Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
1. Sosiaalinen media, evästeet
ja analytiikka tietosuojan
näkökulmasta
10.11.2022
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
2. Sosiaalisen median käyttö työssä
▪ Somepalvelujen käyttö työssä ei ole juuri kasvanut vuoden 2017 jälkeen, vaan laskenut.
▪ Yrityksissä käytetään laajasti pilvipalveluja kuten tiedostonjakoa ja toimisto-ohjelmia.
Lähteet: TEM, Työolobarometri 2021 ennakkotiedot, https://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/163948/TEM_2022_23.pdf
Suomen virallinen tilasto (SVT), Tietotekniikan käyttö yrityksissä, 2021, https://www.stat.fi/til/icte/2021/icte_2021_2021-12-03_kat_003_fi.html
2
Pilvipalvelujen käyttö yrityksissä
3. Somekanavien tietosuojan
koordinointi
1. Selvittäkää, mitä somepalveluita
käytetään ja mihin tarkoituksiin?
2. Mihin asiakasrekistereihin
somepalvelut liittyvät?
3. Onko somepalvelut huomioitu
tietosuojaselosteissa mm.
henkilötietojen saannin lähteinä ja
tarvittaessa yhteydenpidon
kanavina?
Kuvakaappaus: Helsingin kaupunki sosiaalisessa mediassa,
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/osallistu-ja-vaikuta/some (18.5.2020)
3
4. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
4
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
5. Henkilötietojen käsittely somepalveluissa
5
▪ Arvioi riskit. Onko vaikutustenarviointi tarpeen?
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Henkilötietoja ei saa julkaista tai luovuttaa
ilman suostumusta tai lakiperustetta.
▪ Muista informointi, jos somea käytetään
yhteydenpitoon tai tietojenkeruuseen.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Tarvittaessa ohjataan muihin asiointikanaviin.
▪ Miten rekisteröity tunnistetaan somessa?
▪ Suostumusten ja pyyntöjen dokumentointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto.
6. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
6
7. Rekisteriä saa käyttää vain sen käyttötarkoituksiin!
7
▪ Vaikka tiedot olisivat julkisuuslain
perusteella julkisia, niitä saa käyttää vain
työtehtäviin liittyviin tarkoituksiin
annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
8. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
8
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
9. Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin palvelimillemme,
mukaan lukien sekä Facebook-, Messenger- ja
Instagram-käyttäjät että muut yhteystiedot,
jotka eivät ole käyttäjiämme tai joilla ei ole tiliä
(eli muut kuin käyttäjät), Facebook kuvailee
toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
9
10. TikTokin ongelmia
▪ Sisältö on voimakkaasti algoritmin ohjaamaa
▪ Epäasiallista sisältöä, vahingollisia haasteita,
kiusaamista, häirintää
▪ Kerää dataa käyttäjistä monilla tavoilla
▪ Linkit aukeavat sovelluksen omaan selaimeen,
joka seuraa jokaista näppäimen painallusta
myös muilla sivustoilla
▪ Työntekijöiden on kerrottu lukevan käyttäjien
henkilötietoja
▪ Kerrottu aikoneen seurata joidenkin käyttäjien
sijainteja epäselviin tarkoituksiin
▪ Kiinalaistaustainen yritys, henkilötietoja voi
päätyä Kiinaan
▪ Useat tahot ovat kieltäneet TikTokin
asentamisen työpuhelimeen
10
Kuva: myriammira @Freepik (Free license)
12. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
• Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor
13. Kysymys: sijaisryhmä WhatsAppissa
13
▪ WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
▪ Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
▪ WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
▪ Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
▪ Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
▪ Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
▪ Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
▪ Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
15. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
15
16. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn
Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/
16
17. Kysymyslista viestintä-, some- ja pilvipalvelujen valintaan
▪ Minkälaista tietoa työvälineessä halutaan käsitellä?
▪ Käytetäänkö työvälinettä organisaation ulkopuolisten kanssa viestimiseen vai
sisäiseen työskentelyyn?
▪ Käsitelläänkö tietoa, joka ei saa päätyä ulkopuolisten käsiin?
▪ Käsitelläänkö tietoa, johon pitää rajoittaa pääsyä organisaation sisällä?
▪ Kuinka työvälineessä voi rajata tiedon käyttöoikeuksia?
▪ Valitaanko pilvipalvelu vai paikallinen järjestelmä?
▪ Onko työväline suunnattu ensisijaisesti kuluttajille vai yrityksille?
