SlideShare ist ein Scribd-Unternehmen logo

Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet

Harto Pönkä
Harto Pönkä

Koulutus 28.11.2022, Harto Pönkä, Innowise

Recht
1 von 53
Downloaden Sie, um offline zu lesen
Tietosuoja: Rekisterinpitäjän vastuut ja velvollisuudet 28.11.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
“ Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 2 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
GDPR = EU:n yleinen tietosuoja-asetus
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn ▪ Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot ▪ Sähköpostit, tekstiviestit ▪ Viestintäsovellukset ▪ Verkkopalvelut, chatit ▪ Sosiaalisen median palvelut ▪ Digitaaliset arkistot ▪ Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin ▪ Tietojärjestelmät/tietokannat ▪ Yhteystietoluettelot ▪ Henkilötietojen kokoelmat ▪ Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
GDPR:n tietosuojaperiaatteet 6 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Esimerkkejä käsiteltävistä henkilötiedoista 7 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 8 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
Rekisteri 9 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Rekisterinpitäjän vastuut ja velvollisuudet
Kenellä on vastuu organisaation tietosuojasta? 11 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 12
Suostumus henkilötietojen käsittelyn perusteena 13 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
15 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
GDPR:n mukaiset selosteet 1. Seloste käsittelytoimista ▪ ”Rekisteriseloste” ▪ Organisaation sisäinen (ei-julkinen) ▪ Pakollinen yli 250 hengen organisaatioissa ja mm. silloin, kun henkilötietojen käsittely on jatkuvaa ▪ Kattaa kaiken henkilötietojen käsittelyn organisaatiossa ▪ Henkilötietojen käsittelyn osoitusvelvollisuuden perusta ▪ Yleensä tietosuojavastaava ylläpitää 2. Rekisteröityjen informointi ▪ ”Tietosuojaseloste” ▪ Julkinen / oltava saatavilla tilanteessa, jossa henkilötietoja saadaan, tai toimitettava rekisteröidylle kk:n sisällä ▪ Tarkoittaa kaikkea rekisteröidyille kerrottavaa tietoa h.t. käsittelystä ▪ Voi kattaa kaikki eri rekisterit tai olla rekisterikohtainen ▪ Sisältää myös rekisteröityjen oikeudet 16
Seloste käsittelytoimista ja rekisteröityjen ryhmät Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista 17 GDPR ohjaa käsittelemään rekisteröityjä organisaation tasolla ryhminä eri käsittelytarkoitusten mukaan, ei erillisinä rekistereinä. ▪ Yli 250 työntekijän organisaatio → seloste on pakollinen ▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos ▪ henkilötietojen käsittely ei ole satunnaista ▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille ▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja ▪ Selosteen ei ole pakko olla taulukko (kuvassa Tietosuojavaltuutetun malli)
Tietosuojaseloste = rekisteröidyn informointi 18 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
Kysymys: montako eri tietosuojaselostetta? 19 ▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja henkilötietoja. ▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin. ▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. ▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä. ▪ Ylätason tietosuojaselosteen tulee sisältää: ▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. ▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä. ▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf • Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet?
Rekisteröityjen pyyntöihin vastaaminen 20 ▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun. ▪ Rekisteröidyn tulee yksilöidä pyyntönsä: ▪ Nimi ja yhteystiedot ▪ Mitä tietoja pyyntö koskee ▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta ▪ Missä muodossa haluaa tiedot ▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys. ▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa. ▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
Tarkastusoikeuden rajoittaminen 21 ▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin kuin se on välttämätöntä: ▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi ▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi ▪ yleisen turvallisuuden suojelemiseksi ▪ kansallisen turvallisuuden suojelemiseksi ▪ muiden henkilöiden oikeuksien suojelemiseksi ▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa tätä koskevien tietojen lainmukaisuuden. ▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle. ▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle. ▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi, rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
Mitä henkilötiedoilla saa tehdä, mitä ei? 22
