Pienyrityksen tietosuojaopas (Harto Pönkä, 2025)

Transcript

1. 1

2. 2 Pienyrityksen tietosuojaopas Harto Pönkä, 2025, Innowise Kannen grafiikka: Canva.com:in

   mallipohja, tekijä: beebumb Kuvat: tekijä ja mainitut lähteet Materiaalin on tuottanut Kyberturvan tulevaisuus Kymenlaaksossa -hanke, jota rahoittaa Kymenlaakson Liitto Euroopan Unionin Oikeudenmukaisen siirtymän rahastosta (JTF).

3. 3 Sisällys Alkusanat ..................................................................................................................................... 6 Tekijän esittely ............................................................................................................................. 7 1.

   Johdanto: Tietosuojan perusteet pienyrityksessä ja yleistä henkilötietojen käsittelystä ............... 8 1.1. Kyberturvallisuus, tietoturva, tietosuoja .............................................................................. 8 1.2. Tietosuoja on perusoikeus .................................................................................................. 8 1.3. EU:n yleinen tietosuoja-asetus (GDPR)................................................................................ 9 1.4. Henkilötietojen määritelmä ja tyypit .................................................................................. 10 1.5. Pienyrityksen henkilötiedot ja rekisterit ............................................................................. 11 1.6. Henkilötietojen käyttäjien roolit ........................................................................................ 12 1.7. Vaitiolovelvollisuus ja ohjeet henkilötietojen käsittelyyn .................................................... 13 2. Rekisterit ja tietosuoja pienen yrityksen toiminnassa ja viestinnässä ........................................ 14 2.1. Rekisterinpitäjä ja rekisterin määritelmä ........................................................................... 14 2.2. Henkilötietojen käsittelyn oikeusperusteet ........................................................................ 15 2.3. Rekisteröityjen oikeudet ................................................................................................... 16 2.4. Tietosuoja yrityksen viestinnässä ...................................................................................... 17 2.5. Organisaatioiden sisäisesti käyttämät viestintäsovellukset ................................................ 19 2.6. Ennakkotapaus: WhatsApp työntekijöiden käytössä .......................................................... 20 3. Yleisen tietosuoja-asetuksen (GDPR) mukaiset rekisterinpitäjän velvollisuudet ........................ 21 3.1. Yrityksen valmistautuminen GDPR:n velvollisuuksiin ......................................................... 21 3.2. Rekisterinpitäjän tärkeimpiä velvollisuuksia ...................................................................... 22 3.3. GDPR:n tietosuojaperiaatteet ........................................................................................... 22 3.4. Henkilötietojen käsittelyn käytännön esimerkkejä ja haasteita ........................................... 24 3.5. Vastuu yrityksen tietosuojasta ja tietosuojavastaavan asema ............................................ 26 4. Tietosuojan riskienhallinta – milloin on tehtävä vaikutustenarviointi? ........................................ 29 4.1. Henkilötietoihin liittyvät riskit ............................................................................................ 29 4.2. Tietosuojan vaikutustenarvioinnin tarpeen arviointi ........................................................... 30 4.3. Tietosuojan vaikutustenarvioinnin (DPIA) vaatimukset ja vaiheet ........................................ 32 4.4. Ennakkotapaus: vaikutustenarvioinnin laiminlyönti ........................................................... 36 5. Tietosuojan varmistavat suojatoimet – tietoturva osana tietosuojaa ......................................... 37 5.1. Sisäänrakennettu ja oletusarvoinen tietosuoja .................................................................. 37 5.2. Henkilötietojen käsittelyn riskienhallinta ........................................................................... 38 5.3. Henkilötietojen käsittelyn minimointi ................................................................................ 39 5.4. Tekniset ja organisatoriset suojatoimet ............................................................................. 39 5.5. Tietosuojan huomiointi tietojärjestelmien toteutuksessa ................................................... 42 5.6. Esimerkkejä puutteellisesta riskienhallinnasta .................................................................. 43

4. 4 6. Tietosuojan huomiointi nettisivuilla ja verkkokaupassa ............................................................ 45 6.1.

   Henkilötietojen käsittely verkkopalveluissa ....................................................................... 45 6.2. Verkkolomakkeiden tietosuojavaatimukset ....................................................................... 46 6.3. Yksityisyyden suoja verkkokaupassa ................................................................................. 47 6.4. Ennakkotapaus: tietojen säilytyksen rajoittaminen ............................................................ 49 6.5. Ennakkotapaus: verkkopalveluun kirjautuminen ................................................................ 49 6.6. Tietosuoja verkkosivujen teknisessä toteutuksessa ........................................................... 50 7. Osoitusvelvollisuus ja rekisterinpitäjän laatimat selosteet ....................................................... 53 7.1. GDPR:n tietosuojaperiaatteet ja osoitusvelvollisuus .......................................................... 53 7.2. Henkilötietojen käsittelytoimien seloste ............................................................................ 54 7.3. Rekisteröityjen informointi ................................................................................................ 55 7.4. Rekisteri- ja tietosuojaselosteen pohja .............................................................................. 57 7.5. Ennakkotapaus: tarkastusoikeuden ja informoinnin laiminlyönti ........................................ 58 8. Evästeet – milloin evästeille tarvitaan suostumus ja kuinka se tulee pyytää? ............................. 60 8.1. Yleistä evästeistä verkkosivustoilla ................................................................................... 60 8.2. Kuinka evästeet toimivat? ................................................................................................. 62 8.3. Evästeiden käytön pääperiaatteet ja suostumuksen pyytäminen ........................................ 63 8.4. Rekisteröidyn informointi evästeiden suostumuksen yhteydessä ....................................... 64 8.5. Euroopan tietosuojaneuvoston ohjeita suostumuksen pyynnölle ....................................... 65 8.6. Vierailijan toiminta sivustolla ja evästeiden käyttö ............................................................. 66 8.7. Ennakkotapaus: Forecan TCF-evästebanneri .................................................................... 67 8.8. Ennakkotapaus: verkkosivujen kävijäseuranta Google Analyticsilla (GA.............................. 68 8.9. Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo .................................................... 68 8.10. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä .............................. 69 9. Henkilötietojen käsittelijät – milloin on tehtävä käsittelysopimus? ............................................ 70 9.1. Yrityksen alihankkijat ovat henkilötietojen käsittelijöitä ...................................................... 70 9.2. Henkilötietojen käsittelijöistä selvitettävät asiat ................................................................ 70 9.3. Henkilötietojen käsittely toisen lukuun .............................................................................. 71 9.4. Sopimus henkilötietojen käsittelystä (DPA-sopimus) ......................................................... 71 9.5. Henkilötietojen käsittelijän alakäsittelijät .......................................................................... 72 9.6. Rekisterinpitäjän antamat ohjeet käsittelijälle ................................................................... 74 9.7. Henkilötietojen käsittelyn sopimuspohja ........................................................................... 74 9.8. Henkilötietojen käsittelijän vastuu .................................................................................... 75 9.9. Ennakkotapaus: osapuolten asema, kun käsittelysopimus on puutteellinen ...................... 76 10. Milloin on kyse tietoturvaloukkauksesta ja miten silloin toimitaan?......................................... 77 10.1. Varo huijauksia ja tietojenkalastelua ............................................................................... 77

5. 5 10.2. Mitä tehdä, jos epäilet haittaohjelmaa tai virusta? ...........................................................

   79 10.3. Tietoturva- ja tietosuojapoikkeamat ................................................................................ 79 10.4. Henkilötietojen tietoturvaloukkausten tyypit ................................................................... 80 10.5. Toiminta tietoturvaloukkauksen sattuessa ...................................................................... 80 10.6. Tietoturvaloukkauksen vakavuuden arviointi ................................................................... 82 10.7. Tietoturvaloukkauksesta ilmoittaminen tietosuojaviranomaiselle .................................... 83 10.8. Tietoturvaloukkauksesta ilmoittaminen rekisteröidyille ................................................... 84 10.9. Neuvot identiteettivarkauden tai tietovuodon uhrille ........................................................ 86 Liite I: Rekisteri- ja tietosuojaselosteen pohja .............................................................................. 87 Liite II: Henkilötietojen käsittelyn sopimuspohja .......................................................................... 93 Liite III: Tietoa evästeiden käytöstä -sivun pohja .......................................................................... 97 Liite IV: Henkilötietojen käsittelyn riskiarviotesti ......................................................................... 99

6. 6 Alkusanat Tervetuloa tutustumaan pienyrityksen tietosuojaan! Tämän oppaan avulla tulet

   oppimaan tietosuoja-asioiden perusteet ja saat käytännön ohjeita, miten voit hoitaa pienyrityksesi tietosuojavelvoitteet ammattitaitoisesti. Opas on jaettu kymmeneen selkeään osioon, joista jokainen keskittyy tiettyyn tietosuojan osa-alueeseen. Saat myös käyttöösi useita asiakirjapohjia, joita voit käyttää yrityksen tietosuoja-asioiden hoitamiseen. Lähdemme liikkeelle tietosuojan perusteista, selvittäen kyberturvallisuuden, tietoturvan ja tietosuojan eroja sekä henkilötietojen käsittelyn yleisiä periaatteita ja tietosuojaan liittyviä eri rooleja. Sen jälkeen syvennymme siihen, miten rekisterit muodostuvat ja miten tietosuojasta huolehditaan yrityksen päivittäisessä toiminnassa ja viestinnässä, kuten puheluissa, sähköposteissa, etäkokouksissa, markkinoinnissa ja tietojärjestelmissä. Kolmannessa osiossa perehdymme rekisterinpitäjän keskeisiin velvollisuuksiin EU:n yleisen tietosuoja- asetuksen (GDPR) periaatteiden mukaisesti. Sen jälkeen siirrymme tietosuojan riskienhallintaan neljännessä osiossa. Tulet oppimaan erityisesti riskiarviointia, ja milloin on tehtävä tietosuojan vaikutustenarviointi (DPIA). Viides osio jatkaa samaa teemaa keskittyen tietosuojan varmistaviin suojatoimiin ja siihen, miten tietoturva on olennainen osa tietosuojaa. Kuudennessa osassa pureudumme tietosuojan huomioimiseen verkkosivuilla ja verkkokaupoissa. Käymme läpi henkilötietojen keruuta erilaisten verkkolomakkeiden kautta sekä sitä, miten asiakas vakuutetaan verkossa tietosuojasta ja yrityksen luotettavuudesta. Seitsemännessä osiossa käymme yksityiskohtaisesti läpi tietosuojaselosteen laatimisen ja sen sisältämät asiat sekä tarkastelemme laajemmin rekisterinpitäjän GDPR:n mukaista osoitusvelvollisuutta. Kahdeksas osio keskittyy evästeiden käyttöön verkkopalveluissa ja sovelluksissa. Opit, milloin evästeille tarvitaan suostumus ja miten se tulee pyytää. Yhdeksäs osio käsittelee henkilötietojen käsittelijöitä ja sitä, milloin rekisterinpitäjän ja käsittelijän välille on tehtävä kirjallinen käsittelysopimus. Lopuksi perehdymme siihen, milloin on kyse tietoturvaloukkauksesta ja miten silloin toimitaan. Saat ohjeita loukkauksen vakavuuden arviointiin ja ilmoitusten tekemiseen valvontaviranomaiselle ja rekisteröidyille. Tämän oppaan avulla saat vankan pohjan pienyrityksesi tietosuojan hallintaan ja kyvyn tunnistaa ja hoitaa tietosuojariskit ennakoivasti. Toivottavasti nautit oppaasta! Yrittäjältä yrittäjille, Oulussa, 13.6.2025 Harto Pönkä Opas perustuu pienyrityksille suunnattuun tietosuojakoulutukseen, jonka osioita oppaan rakenne noudattaa. Opas on toteutettu osana Kaakkois-Suomen ammattikorkeakoulun Kyberturvan tulevaisuus Kymenlaaksossa -hanketta vuonna 2025. Hanketta on rahoittanut Kymenlaakson Liitto Euroopan Unionin Oikeudenmukaisen siirtymän rahastosta (JTF).

