesti osallistujille
• Informoi tarvittaessa osallistujien
henkilötietojen käsittelystä
• Käsiteltävät henkilötiedot ja asiat riippuvat
osallistujien työtehtävistä
• Varmista tarvittaessa kokoushuoneessa
olijoiden henkilöllisyys ja työtehtävät
• Varmista esittäjien osaaminen etukäteen
• Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet
• Huomioi kotoa osallistuvat:
• Rauhallinen paikka, ei sivullisia kuulolla
• Videon ja mikrofonin käyttö kotirauhan
alueella perustuu vapaaehtoisuuteen
• Huolehdi jälkihoidosta:
• Tyhjennä chat ja poista materiaalit
• Sulje huone/päätä kokous
• Suojaa tallenne sivullisilta ja huolehdi
sen käytön tietosuojasta

51. - Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta?
- Voidaanko terveydenhuollossa ottaa käyttöön uusia välineitä
koronapandemian ajaksi?
- Onko Teams turvallinen potilasasioiden käsittelyssä?
Kysymys: uudet viestintävälineet
• Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta
voidaan estää tietojen päätyminen sivullisille.
– GDPR:n 32 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa
tietoturvan varmistamiseen tähtäävät toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja
vapauksiin kohdistuvia riskejä.
• Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi.
• Tietosuoja tulee huomioida myös poikkeustilanteessa kuten pandemian aikana.
• Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).
• Esimerkiksi HUS ja monet kunnat ovat ottaneet Microsoft Teams -sovelluksen
käyttöön etävastaanottoon koronapandemian myötä.
– Katso esim. HUS:in Teams-ohje:
https://www.hus.fi/potilaalle/sahkoiset-
palvelut/Documents/Potilasohje%20Teamsin%20k%C3%A4ytt%C3%B6%20et%C3%A4vastaanottoihin.pdf
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus

52. • Vaikutustenarviointi on tehtävä ennen henkilötietojen käsittelyä, kun
siihen saattaa kohdistua korkea riski. Tavoitteena on vähentää riskiä.
– Tee vaikutustenarviointi, jos henkilötietoihin liittyy vähintään kaksi riskialtista
käsittelytoimea (ks. ao. ohje).
• Vaikutustenarviointi tulee tehdä erityisesti, kun:
– otetaan käyttöön uutta teknologiaa
– käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten
terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, vakaumusta tai seksuaalista suuntautumista
– on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista
– on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.
• Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaik.arviointi:
– Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät
• Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee
rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen).
• Vaikutustenarviointia tulisi tarkistaa ja päivittää säännöllisesti.
• Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
Milloin on tehtävä vaikutustenarviointi?
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista

53. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit

54. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).

55. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja käsittelyn
tarkoituksista +
tietosuojavastaavan neuvot
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä +
rekisteröityjen näkemykset
4. Suunnitellut toimenpiteet
riskeihin puuttumiseksi sekä
sen osoittamiseksi, että
tietosuoja-asetusta on
noudatettu
5. Dokumentointi
(GDPR:n 35 artikla ja johdanto-osan 84 ja
90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020

56. Tietosuoja pilvipalveluissa ja sovelluksissa

57. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-
järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa

58. Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio

59. Erota oma ja ulkopuolinen rekisteri
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Henkilötietoja ei saa luovuttaa
toiselle rekisterinpitäjälle, jos siitä
ei ole kerrottu alun perin
rekisteröidylle tai saatu siihen
suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin
ulkopuolisen palvelun kautta,
tulee siihen olla oikeusperuste
sekä huolehtia rekisterinpitäjän
informointivelvollisuudesta.
Ulkopuolista verkkopalvelua
voidaan käyttää viestintään
rekisteröityjen kanssa myös
silloin, kun aloite siihen tulee
heiltä. Tämä on syytä huomioida
selosteessa.

60. • Kun viestinnässä käytetään ulkopuolisia verkko- ja somepalveluita, on syytä
ohjeistaa yhteiset toimintamallit.
– Miten rekisteröityjen informoinnista huolehditaan? Onko mahdollista linkittää
tietosuojaseloste profiiliin?
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Saako henkilötietoja viedä palveluun ja mitä silloin on huomioitava?
• Muista varovaisuus henkilötietojen viennissä ulkopuolisiin palveluihin.
– Tarvitaan: 1) informointi ko. palvelun käytöstä tietosuojaselosteessa, 2) rekisteröidyn
suostumus tai 3) sopimus henkilötietojen käsittelystä ko. palvelun kanssa.
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava.
• Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa
selvät ohjeet: mitä saa ja ei saa tehdä.
– Työntekijää ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se
ei ole ollut edellytyksenä työtehtävän hoitamiselle.
– WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin, koska puhelimen
kontaktitiedot lähetetään WhatsAppille.
Somepalvelut ja tietosuoja

61. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee
olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Lisäksi EU:n ulkopuolisia verkkopalveluita voidaan käyttää silloin, kun
rekisteröidyiltä saadaan siihen suostumus, ja toimitaan organisaation
tietosuojaohjeistusten mukaan.
Yhdysvaltalaiset verkkopalvelut