Henkilökunnan perehdytys tietosuojaan 23 ▪ Käy läpi ainakin nämä: ▪ Mikä on henkilötieto ▪ Miten henkilötietoja käsitellään ▪ Mitä henkilötietoja saa käsitellä (vain työtehtävien kannalta tarpeellisia) ▪ Missä tietojärjestelmissä henkilötietoja käsitellään ▪ Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava ▪ Miten toimia tietoturvaloukkaustilanteissa ▪ Kuka on organisaation tietosuojavastaava ja mitä hänen tehtäviinsä kuuluu ▪ Lisäksi organisaatio- ja toimialakohtaiset tarpeelliset aiheet ▪ Materiaalia: ▪ Tietosuoja.fi: Usein kysyttyä, https://tietosuoja.fi/usein-kysyttya ▪ Suomidigi: Digiturvallisuuden verkkomateriaalit, https://www.suomidigi.fi/ohjeet- ja-tuki/digitaalinen-turvallisuus/digiturvallisuuden-verkkomateriaalit ▪ Harto Pönkä: Tietosuoja - mitä jokaisen olisi hyvä tietää henkilötiedoista ja GDPR:stä, https://www.youtube.com/watch?v=jJY0Udi6eco Lähteenä mm. TSV, 2022, Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja käsitellään turvallisesti. Henkilökunnalle on annettava perehdytystä tietosuojaan.
Käyttötarkoitussidonnaisuus 24 Henkilötietojen käsittelyn tarkoitukset ja tavat tulisi ilmetä selkeästi rekisteröidyn informoinnista. Muista tietojen minimointi kaikissa käyttötapauksissa. Muista suostumuksen edellytykset: se ei sovellu kaikkiin tilanteisiin.
Tietosuojalaki 35 §: vaitiolovelvollisuus 25 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Henkilötietojen luovuttaminen ja julkaisu 26 ▪ Henkilötietoja voi yleensä luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan ▪ Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset ▪ Suostumukset merkitään rekisteriin ▪ Rekisteröity voi milloin tahansa perua antamansa suostumuksen
Viranomaisen henkilötietorekisterin tietojen anto ▪ Ei koske salassa pidettäviä tietoja. ▪ Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa. ▪ Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan. ▪ Ei tietojen massajulkaisua esimerkiksi nimi ja HETU. ▪ Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos: ▪ 1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta ▪ 2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö) ▪ Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 27
Riskiarviointi, vaikutustenarviointi ja tietosuojaloukkaukset
Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja- asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf ▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja. ▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. ▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää. ▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta. ▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja. ▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. ▪ Riski voi olla korkeampi, kun ▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset) ▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti ▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi) ▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. ▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta. 29
Tiedonhallintalain tietoturvallisuuden vaatimukset Lähde: Laki julkisen hallinnon tiedonhallinnasta, https://www.finlex.fi/fi/laki/alkup/2019/20190906#Pidp446099584 30 ▪ Tiedonhallintalakia sovelletaan, kun tietoja käsittelee: ▪ viranomaiset (mm. valtion virastot, kunnat, muut julkisoikeudelliset laitokset) ▪ yliopistot ja ammattikorkeakoulut ▪ yksityishenkilöt ja yhteisöt, kun ne hoitavat julkista hallintotehtävää (=lakiin tai asetukseen perustuva toimivalta, esim. lupien myöntäminen) ▪ Tiedonhallintayksikön tulee ylläpitää tiedonhallintamallia, jonka osana on mm. GDPR:n mukaiset selosteet käsittelytoimista sekä kuvaus tietoturvallisuustoimenpiteistä (5 §). ▪ Tietoturvallisuuden vaatimuksia (luku 4): ▪ 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus on varmistettava koko niiden elinkaaren ajan. Edellyttää toimintaympäristön seurantaa ja riskiarviointia. ▪ 14 §: Salassa pidettävien tietojen siirtäminen tietoverkossa on tehtävä suojatusti ja vastaanottaja on varmistettava tai tunnistettava. ▪ 15 §: Tietoaineistojen varmistaminen: 1) muuttumattomuus, 2) suojattu vahingoilta, 3) alkuperäisyys, ajantasaisuus ja virheettömyys, 4) saatavuus ja käyttökelpoisuus, 5) saatavuutta ei rajoiteta perusteetta, 6) tietoja voidaan arkistoida. ▪ 16 §: Tietojärjestelmien käyttöoikeuksien hallinta käyttäjien tehtävien mukaan. ▪ 17 §: Lokitietojen kerääminen, jos käyttö edellyttää tunnistaut. tai kirjautumista. Tarkoituksena käytön ja luovutuksen seuranta sekä teknisten virheiden selvitys. ▪ 18 §: Turvallisuusluokiteltavat asiakirjat valtionhallinnossa (TL-merkinnät)
Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit 31
Henkilötietoihin kohdistuvan riskin taso 32 Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista ▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin” ▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea. ▪ Suositeltavaa myös epäselvissä tapauksissa. ▪ Vaikutustenarviointi tulee tehdä erityisesti, kun: ▪ otetaan käyttöön uutta teknologiaa ▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä ▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista ▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta ▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi: ▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät ▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). ▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti. ▪ Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 33
Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Riskipisteet Täsmennyksiä ja esimerkkejä 1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia 2 Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 2. Järjestelmällinen valvonta 2 Esim. julkisten ja avointen tilojen kameravalvonta. 3. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot 2 Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen 2 Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 5. Arviointi tai pisteytys 1 Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 6. Tietojen laajamittainen käsittely 1 Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen 1 Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot 1 Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta 1 Esim. pankin arvio luottokelpoisuudesta. Vähintään 2 ”riskipistettä” → tee vaikutustenarviointi Lähteet (soveltaen): Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/vaikutustenarviointi, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 34
Tietosuojaa koskeva vaikutustenarviointi 35 Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020 Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista + tietosuojavastaavan neuvot 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä + rekisteröityjen näkemykset 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja- asetusta on noudatettu 5. Dokumentointi (GDPR:n 35 artikla ja johdanto-osat 84 ja 90)
TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen 36 • Päätös olla käsittelemättä tietyn tyyppisiä tietoja • Käsittelyn kohteen täsmentäminen tai rajaaminen • Säilytysaikojen lyhentäminen • Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto • Henkilötietojen anonymisointi tai pseudonymisointi • Kirjallisten käsittelyohjeiden käyttöönotto • Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin • Toisenlaisen tekniikan käyttäminen • Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto • Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista • Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
Tietoturvaloukkaus 37 Tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
Esimerkkejä tietosuojaloukkauksista 38 Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin. ▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 39
Huijaus- ja tietojenkalasteluviestit 40 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 41
Henkilötietojen siirrot ja sopimukset 42
Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteröidyn informointi (13 artikla) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen Seloste käsittelytoimista (30 artikla) Mahdolliset muut käsittelijät 43
Sopimus henkilötietojen käsittelystä 44 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
▪ ”Henkilötietojen käsittelijä ei vastaa mahdollisista tietosuojarikkomuksista.” ▪ GDPR:n 28. artiklan 3. c) kohdan mukaan käsittelijän tulee toteuttaa GDPR:n 32. artiklan mukaiset tekniset ja organisatoriset suojatoimet, jotta käsittely on turvallista. ▪ ”Henkilötietojen käsittelijä päättää itsenäisesti käsittelytavoista.” ▪ GDPR:n 28. artiklan 3. kohdan mukaan: ”…käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti” ▪ ”Henkilötietojen käsittelijä voi käyttää toisia henkilötietojen käsittelijöitä.” ▪ GDPR:n 28. artiklan 2. kohdan mukaan 1) käsittelijä tarvitsee etukäteen luvan toisten käsittelijöiden käyttöön tai 2) toisten käsittelijöiden käytöstä on ilmoitettava etukäteen ja annettava rekisterinpitäjälle oikeus vastustaa muutosta. ▪ ”Henkilötietojen käsittelijä ei vastaa käyttämiensä alakäsittelijöiden aiheuttamista tietosuojaloukkauksista.” ▪ GDPR:n 28. artiklan 4. kohdan mukaan: ”Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.” Käsittelysopimuksissa vastaan tulleita kukkasia 45
Henkilötietojen siirroissa huomioitavaa 46 ▪ Mitkä ovat osapuolten roolit? ▪ Rekisterinpitäjä, yhteisrekisterinpitäjä, henkilötietojen käsittelijä ▪ Syntyykö siirroissa uusia rekistereitä vai onko kyse nykyisten rekisterien käytöstä? ▪ Mihin tietojen luovutus tai siirto perustuu? ▪ Henkilötietojen käsittelyn sopimukseen ▪ Rekisteröityjen antamaan suostumukseen ▪ Rekisteröityjen oikeuteen siirtää tiedot järjestelmästä toiseen ▪ Lakiin tai oikeuden päätökseen ▪ Tietojen luovutus/siirto voi joskus olla alkuperäisen käyttötarkoituksen mukaista ▪ Mitä vastuita tietojen luovuttajalla ja vastaanottajalla on? ▪ Mitä tietoja siirretään ja miten niitä tulee käsitellä? ▪ Miten tietoja siirretään (kertasiirtona, ajastetusti tiedostoina, rajapinnan kautta)? ▪ Mitä riskejä siirtoihin liittyy ja onko tarpeen tehdä vaikutustenarviointi? ▪ Saako vastaanottaja käyttää alakäsittelijöitä ja millä ehdoin? ▪ Siirretäänkö tietoja EU:n/ETA:n ulkopuolelle? ▪ Onko tietojen siirto huomioitu rekisteröityjen informoinnissa?
Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 47 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. ▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä henkilötietojen käsittelyssä. Yleensä ei ole sallittua. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ⬞ Lakisääteisiin tehtäviin suostumus ei sovellu. ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa. ▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 48
▪ Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 49
Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 50 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
51 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
“ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 52
53 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Empfohlen

