EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot

EU:n yleinen
tietosuoja-asetus
ja somepalvelujen
käyttöehdot
Harto Pönkä
4.4.2018

Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385
ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html

Yksityisyyden suoja on perusoikeus
Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
Henkilötietojen suojasta säädetään tarkemmin lailla.
PeL 10 §
Henkilötietojen luvaton käsittely sekä yksityisyyttä
loukkaavan tiedon levittäminen voivat olla rikoksia.
Kuva: Edvard Isto, 1899 , Hyökkäys

• Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen
käsittelyn on oltava tietosuoja-asetuksen mukaista
• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat
rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa
• Uutta nykyiseen henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen
kanssa organisaation (pää-)toimipaikan mukaan
EU:n yleinen tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Tietosuojan suojaamisen toimenpiteet
suhteutetaan riskiarvioon tietoturvauhista.

• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Vain tarkoitukseen olennaiset tiedot.
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaus, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

Arkaluontoiset henkilötiedot
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia
mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja
suuntautumista koskevien tietojen käsittely on kiellettyä.
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Rekisteri

EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot

4 artikla
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Rekisterinpitäjä

• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen
kannalta tarpeellisia henkilötietoja
• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta,
säilytysaikaa ja saatavilla oloa.
• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei saateta
julkisesti saataville ilman luonnollisen henkilön myötävaikutusta
• Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tietosuojan kannalta
tarpeelliset toimenpiteet organisaatiossaan. Esimerkiksi:
– Henkilöstön koulutus
– Ohjeistukset ja määräykset
– Salassapitositoumukset
– Tilojen ja tietojärjestelmien valvonta
– Tietojärjestelmien tietoturva
– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset
– Auditoinnit, tietotilinpäätökset jne.
• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.
Oletusarvoinen tietosuoja

• Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste
ja se tulee olla jokaisen saatavilla.
• Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §):
– Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä
• Tietosuoja-asetuksen uusia vaatimuksia mm.
– Mahdollinen tietosuojavastaava ja tämän yhteystiedot
– Henkilötietojen käsittelyn oikeusperuste
– Henkilötietojen säilytysaika
– Henkilötietojen luovutuksen vastaanottajat
– Rekisteröityjen uudet oikeudet
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista,
jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla
informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

• Alle 250 työntekijän yritysten ja järjestöjen tulee pitää jatkossa rekisteriä
ainoastaan, jos henkilötietojen käsittely on säännöllistä, uhkaa ihmisten
oikeuksia ja vapauksia tai koskee arkaluontoisia tietoja tai rikosrekisteritietoja
• Yksityisen henkilön yksityiseen tarkoitukseen käyttämä rekisteri kuten
kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta
– Henkilötietolakia ei sovelleta lainkaan
• Toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten
henkilötietojen käsittelystä ei tarvitse tehdä rekisteriselostetta
– Voimassa vain muutamat henkilötietolain kohdat
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään
muodostavan henkilörekisteriä
– Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista
– Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja
Poikkeuksia
Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Kerro tässä tarkoituksen lisäksi oikeusperuste:
- Henkilön suostumus
- Sopimus, jossa rekisteröity osapuolena
- Laki
- Julkisen tehtävän hoitaminen
- Rekisterinpitäjän oikeutettu etu
(esim. asiakassuhde, työsuhde, jäsenyys)

• Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste
• Henkilötietojen käsittely voi perustua esimerkiksi:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Lakiin
– Julkisen tehtävän hoitamiseen
– Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde)
• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen
käsittely on lähtökohtaisesti kielletty.
– Mahdollista kuitenkin nimenomaisella suostumuksella
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet

• Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta
tarvitaan huoltajan suostumus henkilötietojen
käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v.
(Nykyisenä rajana on 15 vuotta.)
Suostumuksen antaminen

Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d-
822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)

Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Huomaa, että Tietosuojavaltuutetun
toimiston tietosuojaselosteen pohjassa ei
ole vielä huomioitu EU:n yleisen
tietosuoja-asetuksen vaatimuksia!

