2. “
Perustuslain 10 §:
Jokaisen yksityiselämä, kunnia ja
kotirauha on turvattu. Henkilötietojen
suojasta säädetään tarkemmin lailla.
Kirjeen, puhelun ja muun
luottamuksellisen viestin salaisuus
on loukkaamaton.
2
Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
▪ Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
▪ Sähköpostit, tekstiviestit
▪ Viestintäsovellukset
▪ Verkkopalvelut, chatit
▪ Sosiaalisen median palvelut
▪ Digitaaliset arkistot
▪ Tietojen siirto rajapintojen kautta
2) Henkilörekistereihin
▪ Tietojärjestelmät/tietokannat
▪ Yhteystietoluettelot
▪ Henkilötietojen kokoelmat
▪ Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
4
6. GDPR:n tietosuojaperiaatteet
6
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
7. Esimerkkejä käsiteltävistä henkilötiedoista
7
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
8. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
8
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
11. Kenellä on vastuu organisaation tietosuojasta?
11
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
12. Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
12
13. Suostumus henkilötietojen käsittelyn perusteena
13
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
14. REKIST. OIKEUDET
OIKEUSPERUSTEEN
MUKAAN
Suostumus Sopimus Lakisääteiset
velvoitteet
Yleinen etu tai
julkinen tehtävä
Rekisterinpitäjän
oikeutettu etu
Elintärkeiden
etujen
suojaaminen
Oikeus saada tietoa
henkilötietojen
käsittelystä
Kyllä Kyllä Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä, ellei kyse ole
laissa olevasta
poikkeuksesta
Kyllä Kyllä
Oikeus saada pääsy
tietoihin
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus poistaa tiedot Kyllä, perumalla
suostumuksen
Kyllä, jos tietoja ei
enää tarvita sop.
Ei Ei Kyllä Kyllä
Oikeus rajoittaa
tietojen käsittelyä
Kyllä Kyllä Ei Kyllä Kyllä Kyllä
Oikeus vastustaa
tietojen käsittelyä
Ei Ei Ei Kyllä Kyllä Ei
Oikeus siirtää tiedot
järjestelmästä toiseen
Kyllä Kyllä Ei Ei Ei Ei
Oikeus olla joutumatta
autom. päätöksenteon
kohteeksi ilman laillista
perustetta
Kyllä, mutta
rekisteröity voi
antaa
suostumuksen
automaattiseen
päätöksentekoon
Kyllä, paitsi jos
autom. päät. on
välttämätöntä
sopimuksen tekoon
tai täyttämiseen
Kyllä, ellei kyse
ole laissa
olevasta
poikkeuksesta
Kyllä GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
16. GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
▪ ”Rekisteriseloste”
▪ Organisaation sisäinen (ei-julkinen)
▪ Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
▪ Kattaa kaiken henkilötietojen
käsittelyn organisaatiossa
▪ Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
▪ Yleensä tietosuojavastaava ylläpitää
2. Rekisteröityjen informointi
▪ ”Tietosuojaseloste”
▪ Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
▪ Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
▪ Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
▪ Sisältää myös rekisteröityjen oikeudet
16
17. Seloste käsittelytoimista ja rekisteröityjen ryhmät
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
17
GDPR ohjaa käsittelemään
rekisteröityjä organisaation
tasolla ryhminä eri
käsittelytarkoitusten mukaan,
ei erillisinä rekistereinä.
▪ Yli 250 työntekijän organisaatio → seloste on pakollinen
▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos
▪ henkilötietojen käsittely ei ole satunnaista
▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille
▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
▪ Selosteen ei ole pakko olla taulukko (kuvassa Tietosuojavaltuutetun malli)
18. Tietosuojaseloste
= rekisteröidyn informointi
18
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
19. Kysymys: montako eri tietosuojaselostetta?
19
▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä
rekisteröityjen ryhmiä ja henkilötietoja.
▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen
tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin.
▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste.
▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista
tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan
yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä.
▪ Ylätason tietosuojaselosteen tulee sisältää:
▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet.
▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä.
▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä.
Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
• Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja
tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri
tietosuojaselosteet?