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 

Empfohlen

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä
 
Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
Harto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Harto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
Harto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
Harto Pönkä
 

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Tietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 

Ähnlich wie Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet

Ähnlich wie Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet (20)

Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
 
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
 
GDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
 
Mita tsa muutti suomessa
Mita tsa muutti suomessaMita tsa muutti suomessa
Mita tsa muutti suomessa
 
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
 

Mehr von Harto Pönkä

Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä
 

Mehr von Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 

Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet

  • 1. Tietosuoja: Rekisterinpitäjän vastuut ja velvollisuudet 28.11.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ Perustuslain 10 §: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. 2 Lähde: Suomen perustuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990731
  • 3. GDPR = EU:n yleinen tietosuoja-asetus
  • 4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn ▪ Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot ▪ Sähköpostit, tekstiviestit ▪ Viestintäsovellukset ▪ Verkkopalvelut, chatit ▪ Sosiaalisen median palvelut ▪ Digitaaliset arkistot ▪ Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin ▪ Tietojärjestelmät/tietokannat ▪ Yhteystietoluettelot ▪ Henkilötietojen kokoelmat ▪ Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
  • 5. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
  • 6. GDPR:n tietosuojaperiaatteet 6 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 7. Esimerkkejä käsiteltävistä henkilötiedoista 7 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  • 8. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 8 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 9. Rekisteri 9 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 11. Kenellä on vastuu organisaation tietosuojasta? 11 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
  • 12. Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 12
  • 13. Suostumus henkilötietojen käsittelyn perusteena 13 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 14. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä, ellei kyse ole laissa olevasta poikkeuksesta Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  • 15. 15 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
  • 16. GDPR:n mukaiset selosteet 1. Seloste käsittelytoimista ▪ ”Rekisteriseloste” ▪ Organisaation sisäinen (ei-julkinen) ▪ Pakollinen yli 250 hengen organisaatioissa ja mm. silloin, kun henkilötietojen käsittely on jatkuvaa ▪ Kattaa kaiken henkilötietojen käsittelyn organisaatiossa ▪ Henkilötietojen käsittelyn osoitusvelvollisuuden perusta ▪ Yleensä tietosuojavastaava ylläpitää 2. Rekisteröityjen informointi ▪ ”Tietosuojaseloste” ▪ Julkinen / oltava saatavilla tilanteessa, jossa henkilötietoja saadaan, tai toimitettava rekisteröidylle kk:n sisällä ▪ Tarkoittaa kaikkea rekisteröidyille kerrottavaa tietoa h.t. käsittelystä ▪ Voi kattaa kaikki eri rekisterit tai olla rekisterikohtainen ▪ Sisältää myös rekisteröityjen oikeudet 16
  • 17. Seloste käsittelytoimista ja rekisteröityjen ryhmät Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista 17 GDPR ohjaa käsittelemään rekisteröityjä organisaation tasolla ryhminä eri käsittelytarkoitusten mukaan, ei erillisinä rekistereinä. ▪ Yli 250 työntekijän organisaatio → seloste on pakollinen ▪ Alle 250 työntekijän organisaatio → seloste on tehtävä, jos ▪ henkilötietojen käsittely ei ole satunnaista ▪ toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille ▪ tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja ▪ Selosteen ei ole pakko olla taulukko (kuvassa Tietosuojavaltuutetun malli)