7. 7 Tekijän esittely Harto Pönkä (KM) on toiminut digitaalisen median

   ja sovelluskehityksen parissa vuodesta 2001 lähtien. Vuodesta 2004 alkaen hän on toiminut yrittäjänä Innowisessa. Kouluttajana hän on toiminut vuodesta 2008 lähtien. Tietosuojakoulutuksia Harto on pitänyt vuodesta 2017 lähtien. EU:n yleiseen tietosuoja-asetukseen liittyviä koulutuksia hän on pitänyt yrityksille, kunnille, oppilaitoksille ja järjestöille sekä konsultoinut GDPR:n käytännön soveltamiseen liittyvissä asioissa. Tietosuojavastaavien peruskoulutusta Pönkä on pitänyt vuodesta 2019 alkaen – tähän mennessä kaikkiaan yli kymmenen toteutuskertaa. Sosiaalisen median koulutuksia, konsultointia ja analyysejä Pönkä tekee yrityksille, yhdistyksille sekä julkishallinnon organisaatioille ja oppilaitoksille. Vuonna 2014 Pönkä julkaisi Sosiaalisen median käsikirjan ja vuonna 2017 Open somekirjan (Docendo). Pönkä on kirjoittanut sosiaalista mediaa käsitteleviä artikkeleita ja kirjankappaleita mm. monilukutaitoon, sosiaalisen median opetuskäyttöön ja verkostoanalyyseihin liittyen. Yritystoiminnan ohella Harto on aktiivinen eri yhdistyksissä. Hän oli yleisön edustajana Julkisen sanan neuvostossa vuosina 2021-2023. Nykyisin hän toimii aktiivisesti faktantarkistusyhteisö Faktabaaria ylläpitävässä yhdistyksessä. Harto on kirjoittanut mm. digitaalisesta informaatiolukutaidosta, tietosuojasta ja tekoälystä Faktabaarin julkaisemiin oppaisiin. Innowise: https://www.innowise.fi/ Harton blogi: https://harto.wordpress.com/

8. 8 1. Johdanto: Tietosuojan perusteet pienyrityksessä ja yleistä henkilötietojen käsittelystä

   Tervetuloa ensimmäisen osion pariin! Aloitetaan tietosuojan perusteista ja siitä, mitä henkilötiedot oikeastaan tarkoittavat. Tässä osiossa ymmärrämme paremmin kyberturvallisuuden, tietoturvan ja tietosuojan eroja ja miksi ne ovat tärkeitä pienyritykselle. Käsittelemme myös EU:n yleistä tietosuoja-asetusta (GDPR) ja sen soveltamisalaa, sekä opimme tunnistamaan henkilötietoja ja ymmärtämään eri roolit tietojen käsittelyssä, kuten rekisterinpitäjän ja rekisteröidyn. 1.1. Kyberturvallisuus, tietoturva, tietosuoja Ennen kuin etenemme tietosuojaan, on syytä tehdä selväksi, miten se eroaa lähikäsitteistä: • Kyberturvallisuudella pyritään digitaalisen ja verkotetun yhteiskunnan tai organisaation turvallisuuteen. Kyberturvallisuuteen kuuluvat toimenpiteet, joilla voidaan ennakoivasti hallita ja tarvittaessa sietää erilaisia kyberuhkia ja niiden vaikutuksia. • Tietoturvalla suojataan kaikenlaisten tietojen saatavuutta, eheyttä ja luottamuksellisuutta – verkossa ja sen ulkopuolella. Tietoturva kattaa siis muutkin tiedot kuin henkilötiedot, eikä se keskity vain digitaalisiin tietoihin. • Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Siitä on kyse, jos ihminen voidaan tunnistaa tiedoista eli kyse on henkilötiedoista. Lisätietoa: Sanastokeskus TSK:n, 2018, Kyberturvallisuuden sanasto, https://turvallisuuskomitea.fi/kyberturvallisuuden-sanasto/ 1.2. Tietosuoja on perusoikeus Tietosuoja on jokaisen ihmisen perusoikeus, sillä se pohjautuu perustuslain 10. pykälään: ”Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton." Tämä perustuslain kohta tuo esiin, että tietosuojaan liittyy: • Yksityiselämän suoja ja kotirauha • Henkilötietojen suoja • Viestinnän suoja kuten kirjeet, puhelut ja muut viestit, mukaan lukien sähköinen viestintä Tietosuojasta säädetään tarkemmin erityisesti EU:n yleisessä tietosuoja-asetuksessa eli GDPR:ssä (engl. General Data Protection Regulation). Yleistä tietosuoja-asetusta täydentää kansallinen tietosuojalaki. Lisäksi esimerkiksi työelämään liittyy yritysten kannalta tärkeä laki yksityisyyden suojasta työelämässä, niin sanottu työelämän tietosuojalaki, jota sovelletaan työnhaussa ja työsuhteissa käsiteltäviin henkilötietoihin.

9. 9 1.3. EU:n yleinen tietosuoja-asetus (GDPR) Yleistä tietosuoja-asetusta alettiin soveltamaan

   toukokuussa 2018. Koska kyseessä on asetus, se on suoraan sovellettavaa lainsäädäntöä jäsenvaltioissa ja siten myös Suomessa. GDPR:ää voi tähän mennessä pitää onnistuneena EU:n lakina, sillä se on pystynyt vaikuttamaan nettijättien toimintaan konkreettisesti niin, että ne ovat muuttaneet toimintatapojaan ja käyttäjien tietosuoja on parantunut. GDPR:n perusteella viranomaiset pystyvät antamaan sanktioita yrityksille, jotka eivät noudata tietosuojasääntelyä. Amazon, Meta, Google ja TikTok ovat saaneet jo satojen miljoonien eurojen seuraamusmaksuja EU:n tietosuojaviranomaisilta puutteistaan henkilötietojen käsittelyssä. Esimerkkejä: • Facebook sai 1,2 miljardin euron sakot henkilötietojen siirrosta Yhdysvaltoihin vuonna 2023. Kyse on tähän mennessä isoimmista GDPR-sakoista. • TikTok sai 345 miljoonan euron sakot syyskuussa 2023 lasten tietosuojaan liittyvistä rikkomuksista. Toukokuussa 2025 TikTok sai jälleen 530 miljoonan euron sakot lainvastaisesta henkilötietojen siirrosta Kiinaan. Eräs tärkeä yleiseen tietosuoja-asetukseen liittyvistä oikeusratkaisuista oli EU-tuomioistuimen heinäkuussa 2020 tekemä niin sanottu Schrems II -päätös. Päätöksen ydin oli, että ETA-alueelta Yhdysvaltoihin siirretyt henkilötiedot eivät olleet täysin suojassa, eikä EU-kansalaisten henkilötiedoille voitu taata Yhdysvalloissa samaa tietosuojan tasoa kuin mitä GDPR tarjoaa. Tämä johti tietojen siirron uudelleen tarkasteluun ja vaatimukseen aiempaa paremmasta tietojen suojaamisesta. Heinäkuussa 2023 tuli voimaan uusi EU:n ja Yhdysvaltojen välinen tietosuojakehys, joka paransi siinä mukana oleville yhdysvaltalaisille yrityksille siirrettävien henkilötietojen suojaa. GDPR:n soveltamisala Yrittäjän ja yrityksen näkökulmasta GDPR asettaa pitkälti raamit sille, miten yritystoimintaan liittyviä henkilötietoja tulee käsitellä. Yleisen tietosuoja-asetuksen soveltamisen voi jakaa kahteen pääosaan: • Osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn: o Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot o Sähköpostit, tekstiviestit o Viestintäsovellukset o Verkkopalvelut, chatit o Sosiaalisen median palvelut o Digitaaliset arkistot o Tietojen siirto rajapintojen kautta • Kaikkiin henkilörekistereihin: o Tietojärjestelmät/tietokannat o Yhteystietoluettelot o Henkilötietojen kokoelmat o Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri.

10. 10 GDPR:n ulkopuolelle jäävät lähinnä vain yksittäiset ei-digitaalisessa muodossa olevat

    henkilötiedot, jotka eivät muodosta rekisteriä. Mutta jos kyseiset tiedot liittyvät yrityksen henkilötietorekistereihin – ovat esimerkiksi niistä otettuja tulosteista – GDPR:n määräykset koskevat silloin myös niitä. Yrittäjän näkökulmasta on syytä erottaa ja pitää konkreettisesti erillään henkilötiedot, jotka eivät liity yritystoimintaan. GDPR:n velvollisuuksia ei nimittäin sovelleta henkilötietojen käsittelyyn, jonka ”luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa” (ks. GDPR 2 artikla). 1.4. Henkilötietojen määritelmä ja tyypit Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä. Henkilötiedot voi jakaa tunnistetiedoiksi (kuten nimi, henkilötunnus ja verkkotunnistetiedot) ja muiksi henkilöön liittyviksi tiedoiksi. Juuri tunnistetiedot tekevät muistakin henkilöön liittyvistä tiedoista henkilötietoja, sillä ne mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai muun tahon toimesta. Tavanomaisista henkilötiedoista puhutaan silloin, jos kyse on tiedoista, joille GDPR tai jokin muu laki ei edellytä tavanomaista suurempaa suojaa tai aseta niiden käsittelylle muita erityisvaatimuksia. Useiden henkilötietojen käsittelystä säädetään tarkemmin. Esimerkiksi julkisuuslaissa on säädetty useita tietoja kuten terveystiedot ja taloudellista asemaa koskevat tiedot salassa pidettäväksi. 1.4.1 Henkilötunnus Henkilötunnusta saa tietosuojalain 29 § mukaan käsitellä vain tietyin ehdoin: • Rekisteröidyn suostumuksella • Jos käsittelystä säädetään laissa • Laissa säädetyn tehtävän suorittamiseksi • Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi (esim. työsuhteessa) • Historiallista tai tieteellistä tutkimusta tai tilastointia varten. Lisäksi on huomioitava, että henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta tai sitä ja nimeä saa yksinään käyttää myöskään rekisteröidyn tunnistamiseen. Niiden lisäksi on siis kysyttävä muita tietoja, joiden avulla rekisterinpitäjä voi tehdä luotettavan tunnistamisen. 1.4.2. Erityiset henkilötiedot Erityisiä henkilötietoja ovat GDPR:n 9 artiklan mukaan sellaiset henkilötiedot, joista ilmenee: • Rotu tai etninen alkuperä • Poliittiset mielipiteet • Uskonnollinen tai filosofinen vakaumus

11. 11 • Ammattiliiton jäsenyys • Terveyttä koskevat tiedot • Seksuaalinen

    käyttäytyminen tai suuntautuminen • Geneettiset ja biometriset tiedot Erityisten henkilötietotyyppien käsittely on kielletty ilman henkilön nimenomaista suostumusta tai laista tulevaa perustetta. Esimerkiksi ammattiliiton jäsenyyteen ja terveyteen liittyviä tietoja voidaan käsitellä työsuhteessa, sillä GDPR sallii niiden käsittelyn mm. silloin, jos ”käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla” tai ”ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi”. Erityisten henkilötietojen ja salassa pidettävien tietojen käsittelylle yrityksen toiminnassa tulee aina olla selvät ohjeet ja määritellyt järjestelmät, joissa niitä saa käyttää. Esimerkiksi oheisessa kuvassa olevia henkilötietoja ei yleensä ole sallittu välitettäviksi WhatsApp-sovelluksella, jos kyse on asiakastiedoista tai muista yrityksen vastuulla olevista henkilötiedoista. 1.4.3. Valokuvat ja videot henkilötietoina Henkilöä esittävä valokuva tai video on yleensä henkilötieto ja tunnistetieto. Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta. Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen. Tunnistamisen voi estää se, että kasvot eivät näy tai se, että kuvat on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. Henkilön kasvot voi myös sumentaa tai peittää, jolloin kuva on anonyymi. Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 1.5. Pienyrityksen henkilötiedot ja rekisterit Pienyritykseen liittyviä henkilötietoja: • Yksityisen elinkeinonharjoittajan (toiminimiyrittäjän) tiedot ovat lähtökohtaisesti suojattuja henkilötietoja (nimi ja y-tunnus) • Yhtiömuotoisen toiminnanharjoittajan tiedot ovat julkisia tietoja (nimi ja y-tunnus), vaikka nimi muodostuisi henkilön nimestä. • Kaikkien yritysten nimet, y-tunnukset ja yhteystiedot ovat julkisia tietoja. • Jos yrityksen yhteyshenkilöiden nimet ja yhteystiedot on julkaistu, muut saavat käyttää niitä esimerkiksi yhteydenotossa ja markkinoinnissa.

12. 12 Pienyrityksen tavallisia henkilötietorekistereitä: • Asiakasrekisteriin voi sisältyä sekä yksityisten

    henkilötietoja että yritysten julkisia tietoja. • Markkinointirekisteri on erillinen rekisteri. Yksityisiltä tarvitaan lupa sähköiseen suoramarkkinointiin. • Yrityksellä voi olla esimerkiksi alihankkijoiden, toimittajien ja yhteistyökumppaneiden rekistereitä • Työntekijöiden tiedot henkilötietoja. • Työntekijöiden nimet, tehtävät ja työhön liittyvät yhteystiedot voi julkaista esimerkiksi nettisivuilla, jos työtehtäviin kuuluu olla tavoitettavissa. 1.6. Henkilötietojen käyttäjien roolit Henkilötietojen käsittelyyn liittyvät keskeiset roolit: • Rekisteröity on tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka tietoja käsitellään. • Rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. • Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. • Kolmas osapuoli on taho, joka ei ole jokin edellä mainituista, ja jolla ei ole oikeutta käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. • Vastaanottaja on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. Esim. henkilötietojen käsittelijät ja muut rekisterinpitäjät. Lähde: Euroopan unionin perusoikeusvirasto ja Euroopan neuvosto, 2021, Käsikirja Euroopan tietosuojaoikeudesta, vuoden 2018 painos, https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data- protection_fi.pdf

13. 13 1.7. Vaitiolovelvollisuus ja ohjeet henkilötietojen käsittelyyn Työnantajan vastuulla on

    määritellä henkilötietojen käsittely eri työtehtävissä ja huolehtia tietojen turvallisesta säilytyksestä. Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, tulee niiden vaitiolovelvollisuudesta varmistua henkilötietojen käsittelyn sopimuksella. Yllä lainattu tietosuojalain 35 §:n mukainen vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää jotakin henkilöiden ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta tai liikesalaisuudesta. Ohjeita henkilötietojen käsittelyyn työssä: • Tietoja käytetään vain määrättyihin tarkoituksiin. • Työntekijä saa käsitellä vain työtehtäviin liittyviä henkilötietoja. • Henkilötietoja ei kerrota, näytetä tai luovuteta sivullisille ilman rekisteröidyn lupaa. • Henkilötietoja sisältävät kopiot ja tulosteet hävitetään, kun niitä ei enää tarvita. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa (valvotaan tiloja, laitteita ja ohjelmia). • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia ja huolehditaan käyttöoikeuksista. • Työnantaja huolehtii ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. "TIETOSUOJASTA HUOLEHDITAAN, JOTTA JOKAINEN TIETÄISI, MITÄ TIETOJA HÄNESTÄ KÄSITELLÄÄN JA MITEN."