20. Rekisteröityjen pyyntöihin vastaaminen
20
▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
▪ Rekisteröidyn tulee yksilöidä pyyntönsä:
▪ Nimi ja yhteystiedot
▪ Mitä tietoja pyyntö koskee
▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
▪ Missä muodossa haluaa tiedot
▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
21. Tarkastusoikeuden rajoittaminen
21
▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin
kuin se on välttämätöntä:
▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien
syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan
haitan välttämiseksi
▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi
▪ yleisen turvallisuuden suojelemiseksi
▪ kansallisen turvallisuuden suojelemiseksi
▪ muiden henkilöiden oikeuksien suojelemiseksi
▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä
tarkastaa tätä koskevien tietojen lainmukaisuuden.
▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle.
▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle.
▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi,
rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
23. Henkilökunnan perehdytys tietosuojaan
23
▪ Käy läpi ainakin nämä:
▪ Mikä on henkilötieto
▪ Miten henkilötietoja käsitellään
▪ Mitä henkilötietoja saa käsitellä (vain työtehtävien kannalta tarpeellisia)
▪ Missä tietojärjestelmissä henkilötietoja käsitellään
▪ Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava
▪ Miten toimia tietoturvaloukkaustilanteissa
▪ Kuka on organisaation tietosuojavastaava ja mitä hänen tehtäviinsä kuuluu
▪ Lisäksi organisaatio- ja toimialakohtaiset tarpeelliset aiheet
▪ Materiaalia:
▪ Tietosuoja.fi: Usein kysyttyä, https://tietosuoja.fi/usein-kysyttya
▪ Suomidigi: Digiturvallisuuden verkkomateriaalit, https://www.suomidigi.fi/ohjeet-
ja-tuki/digitaalinen-turvallisuus/digiturvallisuuden-verkkomateriaalit
▪ Harto Pönkä: Tietosuoja - mitä jokaisen olisi hyvä tietää henkilötiedoista ja
GDPR:stä, https://www.youtube.com/watch?v=jJY0Udi6eco
Lähteenä mm. TSV, 2022, Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista
Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja
käsitellään turvallisesti. Henkilökunnalle on annettava perehdytystä tietosuojaan.
25. Tietosuojalaki 35 §: vaitiolovelvollisuus
25
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
26. Henkilötietojen luovuttaminen ja julkaisu
26
▪ Henkilötietoja voi yleensä luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn
suostumuksella tai jos siitä on nimenomaisesti säädetty.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan
▪ Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset
▪ Suostumukset merkitään rekisteriin
▪ Rekisteröity voi milloin tahansa perua antamansa suostumuksen
27. Viranomaisen henkilötietorekisterin tietojen anto
▪ Ei koske salassa pidettäviä tietoja.
▪ Vaikka rekisterissä olevat tiedot
olisivat lain mukaan julkisia, niitä ei
voi antaa kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö)
▪ Henkilötunnusta ei tule tällöinkään
merkitä tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
27
29. Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja-
asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf
▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja.
▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää.
▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset
suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta.
▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja.
▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
▪ Riski voi olla korkeampi, kun
▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset)
▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi)
▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta.
29
30. Tiedonhallintalain tietoturvallisuuden vaatimukset
Lähde: Laki julkisen hallinnon tiedonhallinnasta, https://www.finlex.fi/fi/laki/alkup/2019/20190906#Pidp446099584
30
▪ Tiedonhallintalakia sovelletaan, kun tietoja käsittelee:
▪ viranomaiset (mm. valtion virastot, kunnat, muut julkisoikeudelliset laitokset)
▪ yliopistot ja ammattikorkeakoulut
▪ yksityishenkilöt ja yhteisöt, kun ne hoitavat julkista hallintotehtävää (=lakiin tai
asetukseen perustuva toimivalta, esim. lupien myöntäminen)
▪ Tiedonhallintayksikön tulee ylläpitää tiedonhallintamallia, jonka osana on mm. GDPR:n
mukaiset selosteet käsittelytoimista sekä kuvaus tietoturvallisuustoimenpiteistä (5 §).
▪ Tietoturvallisuuden vaatimuksia (luku 4):
▪ 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus on varmistettava koko
niiden elinkaaren ajan. Edellyttää toimintaympäristön seurantaa ja riskiarviointia.
▪ 14 §: Salassa pidettävien tietojen siirtäminen tietoverkossa on tehtävä suojatusti ja
vastaanottaja on varmistettava tai tunnistettava.