  • 18. Tietosuojaseloste = rekisteröidyn informointi 18 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  • 19. Kysymys: montako eri tietosuojaselostetta? 19 ▪ Rekisteri ei tarkoita tietojärjestelmää, vaan tiettyyn käsittelytarkoitukseen liittyviä rekisteröityjen ryhmiä ja henkilötietoja. ▪ Viranomaisten tietojärjestelmistä tulee tehdä tiedonhallintalain mukainen tiedonhallintamalli, mutta se ei liity rekisteröityjen informointiin. ▪ Selkeintä on tehdä jokaiselle (pää-)käsittelytarkoitukselle oma tietosuojaseloste. ▪ Kun informointi koostuu laajasta tietokokonaisuudesta, suositellaan nk. monitasoista tietosuojaselostetta: ensimmäisellä tasolla on tärkeimmät tiedot ja alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietotoryhmistä. ▪ Ylätason tietosuojaselosteen tulee sisältää: ▪ Henkilötietojen käsittelytarkoitukset, rekisterinpitäjä ja rekisteröidyn oikeudet. ▪ Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä. ▪ Nämä tulee toimittaa rekisteröidylle etukäteen henkilötietojen keruun yhteydessä. Lähteet: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/rekisteroidyn-informointi, Tietosuojatyöryhmä, WP260, 2018, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf • Jos rekisteri koostuu useasta tietojärjestelmästä, joissa on esim. eri säilytysajat ja tietojen luovutus EU:n ulkopuolelle, niin milloin niille tulee laatia eri tietosuojaselosteet?
  • 20. Rekisteröityjen pyyntöihin vastaaminen 20 ▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun. ▪ Rekisteröidyn tulee yksilöidä pyyntönsä: ▪ Nimi ja yhteystiedot ▪ Mitä tietoja pyyntö koskee ▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta ▪ Missä muodossa haluaa tiedot ▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys. ▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa. ▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
  • 21. Tarkastusoikeuden rajoittaminen 21 ▪ Rekisteröidyn oikeutta voidaan rajoittaa, lykätä tai evätä joko osittain tai kokonaan siltä osin kuin se on välttämätöntä: ▪ rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyvien syytetoimien taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi ▪ viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi ▪ yleisen turvallisuuden suojelemiseksi ▪ kansallisen turvallisuuden suojelemiseksi ▪ muiden henkilöiden oikeuksien suojelemiseksi ▪ Vaikka tarkastusoikeutta olisi rajoitettu, tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa tätä koskevien tietojen lainmukaisuuden. ▪ Rekisteröity voi tehdä pyynnön erikseen säädetyillä tavoilla tai tietosuojavaltuutetulle. ▪ Tällöinkään rajoitettuja tietoja ei luovuteta rekisteröidylle. ▪ Viranomaisia, joiden rekisterien tietojen tarkastusoikeutta on rajoitettu: poliisi, rajavartiolaitos, tulli, puolustusvoimat, rikosseuraamuslaitos Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/tietojen-tarkastaminen
  • 22. Mitä henkilötiedoilla saa tehdä, mitä ei? 22
  • 23. Henkilökunnan perehdytys tietosuojaan 23 ▪ Käy läpi ainakin nämä: ▪ Mikä on henkilötieto ▪ Miten henkilötietoja käsitellään ▪ Mitä henkilötietoja saa käsitellä (vain työtehtävien kannalta tarpeellisia) ▪ Missä tietojärjestelmissä henkilötietoja käsitellään ▪ Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava ▪ Miten toimia tietoturvaloukkaustilanteissa ▪ Kuka on organisaation tietosuojavastaava ja mitä hänen tehtäviinsä kuuluu ▪ Lisäksi organisaatio- ja toimialakohtaiset tarpeelliset aiheet ▪ Materiaalia: ▪ Tietosuoja.fi: Usein kysyttyä, https://tietosuoja.fi/usein-kysyttya ▪ Suomidigi: Digiturvallisuuden verkkomateriaalit, https://www.suomidigi.fi/ohjeet- ja-tuki/digitaalinen-turvallisuus/digiturvallisuuden-verkkomateriaalit ▪ Harto Pönkä: Tietosuoja - mitä jokaisen olisi hyvä tietää henkilötiedoista ja GDPR:stä, https://www.youtube.com/watch?v=jJY0Udi6eco Lähteenä mm. TSV, 2022, Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon? https://tietosuoja.fi/usein-kysyttya-tietosuojavastaavista Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja käsitellään turvallisesti. Henkilökunnalle on annettava perehdytystä tietosuojaan.