Kuvakaappaus Espoon kaupungin Google G Suite for Education –palvelun tietosuojaselosteesta:
http://www.espoo.fi/download/noname/%7BD288C16C-71F6-40EE-9A16-34F6864CC620%7D/86398 (29.11.2017)

• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2

• Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti.
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2

Rekisteri- ja tietosuojaselosteen malli
Katso GDPR:n mukainen rekisteri- ja
tietosuojaselosteen malli:
http://www.innowise.fi/fi/gdprn-mukainen-
rekisteri-ja-tietosuojaselosteen-malli/

Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

• Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja
käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on
kyse uudesta rekisteristä.
• Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen
tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri.
• Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta
käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri.
– Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin
• Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja
vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri.
– Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä
• Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai
tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista
muodostua uusi rekisteri.
– Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille.
– Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida.
Milloin voi muodostua uusi rekisteri?

Koulutoimessa
muodostuvia
rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf

4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Henkilötietojen käsittelijä

Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteri- ja
tietosuojaseloste
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen

Henkilötietoja ulkopuoliselle taholle?

• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,

Tietojärjestelmien GDPR-valmius?

• Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan.
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen
dokumentointia.
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen
käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava
valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi
tietosuojavirasto).
• Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi
sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus.
• Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim.
ylläpitäjien lokitiedoilla.
• Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla
tai käytännesäännöillä
Osoitusvelvollisuus
Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?

Tietoturvan osa-alue Vaatimus Vastaus
Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko
se ulkoistettu?
Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa?
Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset?
Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä?
Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset?
Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen?
Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö?
Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet?
Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen
tai poistaminen estetty?
Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista
suunnitelma, joka huomioi erilaiset tietojen
palautustarpeet?
Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia?
Tietoturvapäivitykset Luottamuksellisuus, eheys,
saatavuus
Onko järjestelmässä automatisoitu (tietoturva)päivitysten
jakelu?
Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma?
Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen
salaamiselle tai pseudonymisoinnille?
Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu?
Tietoturvatestaus Luottamuksellisuus, eheys,
saatavuus
Tehdäänkö säännöllisiä tietoturvatestauksia?
Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel),
saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)

• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle
• Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on
henkilötietojen
– vahingossa tapahtuva tai lainvastainen tuhoaminen
– häviäminen
– muuttaminen
– luvaton luovuttaminen tai
– pääsy tietoihin
• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin
kuluessa siitä, kun loukkaus on havaittu
• Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei
todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen
tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet
Henkilötietojen tietoturvaloukkaukset

• Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen
käsittelyä organisaatiossa
• Tietosuojavastaava on nimitettävä, kun
– rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet)
– ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä
seurantaa, tai
– henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin
kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen
vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin.
• Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla
yhteinen tietosuojavastaava.
• Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.
• Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan
valvontaviranomaiselle.
• Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi
suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia.
Tarvitsetko tietosuojavastaavan?
Lisätietoa: Tietosuoja-asetuksen 4 jakso,

Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)

• Organisaatiossa olevat rekisterit ja niiden rekisteri- ja
tietosuojaselosteet
• Rekisteröityjen tärkeimmät oikeudet
• Henkilötietojen turvallinen säilytys, tietoturva
• Eri työtehtäviin sisältyvä henkilötietojen käsittely
• Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet
• Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät
käsittelytoimista, tietojärjestelmin lokit)
• Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen
toimintamalli
• Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee
ulkopuolinen taho
• Salassapito
• Ongelmista ja tietovuodoista ilmoittaminen
• Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava
Mitä asioita kannattaa ohjeistaa?

- Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun
edustaja ja harjoittelupaikan ohjaaja.
- Miten harjoittelusopimuksia tulisi säilyttää/käsitellä?
- Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota
hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille,
onko kyseessä erillinen rekisteri?
Kysymys: harjoittelusopimukset
• Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain
alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin).
• Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan.
• Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole
henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi
harjoittelupaikkojen yhteyshenkilöiden tietoja.
• Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi
hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa
erikseen markkinoinnissa käytettävät yhteystiedot.