▪ 15 §: Tietoaineistojen varmistaminen: 1) muuttumattomuus, 2) suojattu vahingoilta,
3) alkuperäisyys, ajantasaisuus ja virheettömyys, 4) saatavuus ja käyttökelpoisuus,
5) saatavuutta ei rajoiteta perusteetta, 6) tietoja voidaan arkistoida.
▪ 16 §: Tietojärjestelmien käyttöoikeuksien hallinta käyttäjien tehtävien mukaan.
▪ 17 §: Lokitietojen kerääminen, jos käyttö edellyttää tunnistaut. tai kirjautumista.
Tarkoituksena käytön ja luovutuksen seuranta sekä teknisten virheiden selvitys.
▪ 18 §: Turvallisuusluokiteltavat asiakirjat valtionhallinnossa (TL-merkinnät)
32. Henkilötietoihin kohdistuvan riskin taso
32
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
33. Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA)
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja
https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista
▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen
henkilön oikeuksien ja vapauksien kannalta korkean riskin”
▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea.
▪ Suositeltavaa myös epäselvissä tapauksissa.
▪ Vaikutustenarviointi tulee tehdä erityisesti, kun:
▪ otetaan käyttöön uutta teknologiaa
▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä
▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista
▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta
▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi:
▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät
▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla
valvontaviranomaista (nk. ennakkokuuleminen).
▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti.
▪ Ohje vaikutustenarvioinnista:
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-
9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
33
34. Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Riskipisteet Täsmennyksiä ja esimerkkejä
1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai
vastaavia merkittäviä vaikutuksia
2 Esim. henkilökohtaisten ominaisuuksien
laajamittainen automaattinen profilointi, jota
voitaisiin käyttää esim. syrjintään.
2. Järjestelmällinen valvonta 2 Esim. julkisten ja avointen tilojen
kameravalvonta.
3. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot 2 Esim. erityiset henkilötietoryhmät ja
rikosrekisteritiedot. Myös esim. taloustiedot ja
yksityiset päiväkirjat.
4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen
käyttö tai soveltaminen
2 Uusiin ratkaisuihin voi liittyä riskejä, joita ei
havaita helposti.
5. Arviointi tai pisteytys 1 Esim. käyttäytymis- tai markkinointiprofiilien
koostaminen.
6. Tietojen laajamittainen käsittely 1 Huomattavan suuri määrä tai osuus väestöstä,
pitkäkestoisuus.
7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen 1 Kun tietoja yhdistellään rekisteröityjen
kohtuullisia odotuksia laajemmin.
8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot 1 Esim. lapset ja työntekijät. Riippuvuus
rekisterinpitäjästä.
9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta 1 Esim. pankin arvio luottokelpoisuudesta.
Vähintään 2 ”riskipistettä” → tee vaikutustenarviointi
Lähteet (soveltaen): Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/vaikutustenarviointi, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf
34
35. Tietosuojaa koskeva vaikutustenarviointi
35
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen käsittelytoimista ja
käsittelyn tarkoituksista +
tietosuojavastaavan neuvot
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen oikeuksia ja
vapauksia koskevista riskeistä +
rekisteröityjen näkemykset
4. Suunnitellut toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että tietosuoja-
asetusta on noudatettu
5. Dokumentointi
(GDPR:n 35 artikla ja johdanto-osat 84 ja 90)
36. TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi
Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen
36
• Päätös olla käsittelemättä tietyn tyyppisiä tietoja
• Käsittelyn kohteen täsmentäminen tai rajaaminen
• Säilytysaikojen lyhentäminen
• Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto
• Henkilötietojen anonymisointi tai pseudonymisointi
• Kirjallisten käsittelyohjeiden käyttöönotto
• Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin
• Toisenlaisen tekniikan käyttäminen
• Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto
• Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista
• Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
37. Tietoturvaloukkaus
37
Tarkoitetaan henkilötietojen…
▪ vahingossa tapahtuvaa tai lainvastaista
tuhoamista
▪ häviämistä
▪ muuttamista
▪ luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja lisäksi
rekisteröidylle, jos siitä aiheutuu korkea riski.
Henkilötietojen käsittelijän on ilmoitettava
loukkauksesta rekisterinpitäjälle viipymättä.