14. 14 2. Rekisterit ja tietosuoja pienen yrityksen toiminnassa ja viestinnässä

    Tässä osiossa etenemme syvemmälle siihen, miten rekisterit muodostuvat, millaisia rekistereitä pienyrityksissä yleensä on, sekä miten tietosuoja huomioidaan yrityksen päivittäisessä toiminnassa ja viestinnässä. Opit lisää rekisterinpitäjän roolista ja siitä, mitkä ovat lailliset perusteet henkilötietojen käsittelylle, mukaan lukien suostumus ja sen vaatimukset. Käsittelemme myös käytännön esimerkkejä tietosuojasta työhön liittyvien laitteiden käytössä, puheluissa, sähköposteissa ja etäkokouksissa. Lisäksi käydään läpi haasteita, jotka liittyvät WhatsAppin tyyppisten pikaviestisovellusten käyttöön työssä. 2.1. Rekisterinpitäjä ja rekisterin määritelmä Rekisterinpitäjiä ovat esimerkiksi yritykset, viranomaiset, kunnat, julkisten palvelujen tarjoajat, koulut ja muut oppilaitokset, taloyhtiöt, verkko- ja somepalvelut, mainostajat ja datankerääjät. Rekisterinpitäjä on nimensä mukaisesti vastuussa rekisteriensä henkilötiedoista ja niiden käsittelystä. Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen. Rekisterien sijasta voidaan puhua myös erilaisista rekisteröityjen ryhmistä, joiden henkilötietoja käsitellään eri tarkoituksiin. Tämä on suositeltava lähestymistapa, jos yksittäinen henkilö voi kuulua samanaikaisesti useisiin ryhmiin. Rekisteriin liittyy myös se tyypillinen piirre, että sieltä voi helposti hakea yksittäisiä henkilöitä ja heidän tietojaan. Alla on esimerkki yrityksen asiakasrekisteristä, jonka käsittelytarkoitus on siten asiakassuhteen hoitaminen. Rekisterissä on tunnistetietoja (nimi, sähköpostiosoite, henkilötunnus), jotka mahdollistavat henkilöiden yksilöinnin. Lisäksi on muita henkilötietoja kuten tiedot tilatuista palveluista. Kaikki tiettyä tarkoitusta varten kerätyt ja käsiteltävät tiedot muodostavat yhdessä henkilötietorekisterin.

15. 15 Rekisterin ei tarvitse olla yksi yhtenäinen kokonaisuus, vaan se

    voi olla hajautettu useaan eri paikkaan tai järjestelmään. Kuitenkin niin kauan kuin tiedot liittyvät samaan käyttötarkoitukseen, kyseessä on sama rekisteri. Juuri käyttötarkoitus määrittelee rekisterin. Tärkeä GDPR:n mukainen periaate on, että henkilötietoja saa käyttää ainoastaan siihen tarkoitukseen, jota varten ne on kerätty rekisteriin. 2.1.1. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten Kuten edellä käytiin läpi, rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tämän määrittely on siten rekisterinpitäjän ensimmäinen tehtävä. Keinot viittaavat siihen, mitä henkilötietoja kerätään, miten niitä säilytetään ja mihin niitä konkreettisesti käytetään. Rekisterinpitäjän vastuulla on kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja. Tämä koskee niin henkilötietojen määrää, laatua, säilytysaikaa kuin saatavilla oloakin. Käsittelyn tarkoitusten ja keinojen tulee ilmetä esimerkiksi tietosuojaselosteesta, joka tulee olla rekisteröityjen saatavilla. Rekisteröidylle ei saa tulla yllätyksenä, mitä tietoja ja miten hänestä käsitellään. 2.2. Henkilötietojen käsittelyn oikeusperusteet Yleisen tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittelyllä on oltava laillinen peruste. Se voi olla jokin seuraavista: • Henkilön suostumus • Sopimus, jossa rekisteröity on osapuolena • Rekisterinpitäjän lakisääteinen velvoite • Julkisen tehtävän hoitaminen tai yleinen etu • Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) • Elintärkeiden etujen suojaaminen (esim. hätätilanne)

16. 16 Suostumusta tulisi käyttää vain silloin, jos ei ole olemassa

    muuta tilanteeseen paremmin sopivaa perustetta. Yritystoiminnassa tavanomaisin suostumus on yksityishenkilön antama suostumus sähköiseen markkinointiin. Kaikki henkilötietojen käsittely ei siis vaadi rekisteröityjen suostumusta, vaan se on yksi kuudesta mahdollisesti käsittelyperusteesta. Sopimus on selkeä peruste, kun kyseessä on esimerkiksi kauppa- tai palvelusopimus. Sen perusteella voidaan käsitellä tietoja sopimussuhteeseen, palveluiden tai tuotteiden toimittamiseen sekä asiakassuhteen hoitamiseen liittyen. Rekisterinpitäjän lakisääteistä velvoitetta käyttävät pääasiassa viranomaiset ja julkiset organisaatiot. Heillä on lakiin perustuva tehtävänsä ja toimintansa, mikä oikeuttaa rekisterinpidon. Myös yrityksellä on lainmukainen velvollisuus säilyttää esimerkiksi kirjanpitoon liittyviä tietoja. Julkinen tehtävä voi olla laista johtuva. Vaikka laissa ei suoraan sanottaisi, että tiettyjä henkilötietoja täytyy käsitellä, niiden käsittely voi liittyä viranomaisen julkisen tehtävän hoitamiseen. Yleistä etua käytetään esimerkiksi arkistoitujen tietojen käsittelyssä, tilastojen teossa ja tutkimuksissa. Rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua voidaan käyttää esimerkiksi, kun käsitellään asiakkaan tietoja neuvotteluvaiheessa ennen sopimuksen tekoa tai tilausta. Käsittelyn perustana tulee olla jokin ”etu” eli laillinen tarkoitus, kuten liiketoiminnan hoitaminen. Jos myöhemmin tehdään sopimus, käsittelyperuste muuttuu sopimukseksi. Elintärkeiden etujen suojaaminen on hyvin poikkeuksellinen peruste ja sitä voidaan käyttää esimerkiksi hätätilanteessa. 2.2.1. Suostumus henkilötietojen käsittelyperusteena GDPR asettaa useita kriteereitä, jotta rekisteröidyn antama suostumus olisi pätevä: • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. • Suostumusta ei voi antaa vaikenemalla, valmiiksi rastitetulla ruudulla tai jättämättä jotakin tekemättä. • Suostumukset on dokumentoitava. • Suostumus ei ole pysyvä, vaan se tulisi tarkistaa sopivin väliajoin. Suomen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Yleensä yritysten tarjoamat palvelut eivät ole tämän tyyppisiä, joten alaikäisten kohdalla suostumus tulee pyytää huoltajalta tai muulta lailliselta edustajalta. Suostumusta ei tule pyytää, jos käsittelyyn on muu oikeusperuste. Mutta jos alun perin muuhun tarkoitukseen kerättyjä henkilötietoja halutaan käyttää uuteen tarkoitukseen, rekisterinpitäjä voi pyytää siihen erikseen suostumuksen. 2.3. Rekisteröityjen oikeudet Rekisteröityjen oikeuksia heidän henkilötietojensa käsittelyssä ovat: • Oikeus saada tietoa käsittelystä (informointivelvollisuus) • Oikeus saada pääsy tietoihin (tarkastusoikeus)

17. 17 • Oikeus tietojen oikaisemiseen • Vastustamisoikeus (kielto-oikeus) • Oikeus

    tietojen poistamiseen (oikeus tulla unohdetuksi) • Oikeus käsittelyn rajoittamiseen • Oikeus siirtää tiedot järjestelmästä toiseen • Automatisoituihin päätöksiin liittyvät oikeudet • Oikeus valittaa valvontaviranomaiselle Rekisteröidyllä ei ole aina kaikkia näitä oikeuksia, vaan ne riippuvat kyseiseen henkilötietojen käsittelyyn liittyvästä käsittelyperusteesta. Esimerkiksi jos käsittely perustuu suostumukseen, ei rekisteröidyllä ole poisto-oikeutta, mutta sen sijaan hän voi perua antamansa suostumuksen, jolloin rekisterinpitäjän tulee poistaa henkilötiedot, jos niitä ei enää käsitellä johonkin muuhun tarkoitukseen, johon rekisterinpitäjällä on yhä voimassa oleva käsittelyperuste. Rekisteröidyn oikeuksien kunnioittaminen on olennainen osa tietosuojaa ja rekisterinpitäjän vastuulla on varmistaa niiden toteutuminen omassa toiminnassaan. Rekisterinpitäjän tulee kertoa rekisteröidyille heidän oikeuksistaan, sekä miten he voivat käyttää oikeuksiaan. Yleensä nämä asiat kerrotaan tietosuojaselosteessa. Lisätietoa rekisteröityjen oikeuksista tietosuojavaltuutetun toimiston verkkosivuilla: https://tietosuoja.fi/rekisteroidyn-oikeudet 2.4. Tietosuoja yrityksen viestinnässä Tietosuojaan tulee kiinnittää erityistä huomiota yrityksen viestinnässä ja digitaalisissa laitteissa. Seuraavassa on koottu ohjeita eri tilanteisiin. 2.4.1. Työlaitteet ja ohjelmat • Työhön tarkoitettuja laitteita ja ohjelmia käytetään vain siihen liittyvin tarkoituksiin. • Sivulliset eivät saa käyttää työhön liittyviä laitteita tai järjestelmiä, joissa on henkilötietoja. • Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. • Työtunnuksella ei kirjauduta työn ulkopuolisiin verkkopalveluihin (esim. Google- tai Microsoft- käyttäjätunnus). • Työpuhelimessa tai -tietokoneessa olevia tietoja ei tulisi tallentaa henkilökohtaisille tallennusvälineille. • Työpuhelut ja etäkokoukset hoidetaan sivullisilta suojassa.

18. 18 2.4.2. Henkilötiedot puheluissa Henkilö on tunnistettava puhelussa, jos käsitellään

    hänen henkilötietojaan. Vahva tunnistaminen koostuu seuraavista tiedoista: 1) jotain mitä olet (nimi, henkilötunnus) 2) jotain mitä sinulla on (puhelinnumero, sähköpostiosoite) 3) 3) jotain mitä tiedät (salasana, asiakastiedot) Henkilötietojen käsittelystä on kerrottava myös puheluissa, jos tietoja esimerkiksi tallennetaan. Puhelussa voidaan kertoa, mistä tietosuojaseloste on luettavissa (nettisivujen osoite), lukea se ääneen tai se voidaan lähettää esimerkiksi sähköpostitse. Puhelujen nauhoittaminen on sallittua, kun rekisterinpitäjällä on käsittelyyn oikeusperuste. Esimerkiksi asiakassuhteessa perusteena voi olla rekisterinpitäjän oikeutettu etu. Lisätietoa vahvasta sähköisestä tunnistamisesta Kyberturvallisuuskeskuksen sivuilta: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen- tunnistus 2.4.3. Tietosuoja sähköposteissa Normaalissa sähköpostissa voi lähettää tavallisia henkilötietoja, kunhan henkilökohtaiset sähköpostilaatikot ja tietoturva ovat kunnossa. Muista tarkistaa, että vastaanottajan osoite on oikein, eikä esimerkiksi toisen samannimisen henkilön. Erityisiä henkilötietoja ja salassa pidettäviä tietoja ja asiakirjoja tulee lähettää vain suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa. Älä tee massalähetyksiä niin, että vastaanottajat näkevät toistensa osoitteet. Turvallisinta on käyttää massalähetyksiin tarkoitettuja verkkosovelluksia, jotka lähettävät viestin erikseen jokaiselle vastaanottajalle. Jos sellaista ei ole käytettävissä, voi tarvittaessa käyttää piilokopio-toimintoa (BCC), jotta vastaanottajat eivät näe toistensa osoitteita. 2.4.4. Tietosuoja etäkokouksissa ja muissa yhteistyösovelluksissa Huolehdi esimerkiksi etäkokousten tietosuojasta seuraavasti: • Käytä vain turvallisia sovelluksia. • Kutsu osallistujat henkilökohtaisesti. • Informoi osallistujia henkilötietojen käsittelystä. • Varmista huoneessa olijoiden henkilöllisyys. • Käsiteltävät henkilötiedot ja asiat riippuvat osallistujien työtehtävistä. • Varmista esittäjien osaaminen etukäteen. • Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. • Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen.