  • 24. Käyttötarkoitussidonnaisuus 24 Henkilötietojen käsittelyn tarkoitukset ja tavat tulisi ilmetä selkeästi rekisteröidyn informoinnista. Muista tietojen minimointi kaikissa käyttötapauksissa. Muista suostumuksen edellytykset: se ei sovellu kaikkiin tilanteisiin.
  • 25. Tietosuojalaki 35 §: vaitiolovelvollisuus 25 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 26. Henkilötietojen luovuttaminen ja julkaisu 26 ▪ Henkilötietoja voi yleensä luovuttaa ulkopuolisille taholle tai julkaista vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan ▪ Suostumus tietojen julkaisulle tietojenkeruun lomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset ▪ Suostumukset merkitään rekisteriin ▪ Rekisteröity voi milloin tahansa perua antamansa suostumuksen
  • 27. Viranomaisen henkilötietorekisterin tietojen anto ▪ Ei koske salassa pidettäviä tietoja. ▪ Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa. ▪ Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan. ▪ Ei tietojen massajulkaisua esimerkiksi nimi ja HETU. ▪ Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos: ▪ 1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta ▪ 2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö) ▪ Henkilötunnusta ei tule tällöinkään merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 27
  • 29. Oletusarvoinen tietosuoja ja riskiperustainen lähestymistapa Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? https://tietosuoja.fi/documents/6927448/9666681/Miten+valmistautua+tietosuoja- asetukseen/8c5b9a96-a8ce-4c91-ad06-6e36130bd0e5/Miten+valmistautua+tietosuoja-asetukseen.pdf ▪ Rekisterinpitäjän tulee käsitellä vain tarkoituksen kannalta tarpeellisia henkilötietoja. ▪ Koskee henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. ▪ Helpoin tapa pienentää riskiä on vähentää käsiteltävien tietojen määrää. ▪ Rekisterinpitäjän tulee arvioida riskit ja toteuttaa tarpeelliset tekniset ja organisatoriset suojatoimet. Erityisesti on huolehdittava henkilötietojen suojaamisesta. ▪ Riskit ovat rekisteröidyille mahdollisesti aiheutuvia fyysisiä, aineellisia tai muita vahinkoja. ▪ Esim. henkilötietojen käyttö syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen. ▪ Riski voi olla korkeampi, kun ▪ käsitellään heikossa asemassa olevien tietoja (esim. lapset) ▪ käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti ▪ käsitellään henkilökohtaisia ominaisuuksia (esim. henkilön profilointi) ▪ Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. ▪ Tietosuoja alkaa toiminnan ja tietojärjestelmien sekä niiden tietoturvan suunnittelusta. 29
  • 30. Tiedonhallintalain tietoturvallisuuden vaatimukset Lähde: Laki julkisen hallinnon tiedonhallinnasta, https://www.finlex.fi/fi/laki/alkup/2019/20190906#Pidp446099584 30 ▪ Tiedonhallintalakia sovelletaan, kun tietoja käsittelee: ▪ viranomaiset (mm. valtion virastot, kunnat, muut julkisoikeudelliset laitokset) ▪ yliopistot ja ammattikorkeakoulut ▪ yksityishenkilöt ja yhteisöt, kun ne hoitavat julkista hallintotehtävää (=lakiin tai asetukseen perustuva toimivalta, esim. lupien myöntäminen) ▪ Tiedonhallintayksikön tulee ylläpitää tiedonhallintamallia, jonka osana on mm. GDPR:n mukaiset selosteet käsittelytoimista sekä kuvaus tietoturvallisuustoimenpiteistä (5 §). ▪ Tietoturvallisuuden vaatimuksia (luku 4): ▪ 13 §: Tietoaineistojen ja tietojärjestelmien tietoturvallisuus on varmistettava koko niiden elinkaaren ajan. Edellyttää toimintaympäristön seurantaa ja riskiarviointia. ▪ 14 §: Salassa pidettävien tietojen siirtäminen tietoverkossa on tehtävä suojatusti ja vastaanottaja on varmistettava tai tunnistettava. ▪ 15 §: Tietoaineistojen varmistaminen: 1) muuttumattomuus, 2) suojattu vahingoilta, 3) alkuperäisyys, ajantasaisuus ja virheettömyys, 4) saatavuus ja käyttökelpoisuus, 5) saatavuutta ei rajoiteta perusteetta, 6) tietoja voidaan arkistoida. ▪ 16 §: Tietojärjestelmien käyttöoikeuksien hallinta käyttäjien tehtävien mukaan. ▪ 17 §: Lokitietojen kerääminen, jos käyttö edellyttää tunnistaut. tai kirjautumista. Tarkoituksena käytön ja luovutuksen seuranta sekä teknisten virheiden selvitys. ▪ 18 §: Turvallisuusluokiteltavat asiakirjat valtionhallinnossa (TL-merkinnät)