38. Esimerkkejä tietosuojaloukkauksista
38
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn
verkkohyökkäyksen seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille
todennäköisesti aiheutuvien
seurausten vakavuus on
suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee
virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian
vaikutuksesta käyttäjät voivat nähdä toistensa tietoja
palvelussa.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
39. Varo: Office 365 -huijaukset ovat yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin.
▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
39
40. Huijaus- ja tietojenkalasteluviestit
40
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta
41. Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
▪ Anna ohjeita, miten välttää ikäviä seurauksia.
41
43. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteröidyn informointi
(13 artikla)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
Seloste käsittelytoimista
(30 artikla)
Mahdolliset muut käsittelijät
43
44. Sopimus henkilötietojen käsittelystä
44
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
45. ▪ ”Henkilötietojen käsittelijä ei vastaa mahdollisista tietosuojarikkomuksista.”
▪ GDPR:n 28. artiklan 3. c) kohdan mukaan käsittelijän tulee toteuttaa GDPR:n 32. artiklan mukaiset
tekniset ja organisatoriset suojatoimet, jotta käsittely on turvallista.
▪ ”Henkilötietojen käsittelijä päättää itsenäisesti käsittelytavoista.”
▪ GDPR:n 28. artiklan 3. kohdan mukaan: ”…käsittelee henkilötietoja ainoastaan rekisterinpitäjän
antamien dokumentoitujen ohjeiden mukaisesti”
▪ ”Henkilötietojen käsittelijä voi käyttää toisia henkilötietojen käsittelijöitä.”
▪ GDPR:n 28. artiklan 2. kohdan mukaan 1) käsittelijä tarvitsee etukäteen luvan toisten käsittelijöiden
käyttöön tai 2) toisten käsittelijöiden käytöstä on ilmoitettava etukäteen ja annettava rekisterinpitäjälle
oikeus vastustaa muutosta.
▪ ”Henkilötietojen käsittelijä ei vastaa käyttämiensä alakäsittelijöiden aiheuttamista tietosuojaloukkauksista.”
▪ GDPR:n 28. artiklan 4. kohdan mukaan: ”Kun toinen henkilötietojen käsittelijä ei täytä
tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa
toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.”
Käsittelysopimuksissa vastaan tulleita kukkasia
45
46. Henkilötietojen siirroissa huomioitavaa
46
▪ Mitkä ovat osapuolten roolit?
▪ Rekisterinpitäjä, yhteisrekisterinpitäjä, henkilötietojen käsittelijä
▪ Syntyykö siirroissa uusia rekistereitä vai onko kyse nykyisten rekisterien käytöstä?
▪ Mihin tietojen luovutus tai siirto perustuu?
▪ Henkilötietojen käsittelyn sopimukseen
▪ Rekisteröityjen antamaan suostumukseen
▪ Rekisteröityjen oikeuteen siirtää tiedot järjestelmästä toiseen
▪ Lakiin tai oikeuden päätökseen
▪ Tietojen luovutus/siirto voi joskus olla alkuperäisen käyttötarkoituksen mukaista
▪ Mitä vastuita tietojen luovuttajalla ja vastaanottajalla on?
▪ Mitä tietoja siirretään ja miten niitä tulee käsitellä?
▪ Miten tietoja siirretään (kertasiirtona, ajastetusti tiedostoina, rajapinnan kautta)?
▪ Mitä riskejä siirtoihin liittyy ja onko tarpeen tehdä vaikutustenarviointi?
▪ Saako vastaanottaja käyttää alakäsittelijöitä ja millä ehdoin?
▪ Siirretäänkö tietoja EU:n/ETA:n ulkopuolelle?
▪ Onko tietojen siirto huomioitu rekisteröityjen informoinnissa?
47. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
47
▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen
käsittelyssä ei ole estettä.
▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä
on tällöin rekisterinpitäjällä.
▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta
tietoja antavat henkilöt voivat tutustua siihen.
▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
henkilötietojen käsittelyssä. Yleensä ei ole sallittua.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
48. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
⬞ Lakisääteisiin tehtäviin suostumus ei sovellu.
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
48
49. ▪ Todennäköisesti moni julkinen organisaatio
päätyy samaan ratkaisuun kuin Kela
Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/-
/asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa
(uutinen on sittemmin poistettu netistä)
49
50. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
50
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!