19. 19 • Lopuksi: päätä kokous, tyhjennä tai sulje huone. •

    Jos teit tallenteen, huolehdi sen tietosuojasta. 2.4.5. Sähköiseen viestintään liittyvät tiedot Sähköiseen viestintään liittyvät tiedot: • Sähköiset viestit: Sähköpostit, tekstiviestit, multimediaviestit, muut sähköiset viestit osapuolten kesken, muut tiedot, joita välitetään tai jaetaan sähköisesti. • Viestinnän metatiedot, liikennetiedot ja välitystiedot: Nimet, puhelinnumerot, osoitetiedot, lähettäjän ja vastaanottajan tunnisteet, IP-osoitteet, verkkotunnukset, protokollat, välitetyn tiedon muoto, siirretyn tiedon määrä, ajankohdat ja kestot, muut tiedot, joita käsitellään viestien välittämisessä. • Paikkatiedot: GPS-paikannustiedot ja muut sijainnin määrittämiseen liittyvät tiedot, joita ei käytetä viestin välittämiseen. • Evästeet ja muut käyttäjien laitteille tallennettavat tiedot: Välttämättömät ja ei- välttämättömät evästeet, muut vastaavat menetelmät. Sähköisestä viestinnästä säädetään tarkemmin seuraavissa laeissa: Sähköisen viestinnän tietosuojadirektiivi, 2002/58/EY, https://eur-lex.europa.eu/eli/dir/2002/58/2009-12-19?locale=fi Laki sähköisen viestinnän palveluista, 7.11.2014, https://www.finlex.fi/fi/laki/ajantasa/2014/20140917 2.5. Organisaatioiden sisäisesti käyttämät viestintäsovellukset Yrityksen on aina syytä arvioida käytettävät sovellukset tietosuojan näkökulmasta. Jos arviointia ei tehdä, on vaarana, että töissä käytetään esimerkiksi kuluttajille suunniteltuja sovelluksia, joiden tietosuojaominaisuudet ovat puutteellisia. North Patrol -konsulttiyrityksen tekemässä selvityksessä vuonna 2022 selvitettiin organisaatioiden sisäisesti käyttämiä viestintäsovelluksia. Sen mukaan organisaatioissa käytettiin eniten sähköpostia ja Microsoftin sovelluksia. Lisäksi käytettiin lukuisia muita sovelluksia, joista osaa voi pitää yllättävinä. Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/ (N=64 vastaajaorganisaatiota)

20. 20 2.6. Ennakkotapaus: WhatsApp työntekijöiden käytössä Työnantaja ei voi edellyttää

    työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä. Tietosuojavaltuutetun 8.12.2021 antama päätös toi esiin useita ongelmia tapauksessa, jossa siivousalan yritys välitti asiakkaiden tietoja työntekijöilleen WhatsAppin kautta: • Rekisterinpitäjällä ei ollut keinoja valvoa, miten henkilötietoja käytetään WhatsAppissa. • WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei voi vedota sen sopimusehtoihin esimerkiksi vastuukysymyksissä. • Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu. • WhatsAppin kuluttajaversion käyttö johti henkilötietojen siirtoon kolmansiin maihin ilman asianmukaisia suojatoimia. • Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä heidän henkilötietojensa käsittelyyn. Jos WhatsAppia halutaan käyttää, rekisterinpitäjän on tehtävä riskiarviointi, tarvittaessa vaikutustenarviointi, ohjeistukset käytölle ja informoitava henkilötietojen käsittelystä. Ellei kaikkia edellä mainittuja toimia toteuteta, WhatsAppin käyttöön liittyvät riskit jäävät huomioimatta ja todennäköisesti rikotaan tietosuoja-asetuksen mukaisia velvoitteita. Lisätietoa tapauksesta tekijän blogikirjoituksessa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys- kaytannossa/ ”Rekisteri muodostuu henkilötiedoista, jotka liittyvät tiettyyn käyttötarkoitukseen. Yritys vastaa sen rekistereissä olevien tietojen käytöstä.”

21. 21 3. Yleisen tietosuoja-asetuksen (GDPR) mukaiset rekisterinpitäjän velvollisuudet Tämän osion

    aiheena ovat rekisterinpitäjän keskeiset velvollisuudet EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Käymme läpi GDPR:n tietosuojaperiaatteita, kuten käsittelyn lainmukaisuutta, tietojen minimointia ja säilytyksen rajoittamista. Pureudumme siihen, miten yrityksen tulisi käsitellä työntekijöiden ja asiakkaiden henkilötietoja esimerkiksi markkinointiviestinnässä. Lisäksi käymme läpi, milloin tietosuojavastaava on pakollinen. 3.1. Yrityksen valmistautuminen GDPR:n velvollisuuksiin Alla olevaa miellekartta avaa, mitä GDPR:n vaatimuksia yritysten on huomioitava. Miellekartta on tehty alun perin vuonna 2018 GDPR:n tullessa voimaan, mutta se antaa edelleen ajantasaisen kuvan yritysten tietosuojavelvollisuuksista. Käsiteltävät henkilötiedot: Tähän sisältyy rekistereiden hallinta, lainmukaisuuden tarkistaminen, vanhentuneiden tietojen poistaminen sekä henkilötietojen kerääminen. Erityisen tärkeää on määrittää, missä tilanteissa tietoja kerätään, millä oikeusperusteella ja mihin tarkoitukseen, sekä mitä tietoja tarvitaan ja miten niitä käsitellään. Sopimukset: On varmistettava, että henkilötietojen käsittelyyn liittyvät sopimukset ovat kunnossa. Tämä voi sisältää yleiskäyttöisiä sopimusliitteitä, työsopimuksia ja työntekijöiden vaitiolovelvollisuuden varmistamista henkilötietojen käsittelyyn liittyen.

22. 22 Tietojen siirrot ja vastaanotot: Huomioitavaa on, kenelle tai keneltä

    tietoja siirretään ja mitä tietoja. Rekisteröityjä on informoitava siirroista etukäteen tai hankittava tarvittaessa heiltä suostumukset. Tietojen siirroissa verkossa on käytettävä salausta. Tietoturva ja tietojen eheys: Tähän kuuluvat uhkien riskinarviointi, tekniset suojatoimet ja toimintatavat tietojen käsittelyssä. Tärkeitä ovat myös varmuuskopionnit, tietojen palautus sekä kyky havaita tietoturvaloukkaukset ja tiedotus niistä rekisteröidyille ja valvontaviranomaiselle. Dokumentointi: Yleensä tarvitaan rekisteri- ja tietosuojaselosteet. Lisäksi yrityksen on dokumentoitava sisäiset suunnitelmat ja ohjeistukset, vaikutustenarvioinnit, tasapainotestit, käsittelyyn liittyvät toimet ja tietoturvaloukkaukset. Tietojärjestelmät: On tunnistettava, missä järjestelmissä henkilötietoja käsitellään. Sopimusten tulee olla kunnossa ohjelmistotoimittajien kanssa. Tietojärjestelmissä on huolehdittava käyttäjätunnuksista, käyttöoikeuksista ja riittävistä lokitiedoista. Suostumusten ja kieltojen hallinta: Yrityksen on tarkistettava nykyisten suostumusten tila ja mitä suostumuksia jatkossa pyydetään. Suostumuksia sekä niihin liittyviä tietoja on hallittava asianmukaisesti. Valmistautuminen pyyntöihin: Yrityksen on oltava valmis vastaamaan rekisteröityjen oikeuksiin liittyviin pyyntöihin, kuten tietojen tarkastukseen, korjaukseen ja poistoon sekä tietojen siirtoon toisille rekisterinpitäjille. Lisäksi kannattaa valmistautua vastaamaan rekisteröityjen kysymyksiin liittyen esimerkiksi käsittelyn oikeusperusteisiin ja valvontaviranomaisen pyyntöihin. 3.2. Rekisterinpitäjän tärkeimpiä velvollisuuksia Rekisterinpitäjän on varmistettava, että henkilötietojen käsittely on lainmukaista ja rekisteröidyille läpinäkyvää. Pienyrityksen tärkeimpiä rekisterinpitäjän velvollisuuksia ovat esimerkiksi seuraavat: • Asiakkaiden henkilötietoja käytetään vain määrättyihin tarkoituksiin. • Työntekijöiden henkilötietoja käytetään vain työhön liittyviin tarkoituksiin. • Henkilötietoja, mukaan lukien aiempien asiakkaiden ja työntekijöiden tietoja, ei säilytetä tarpeettoman pitkään. • Henkilötietojen käytöstä informoidaan rekisteröidyille esimerkiksi tietosuojaselosteella. • Tietosuoja huomioidaan asiakkaiden sopimuksissa (eri tavoin yksityis- ja yritysasiakkaiden kanssa). • Alihankkijoiden ja palveluntarjoajien kanssa on sopimus henkilötietojen käsittelystä. • Henkilötiedot suojataan ulkopuolisilta. • Työntekijöille on annettu ohjeet henkilötietojen käsittelyyn työssä. • Tietojärjestelmien ja sovellusten tietosuoja on arvioitu ja tietoturvasta huolehditaan. 3.3. GDPR:n tietosuojaperiaatteet GDPR:n kulmakivet ovat seitsemän tietosuojaperiaatetta, jotka ohjaavat kaikkea henkilötietojen käsittelyä (5 artikla):

23. 23 • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys: Käsittelylle on oltava

    laillinen peruste, sen on oltava asianmukaista ja kohtuullista suhteessa tarkoitukseen, ja rekisteröidyille on kerrottava käsittelystä (mitä, mihin, miten, mitä oikeuksia heillä on). • Käyttötarkoitussidonnaisuus: Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin. Arkistointi-, tutkimus- ja tilastointikäyttö ovat yleensä sallittua. • Tietojen minimointi: Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja. Tämän periaatteen kautta voidaan myös tehokkaasti vähentää käsittelyn riskejä. • Tietojen täsmällisyys: Edellyttää tietojen päivittämistä, tarkistamista ja virheiden korjausta. • Tietojen säilytyksen rajoittaminen: Tietoja säilytetään vain tarvittavan ajan. • Tietojen eheys ja luottamuksellisuus: Vaatii suojaustoimenpiteitä, käytön valvontaa ja varmuuskopiointia. • Rekisterinpitäjän osoitusvelvollisuus: Rekisterinpitäjän on kyettävä osoittamaan noudattavansa näitä periaatteita. Lisätietoa tietosuojavaltuutetun toimiston sivustolta: https://tietosuoja.fi/tietosuojaperiaatteet 3.3.1. Käyttötarkoitussidonnaisuuden periaate Henkilötietojen käsittely lähtee liikkeelle siitä, että rekisterinpitäjä määrittää tietyt käsittelytarkoitukset. Rekisteri muodostuu tiedoista, jotka liittyvät näihin määriteltyihin käsittelytarkoituksiin. Tiedot siitä, mitä tietoja käsitellään, miten ja mihin tarkoituksiin, tulee käydä läpi tietosuojaselosteelta eli rekisteröityjen informoinnista. Kun sitten mietitään, mihin eri tarkoituksiin rekisteröityjen henkilötietoja saa käyttää, tärkeimpänä ohjenuorana on edellä mainittu käyttötarkoitussidonnaisuuden periaate. Alla oleva kuva pyrkii vastaamaan kysymyksiin, mihin tarkoituksiin henkilötietoja saa käyttää.

24. 24 Tietoja saa käsitellä rekisterinpitäjän nimenomaisesti määrittelemiä alkuperäisiä tarkoituksia varten,

    joihin liittyen tietoja on kerätty. Myös alkuperäiseen yhteensopivat muut tarkoitukset ovat sallittuja, jos rekisteröity voi kohtuudella odottaa niitä ja se on asianmukaista alkuperäisiin tarkoituksiin nähden. Näin yleisessä tietosuoja-asetuksessa on huomioitu, että kaikkia yksityiskohtaisia tilanteita ei voida etukäteen määritellä. GDPR:ssä mainitaan erikseen tietyt tarkoitukset, joihin tietoja voidaan käyttää, vaikka ne olisi alun perin kerätty muuta tarkoitusta varten. Näitä ovat: • Yleisen edun mukaiset arkistointitarkoitukset. • Tieteelliset tai historialliset tutkimustarkoitukset. • Tilastolliset tarkoitukset Näihinkin tarkoituksiin käytettäessä on tehtävä tietojen minimointi eli säilytetään ja käsitellään vain tarkoitukseen välttämättömiä henkilötietoja. Mikäli mahdollista, tiedot tulee pseudonymisoida tai anonymisoida. Jos henkilötietoja halutaan käyttää johonkin uuteen tarkoitukseen, joka ei sovi edellä mainittuihin sallittuihin tai yhteensopiviin tarkoituksiin, se ei lähtökohtaisesti käy. Näin voi olla esimerkiksi tilanteessa, jossa asiakastietoja halutaan käyttää markkinointiin, tuotekehitykseen tai johonkin muuhun kokonaan uuden rekisterin luomiseen. Tällöin tarvitaan erikseen rekisteröidyn suostumus. Jos suostumusta ei saada, tietoja ei saada käyttää muihin tarkoituksiin. Suostumuksen sijasta voi olla myös muu käsittelyperuste, kuten sopimus, jos aiempia tietoja halutaan käyttää muuhun tarkoitukseen. Oleellista on, että käsittelyyn on aina GDPR:n mukainen peruste. 3.4. Henkilötietojen käsittelyn käytännön esimerkkejä ja haasteita 3.4.1. Henkilöstön tiedot Kuvitellaan tilanne, jossa asiakasyritys haluaa yrityksen sisäisiä lomalistoja ja yhteyshenkilölistoja. On ratkaistava, ovatko nämä rekistereitä ja kuka niiden rekisterinpitäjä. Toinen henkilöstöön liittyvä kysymys on, saako työnantaja laittaa työpaikalle näkyville listauksen, josta käyvät ilmi eniten poissa olleiden työntekijöiden nimet, tai listan työntekijöistä tehtyjen valitusten määristä. Ohjeita yllä mainittuihin tilanteisiin: • Yritys voi yleensä luovuttaa työhön liittyviä työntekijöiden tietoja esimerkiksi asiakkaille. • Jos kerätään muiden organisaatioiden henkilöiden tietoja, ne muodostavat rekisterin. • Tietoa työntekijöiden lomista ja sairaslomista ei pidä kertoa ulkopuolisille ilman suostumusta. Voidaan sanoa, että henkilö ei ole paikalla. • Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille todennäköisesti loukkaa työntekijöiden yksityisyyden suojaa. • Käytännössä valituksista voidaan julkaista esimerkiksi yleisiä tilastoja. Tiedot tulee anonymisoida eli julkaista niin, ettei yksittäisiä työntekijöitä voi päätellä niistä.

