Koulutus 14.3.2019, Harto Pönkä, Innowise (järjestänä FCG Koulutukset)

1. Tietosuoja kunnan
viestinnässä ja
asiakaspalvelussa
Harto Pönkä
14.3.2019
Kuva: Pixabay

2. Henkilötietojen käsittelyn lähtökohtia

3. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.
GDPR

4. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.)
• Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.)
• Informointikäytännöt (12-14 art.)
• Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.)
– Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.)
– Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.)
• Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.)
– Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet
– Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
– Sisäiset tarkastukset ja auditoinnit
• Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio
• Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi
• Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.)
• Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla)
• Yhteisrekisterinpitäjien vastuualueet (29 art.)
• Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.)
• Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku)
Rekisterinpitäjän osoitettavat asiat
Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä,
https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)

5. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan
koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia.
– Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa.
– Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan.
• Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n
vaatimuksia.
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä
katsottu yksinään muodostavan henkilörekisteriä.
– Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan
muihin henkilörekistereihin.
– On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana
esityslistaa tai pöytäkirjaa.
Tavallisia poikkeuksia
Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-
kuntalain#henkilotiedot-ja-verkkotiedottaminen

6. • Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja lain mukaisissa poikkeustapauksissa.
– Rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys,
terveyttä koskevat tiedot, seksuaalinen suuntautuminen tai käyttäytyminen, geneettiset ja biometriset tunnisteet
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu

7. Lähde: Kuntalaki, https://www.finlex.fi/fi/laki/alkup/2015/20150410
Kunnan viestintä perustuu kuntalain 29§:ään. Joistakin asiakirjoista säädetään erikseen.
Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR.
Kunnan viestinnän lakiperuste

8. • Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta
tarvitaan huoltajan suostumus henkilötietojen
käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, lakiesityksessä 13 v.
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

9. Rekisterinpitäjä  tarkoitukset  tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja
henkilötiedot tulee ilmetä
rekisteröityjen informoinnista.
Oikeus-
peruste

10. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

11. • Informointi rekisteröidyille (vrt. tietosuojaseloste)
– Mitä tietoja, mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn
oikeudet jne.
• Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ
– Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
– Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
• Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
• Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
– Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn
pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta.
– Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää
eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille
– Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista
Rekisteröityjen informointi
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi

12. Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018)

13. Espoon kaupungin tietosuojaselosteet: https://www.espoo.fi/fi-FI/Asioi_verkossa/Tietosuoja/Tietosuojaselosteet (17.9.2018)

14. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

15. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

16. Tietosuoja kunnan viestinnässä

17. Kuntien viestinnän välineet
Lähde: Kuntaliitto, Kuntien viestintäkysely 2017,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20viestint%C3%A4kysely%202017%20tulosdiat.pdf (N=177 kuntaa)

18. Kuntien viestintä tiedotusvälineille
Lähde: Kuntaliitto, Kuntien viestintäkysely 2017,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20viestint%C3%A4kysely%202017%20tulosdiat.pdf (N=177 kuntaa)

19. Lähde: Kuntaliitto, Kuntien markkinointitutkimus 2018,
https://www.kuntaliitto.fi/sites/default/files/media/file/190109_Kuntien%20markkinointitutkimus%202018_0.pdf (N=85)
Kuntien markkinointiviestinnän keinot

20. Kuntien asiakaspalvelukanavat
Sähköposti 100 %
Fyysinen asiakaspalvelupiste ~ 100 %
Puhelinpalvelu ~ 100 %
Verkkosivut ~ 100 %
Sosiaalisen median palvelut
(Facebook, lisäksi joissakin kunnissa Twitter tai Instagram)
73 %
Sähköinen asiointi, verkkolomakkeet 70 %
Etäyhteys tai videoneuvottelu 35 %
Pikaviestisovellukset
(esim. Skype)
33 %
Chat-palvelu 30 %
Asiakkuudenhallintajärjestelmä (CRM) 6 %
Lähde: Kuntaliitto, Kuntien asiakaspalvelukysely 2018,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20asiakaspalvelu%202018%20-kysely.pdf (N=119 kuntaa)

21. Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Henkilötunnus, jos rekisteröity on
hyväksynyt tämän
• Valintatulokset, koearvosanat
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai vastaavassa:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassa pidettäviä tietoja ja asiakirjoja
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot psykologisesta testistä ja soveltuvuuskokeesta
sekä niiden tuloksista
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Henkilötietojen lähetys sähköpostilla
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

22. GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin.
• Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä.
• On epäselvää, koskevatko GDPR:n tarkistusoikeus niitä tietoja, jotka ovat
työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa.
• Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset
rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä.

23. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella
tai jos siitä on nimenomaisesti säädetty.
• Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä
tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §).
– Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa.
– Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
• Suostumus on käytännössä esimerkiksi:
– Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja
tullaan julkaisemaan
– Julkaisuluvat varhaiskasvatuksessa ja opetuksessa
– Suostumus opiskelupaikan haun tulosten julkaisuun hakulomakkeessa
– Muilla tavoin kysytyt ja saadut suostumukset
• Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista.
– Kuvan julkaisusta on syytä sopia erikseen.
Henkilötietojen julkaisu netissä
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet

24. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621

25. Taiteellinen,
kirjallinen,
akateeminen tai
journalistinen sisältö
Julkinen
henkilötieto
Ei-julkinen
henkilötieto (esim.
turvakielto,
salainen puh.nro)
Arkaluonteiset
henkilötiedot/
erityiset
henkilötietoryhmät
Salassapidettävät
tiedot ja
asiakirjat
Suullisesti tai
paikanpäällä
näytettynä
Kyllä Kyllä Ei Ei Ei
Sähköisesti,
kopiona tai
tulosteena
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Suojattuna
sähköisesti
(sähköposti tai
verkkopalvelun
yksityisviesti)
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Julkisesti
(netti, some tai
ilmoitustaulu)
Kyllä Ei.
Mahdollista
tapauskohtaisesti
tiedottamisessa,
esityslistoissa ja
pöytäkirjoissa.
Ei Ei Ei
Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn
suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää.
Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017,
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain

26. • Yksityiselämän suoja on perustuslain nojalla kuntalain viestintävelvollisuutta
painavampi. Tämä on huomioitava, kun julkaistaan henkilötietoja verkossa.
– Mitään salassa pidettäviä tai arkaluontoisia tietoja ei saa julkaista.
– Vaikka asiakirjat tai tiedot ovat julkisia, täytyy ne lisäksi arvioida yksityisyyden suojan kannalta.
– Julkisiakaan henkilötietoja ei saa tarpeettomasti julkaista verkossa.
– Henkilörekisteritietojen sähköinen luovuttaminen edellyttää suostumusta tai lakiperustetta.
• Kunnan viestintävelvollisuutta ja tietosuojaa arvioidaan tapauskohtaisesti.
– Yksityishenkilöiden tietoja ei yleensä ole syytä julkaista esityslistoissa, pöytäkirjoissa tai muussa
viestinnässä.
– Esimerkiksi keskeisiin virkavalintoihin liittyy selvä tiedottamisintressi, jolloin henkilötiedot
voidaan julkaista.
• Kunnan päätösten/pöytäkirjojen mukana julkaistaan verkkoon vain
tiedonsaannin kannalta välttämättömät henkilötiedot.
– Pöytäkirjan henkilötiedot voidaan julkaista verkossa vasta pöytäkirjan tarkastamisen jälkeen.
– Kunnallisten toimielinten pöytäkirjan sisältämät henkilötiedot on yleensä poistettava verkosta
oikaisuvaatimus- tai valitusajan päättyessä. Henkilötietojen pitäminen verkossa tämän jälkeen
tulee perustua kunnan tiedottamisintressiin (yleistä mielenkiintoa herättävät asiat).
– Henkilötietoja sisältävät kokousasiakirjat on hyvä poistaa verkosta viimeistään vuoden kuluttua.
• Kunnan ilmoitusten henkilötiedot voivat olla verkossa 14 vuorokautta.
Viestintävelvollisuus ja kokousasiakirjat
Lähteet: Kuntaliitto, Kuntaviestinnän opas, 2016, http://shop.kuntaliitto.fi/download.php?filename=uploads/viestintaopas_ebook.pdf
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