  • 31. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit 31
  • 32. Henkilötietoihin kohdistuvan riskin taso 32 Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 33. Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi ja https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista ▪ Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa ... luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin” ▪ Tehtävä, jos henkilötietoihin liittyy vähintään kaksi riskialtista käsittelytoimea. ▪ Suositeltavaa myös epäselvissä tapauksissa. ▪ Vaikutustenarviointi tulee tehdä erityisesti, kun: ▪ otetaan käyttöön uutta teknologiaa ▪ käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä ▪ on kyse järjestelmällisestä ja kattavasta autom. päätöksentekoon perustuvasta arvioinnista ▪ on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta ▪ Tietosuojavaltuutetun lista käsittelyistä, jolloin myös on tehtävä vaikutustenarviointi: ▪ Biometriset tiedot, geneettiset tiedot, sijaintitiedot, ilmiantojärjestelmät ▪ Jos ei voida tehdä toimenpiteitä, joilla korkea riski vältetään, tulee rekisterinpitäjän kuulla valvontaviranomaista (nk. ennakkokuuleminen). ▪ Vaikutustenarviointi tulee dokumentoida ja sitä tulisi tarkistaa ja päivittää säännöllisesti. ▪ Ohje vaikutustenarvioinnista: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 33
  • 34. Henkilötietojen käsittelytoimia, jotka lisäävät riskiä Riskipisteet Täsmennyksiä ja esimerkkejä 1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia 2 Esim. henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää esim. syrjintään. 2. Järjestelmällinen valvonta 2 Esim. julkisten ja avointen tilojen kameravalvonta. 3. Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot 2 Esim. erityiset henkilötietoryhmät ja rikosrekisteritiedot. Myös esim. taloustiedot ja yksityiset päiväkirjat. 4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen 2 Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. 5. Arviointi tai pisteytys 1 Esim. käyttäytymis- tai markkinointiprofiilien koostaminen. 6. Tietojen laajamittainen käsittely 1 Huomattavan suuri määrä tai osuus väestöstä, pitkäkestoisuus. 7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen 1 Kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot 1 Esim. lapset ja työntekijät. Riippuvuus rekisterinpitäjästä. 9. Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta 1 Esim. pankin arvio luottokelpoisuudesta. Vähintään 2 ”riskipistettä” → tee vaikutustenarviointi Lähteet (soveltaen): Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/vaikutustenarviointi, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf 34
  • 35. Tietosuojaa koskeva vaikutustenarviointi 35 Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020 Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista + tietosuojavastaavan neuvot 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä + rekisteröityjen näkemykset 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja- asetusta on noudatettu 5. Dokumentointi (GDPR:n 35 artikla ja johdanto-osat 84 ja 90)
  • 36. TSV:n esimerkkejä toimenpiteistä riskien vähentämiseksi Lähde: TSV, Vaikutustenarvioinnin tekeminen, https://tietosuoja.fi/vaikutustenarvioinnin-tekeminen 36 • Päätös olla käsittelemättä tietyn tyyppisiä tietoja • Käsittelyn kohteen täsmentäminen tai rajaaminen • Säilytysaikojen lyhentäminen • Riskiin nähden tarpeellisen lisäsuojaustoimenpiteen käyttöönotto • Henkilötietojen anonymisointi tai pseudonymisointi • Kirjallisten käsittelyohjeiden käyttöönotto • Ihmisen osallistumisen lisääminen automatisoituihin päätöksiin • Toisenlaisen tekniikan käyttäminen • Tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto • Kielto-oikeuden tarjoaminen rekisteröidylle, mikäli se on mahdollista • Henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