▪ Luovuttaako työväline tietoja kolmansille osapuolille?
▪ Millaiset lisenssi- tai käyttäjämäärävaatimukset työvälineessä on?
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
17
19. Yhdellä sivulla voi olla lukuisia http-pyyntöjä eri datankerääjille
Esimerkki: Suomiurheilu.com-sivuston request map –kuva, 7.4.2022, tämä kaikki ladataan ennen suostumuksen antoa evästeille.
19
22. Kolmannen osapuolen evästeet: esimerkkinä Google Analytics
2. Selain lähettää Googlelle:
selaimen tiedot + sivun tiedot + Googlen evästeet
Kuva: Harto Pönkä, 7.4.2022
22
Sivulle ladataan
Google Tag
Managerin skripti
1
Sivulle ladataan
Google
Analyticsin skripti
2
Google seuraa kävijän
toimintaa sivustolla
ja rikastaa sillä tästä
kerättyä profiilia
3
Oy-yritys-ab.com
4. Google palauttaa selaimelle
kävijäseurantaskriptin ja uudet evästeet
3. Google
tunnistaa
käyttäjän* ja
kerää tiedot
1
*) Käyttäjän ei tarvitse olla
kirjautuneena, jos Googlen
eväste on jo laitteella.
1. Käyttäjä
avaa yrityksen
verkkosivun
2
3
5. Kaikki talteen
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-
1234567-8"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-1234567-8');
</script>
23. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä
▪ Oletuksena YouTube-videon upotuskoodi käyttää Googlen seuranta- ja
markkinointievästeitä, joita ei saisi ladata ilman käyttäjän suostumusta
▪ Yksinkertainen ratkaisu: muuta upotuskoodista youtube.com → youtube-nocookie.com
23
<iframe width="560" height="315"
src="https://www.youtube.com/embed/fZ4KR7OHXF0"
title="YouTube video player" frameborder="0"
allow="accelerometer; autoplay; clipboard-write;
encrypted-media; gyroscope; picture-in-picture"
allowfullscreen></iframe>
<iframe width="560" height="315" src="
https://www.youtube-nocookie.com/embed/
fZ4KR7OHXF0" title="YouTube video player"
frameborder="0" allow="accelerometer; autoplay;
clipboard-write; encrypted-media; gyroscope;
picture-in-picture" allowfullscreen></iframe>
24. Traficom ohjeistus 2021: kysy suostumus ei-välttämättömille evästeille
24
Lähde: Traficom, 2021, Evästeet ja muut käyttäjien päätelaitteille tallennettavat tiedot sekä näiden tietojen käyttö ‒ Opas palveluntarjoajille,
https://www.traficom.fi/sites/default/files/media/file/Ev%C3%A4steohjeistus_palveluntarjoajille.pdf
▪ Välttämättömät evästeet ja tiedot → suostumusta ei tarvita
▪ ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun
tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”
▪ Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet
▪ Käyttäjän valintojen ja syötteiden muistaminen palvelussa
▪ Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet
▪ Tietoturvaan liittyvät evästeet (esim. spämmiestot)
▪ Ei-välttämättömät evästeet ja tiedot → pyydä suostumus
▪ Analytiikkaan liittyvät evästeet
▪ Chat-palvelujen evästeet
▪ Sosiaalisen median alustoihin liittyvät evästeet
▪ Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet
▪ Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin
25. Suostumuksen yhteydessä tapahtuva rekisteröidyn informointi
25
▪ Evästeiden suostumuksessa voidaan käyttää monitasoista rekisteröidyn informointia
▪ 1. taso: evästebanneri/-ilmoitus
▪ 2. taso: tietoa evästeistä-sivu, tietosuojaseloste tms.