27. Päätösten/pöytäkirjojen henkilötiedot pidetään
verkossa vain muutoksenhakuajan
Lähde: Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-
kasittely-ja-julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

28. Kuvat ja videot viestinnässä

29. Valokuvat ja videot
• Valokuvan tai videon
tekijänoikeudet tai lähioikeudet
ovat kuvaajalla.
• Tunnistettavan henkilökuvan
julkaisuun on syytä pyytää lupa.
• Jokaisen on katsottu omistavan
persoonansa ns. kaupalliset
oikeudet.
• Kuvan julkaisun voi estää esim.
kotirauha, yksityisyyden suoja
tai kuvassa näkyvän teoksen
tekijänoikeudet.
• Jonkun muun julkaiseman kuvan
levittäminen voi olla kiellettyä
esim. tekijänoikeuksien tai sen
loukkaavuuden takia.
• Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja
kuvia ei saa levittää.

30. - Jos kunta tilaa yksityiseltä henkilöltä taikka yritykseltä vaikkapa
markkinointikäyttöön suunnatun videon, niin pitääkö jokaiselta
videolla näkyvältä pyytää kirjallinen kuvauslupa?
Kysymys: videot markkinoinnissa
• Video ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
• Esimerkiksi julkisesta tapahtumasta tiedotusta varten tehty video ei yleensä
edellytä kuvauslupia kaikilta videossa näkyviltä henkilöiltä.
– Jos tilanne on osallistujien kannalta yllättävä, kannattaa kuvaamisesta tiedottaa etukäteen ja/tai
pyytää kuvausluvat videossa selvästi tunnistettavissa olevilta henkilöiltä.
• Markkinointivideon tekijällä on oltava lupa käyttää videossa olevaa materiaalia
markkinointitarkoituksiin sekä tarvittaessa kuvausluvat henkilöiltä.
• Jos kunta tilaa markkinointivideon teon ulkopuoliselta, on vastuu videolla
olevasta materiaalista ensisijaisesti videon tekijällä.
• Vastuukysymyksistä on hyvä sopia etukäteen videon tekijän kanssa.

31. - Miten kunnat saavat julkaista yksityishenkilöiden kuvia/videoita
omilla somekanavillaan?
- Voiko julkisesta tilaisuudesta ottaa kuvaa?
- Pitääkö jokaiselta kuvassa olijalta pyytää kirjallinen kuvauslupa?
Kysymys: tapahtumissa kuvaaminen
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten.
• Esimerkiksi koulun tapahtuma tai julkisessa tilassa oleva esitys ei ole yksityinen
tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua.
• Jos koulun oppilaista otetaan kuvia koulun/kunnan toimesta ja ne julkaistaan
verkossa, on tähän pyydettävä luvat huoltajilta.
• Kunta ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai
kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää.
• Kuvien julkaisua säätelee eri lait. Esimerkiksi yksityiselämää loukkaavia kuvia ei
saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien
julkaisu toimitukselliseen tarkoitukseen on ok.

32. Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun
jälkeen myös muut voivat jakaa ja lainata niitä – joskus yllättävillä tavoilla.
Huhtasaari & oppilasjuliste -tapaus tarkemmin: https://harto.wordpress.com/2018/10/03/huhtasaaren-jakaman-oppilastyon-tekijanoikeudet-ja-tietosuoja/

33. Tietosuoja pilvipalveluissa ja somessa

34. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

35. Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio

36. Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay

37. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. kunnan G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
Kysymys: henkilötiedot pilvipalveluissa
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU-
komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.