25. 25 3.4.2. Ennakkotapaus: puhelinnumeroiden julkaisu intranetissä Yritys julkaisi 300 linja-autonkuljettajan

    henkilökohtaiset puhelinnumerot intranetin puhelinluettelossa. Pääsy intranetiin oli vain työntekijöillä henkilökohtaisilla käyttäjätunnuksilla. Työntekijöillä oli käytössä myös työpuhelimet työssä käytettäviä sovelluksia varten. Työnantaja vetosi mm. siihen, että työpuhelimilla pystyi soittamaan vain tiettyihin numeroihin ja osa työntekijöistä ei käyttänyt lainkaan työpuhelinta, jolloin heitä ei tavoita työnumerosta. Apulaistietosuojavaltuutetun päätöksen mukaan: • Kyse oli henkilökohtaisten puhelinnumeroiden sähköisestä luovuttamisesta. • Työsopimus henkilötietojen käsittelyperusteena kattoi vain välittömästi työsuhteen kannalta tarpeelliset asiat. Puhelinnumeroiden julkaisu intranetissä ei kuulu niihin. • Työnantaja ei ollut huomioinut sitä, että osa puhelinnumeroista saattoi olla salaisia. • Yritykselle annettiin määräys saattaa käsittelytoimet GDPR:n säännösten mukaisiksi. • Huomio: Yritys ei ollut pyytänyt suostumuksia numeroiden julkaisulle, kuten tulisi tehdä. Lähde: Apulaistietosuojavaltuutetun päätös 20.6.2024, https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2024/2243 (ei lainvoimainen) 3.4.3. Ennakkotapaus: markkinointiviestit yritysten työntekijöille Rekisteröidyt kantelivat tietosuojavaltuutetulle erään yrityksen lähettämistä markkinointiviesteistä. Kyse oli tekstiviesteistä. Mainostaja ei ollut pyytänyt markkinointiin suostumuksia etukäteen. Rekisterinpitäjän mukaan vastaanottajien puhelinnumerot olivat sen asiakassegmenttiin kuuluvien yritysten nimissä. Puhelinnumerot oli ilmeisesti kerätty julkisista lähteistä. Tekstiviestejä lähetettiin runsaasti lyhyessä ajassa. Suoramarkkinoinnin aiheena olivat erilaiset kurssit, kuten tulityö ja asbestinpurku. Mainostaja ei välittänyt osan vastaanottajista ilmoittamasta markkinointikiellosta. Tapauksessa ratkaistiin se, milloin suoramarkkinointi kohdistuu yhteisölle, ja milloin luonnolliselle henkilölle. Päätöksen mukaan: • Rekisterinpitäjän olisi tullut erikseen selvittää vastaanottajien asema ja arvioida etenkin se, liittyikö markkinoinnin aihe (kurssit) olennaisesti henkilöiden työtehtäviin. • Koska suoramarkkinoinnin ei voitu katsoa olleen yhteisöille kohdistettua (vaan luonnollisille henkilöille), rekisterinpitäjän olisi pitänyt pyytää sähköiseen suoramarkkinointiin suostumus. • TSV:n seuraamuskollegio määräsi yritykselle 7000 euron seuraamusmaksun (3,3 % liikevaihdosta). • Johtopäätös: varmista, että vastaanottaja edustaa yhteisöä nimenomaan markkinoinnin aiheeseen liittyvissä asioissa, jos sähköistä suoramarkkinointia tehdään ilman suostumusta. Lähde: Tietosuojavaltuutetun toimisto, 5.8.2020, https://tietosuoja.fi/-/yritykselle-seuraamusmaksu-sahkoisen-suoramarkkinoinnin-harjoittamisesta- ilman-ennalta-annettua-suostumusta-ja-rekisteroidyn-oikeuksien-laiminlyonnista

26. 26 3.4.4. Tekoälysovellukset ja henkilötiedot Uusien sovellusten käyttöönotto voi altistaa

    helposti virheille henkilötietojen käsittelyssä. Tekoälysovellusten yleistyttyä niihin saatetaan syöttää vahingossa myös suojattavia henkilötietoja. Harmonic-niminen yritys on selvittänyt oman datansa avulla, kuinka paljon henkilötietoja oli annettu tekoälysovelluksille. Niihin oli annettu sekä asiakkaiden että työntekijöiden erittäin herkkiä henkilötietoja. Vaikka tulosten yleistettävyys ei välttämättä ole hyvä, se toimii tärkeänä varoituksena. Tutkitussa aineistossa eniten tekoälysovelluksille syötettiin asiakastietoja: niiden osuus oli 46 % vuotaneesta sensitiivisestä datasta. Tämä sisälsi arkaluontoista tietoa kuten asiakasraportteja, osoitteita ja maksukorttitietoja. Toiseksi eniten vuotaneesta datasta (27 %) oli työntekijöiden tietoja. Niihin sisältyi esimerkiksi palkkalaskelmia, suoriutumisarvioita ja rekrytointipäätöksiä. Useimmiten kyse oli tekoälysovellusten ilmaisversioista. Tyypillisesti ilmaissovellusten käyttöehdot sallivat tiedon käyttämisen palvelun parantamiseen tai kielimallin kouluttamiseen. Ongelman ydin on, että asiakkaiden ja työntekijöiden henkilötietoja ei saisi käyttää ulkopuolisen sovelluksen kehittämiseen. Tämä johtuu käyttötarkoitussidonnaisuuden periaatteesta, jonka mukaan tietoja saa käyttää vain alkuperäisiin tarkoituksiin, kuten asiakassuhteeseen tai työsuhteeseen liittyen. On tärkeää olla tarkkana, mihin sovelluksiin henkilötietoja päätyy. Jos henkilötietoja aiotaan käyttää ulkopuolisissa sovelluksissa, niiden palveluntarjoajien kanssa on tehtävä sopimus henkilötietojen käsittelystä, arvioitava käsittelyyn liittyvät riskit ja päätettävä tarvittavista suojatoimista. Lähde: Harmonic, 2024, https://www.harmonic.security/blog-posts/new-research-the-data-leaking-into-genai-tools ja https://www.harmonic.security/resources/from-payrolls-to-patents-the-spectrum-of-data-leaked- into-genai 3.5. Vastuu yrityksen tietosuojasta ja tietosuojavastaavan asema Kokonaisvastuu tietosuojasta kuuluu rekisterinpitäjälle, mutta tietosuojan käytännön toteutukseen osallistuu koko organisaatio, johdosta ja esimiehistä työntekijöihin ja tietosuojavastaavaan, kukin oman roolinsa ja vastuualueensa mukaisesti. Rekisterinpitäjä: • Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta. • Määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

27. 27 • Voi olla yksi tai useampi henkilö, yritys tai

    muu organisaatio. Yleensä rekisterinpitäjänä toimii yrittäjä tai yritys. • Rekisterinpitäjällä on GDPR:n mukaan velvollisuus kuulla tietosuojavastaavaa, kun se tekee henkilötietojen käsittelyyn liittyviä päätöksiä. Organisaation johto ja esimiehet: • Organisaation johdolla myös kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta. • Esimiehet huolehtivat tietosuojasta oman tehtävänsä, vastuualueensa ja roolinsa mukaisesti. • Esimerkin näyttäminen ja tietosuojakulttuurin edistäminen on johdon vastuulla. Tietosuojavastaava: • Ei vastaa henkilötietojen käsittelyn lainmukaisuudesta. Vastuu siitä kuuluu rekisterinpitäjälle. • Tehtävänä on vastata neuvonnasta, kehittämisestä ja seurannasta. • Toimii yhteyshenkilönä valvontaviranomaiseen ja rekisteröityihin. • Antaa suosituksia. Tärkeä rooli riskiarvioinnissa ja vaikutustenarvioinnissa. Henkilöstö, kaikki työntekijät: • Jokainen työntekijä on vastuussa omasta toiminnastaan ja annettujen ohjeiden noudattamisesta. • Työnantajan antamat tietosuojaan liittyvät ohjeet ovat henkilöstölle velvoittavia. • Ongelmista ilmoittaminen on jokaisen vastuulla. 3.4.1. Milloin yrityksen on nimitettävä tietosuojavastaava? Tietosuojavastaavan (eng. Data Protection Officer, DPO) tehtävä perustuu useimmiten yleiseen tietosuoja-asetukseen (artiklat 37-39). Sosiaali- ja terveysalan palveluntuottajien ja apteekkien on pitänyt asettaa tietosuojavastaava vuodesta 2007 lähtien (lait 61/2007 ja 159/2007). Tietosuojavastaavan nimittäminen on monessa tapauksessa pakollista: • Rekisterinpitäjä on julkishallinnon toimija (poislukien tuomioistuimet tiettyjen tehtäviensä osalta)

28. 28 • Ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa

    • Ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin (mm. terveys, entinen alkuperä, poliittiset mielipiteet, uskonnollinen vakaumus, seksuaalinen suuntautuminen) tai rikostuomioita tai rikkomuksia koskeviin tietoihin. (Ydintehtäviä eivät ole tavalliset tukitoiminnot kuten palkanmaksu ja IT-tuki.) Jos organisaation on nimitettävä tietosuojavastaava, tulee sellainen olla koko ajan. Esimerkiksi vakituisen tietosuojavastaavan loman ajaksi voidaan nimittää sijainen. Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. Tietosuojavastaava voi olla myös ulkoistettu palveluntarjoaja. Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal- content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1 "KUN HENKILÖTIETOJEN KÄSITTELY ON JÄRJESTETTY TIETOSUOJAPERIAATTEIDEN MUKAISESTI, REKISTERINPITÄJÄ JA REKISTERÖIDYT VOIVAT NUKKUA YÖNSÄ RAUHASSA."

29. 29 4. Tietosuojan riskienhallinta – milloin on tehtävä vaikutustenarviointi? Tässä

    osiossa opit tietosuojan riskienhallinnasta. Erityisesti käsittelemme sitä, milloin on tehtävä tietosuojan vaikutustenarviointi, jolla pyritään löytämään keinoja henkilötietojen riittävän suojatason varmistamiseen. Käymme läpi esimerkkejä henkilötietotyypeistä ja niihin liittyvistä riskeistä. Keskeisenä asiana on arvioida henkilötietojen käsittelyyn liittyviä riskejä, ja mitkä käsittelytoimet edellyttävät vaikutustenarvioinnin tekemistä. Saat tietoa vaikutustenarvioinnin vähimmäisvaatimuksista ja sen dokumentoinnista. Osio sisältää riskiarviointitestin, jolla voit helposti arvioida, onko tietystä henkilötietojen käsittelystä tehtävä tietosuojaa koskeva vaikutustenarviointi. 4.1. Henkilötietoihin liittyvät riskit Henkilötietojen käsittelyyn liittyy riskejä, jotka voivat aiheuttaa haittaa luonnollisten henkilöiden oikeuksille ja vapauksille. Rekisterinpitäjän on aina arvioitava henkilötietoihin liittyvät riskit ja suunniteltava käsittely niin, että erityisesti korkeiden riskien toteutuminen vältettäisiin. Riskit ovat korkeampia esimerkiksi silloin, kun käsitellään erityisiä henkilötietoja tai salassa pidettäviä tietoja. Alla olevaan taulukkoon on koottu esimerkkejä henkilötietoihin liittyvistä riskeistä. Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, markkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, asiakasnumero, opiskelijanumero, OID Tunnistetieto/ pseudonymisoitu tunniste Voidaan ehkä käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Etninen tausta, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seks.suuntautuminen, geneet. ja biometr. tunnisteet Erityinen henkilötieto (GDPR) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto (julkisuuslaki) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen

30. 30 4.2. Tietosuojan vaikutustenarvioinnin tarpeen arviointi Tietosuojaa koskeva vaikutustenarviointi (TVA)

    on yleiseen tietosuoja-asetukseen perustuva työkalu riskien tunnistamiseen, arviointiin ja hallintaan. Tietosuojan vaikutustenarviointi on GDPR:n 35 artiklan mukaan tehtävä, kun henkilötietojen käsittely ”todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin”. Riskiarviossa on siis huomioitava henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Seuraava nelikenttä auttaa arvioinnin teossa: Usein täyttyviä kriteereitä korkean riskin arvioinnissa: • Erityiset henkilötiedot • Salassa pidettävät tiedot • Rekisteröidyn heikko asema • Sijaintitiedot (seuranta) • Suuri lukumäärä • Pitkä säilytysaika • Luottamukselliset tiedot Mitä useampia riskipitoisia piirteitä käsittelyyn liittyy, sitä vakavampia rekisteröidyille koituvat haitat mahdollisesti ovat. Vaikutustenarviointi on todennäköisesti tehtävä, jos henkilötietojen käsittelyyn liittyy vähintään kaksi riskipitoista kriteeriä. Vaikutustenarviointiin voidaan päätyä myös yhden riskin vuoksi, jos riski on loukkauksen tai haitan todennäköisyys huomioiden arvioitava korkeaksi.

31. 31 Mikäli riskiä on pidettävä korkeana, on tehtävä tietosuojaa koskeva

    vaikutustenarviointi. Vaikutustenarvioinnin tekoa voi suositella myös epäselvissä tapauksissa, sillä sen tarkoitus on löytää tehokkaita suojatoimia ja osoittaa, että rekisterinpitäjä on tehnyt parhaansa riskien minimoimiseksi. Lisätietoa riskien arvioinnista ja vaikutustenarvioinnista tietosuojavaltuutetun sivustolta: https://tietosuoja.fi/arvioi-riskit https://tietosuoja.fi/vaikutustenarviointi Esimerkkejä vaikutustenarvioinnin tarpeesta: Esimerkkejä henkilötietojen käsittelystä Mahdolliset olennaiset kriteerit Vaaditaanko todennäköisesti vaikutustenarviointi? Yritys seuraa järjestelmällisesti työntekijöidensä toimintaa, esimerkiksi työntekijöiden työasemia ja toimintaa internetissä jne. - Järjestelmällinen valvonta - Heikossa asemassa olevia rekisteröityjä koskevat tiedot KYLLÄ Sosiaalisen median julkisten tietojen kerääminen profiilien laatimiseksi. - Arviointi tai pisteytys - Tietojen laajamittainen käsittely - Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen - Arkaluontoiset tiedot tai luonteeltaan hyvin henkilökohtaiset tiedot KYLLÄ Heikossa asemassa olevia rekisteröityjä koskevien ja peitenimellä tallennettujen, tutkimushankkeisiin tai kliinisiin tutkimuksiin liittyvien arkaluontoisten henkilötietojen tallentaminen arkistointitarkoituksiin. - Arkaluontoiset tiedot - Heikossa asemassa olevia rekisteröityjä koskevat tiedot - Estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta KYLLÄ (useita kriteereitä) Verkkolehti käyttää postituslistaa päivittäisen yleiskoosteen lähettämiseen tilaajilleen - Tietojen laajamittainen käsittely EI (vain 1 kriteeri) Sähköisen kaupankäynnin verkkosivustolla esitetään museoajoneuvojen osia koskevia ilmoituksia, joihin liittyy kyseisellä verkkosivustolla katsottuihin tai hankittuihin tavaroihin perustuva rajoitettu profilointi - Arviointi tai pisteytys EI (vain 1 kriteeri) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf

32. 32 EU:n yleisen tietosuoja-asetuksen 35 artiklan mukaan vaikutustenarviointia vaaditaan lisäksi

    erityisesti tapauksissa, joissa: • otetaan käyttöön uutta teknologiaa • käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä • on kyse järjestelmällisestä ja kattavasta automaattiseen päätöksentekoon perustuvasta arvioinnista • on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta Lisäksi on tietosuojavaltuutetun lista käsittelyistä, jotka edellyttävät vaikutustenarvioinnin tekoa: • Biometriset tiedot • Geneettiset tiedot • Sijaintitiedot • Poikkeaminen rekisteröidyn informoinnista tietosuoja-asetuksen 14.5 artiklan nojalla • Lisäksi, kun vähintään yksi seuraavista kriteereistä täyttyy: o tietoja käsitellään automaattisessa päätöksenteossa, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia o tietoja käsitellään järjestelmällisen valvonnan yhteydessä o tietoja käsitellään laajamittaisesti o tietoja sovitetaan yhteen tai yhdistetään muihin tietokokonaisuuksiin o käsiteltävät tiedot ovat heikossa asemassa olevien rekisteröityjen (esim. lapset, työntekijät) o uusien teknisten ja organisatoristen ratkaisujen innovatiivisten käytön tai soveltamisen yhteydessä o tietojen käsittely estää rekisteröityjä käyttämästä oikeutta tai palvelua • Sijaintitiedoissa lisäksi: Sijaintitiedot paljastavat arkaluontoisia tai luonteeltaan hyvin henkilökohtaisia tietoja. • Whistleblowing-/ilmiantojärjestelmät: Vaikutustenarviointi on tehtävä aina. Lähde: https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista Vaikutustenarvioinnin tarve voi seurata tietosuoja-asetuksen velvoitteista, tietosuojavaltuutetun laatimasta listasta tai kansallisesta lainsäädännöstä. Tämän oppaan liitteenä on riskiarviotesti, jonka avulla voit helposti arvioida, onko vaikutustenarviointiin syytä ryhtyä. 4.3. Tietosuojan vaikutustenarvioinnin (DPIA) vaatimukset ja vaiheet Vaikutustenarvioinnin (eng. data protection impact assesment, DPIA) tarkoitus on tunnistaa henkilötietojen käsittelyyn liittyviä riskejä ja löytää uhkia vähentäviä lisäsuojatoimenpiteitä. Tavoitteena on saada laskettua jäännösriski hyväksyttävälle tasolle, jotta käsittely voidaan aloittaa. Vaikutustenarvioinnin teko on rekisterinpitäjän vastuulla. Myös mahdollisten henkilötietojen käsittelijöiden on hyvä osallistua sen tekoon. Rekisterinpitäjän tulee kysyä neuvoja tietosuojavastaavalta, mikäli sellainen on nimitetty. Tietosuojavastaava voi myös antaa suosituksia vaikutustenarvioinnin tekotavasta ja hän valvoo vaikutustenarvioinnin tekoa.

33. 33 Tietosuojan vaikutustenarvioinnin vaatimukset ja vaiheet: 1. Kuvaus suunnitelluista henkilötietojen

    käsittelytoimista ja käsittelyn tarkoituksista, ml. rekisterinpitäjän oikeutetut edut. 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin. 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä (ml. rekisteröityjen näkemykset). 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. 5. Dokumentointi ja hyväksyminen. Mikäli sama käsittely toistuu, voidaan käyttää aiemmin vastaavasta tapauksesta tehtyä vaikutustenarviointia. Vaikutustenarviointi tulee kuitenkin tarkistaa ja päivittää, jos käsittelyssä tapahtuu muutoksia tai esimerkiksi toimintaympäristö muuttuu niin, että uhkat tai lisäsuojatoimenpiteet on syytä arvioida uudestaan. Mikäli vaikutustenarvioinnin tuloksena ei löydetä toimenpiteitä, joilla vältetään rekisteröidyille koituva korkea riski, rekisterinpitäjän tulee kuulla valvontaviranomaista eli ryhtyä ennakkokuulemiseen. Lisätietoa: Tietosuoja-asetuksen 35 artikla, https://eur-lex.europa.eu/legal- content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#art_35 4.3.1. Tietosuojan vaikutustenarvioinnin ohje (TSV, 2021) Tietosuojavaltuutetun (TSV) toimisto on laatinut yksityiskohtaisen ohjeen vaikutustenarvioinnin teosta. Ohje koostuu PDF-julkaisusta ja siihen liittyvästä Excel-työkalusta. Niiden avulla vaikutustenarvioinnin

34. 34 tekeminen onnistuu siten, että seuraa Excel-työkalussa olevia vaikutustenarvioinnin vaiheita

    ja samalla käyttää ohjetta apuna. Ohjeessa on esimerkkejä ja hyödyllisiä apukysymyslistoja. Vaikutustenarvioinnin vaiheet TSV:n Excel-työkalun välilehtien mukaan: 1. Yleiset 2. Kuvaus 3. Tarpeellisuus ja oikeasuhteisuus 4. Tietosuojaperiaatteet 5. Käsittelijät ja siirrot 6. Rekisteröidyn oikeudet 7. Uhat 8. Riskien arviointi 9. Yhteenveto 10. Hyväksyminen 11. Jatkotoimenpiteet Tietosuojavaltuutetun vaikutustenarvioinnin ohje, PDF-julkaisu: https://tietosuoja.fi/documents/6927448/66036250/TVA+ohje.pdf/ Ohjeeseen liittyvät Excel-työkalu: https://tietosuoja.fi/documents/6927448/66036250/LIITE+I+TVA+ty%C3%B6kalu.xlsx/ 4.3.2. Uhkien tunnistaminen ja arviointi vaikutustenarvioinnissa Tietosuojavaltuutetun vaikutustenarvioinnin Excel-työkalun vahvuutena on, että se johdattelee käymään systemaattisesti läpi suunnitellun henkilötietojen käsittelyn. Sen avulla voi arvioida vaiheittain, mitä henkilötietoja käsitellään, miten niitä käytetään, miten rekisteröityjen oikeudet toteutetaan ja miten tietosuojaperiaatteita noudatetaan. Työkalun avulla löydetään samalla riskejä, jotka liittyvät esimerkiksi puutteisiin rekisteröityjen oikeuksien toteuttamisessa ja tietosuojaperiaatteiden noudattamisessa. Työkalun "Uhat"-välilehdelle kootaan aiempien välilehtien ja apukysymysten avulla tunnistetut riskit. Tavoitteena on siis lisätä ja arvioida tietosuojaan liittyvät uhat sitä mukaan, kun niitä tunnistetaan.

35. 35 Uhat voivat liittyä myös muihin perusoikeuksiin kuin tietosuojaan, ja

    niiden vaikutukset voivat olla fyysisiä, aineellisia tai aineettomia eli henkisiä haittoja. Vaikutustenarvioinnin ohjeessa on tarkemmat esimerkit uhkien vakavuuden arviointia varten. Yksittäinen uhka voi liittyä useaan tietosuojaperiaatteeseen ja käsittelyn vaiheeseen eli taulukon rivien elinkaaren vaiheisiin. Jos sama uhka liittyy moneen vaiheeseen, sitä ei tarvitse kirjata moneen kertaan, vaan yksi kirjaus riittää siihen kohtaan, johon se eniten liittyy. Uhan aiheuttaja voi olla sisäinen (esim. sisäinen urkinta) tai ulkoinen (esim. verkkorikolliset). Muita aiheuttajia voivat olla inhimilliset tekijät tai olosuhteisiin liittyvät seikat kuten haittaohjelmat, virukset tai laiterikot. Uhkien tunnistamisen jälkeen seuraa riskien arviointi: • Arvioinnissa pohditaan uhan vaikutuksia ja seurauksia rekisteröidylle sekä todennäköisyyttä. • Jokaisen tunnistetun uhan osalta arvioidaan sen vakavuus ja todennäköisyys. Nämä arvioidaan asteikolla 1-4. • Riskiluku saadaan kertolaskuna: vakavuus x todennäköisyys. • Jos riskiluku on vähintään 8, se katsotaan liian korkeaksi. Vaikutustenarvioinnin tavoitteena on löytää suojatoimenpiteitä, joilla riskit saadaan alennettua hyväksyttävälle tasolle. Hyväksyttävä taso on alle 8:n, mikä esitetään työkalussa vihreällä värillä. • Tavoitteena on löytää niin tehokkaita suojatoimenpiteitä, että ne vähentävät uhan vakavuutta tai todennäköisyyttä niin, että ne laskevat riskiluvun alle 8:n. • Suunnitellut suojatoimenpiteet kirjataan vaikutustenarviointiin. • Sen jälkeen tehdään jäännösriskin arviointi eli jokaisen uhan vakavuus ja todennäköisyys arvioidaan uudelleen suojatoimenpiteet huomioiden. Näin lasketaan jäännösriski. Vaikutusten arvioinnin päätarkoitus on siis löytää lisäsuojatoimenpiteitä, jotka lieventävät liian suuria uhkia tai poistavat ne kokonaan. Vaikka prosessi voi vaikuttaa monimutkaiselta tai byrokraattiselta, sen lopullisena tavoitteena on tunnistaa uhat – mitä edesauttaa suunnitellun henkilötietojen käsittelyn systemaattinen läpikäynti – ja löytää suojatoimenpiteitä, joilla uhat saadaan pienennettyä riittävän

36. 36 pieniksi eli hyväksyttävälle tasolle. Henkilötietojen käsittely voidaan aloittaa vasta

    sen jälkeen, kun päätetyt suojatoimenpiteet on toteutettu. Jos riittävän tehokkaita suojatoimenpiteitä ei löydetä ja jäännösriski pysyy korkeana (yli 8:n), käsittelyä ei saa aloittaa. Tällöin täytyy pyytää ennakkokuuleminen tietosuojavaltuutetulta ja sitä kautta ohjeita käsittelyn riittävän turvalliseen toteuttamiseen. Lisätietoa ennakkokuulemisesta tietosuojavaltuutetun sivustolta: https://tietosuoja.fi/ennakkokuuleminen 4.4. Ennakkotapaus: vaikutustenarvioinnin laiminlyönti Kymen Vesi Oy käytti ajopäiväkirjajärjestelmää ja sen sijaintitietoja työajan valvontaan. Rekisterinpitäjä ei ollut tehnyt vaikutustenarviointia, mutta oli arvioinut järjestelmää muulla tavoin huolellisesti sekä käsitellyt sitä työntekijöiden kanssa. Sijaintitietojen käyttö yhdistettynä heikossa asemassa oleviin rekisteröityihin on käsittelytoimi, josta tulee tehdä aina vaikutustenarviointi tietosuojavaltuutetun luettelon mukaan. Tietosuojavaltuutetun päätös: • Vaikka vaikutustenarvioinnille ei ole muodollisia vaatimuksia, sen tulee sisältää GDPR:n 35 artiklan 7 kohdan mukaiset elementit. Näin ei tässä tapauksessa ollut. • Tietosuojavaltuutettu antoi yritykselle huomautuksen. Lisäksi seuraamuskollegio määräsi yritykselle 16 000 euron seuraamusmaksun. Lähde: Tietosuojavaltuutetun toimisto, 2020, https://tietosuoja.fi/-/tietosuojavaltuutetun-toimiston-seuraamuskollegio-maarasi-kolme- seuraamusmaksua-tietosuojarikkomuksista VAIKUTUSTENARVIOINNIN TARKOITUS ON LÖYTÄÄ LIIAN SUURIA UHKIA VÄHENTÄVIÄ LISÄSUOJATOIMENPITEITÄ.