▪ Kerro 1. tasolla/evästeilmoituksessa ainakin nämä:
▪ Rekisterinpitäjä
▪ Henkilötietojen käsittelytarkoitukset
▪ Erityisesti käsittely, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä
▪ Linkki 2. tasolle, esim. tietosuojaselosteelle, jossa muut informoinnin tiedot
▪ Lisätietoa informoinnista TSV:n sivulta: https://tietosuoja.fi/rekisteroidyn-informointi
Lähde: Tietosuojatyöryhmä, 2017, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 36. kohta,
https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/c102605b-e386-4661-9b51-bf427875c8db/L%C3%A4pin%C3%A4kyvyys+fi.pdf
26. Evästeistä kerrottavat tiedot
26
Lähde: Traficom, 2021, Evästeet, https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet
▪ Kerro kaikkien evästeiden käytöstä: välttämättömistä ja ei-välttämättömistä
▪ Evästeet ovat pieniä laitteelle tallennettavia tekstitiedostoja…
▪ Kerro suostumuksen yhteydessä ei-välttämättömistä:
▪ Evästeiden ja muiden tekniikoiden käytöstä selkeästi
▪ Evästeiden ja muiden tekniikoiden käyttötarkoitus ja voimassaoloaika
▪ Millä kolmansilla osapuolilla on oikeus käsitellä evästetietoja
▪ Mikään laki tai asetus ei vaadi monimutkaisia evästevalintoja
27. Evästebanneri ei saa estää sivuston käyttöä
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf
27
28. Selvät kyllä- ja ei-vaihtoehdot
EI NÄIN:
Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020,
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf, alempi kuvakaappaus: Microsoft Edge –selaimen aloitussivu (15.11.2021)
28
29. Älä yritä saada suostumusta ns. pimeillä
suunnittelumalleilla (dark patterns)
Kuvakaappaus: Yle Areena, https://areena.yle.fi/tv (15.11.2021)
Lähde: EDPB Guidelines 3/2022, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-32022-dark-patterns-social-media_en
29
1. Ylikuormittaminen = käyttäjät kohtaavat
ison määrän pyyntöjä, tietoja,
vaihtoehtoja tai mahdollisuuksia.
2. Ohittaminen = käyttäjät eivät ajattele
kaikkia tai osaa tietosuojanäkökohdista.
3. Sekoittaminen = vedotaan käyttäjän
tunteisiin tai harhautetaan visuaalisesti.
4. Estäminen = käyttäjien tiedonsaantia tai
tietojen hallintaa estetään tekemällä
toiminnoista vaikeita.
5. Oikullinen = käyttöliittymän rakenne on
epäjohdonmukainen ja epäselvä, minkä
vuoksi käyttäjän on vaikea navigoida ja
ymmärtää toimintojen tarkoituksia.
6. Pimeyteen jättäminen = käyttöliittymä
on suunniteltu piilottamaan tiedot tai
jättämään käyttäjät epävarmoiksi.
30. Ranskan valvontaviranomaisen päätös Google Analyticsistä 10.2.2022
30
▪ Euroopan tietosuojaviranomaisten päätöksen mukaan
Google Analytics -palvelun käyttö rikkoi GDPR:ää.
▪ Googlen suojatoimet henkilötietojen siirroille Google
Analyticsin kautta eivät ole riittäviä, eivätkä estä
Yhdysvaltojen tiedustelupalvelun pääsyä tietoihin.
▪ Google Analyticsin käyttö aiheuttaa tämän vuoksi riskin
verkkosivuston käyttäjille, joiden tietoja kerätään ja
siirretään Yhdysvaltoihin.
▪ Ranskan valvontaviranomainen (CNIL) on määrännyt
ranskalaisen verkkosivuston saattamaan henkilötietojen
käsittelynsä tietosuoja-asetuksen mukaiseksi ja
tarvittaessa lopettamaan Google Analyticsin käytön.
▪ Taustalla on EU-tuomioistuimen heinäkuussa 2020
antama Schrems II -päätös, jossa se katsoi, että
siirrettävillä henkilötiedoilla on riski päätyä
Yhdysvaltojen tiedustelupalvelun käsiin, ellei
tiedonsiirtoja suojata asianmukaisesti.
Lähde: TSV, 11.2.2022, https://tietosuoja.fi/-/euroopan-tietosuojaviranomaiset-ovat-todenneet-google-analyticsin-kayton-verkkosivuilla-tietosuojalainsaadannon-vastaiseksi
Kuva: Jack-in-the-box.jpg, Wikimedia Commons, public domain, https://commons.wikimedia.org/wiki/File:Jack-in-the-box.jpg
31. Vaihtoehtoja Google Analyticsille
GDPR:n myötä yhä useampi organisaatio etsii vaihtoehtoja Google
Analyticsille, jotka eivät käytä seurantatietoja muihin tarkoituksiin.
▪ Matomo Analytics, https://matomo.org/
▪ Open Web Analytics, http://www.openwebanalytics.com/
▪ GoAccess, https://goaccess.io/
▪ Countly, https://count.ly/
▪ Fathom Analytics, https://usefathom.com/
Lisätietoa esim. https://hooshmand.net/privacy-focused-alternative-to-google-analytics/
31