- Voiko yhteistä excel-taulukkoa pitää missään verkkopalvelussa.
esim. oppilaitoksen omassa 0365 OneDrive-palvelussa?
- Ja voiko niitä lähettää toisilleen sähköpostilla?
- Myös Googlen lomakekyselyt luovat helposti vastaavan excelin.
Kysymys: henkilötiedot pilvipalveluissa
• Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on
pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu.
• Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa
organisaatiossa tarkemmin.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen
käsittelyssä.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan
antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan
käytetään.

• Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa
tarkoittaa henkilötietojen sähköistä luovuttamista
• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai
alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa:
– Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä
– Lähettää suojaamattomassa muodossa sähköpostilla
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

Huoltajat:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Koulu:
• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla
vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen
he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää
hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013,
http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess
amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata
Opetuksen videokuvaaminen

Somepalvelujen riskit ja käyttöehdot

Tietosuoja somessa ja verkkopalveluissa?

Yksittäisen käyttäjän tietoturvauhat
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf

Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/

Pitääkö Facebook-ryhmästä tehdä rekisteriseloste?
Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)

Miten some-palveluita opetukseen?
• Monia somepalveluita voi käyttää ilman oppijoiden
rekisteröitymistä tai henkilötietojen antamista
• Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen
hyväksyntää:
– Alaikäiset huoltajan suostumuksella
– Täysi-ikäiset omalla vastuullaan
• Omassa hallinnassa olevat somepalvelut
– Koulu/kunta voi hankkia osto-/sopimuspalveluita
– Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita
– Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös
käyttösäännöistä.

Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay

Pilvipalveluissa vastuu jakaantuu
Tiedot asiakkaasta
Laskutustiedot
Tiedot käytettävistä palveluista
ja niiden käytöstä
Asiakkaan vastuulla olevien
muiden käyttäjien palveluun
tallentamat tiedot
Mahdolliset muut palvelun tuottamiseen
liittyvät tahot ja niiden tiedot
Asiakas on rekisterinpitäjä
Muut käyttäjät ovat rekisterinpitäjiä
mahdollisesti luomiinsa rekistereihin
Palveluntarjoaja on henkilötietojen
käsittelijä
Palveluntarjoaja on rekisterinpitäjä
Lisäksi voi olla muita henkilötietojen
käsittelijöitä
Mahdolliset muut rekisterinpitäjät
ja henkilötietojen käsittelijät sekä
valvovat viranomaistahot
Asiakkaan palveluun
tallentamat tiedot
ASIAKAS&
KÄYTTÄJÄT
PALVELUNTARJOAJA

Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus

• Sopimuksen tekeminen kuten verkkopalvelun
käyttöehtojen hyväksyminen vaatii lain mukaan
18 vuoden ikää (oikeustoimikelpoisuuden)
riippumatta palvelun ikärajasta.
• Useimpien somepalvelujen ikäraja on 13 vuotta
• Vähintään 16-vuotiaat voivat antaa itse luvan
henkilötietojensa käsittelyyn
(saattaa muuttua 13- tai 15-v.)
• Alaikäisten oppilaiden tuotosten julkaisuun
verkossa täytyy olla hänen ja huoltajan lupa.
Alaikäiset käyttäjät

Huoltajan lupa?
Lähde: Tampereen TVT-portaali,
http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media
n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)
 Mikäli tunnuksen luomisessa on
hyväksyttävä palvelun käyttöehdot

• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista
yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli
sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen
suojan.
– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)
• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä
helmikuussa 2016.
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

• Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja
ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat
rekisteröityvät niihin
– Nimen, koulun ja luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite)
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita
kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili

• Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla
voi toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/
terms/update

Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013):
http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa

Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.

Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!

EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot

EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Similar a EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot

Similar a EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot(16)

Más de Harto Pönkä

Más de Harto Pönkä(20)

EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot