Tietosuoja varhaiskasvatuksessa

1. Tietosuoja varhaiskasvatuksessa 2.2.2023 Harto Pönkä Innowise Kuva: Pixabay

2. Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilörekistereihin. GDPR EI koske seuraavia: ▪ Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä. ▪ Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. ▪ Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia). 2

3. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 3 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste

4. Esimerkkejä käsiteltävistä henkilötiedoista 4 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus

5. 5 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava

6. Informointi = rekisteröidyn oikeus saada tietoa henkilötietojen käsittelystä 6 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

7. Henkilötietojen käsittely varhaiskasvatuksessa

8. Tietosuojan perusteet varhaiskasvatuksessa 8 ▪ Tietoja käytetään vain nimettyihin tarkoituksiin. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan tietosuoja käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan esim. huoltajille sovellusten ja käyttäjätunnusten turvallinen käyttö.

9. Salassa pidettäviä tietoja ja asiakirjoja saa luovuttaa vain lain perusteella tai henkilön (alaikäisillä huoltajan) suostumuksella. 9 Varhaiskasvatuksesta vastaavilla henkilöillä on kuitenkin oikeus saada välttämättömät tiedot. Lähde: Varhaiskasvatuslaki, https://www.finlex.fi/fi/laki/alkup/2018/20180540

10. Kysymys: saako lasten nimiä kertoa? 10 ▪ Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. Etunimi voi siten olla esimerkiksi naulakossa. ▪ Tieto lapsen osallistumisesta päivähoitoon tai esiopetukseen on periaatteessa julkinen, mutta vaka- järjestäjä päättää, mille perustein tietoja annetaan, mikäli niitä joku kysyy. ▪ Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.) ▪ Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §) ▪ Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön). Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/sites/default/files/documents/julkisuus_ja_tiedonhallinta_opetustoimessa.pdf • Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia? • Saako esikoululaisten nimiä näkyä opetustiloissa? • Ovatko koulun oppilaiden nimet ja luokka-asteet salassa pidettäviä?

11. Saman lapsi- tai opetusryhmän kesken Koko nimi: ok Kuvat/videot: ok Muut hlötiedot: lupa Muille ryhmille toiminnan yhteydessä Koko nimi: ok Kuvat/videot: lupa Muut hlötiedot: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Kuvat/videot: lupa Muut hlötiedot: lupa Muille opettajille ja henkilöstölle tarvittaessa Koko nimi: ok Huoltajien nimet ja yhteystiedot: ok Muut tarpeelliset/välttämättömät: ok Henkilötiedot varhaiskasvatuksen ja esiopetuksen tiloissa ja tilanteissa Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. 11 Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.

12. Henkilötietojen julkaisu ja julkaisuluvat

13. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä ▪ Asiakkaat ▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja. ▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu. ▪ Työntekijät ▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot. ▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista työtehtävien kannalta, esim. tarve olla tavoitettavissa. ▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa. ▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. ▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä. Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama, Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio) 13

14. Kysymys: kuvat, videot ja lasten tuotokset 14 ▪ Varhaiskasvatus- ja esiopetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä pedagogisessa tarkoituksessa saman ryhmän kesken. ▪ Lasten tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi lapsen henkilökohtaiseen portfolioon tai kasvun kansioon. Tallenteiden turvallisesta säilytyksestä on huolehdittava. ▪ Mikäli lapsesta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti esim. vanhempainillassa, julkisessa tilassa tai netissä, tulee siihen pyytää lupa lapselta ja hänen huoltajaltaan. On hyvä sopia, näkyykö lapsen etu- ja/tai sukunimi tässä yhteydessä. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä informoida huoltajia. • Saako varhaiskasvatuksen tai esiopetuksen tilanteissa ottaa valokuvia ja videoita sekä esittää niitä opetustarkoituksessa? • Saako varhaiskasvatus- tai esiopetusryhmän sisällä esittää lasten tekemiä tuotoksia muille?

15. Henkilötietojen luovuttaminen ja julkaisu 15 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Netissä julkaistuja tietoja voitaisiin käyttää väärin. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Suostumus on käytännössä esimerkiksi: ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset

16. Suostumuksen antaminen 16 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Suostumukset ja luvat tulee dokumentoida sekä tarkistaa esim. vuosittain. ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

17. Valokuvat ja videot 17 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää lupa. ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.

18. Lasten kuvien jakaminen päiväkodin nettisivuilla tai some-kanavissa vaatii aina suostumuksen! 18 Kuvakaappaus: Yle, 10.2.2017, https://yle.fi/uutiset/3-9451904

19. Julkaisulupa päiväkodeille ja kouluille 19 ▪ Tämä julkaisulupa on vapaasti käytettävissä. ▪ Saatavina Google Drivessa: https://docs.google.com/do cument/d/1ObAtxeYjtp9KRe gV0s0jI2L- pfueGWVmbmv4paertSk/edi t?usp=sharing ▪ PDF-versio: https://drive.google.com/fil e/d/1iHgvNR-VZq_- 4cIUuh4NR2FFz3PVa5g3/vie w?usp=sharing

20. Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa oleva suostumus-valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei aiemmin tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Vaka-järjestäjä voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 20

21. Kysymys: tapahtumissa kuvaaminen 21 ▪ Päiväkodin/koulun tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on yleensä sallittua. ▪ Jos kuvaaminen tapahtuu päiväkodin/koulun toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää henkilötietojen käsittelyä. ▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. ▪ Päiväkoti/koulu ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta kieltää sitä. ▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim. paikallislehdessä on sallittua. • Saako päiväkodin tai koulun tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? • Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? • Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?

22. Tietosuoja sähköisessä viestinnässä 22

23. Työnantajan laitteet ja ohjelmat 23 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa ulkopuolisten henkilöiden tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.

24. Henkilötiedot puheluissa 24 Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus ▪ Henkilö on tunnistettava puhelussa, jos käsitellään hänen henkilötietojaan. ▪ Vahva tunnistaminen: 1) jotain mitä olet (nimi, HETU) 2) jotain mitä sinulla on (puh.nro, s.postiosoite) 3) jotain mitä tiedät (salasana, asiakastiedot) ▪ Puhelujen nauhoittaminen on sallittua, kun rekisterinpitäjällä on käsittelyyn oikeusperuste, esim. asiakassuhteessa rek. pit. oikeutettu etu. ▪ Henkilötietojen käsittelystä on informoitava. Esimerkiksi nauhoituksesta on kerrottava. ▪ Puhelussa voidaan kertoa, mistä tietosuojaseloste on luettavissa (nettisivut), lukea se ääneen tai se voidaan lähettää esimerkiksi sähköpostitse.

25. Yhteystietojen jakaminen koteihin 25 Listan teko huoltajien toimesta: ▪ Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun. Listan teko päiväkodin/koulun toimesta: ▪ Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille. Tietojen anto päiväkodin/koulun rekisteristä: ▪ Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen. - Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille. ▪ Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai turvakielto tulee merkitä asiakasrekisteriin. Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

26. Tietosuoja viestinnässä 26 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä. → Ohjeet, miten varmistaa viestien aitous?

27. Tietosuoja etäyhteyssovelluksissa 27 ▪ Käytä vain rekisterinpitäjän sallimia sovelluksia. ▪ Tunnistettava videokuva on henkilötieto – pyydä tarvittaessa lapsista kuvausluvat, jos aiot esittää heitä etätilanteessa. ▪ Toimita kutsut henkilökohtaisesti osallistujille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Kerro etukäteen, jos etätilanne tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta.

28. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 28

29. ▪ Todennäköisesti moni julkinen organisaatio päätyy samaan ratkaisuun kuin Kela Lähde: Kela, 27.4.2021, https://www.kela.fi/ajankohtaista-yhteistyokumppanit/- /asset_publisher/WQHcJ3JiaK7b/content/kela-ei-kasittele-salassa-pidettavia-tietoja-julkisissa-pilvipalveluissa (uutinen on sittemmin poistettu netistä) 29

30. Tietosuoja sosiaalisessa mediassa

31. Lasten/oppijoiden tiedot somepalveluissa 31 ▪ Noudata aina rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia! ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna asiakkaiden henkilötietoja yksityisessä käytössä olevaan kännykkään ilman työnantajan lupaa. ▪ Jos somepalvelussa aiotaan käyttää asiakkaiden henkilötietoja, tarkista työnantajan linjaus. Tarvittaessa pyydä suostumukset ja muista rekisteröityjen ja huoltajien informointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.

32. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 32 Jos puhelimessasi on asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

33. Henkilötietojen vuotaminen sovellusten kautta 33 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Sovelluksille annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus

34. Eniten kolmansille osapuolille tietoja jakavat Instagram, Facebook ja LinkedIn Lähde: pCloud, 5.3.2021, https://blog.pcloud.com/invasive-apps/ 34

35. Tietosuojan huomiointi sosiaalisen median profiileissa Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020) 35 ▪ Kerro someprofiilissa siitä vastaava organisaatio eli rekisterinpitäjä ▪ Jos mahdollista, linkitä tietosuojaseloste ▪ Voivatko asiakkaat ottaa yhteyttä esim. yksityisviestillä? ▪ Mitä muita (turvallisempia) tapoja asiakkailla on yhteydenottoon?

36. Facebook-sivujen ja -ryhmien ylläpitäjän asema ▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa. ▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. ▪ Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta): https://www.facebook.com/legal/terms/page_controller_addendum# ▪ Käytännön toimenpiteet: ▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. ▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. ▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 ▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen. ▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä. 36

37. Pikaviestisovellusten tietosuoja 37

38. Viestipalvelujen viikoittainen käyttö 2019-2022 ▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat. Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022. 38

39. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf 39

40. WhatsApp työhön liittyvässä viestinnässä • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • WhatsAppissa on vahva päästä päähän -salaus. • Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä. → Tarkista työnantajan linjaus ja ohjeet ennen kuin käytät! • Käyttöehdot kieltävät mm. spämmäämisen, automatisoidun viestinnän ja yhteystietojen keräämiseen ilman ko. henkilöiden lupaa. Organisaatiossa huomioitava: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on tarvittaessa huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi, maininta tietosuojaselosteessa, suostumukset asiakkailta jne. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. • Automaattiset viestit ja chatbotit: WhatsApp Business API -rajapinta. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ WhatsAppin vastuullinen käyttö: https://faq.whatsapp.com/en/android/26000240/?categor

41. 41 Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022) Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9

42. Mitä suostumuksia WhatsAppin käyttöön pitäisi pyytää? ▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen. ⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa. → Kerrotaan, miten sovellus käsittelee henkilötietoja. → Kerrotaan mahdollisista riskeistä. ▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta Yhdysvaltoihin. ⬞ → Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin. → Kerrotaan mahdollisista riskeistä. ▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille. ⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille. → Kerrotaan mahdollisista riskeistä. ▪ Vaikka nämä suostumukset pyydettäisiin, on WhatsAppin käytön lainmukaisuus silti kyseenalainen. ▪ Tietojen poistopyyntöjen (esim. suostumuksen peruminen) toteuttaminen voi olla mahdotonta. 42

43. Signal työkäytössä ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen viestien välitystietojen osalta. ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. 43 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)

44. Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan, https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf 44

45. 45 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

Tietosuoja varhaiskasvatuksessa

Estás leyendo una previsualización.

Eche un vistazo a continuación

Tietosuoja varhaiskasvatuksessa

Más Contenido Relacionado

Presentaciones para usted (20)

Similares a Tietosuoja varhaiskasvatuksessa (20)

Más de Harto Pönkä (15)