37. 37 5. Tietosuojan varmistavat suojatoimet – tietoturva osana tietosuojaa Tässä

    osiossa keskitymme tietosuojan varmistaviin suojatoimiin ja siihen, miten tietoturva on olennainen osa tietosuojaa. Käymme läpi teknisiä ja organisatorisia suojatoimia, kuten käyttäjätunnuksia, salasanoja, tietojen varmuuskopiointia sekä työntekijöiden perehdytystä ja ohjeistusta. Lisäksi syvennymme sisäänrakennetun ja oletusarvoisen tietosuojan periaatteisiin. Käymme myös läpi suojatoimia, joita pienyrityksen on suositeltavaa tehdä. 5.1. Sisäänrakennettu ja oletusarvoinen tietosuoja GDPR:n 25 artikla edellyttää rekisterinpitäjää toteuttamaan käsittelyyn liittyvät riskit huomioiden "asianmukaiset tekniset ja organisatoriset toimenpiteet", jotta käsittelyssä noudatetaan tietosuojaperiaatteita, se vastaisi tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Tavoitteena on varmistaa, että käsitellään "vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja". Tämä velvoite koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Erityisesti on varmistettava, ettei henkilötietoja saateta rajoittamattoman henkilömäärän saataville. Suosituksia sisäänrakennetulle ja oletusarvoiselle tietosuojalle: • Rekisterinpitäjien on huomioitava tietosuoja jo käsittelytoimien suunnittelun alkuvaiheissa, jo ennen käsittelytapojen määrittämistä. • Rekisterinpitäjien, henkilötietojen käsittelijöiden ja tuottajien on otettava huomioon velvollisuutensa taata alle 18-vuotiaille lapsille ja muille heikossa asemassa oleville ryhmille erityissuoja sisäänrakennetun ja oletusarvoisen tietosuojan noudattamisessa. • Rekisterinpitäjien ei tule valita sellaisia tuottajia tai henkilötietojen käsittelijöitä, jotka eivät voi tarjota järjestelmiä, jotka täyttävät GDPR:n vaatimukset tietosuojasta (25 artikla). • Rekisterinpitäjien on kohdeltava rekisteröityjä oikeudenmukaisesti ja oltava avoimia siinä, miten ne arvioivat ja osoittavat, että sisäänrakennettu ja oletusarvoinen tietosuoja on pantu täytäntöön tehokkaasti, samalla tavalla kuin ne osoittavat noudattavansa yleistä tietosuoja- asetusta. • Käytössä oleviin aiempiin järjestelmiin sovelletaan samoja tietosuojaa koskevia velvollisuuksia kuin uusiin järjestelmiin. o Jos aiemmat järjestelmät eivät jo noudata sisäänrakennettua ja oletusarvoista tietosuojaa eikä voida tehdä muutoksia, niitä ei voida käyttää henkilötietojen käsittelemiseen. • Tietosuojavastaavaa kannustetaan osallistumaan sisäänrakennetun ja oletusarvoisen tietosuojan varmistamiseen esimerkiksi hankinnoissa ja kehittämisprojekteissa. Lähde: EDPB, 2020, Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, https://edpb.europa.eu/system/files/2021- 04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_fi.pdf

38. 38 5.2. Henkilötietojen käsittelyn riskienhallinta Henkilötietojen käsittelyn riskien hallinta alkaa

    jo käsittelytoimien määrittelystä. Riskit on aina ensin arvioitava ja mietittävä niihin sopivia suojatoimia ennen kuin käsittelyä aloitetaan. Jos riskienhallintaa ei toteuteta, rekisterinpitäjä laiminlyö velvollisuutensa huolehtia sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Pahimmillaan se voi johtaa siihen, että henkilötietojen käsittelyyn liittyvää korkeaa riskiä ei havaita, tarvittavia suojatoimenpiteitä ei tehdä ja henkilötietoja saatetaan käyttää tietosuoja-asetuksen vastaisesti tai seurauksena on tietoturvaloukkaus. Seuraavassa on esitetty, miten henkilötietojen käsittely ja siihen liittyvät riskit tulisi huomioida. 1. Aluksi määritellään henkilötietojen käsittelyn peruste, tarkoitukset ja keinot. Jo tässä vaiheessa tulee miettiä tietojen suojaamista ja suojatoimia. 2. Seuraavaksi tehdään perusriskiarviointi. Apuna voi käyttää liitteenä olevaa riskiarviointitestiä, jolla voi arvioida tarvetta tehdä laajempi tietosuojan vaikutuksenarviointi. 3. Henkilötietojen käsittelylle on tehtävä GDPR:n mukainen tasapainotesti, jos käsittelyperusteena on rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Myös sen osana arvioidaan riskejä. 4. Jos henkilötietojen käsittelyyn voi kohdistua korkea riski, on tehtävä tietosuojaa koskeva vaikutustenarviointi. Sen osana pyritään löytämään lisäsuojatoimenpiteitä, joilla jäännösriski saadaan laskettua hyväksyttävälle tasolle. Katso tätä koskeva luku ohjeesta. 5. Kaikkien edeltävien vaiheiden tuloksena on oltava päätettynä ne tekniset ja organisatoriset suojatoimet, jotka varmistavat riittävän suojan henkilötietojen käsittelyssä. Kun suojatoimet on toteutettu, voidaan aloittaa suunniteltu henkilötietojen käsittely. 6. Seuraavaksi voidaan tehdä rekisterinpitäjän seloste käsittelytoimista, 7. ja rekisteröityjen informointi kuten tietosuojaseloste sekä 8. sopimukset ja ohjeet henkilötietojen käsittelijöille. Kaikissa näissä huomioidaan päätetyt suojatoimet.

39. 39 9. Jatkossa tulee tehdä seurantaa ja kehittämistä tarpeen mukaan.

    Tähän kuuluu muun muassa reagointi uusiin tietosuojauhkiin, tarvittaessa vaikutustenarvioinnin toistaminen ja suojatoimenpiteiden päivittäminen. 5.3. Henkilötietojen käsittelyn minimointi Yksi tehokas keino välttää henkilötietojen käsittelyyn liittyvien riskien syntymistä on vähentää käsiteltävien henkilötietojen tyyppejä ja määrää. Jo suunnittelun yhteydessä tulisi huolehtia, että mitään tarpeettomia henkilötietoja ei kerättäisi ja käsiteltäisi. Juuri tästä on kyse yleisen tietosuoja- asetuksen minimoinnin periaatteessa. Sisäänrakennetun tietosuojan ja käsittelyn minimoinnin ohjeita: • Henkilötietojen käsittelyn välttäminen: ei käytetä henkilötietoja, jos se on mahdollista. • Rajoittaminen: rajoitetaan henkilötietojen määrä tarkoituksen kannalta välttämättömään. • Käytön rajoittaminen: suunnitellaan toiminta niin, että mahdollisimman pieni määrä ihmisiä käsittelee henkilötietoja työtehtävissään, ja rajoitetaan käyttöä sen mukaan. • Olennaisuus: henkilötietojen on oltava kyseisen käsittelyn kannalta olennaisia, ja rekisterinpitäjän on voitava osoittaa olennaisuus. • Tarpeellisuus: jokaisen henkilötietoryhmän on oltava tarpeen määritetyissä tarkoituksissa, ja niitä on käsiteltävä vain, jos tarkoitusta ei voida täyttää muilla keinoilla. • Yhdisteleminen: käytetään yhdistelmätietoja, mikäli mahdollista. • Pseudonymisointi: pseudonymisoidaan henkilötiedot heti, kun henkilötietoja ei enää tarvita suoraan tunnistamiseen, ja säilytetään tunnistamisavaimet erikseen. • Anonymisointi ja poistaminen: kun henkilötietoja ei enää tarvita määritettyihin tarkoituksiin, ne on anonymisoitava tai hävitettävä. • Tiedonsiirto: tiedonsiirron on oltava siten tehokasta, että henkilötiedoista ei luoda tarpeettomia kopioita. Lähde: EDPB, 2020, Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, https://edpb.europa.eu/system/files/2021- 04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_fi.pdf 5.4. Tekniset ja organisatoriset suojatoimet Rekisterinpitäjän eli esimerkiksi yrityksen vastuulla on aina toteuttaa ”tekniset ja organisatoriset suojatoimet”, joilla varmistetaan henkilötietojen pysyminen suojassa sekä GDPR:n tietosuojaperiaatteiden ja rekisteröityjen oikeuksien noudattaminen. Käytännössä kyse on sekä teknisistä toimenpiteistä että yrityksen henkilöstön ja sen käyttämien alihankkijoiden ja palveluntarjoajien toimintatavoista. Tekniset suojatoimet keskittyvät järjestelmien ja tietojen fyysiseen ja loogiseen suojaamiseen. Niitä ovat esimerkiksi: • Käyttäjätunnukset ja salasanat • Käyttäjän tunnistaminen muilla tunnisteilla • Käyttöoikeudet ja lokitiedot • Järjestelmien asetukset

40. 40 • Tekninen suojaus, salaus • Anonymisointi ja pseydonymisointi •

    Virus- ja haittaohjelmien torjunta • Häiriöiden ja hyökkäysten tunnistaminen • Ohjelmistopäivitykset • Varmuuskopiointi Organisatoriset suojatoimet liittyvät prosesseihin, käytäntöihin ja henkilöstön toimintaan. Niitä ovat: • Tietosuojaa koskevat päätökset • Kirjalliset käsittelyohjeet • Tietosuojakoulutukset • Toimintatavat, tietosuojakulttuuri • Ajankohtaisista riskeistä tiedottaminen • Henkilötietoja koskeva dokumentaatio • Luottamuksellisuusmerkinnät asiakirjoissa • Tietosuojan huomiointi sopimuksissa • Henkilötietojen käsittelysopimukset • Henkilötietojen käsittelyn valvonta 5.4.1. Yleisiä suosituksia teknisille ja organisatorisille suojatoimille Seuraavat suositukset soveltuvat henkilötietojen suojaamiseksi esimerkiksi pienyrityksessä: • Laitteistojen, ohjelmistojen, viestintäkanavien, paperiaineistojen ja toimitilojen suojaaminen. • Henkilökohtaiset käyttäjätunnukset, automaattinen uloskirjautuminen, virustorjunta ja palomuurit. • Säännöllinen varmuuskopiointi eri paikkaan. • Ulkoisten tallennusvälineiden käytön minimointi. • Ohjelmistojen päivitykset viipymättä. • Tietosuojan ohjeet ja koulutus työntekijöille. • Luottamuksellisuuslausekkeet työntekijäsopimuksissa. • Turvallisuuskäytännöt etätyölle (esim. VPN). • Henkilötietojen poistaminen tai anonymisointi, kun niitä ei enää tarvita. Tavallisimpia suojatoimia – tee ainakin nämä! • Ei käsitellä henkilötietoa, jos pärjätään ilman sitäkin. • Poistetaan sellaiset henkilötiedot, joita on saatu tai saadaan, mutta ei tarvita. • Minimoidaan henkilötietojen määrä, käsittelyn laajuus, säilytysaika ja saatavilla olo. • Huolehditaan suojaamisesta tietojärjestelmissä, tallennettaessa ja siirrettäessä. • Huolehditaan käyttöoikeuksista ja niiden päivittämisestä työtehtävien muuttuessa. • Laaditaan työntekijöille yleiset tietosuojaohjeet sekä käsittelyohjeita eri tehtäviin. • Koulutetaan työntekijöitä toimimaan oikein heidän työtehtäviinsä liittyvissä tilanteissa ja käytettävissä tietojärjestelmissä. • Valvotaan henkilötietojen käsittelyä ja tehdään satunnaistarkastuksia. • Laaditaan tietojen poistolle suunnitelma ja varmistetaan sen noudattaminen. • Reagoidaan tietosuojahäiriöihin ja –loukkauksiin sekä kehitetään suojatoimia niiden mukaan.