38. Somepalvelut viestinnässä ja asiakaspalvelussa

39. Pitääkö organisaation
someprofiileista olla
rekisteriselosteet?
Kuvakaappaus: Helsingin kaupunki
sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupun
ki-ja-hallinto/osallistu-ja-vaikuta/some
(18.11.2018)

40. Facebook-sivu kunnan viestinnässä

41. Lähde: Oikeusasiamiehen päätös EOAK/2404/2017, 14.7.2017, https://www.oikeusasiamies.fi/fi/ratkaisut/-/eoar/2404/2017

42. • Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä työntekijätunnusta ei
pitäisi tehdä.
• Henkilökohtaisen tunnuksen
käyttö työssä voi perustua vain
vapaaehtoisuuteen.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin asiakkaita ei
tarvitse ottaa kavereiksi.
• Nykyään Facebook-sivut voivat
osallistua myös ryhmien
keskusteluihin.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update

43. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema

44. Facebookin lisäehdot sivujen ylläpitäjille (28.9.2018)
Lähde: https://www.facebook.com/legal/terms/page_controller_addendum#

45. WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestipalvelut yhteydenpidossa

46. Pikaviestipalvelujen tietosuoja
Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF

47. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958

48. Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
säilytys
Rekisteröityjen
sähköinen asiointi
Kunnan omat
verkkopalvelut
(kotisivut, intra)
Ok Ok, jos käyttöoikeudet
ovat oikein.
Ok, jos
käyttöoikeudet ovat
oikein.
Ok, jos
käyttöoikeudet
ovat oikein.
Kunnan hallinnoimat
verkkopalvelut
(pilvipalvelut ja muut
sopimuspalvelut)
Ok Ok, jos käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet ovat
oikein ja on sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Kunnan hallinnoimat
profiilit julkisissa
somepalveluissa
Ok Ok, jos käyttöoikeudet
ovat oikein, ohjeistus
on kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Kunnan työntekijöiden
henkilökohtaiset
profiilit julkisissa
somepalveluissa
Ok Ok, jos ohjeistus on
kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja
yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen).
Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta
verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.

49. • Kun viestinnässä käytetään ulkopuolisia somepalveluita, on syytä sopia
ja ohjeistaa yhteiset toimintamallit
– Miten rekisteröityjen informointi tehdään somessa? Onko mahdollista linkittää
tietosuojaseloste profiiliin?
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei henkilötietoja ”unohdu” palveluun?
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava.
• Yksityisten laitteiden ja tunnusten käytöstä työtehtäviin on syytä antaa
selvät ohjeet: mitä saa ja ei saa tehdä.
• Työntekijää ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle.
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin.
• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin.
Somepalvelut ja tietosuoja

50. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus

51. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä tulee
olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Yhdysvaltalaisia palveluita voidaan käyttää myös rekisteröityjen tai alaikäisten
huoltajien suostumuksella tai mikäli niiden käyttö ei edellytä henkilötietojen
antamista
Yhdysvaltalaiset verkkopalvelut

52. Markkinointirekisterit

53. Suoramarkkinointi ja tietosuoja
• Perinteinen suoramarkkinointi
– Postitse tai puhelimitse
– Saa tehdä, jos vastaanottaja ei ole kieltänyt
– Vastaanottajille tulee kertoa kielto-oikeudesta
viesteissä ja tietosuojaselosteessa
• Sähköinen suoramarkkinointi
– Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit
– Yksityishenkilöiltä tarvitaan suostumus etukäteen
– Yrityksiltä ja niiden edustajilta ei tarvita suostumusta
– Vastaanottajille tulee kertoa kielto-oikeudesta
viesteissä ja tietosuojaselosteessa
• Ulkoistettu suoramarkkinointi
– Esimerkiksi postitus- ja puhelinmyyntipalvelut
– Henkilötietoja annetaan toiselle yritykselle
markkinoinnin tekoa varten, joten tarvitaan sopimus
henkilötietojen käsittelystä
– Toimeksiantaja on vastuussa markkinoinnista
Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas,
https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917