62. WhatsAppin käyttö
työhön liittyvässä viestinnässä
• WhatsAppin kuluttajaversion käyttöehdot sallivat
ainoastaan palvelun henkilökohtaisen käytön.
• Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus
on sen rekisteröineen käyttäjän käytössä.
• Käyttöehdot eivät kiellä WhatsAppin käyttöä
henkilökohtaiseen työhön liittyvään viestintään.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia
käyttää työssä, ja miten se tulee tehdä.
• WhatsAppin käyttö on tarvittaessa huomioitava
organisaation henkilötietojen käsittelyssä, esim.
mainittava tietosuojaselosteessa tai pyydettävät
suostumukset asiakkaiden kanssa viestintään.
• Työnantajalla ei ole oikeutta lukea työntekijän
WhatsApp-viestejä edes poikkeustapauksessa.
• WhatsAppia ei saa käyttää esim. spämmäämiseen,
automatisoituun viestintään tai luvattomaan
yhteystietojen keräämiseen.
• Yritys-/organisaatioprofiilin luominen on mahdollista
WhatsApp Business -sovelluksessa.
• Automatisoitua viestintää ja chatbotteja varten on
WhatsApp Business API -rajapinta.
WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?category=5245250

63. Pikaviestipalvelujen tietosuoja
Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF

64. WhatsApp Business -sovellus
• Android-versio tammikuussa 2018,
iOS-versio huhtikuussa 2019
• Asennettu yli 50 miljoonaa kertaa
• Kuten WhatsApp-sovellus, mutta voi
luoda profiilin
yritykselle/organisaatiolle
• Sisältää GDPR:n mukaisen sopimuksen
henkilötietojen käsittelystä
• Keskustelun aloitus linkin kautta
• Automaattiset aloitusviestit,
pikavastaukset, tilastot
• Android:
https://play.google.com/store/apps/details?id=com.wh
atsapp.w4b
• iOS: https://itunes.apple.com/app/whatsapp-
business/id1386412985?mt=8

65. 5 neuvoa mobiilisovellusten arviointiin
1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
– Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja
Applen sovelluskaupoista.
2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute.
– Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä.
– Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät
voivat hyväksikäyttää.
3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen
käyttäjää palvelevaan toiminnallisuuteen.
– Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin.
– Tarkista sovellusten oikeudet aika ajoin.
4. Tutustu sovelluksen käyttöehtoihin.
– Mitä tietojen keräämisestä ja käsittelystä kerrotaan?
– Missä maassa tietoja käsitellään?
5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän
mobiililaitteiden käytöstä.
– Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin.
Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html

66. Yango-taksipalvelussa
on epäselvyyksiä GDPR:n
näkökulmasta
• Käyttäjälle ei kerrota,
mihin kaikkia pyydettyjä
oikeuksia käytetään
• Sovellus ei pyydä
käyttöehtojen
hyväksyntää tai kysy
suostumusta
henkilötietojen käsittelylle
• Yandex katsoo
sopimuksen syntyvän
automaattisesti (nk.
hiljainen sopimus)
• Henkilötiedot siirtyvät
EU:n ulkopuolelle. Yandex
kertoo käyttävänsä EU-
komission
mallisopimuslausekkeita
• Yandexin
yksityisyyskäytäntö:
https://yandex.ru/legal/c
onfidential/?lang=en

67. Älä loukkaa tietosuojaa

68. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

69. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2019,
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Traficom_tietoturvanvuosi_2019_WEB_aukeamittain.pdf
Henkilötietoloukkaukset Suomessa

70. Lähde: Traficom, Kyberturvallisuuskeskus, Tietoturvan vuosi 2019,
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Traficom_tietoturvanvuosi_2019_WEB_aukeamittain.pdf
Ajankohtaisia riskejä tietosuojalle
Yksityishenkilöt Organisaatiot Hallinto

71. Havainto
Rekisterinpitäjä havaitsee tai saa
tietoonsa tietoturvaloukkauksen.
Dokumentointi
Kaikki tietoturvaloukkaukset, niiden
vaikutukset ja korjaavat toimet
dokumentoidaan.
Riskiarvio
Aiheuttaako
tietoturvaloukkaus
todennäköisesti
riskin henkilöiden
oikeuksille ja
vapauksille?
Ei
Ilmoituksia ei
edellytetä
Kyllä
Ilmoitus valvontaviranomaiselle
Yleensä ilmoitus tehdään
rekisterinpitäjän päätoimipaikan
maan valvontaviranomaiselle.
Ilmoitus rekisteröidyille
Ilmoitetaan kohteena oleville henkilöille ja annetaan
tarvittaessa ohjeita, miten he voivat suojautua seurauksilta.
Ilmoitusvelvollisuus
tietoturva-
loukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat
asetuksen (EU) 2016/679 mukaisesta
henkilötietojen tietoturvaloukkauksen
ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/
Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46
-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittami
nen+fi.pdf

72. Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.

73. Tietosuojan tarkistuslista
1. Organisaation rekisterit ja niiden selosteet
2. Henkilötietojen käsittely eri työtehtävissä
• Käsittelytarkoitukset ja oikeusperusteet
• Salassa pidettävät tiedot ja asiakirjat
3. Henkilötietojen turvallinen säilytys
4. Mitkä ovat organisaation omassa
hallinnassa olevia tietojärjestelmiä ja
pilvipalveluita?
5. Miten tietosuojasta huolehditaan
ulkopuolisissa pilvipalveluissa?
6. Saako työssä käyttää ulkopuolisia
sovelluksia kuten WhatsAppia tai
Facebookia, ja mitä on huomioitava?
7. Saako työssä käyttää henkilökohtaisia
laitteita, ja mitä silloin on huomioitava?
8. Uusien rekistereiden teossa huomioitavat
asiat ja yhteinen toimintamalli
9. Ongelmista ilmoittaminen, mahdollinen
tietosuojavastaava

74. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.

75. Kysymyksiä tai
kommentteja?

76. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!