  • 37. Tietoturvaloukkaus 37 Tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja lisäksi rekisteröidylle, jos siitä aiheutuu korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
  • 38. Esimerkkejä tietosuojaloukkauksista 38 Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 39. Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin. ▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 39
  • 40. Huijaus- ja tietojenkalasteluviestit 40 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 41. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 41
  • 43. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteröidyn informointi (13 artikla) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen Seloste käsittelytoimista (30 artikla) Mahdolliset muut käsittelijät 43
  • 44. Sopimus henkilötietojen käsittelystä 44 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
  • 45. ▪ ”Henkilötietojen käsittelijä ei vastaa mahdollisista tietosuojarikkomuksista.” ▪ GDPR:n 28. artiklan 3. c) kohdan mukaan käsittelijän tulee toteuttaa GDPR:n 32. artiklan mukaiset tekniset ja organisatoriset suojatoimet, jotta käsittely on turvallista. ▪ ”Henkilötietojen käsittelijä päättää itsenäisesti käsittelytavoista.” ▪ GDPR:n 28. artiklan 3. kohdan mukaan: ”…käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti” ▪ ”Henkilötietojen käsittelijä voi käyttää toisia henkilötietojen käsittelijöitä.” ▪ GDPR:n 28. artiklan 2. kohdan mukaan 1) käsittelijä tarvitsee etukäteen luvan toisten käsittelijöiden käyttöön tai 2) toisten käsittelijöiden käytöstä on ilmoitettava etukäteen ja annettava rekisterinpitäjälle oikeus vastustaa muutosta. ▪ ”Henkilötietojen käsittelijä ei vastaa käyttämiensä alakäsittelijöiden aiheuttamista tietosuojaloukkauksista.” ▪ GDPR:n 28. artiklan 4. kohdan mukaan: ”Kun toinen henkilötietojen käsittelijä ei täytä tietosuojavelvoitteitaan, alkuperäinen henkilötietojen käsittelijä on edelleen täysimääräisesti vastuussa toisen henkilötietojen käsittelijän velvoitteiden suorittamisesta suhteessa rekisterinpitäjään.” Käsittelysopimuksissa vastaan tulleita kukkasia 45
  • 46. Henkilötietojen siirroissa huomioitavaa 46 ▪ Mitkä ovat osapuolten roolit? ▪ Rekisterinpitäjä, yhteisrekisterinpitäjä, henkilötietojen käsittelijä ▪ Syntyykö siirroissa uusia rekistereitä vai onko kyse nykyisten rekisterien käytöstä? ▪ Mihin tietojen luovutus tai siirto perustuu? ▪ Henkilötietojen käsittelyn sopimukseen ▪ Rekisteröityjen antamaan suostumukseen ▪ Rekisteröityjen oikeuteen siirtää tiedot järjestelmästä toiseen ▪ Lakiin tai oikeuden päätökseen ▪ Tietojen luovutus/siirto voi joskus olla alkuperäisen käyttötarkoituksen mukaista ▪ Mitä vastuita tietojen luovuttajalla ja vastaanottajalla on? ▪ Mitä tietoja siirretään ja miten niitä tulee käsitellä? ▪ Miten tietoja siirretään (kertasiirtona, ajastetusti tiedostoina, rajapinnan kautta)? ▪ Mitä riskejä siirtoihin liittyy ja onko tarpeen tehdä vaikutustenarviointi? ▪ Saako vastaanottaja käyttää alakäsittelijöitä ja millä ehdoin? ▪ Siirretäänkö tietoja EU:n/ETA:n ulkopuolelle? ▪ Onko tietojen siirto huomioitu rekisteröityjen informoinnissa?
  • 47. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 47 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. ▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä henkilötietojen käsittelyssä. Yleensä ei ole sallittua. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  • 48. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ⬞ Lakisääteisiin tehtäviin suostumus ei sovellu. ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa. ▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 48
  • 49. ▪ Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 49
  • 50. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 50 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 51. 51 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9
  • 52. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 52