54. • Suostumus (opt-in)
– Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.)
– Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä.
– Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
• markkinoinnissa käytetään automaattista profilointia
• tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
• Rekisterinpitäjän oikeutettu etu
– Perinteinen suoramarkkinointi (puhelimitse ja postitse)
– Asiakassuhteeseen liittyvä viestintä: voit tiedottaa asiakassuhteeseen liittyvistä
asioista ja esimerkiksi siihen liittyvistä tulevista tapahtumista.
– B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman
etukäteissuostumusta.
– Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus!
• Mieti rekisteröidyn näkökulmasta, milloin kyse on suoramarkkinoinnista, ja
erota se selvästi muusta viestinnästä.
• Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä
ja mistä tietosuojaseloste on luettavissa.
• Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista
markkinointia he saavat.
Markkinointi ja GDPR

55. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto,
jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta.
• Esimerkkejä:
– Google Analyticsin kävijäseurantakoodi
– Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli
– Facebookin tykkäysnappula tai kirjautumistoiminto
– Facebook-mainonnan pikseli
– Chat-palvelujen evästeet
• Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille.
Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa.
• Esimerkiksi näin:
• Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on
sallittu nettiselaimen asetuksissa.
• GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa
myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy).
Kolmansien osapuolten evästeet
Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy
Lisätietoa: Evästeet nettisivuilla ja GDPR - miten pitää ilmoittaa?, https://www.innowise.fi/fi/evasteet-eli-cookiet-nettisivuilla-ja-gdpr/

56. Profilointi ja analytiikka

57. 4 artikla
4) ’profiloinnilla’ mitä tahansa henkilötietojen
automaattista käsittelyä, jossa henkilötietoja
käyttämällä arvioidaan luonnollisen henkilön tiettyjä
henkilökohtaisia ominaisuuksia, erityisesti
analysoidaan tai ennakoidaan piirteitä, jotka
liittyvät kyseisen luonnollisen henkilön
työsuoritukseen, taloudelliseen tilanteeseen,
terveyteen, henkilökohtaisiin mieltymyksiin,
kiinnostuksen kohteisiin, luotettavuuteen,
käyttäytymiseen, sijaintiin tai liikkeisiin,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
GDPR:n tarkoittama profilointi
Profilointiin tarvitaan suostumus tai sopimus!

58. Milloin analytiikka on profilointia?
• Yksittäiset tiedot, esim. pisteet ja edistyminen
• Yhteenvedot ja tilastot, lokitiedot
• Manuaaliset arvioinnit rekisteröidystä
• Yhdistelmänäkymät tiedoista ja toiminnasta
• Tiedonlouhinta big datasta
• Muut analyysit, joita ei käytetä yksilöitä
koskeviin toimenpiteisiin
EI GDPR:N TARKOITTAMAA
PROFILOINTIA
GDPR:N TARKOITTAMAA
PROFILOINTIA
• Rekisteröidyn tietoihin perustuvat
automaattiset luokittelut, jotka liittyvät
tämän ominaisuuksiin, kiinnostuksen
kohteisiin ja todennäköisyyksiin
• Automaattiset arvioinnit, ehdotukset,
valinnat, tulkinnat, johtopäätökset jne.
• Tietojen yhdistelystä johdetut ennusteet

59. Pyydä suostumus, jos käytät profilointia
Facebookiin viedyt
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
syntymäaika, kaupunki, laitetunniste ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
Googleen viedyt
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Esimerkiksi sähköpostimarkkinointi
manuaalisesti valituille kohderyhmille
Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia

60. Riskien arviointi ja vastuu tietosuojasta

61. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit

62. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).

63. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf

64. Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet

65. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

66. Henkilökohtainen tietosuoja

67. Yksittäiset käyttäjät
Lähde: Viestintävirasto, Tietoturvan vuosi 2017,
https://www.viestintavirasto.fi/attachments/cert/tietoturvakatsaukset/Tietoturvan-vuosi-2017.pdf

68. Älä koskaan avaa epäilyttävää liitetiedostoa tai linkkiä.

69. • Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– Isoja ja pieniä kirjaimia
– Numeroita
– Erikoismerkkejä
• Ei ole arvattavissa
• Ei ole käytössä muualla
Hyvä salasana tai salalause
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html

70. Lähde: https://www.viestintavirasto.fi/attachments/cert/certtiedostot/Nain_meita_huijataan.pdf

71. Facebookin tietosuojakohun vaikutukset
Datalähde: DNA:n Digitaalisen elämäntavan tutkimus, 03/2018, 15-74-vuotiaat, N=457 (ne 90 % vastaajista, jotka olivat kuulleet kohusta)
Facebookin käyttöä oli muuttanut 54 % kohusta kuulleista.

72. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/

73. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan.
Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset
Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja
https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/
Lista kymmenistä yrityksistä, jotka
ovat tuoneet tietojasi Facebookiin
Katso, miten monella eri tavalla
Facebook on profiloinut sinut

74. Facebookin kirjautumisen asetukset
Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)

75. Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse ”Googleen kirjautuminen”
Kuvakaappaus ja lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”

76. 1. Hyökkääjät etsivät haavoittuvia
verkkopalveluita, joita voidaan
käyttää esim. mainostamiseen tai
virusten ja haittaohjelmien
levittämiseen.
2. Saastunut palvelu etsii palvelun
käyttäjien käyttöjärjestelmän,
selaimen ja sen liitännäisten
tietoturva-aukkoja, joiden kautta
voidaan asentaa viruksia ja
haittaohjelma.
Saastuneet verkkopalvelut
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf

77. Selaimen yksityinen tila
Firefox
Internet Explorer
Chrome
Yksityisessä tilassa nettiselain ei
tallenna laitteen muistiin:
• Sivuhistoriaa
• Lomaketietoja
• Evästeitä (engl. cookie)
• Www-sivustojen tiedostoja
välimuistiin
Verkkopalvelut ja verkkoyhteyden
tarjoaja näkevät toimintasi normaalisti.

78. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä.
• Asenna sovelluksia vain virallisista sovelluskaupoista.
• Noudata omien laitteiden käytössä työnantajan ohjeistusta.
• IPhonet ja iPadit ovat Android-laitteita turvallisempia.
– App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn.
– Androidille tehdään enemmän haittaohjelmia ja viruksia
• Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille
– varovaisuus ja maalaisjärki riittävät pitkälle.
• Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä
enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin.
• Älä käytä suojaamattomia langattomia verkkoja (WLAN).
• Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista.
Mobiililaitteiden tietoturva

79. 5 neuvoa mobiilisovellusten arviointiin
1. Asenna sovelluksia vain luotetuista sovelluskaupoista.
– Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista
Googlen ja Applen sovelluskaupoista.
2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute.
– Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä.
– Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita
hyökkääjät voivat hyväksikäyttää.
3. Arvioi sovelluksen pyytämät oikeudet verrattuna
sovelluksen käyttäjää palvelevaan toiminnallisuuteen.
– Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin.
– Tarkista sovellusten oikeudet aika ajoin.
4. Tutustu sovelluksen käyttöehtoihin.
– Mitä tietojen keräämisestä ja käsittelystä kerrotaan?
– Missä maassa tietoja käsitellään?
5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän
mobiililaitteiden käytöstä.
– Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin
laitteisiin.
Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html

80. Keskustelu
&
kysymykset

81. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!