41. 41 Alla on listaus, jota voi käyttää apuna yrityksen teknisten

    ja organisatoristen suojatoimien suunnittelussa. Listan ei ole tarkoitus olla kattava, vaan siihen on koottu yleisesti käytettyjä keinoja. 5.4.2. Henkilötietojen käsittelijän toteuttamat suojatoimenpiteet Henkilötietojen käsittelyn sopimuksessa tulisi olla seuraavat tiedot: • toteutettavat suojatoimenpiteet tai viittaus niihin (käsittelijäkin voi ehdottaa!) • käsittelijän velvollisuus hankkia hyväksyntä ennen suojatoimenpiteiden muutoksia • toimenpiteiden säännöllinen uudelleentarkastelu muuttuvien riskien havaitsemiseksi • käsittelijän velvollisuus auttaa rekisterinpitäjää vaikutustenarviointien teossa Henkilötietojen käsittelijän on avustettava rekisterinpitäjää ”tarvittaessa ja pyydettäessä” vaikutustenarviointien teossa ja valvontaviranomaisen ennakkokuulemisessa. • Rekisterinpitäjän on tehtävä aloite tietosuojaa koskevan vaikutustenarvioinnin tekemisestä, ei henkilötietojen käsittelijän. • Henkilötietojen käsittelijän on toimitettava vaikutustenarvioinnissa tarvittavat tiedot. • Käytännössä henkilötietojen käsittelijä voi ehdottaa vaikutustenarvioinnin tekoa sekä tehdä sen, jos rekisterinpitäjä niin pyytää. Vastuu vaik.arvioinnin teosta on silti rekisterinpitäjällä. • Rekisterinpitäjän vastuulla on ohjeistaa mahdolliset tietosuojan varmistavat lisäsuojatoimenpiteet henkilötietojen käsittelijälle. Lähde: EDPB, 2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2023- 10/edpb_guidelines_202007_controllerprocessor_final_fi.pdf

42. 42 5.4.3. Huomioitavat tekijät suojatoimien tehokkuuden arvioinnissa Mitään tiettyjä teknisiä

    tai organisatorisia toimenpiteitä ei edellytetä vaan sitä, että valitut toimenpiteet suojaavat tietosuojaperiaatteiden toteutumisen juuri suunnittelussa käsittelyssä. Suojatoimet on rakennettava kestäviksi. Samalla on pyrittävä estämään riskien mahdollinen leviäminen. Toiseksi rekisterinpitäjän on pystyttävä osoittamaan, että GDPR:n mukaisia periaatteita on ylläpidetty. Tekniset ja organisatoriset suojatoimet tulee dokumentoida. Suojatoimien tehokkuus voidaan osoittaa myös mittareilla (määrälliset ja laadulliset), ja niitä voidaan seurata esimerkiksi tietotilinpäätöksissä. Suojatoimien tehokkuuden arvioinnissa huomioitavat tekijät (GDPR 25 artikla): • Viimeisin tekniikka: Tekniikan kehitystä tulee seurata ja se tulee huomioida sekä riskeissä että suojatoimissa. • Toteuttamiskustannukset: Suhteettoman suuria kustannuksia ei edellytetä, jos on käytössä tehokkaampia ja edullisempia toimia. Kustannukset tarkoittavat rahan ohella aika- ja henkilöresursseja. • Käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset: Käsittelyn luontaiset ominaisuudet, laajuus, asiayhteys rekisteröityjen kannalta ja tavoitteet on otettava huomioon toimenpiteissä. • Riskit luonnollisten henkilöiden oikeuksille ja vapauksille: Suojatoimien on kohdistuttava suoraan riskeihin, niiden todennäköisyyteen ja/tai vakavuuteen. Lähde: EDPB, 2020, Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, https://edpb.europa.eu/system/files/2021- 04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_fi.pdf 5.5. Tietosuojan huomiointi tietojärjestelmien toteutuksessa Suositus Lisätietoa Henkilötietoja käsitellään vain, jos se on teknisesti tarpeen GDPR edellyttää henkilötietojen minimointia. Jos toiminnallisuus voidaan toteuttaa ilman tiettyä henkilötietoa, sitä ei pidä käsitellä. Esimerkiksi henkilötunnuksia tai erityisiä henkilötietoryhmiä saa käsitellä ainoastaan lain sallimissa rajoissa. Henkilötietojen siirto järjestelmien välillä tulisi tehdä salausta käyttävien rajapintojen avulla Henkilötietoja ei saa siirtää tiedostovientien tai suoran tietokanta- tai tiedostojärjestelmäpääsyn kautta, vaan järjestelmille on tehtävä salausta käyttävät rajapinnat, jotka varmentavat siirron osapuolet. Henkilötietojen käsittely on voitava tarvittaessa keskeyttää väliaikaisesti Jos rekisteröidyillä on oikeus käsittelyn rajoittamiseen tai vastustamiseen, tämä on huomioitava järjestelmän toteutuksessa. Henkilötiedot on pystyttävä viemään järjestelmästä Järjestelmässä on oltava toiminnot sille, että rekisteröidyn henkilötiedot voidaan viedä ulos jossakin koneluettavassa tai yleisessä tiedostomuodossa (esim. CSV, JSON, PDF). Henkilötiedot on pystyttävä poistamaan / Tarvittaessa henkilötiedoille on voitava määritellä enimmäissäilytysaika Jos rekisteröidyllä on oikeus tietojen poistamiseen tai henkilötietoja käsitellään rajoitetun ajan, henkilötiedot on voitava poistaa tai anonymisoida. Henkilötietojen poistojen ei tulisi aiheuttaa haittaa muiden järjestelmässä olevien tietojen käytettävyydelle. Henkilötietojen siirroista toisille rekisterinpitäjille on jäätävä merkintä Jos henkilötietoja luovutetaan toisille rekisterinpitäjille, siirroista on jäätävä merkintä. Merkintöjen on oltava saatavissa, jos rekisteröity käyttää poisto-oikeuttaan, jotta poistosta voidaan ilmoittaa muille rekisterinpitäjille, joille tietoja on luovutettu.

43. 43 Henkilötietojen käsittelyyn pyydettävästä suostumuksesta ja sen perumisesta on jäätävä

    merkintä Käyttötarkoituksen laajentamisesta suostumuksen perusteella tulee informoida rekisteröityä. Suostumuksen antamisen yhteydessä olisi hyvä jäädä jälki varsinaisen suostumuksen lisäksi myös siitä, mihin käyttötarkoitukseen tiedot on kerätty. Henkilötietojen käyttöön liittyvät tiedot ja valinnat tuodaan käyttäjille oikea- aikaisesti ja oikeassa viitekehyksessä Erityisesti henkilötietojen keräämiseen ja siirtoon liittyvä informointi ja luvat näytetään käyttäjille käyttökokemuksen perusteella parhaiten soveltuvassa tilanteessa ja huomioidaan käyttäjän ymmärrystaso. Henkilötietojen keräyksestä informoidaan asteittain. Henkilötietojen käyttö ja siirto on tehtävä aina salattua verkkoyhteyttä käyttäen Kaikki julkisen Internetin yli siirrettävä tieto on salattava kulloinkin vahvana pidettävällä tavalla. Jos muuta ei ole määritelty, soveltuva tapa on uusin TLS-protokolla. Henkilötiedot on salattava silloin, kun ne on tallennettu Kaikilla henkilötiedoilla on oltava käytössä tallennusmediatason salaus. Muilta osin salauksen tarve voidaan vaatia riskiperusteisesti erikseen, esim. tietokantataulu- tai rivikohtainen salaus. Henkilötietoihin kohdistuvista luku- ja muutostapahtumista on tehtävä merkintä lokiin Rekisterinpitäjän velvollisuus on valvoa henkilötietojen käyttöä. Velvollisuus koskee myös tietojen luovutusta rajapintojen kautta. Lokiin ei pidä tallentaa henkilötietoja, jos se voidaan välttää. Sen sijaan voidaan käyttää IP-osoitetta, käyttäjätunnusta tai muuta tunnistetta. Henkilön viitteenä tulisi käyttää satunnaista, käyttötapauskohtaista tunnistetta Henkilötietojen pseudonymisointi lisää käsittelyn turvallisuutta. Ulkopuolisille tulisi olla vaikeaa tai mahdotonta liittää tunnistetta henkilöön. Lähde: DVV, 2020, Turvallisen sovelluskehityksen käsikirja, https://wiki.dvv.fi/display/SOVOP/7.3+Tietosuojan+suunnittelun+yleisperiaatteet 5.6. Esimerkkejä puutteellisesta riskienhallinnasta 5.6.1. Esimerkki: turvakamerat ja sijaintitiedot takseissa Taksi Helsinki Oy käytti turvakameravalvontaa takseissa. Tietosuojavaltuutetun toimisto tutki laajasti yrityksen tietosuojaa nimettömän ilmoituksen perusteella. Tapauksessa ratkaistiin muun muassa se, mitkä asiat kameravalvonnassa johtavat vaikutustenarvioinnin tarpeeseen. Kameravalvonnasta ilmoitettiin takseissa. Tietosuojaseloste oli nettisivuilla – jos sitä osasi etsiä. Kamerat kuvasivat taksin sisälle ja ulos. Rekisteröityjä oli satoja tuhansia, matkoja noin neljä miljoonaa vuodessa. Takseissa oli käytössä myös sijaintitietoja tallentava ajonvälitysohjelma. Oikeutetun edun tasapainotestiä ja tietosuojaa koskevaa vaikutustenarviointia ei oltu tehty. Otteita apulaistietosuojavaltuutetun päätöksestä: • Yritys määrättiin laatimaan tasapainotesti ja parantamaan rekisteröityjen informointia. • Yritys määrättiin tekemään vaikutustenarviointi sijaintitiedoista ja kameravalvonnasta. • Riskiä lisäsivät: valvonta (järjestelmällisyys, aika- ja paikkasidonnaisuus), laajamittaisuus, henkilökohtaiset tiedot, heikossa asemassa olevat rekisteröidyt. • Yritykselle määrättiin 72 000 euron seuraamusmaksu. • Hallinto-oikeus muutti summaksi 60 000 euroa. Yritys on hakenut valituslupaa KHO:lta.

44. 44 Lähteet: Tietosuojavaltuutetun toimisto, 2020, https://www.finlex.fi/fi/viranomaiset/tsv/2020/20200602 (ei lainvoimainen), Helsingin hallinto-oikeuden

    ratkaisu 2.11.2021 H5415/2021 5.6.2. Esimerkki: puutteelliset suojatoimet Hyökkääjä sai pääsyn Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään rajapinnan haavoittuvuuden kautta. Tietomurto koski kymmeniätuhansia henkilötietoja Suomessa, Ruotsissa, Tanskassa ja Norjassa. Yritys kertoi säilyttävänsä kaikkia majoitus- ja vuokrasuhteeseen liittyviä asiakastietoja 10 vuotta mm. vahingonkorvauskanteisiin varautumista varten. Tietomurto toteutettiin SQL-injektion avulla. Hyökkääjä oli suorittanut automaation avulla useita komentoja, joilla se onnistui löytämään SQL-injektiohaavoittuvuuden. Tietosuojaavaltuutetun päätös: • Yritykselle annettiin huomautus puutteista henkilötietojen suojaamisessa. Lisäksi yritykselle annettiin määräys arvioida, mitkä henkilötiedot tulee säilyttää kirjanpitolain velvoitteiden noudattamiseksi, sekä lyhentämään muiden henkilötietojen käsittelyaikaa. • Tietosuojavaltuutettu muistuttaa, että ylläpitäjien on huolehdittava SQL-injektioiden torjunnasta riittävällä testauksella. Injektioita voidaan estää myös kattavilla palomuuritoiminnoilla. Lähde: Tietosuojavaltuutetun toimisto, 2023, https://finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2023/1763 (ei lainvoimainen) "ÄLÄ LYKKÄÄ SUOJATOIMIEN HOITAMISTA KUNTOON JA KERRYTÄ TIETOSUOJAVELKAA!"

45. 45 6. Tietosuojan huomiointi nettisivuilla ja verkkokaupassa Tässä osiossa opit,

    miten tietosuojaa huomioidaan verkkosivuilla ja verkkokaupoissa. Käsittelemme digitaalisia työkaluja ja niiden tietosuojavaatimuksia, sekä verkkolomakkeiden ja tietosuojaselosteiden merkitystä verkkopalveluissa. Perehdymme myös verkkokaupan pitäjän vastuisiin sekä yleisimpiin verkkokauppoihin liittyviin uhkiin. Lisäksi pohdimme, mitkä asiat vakuuttavat asiakkaan verkkopalvelun tietosuojasta ja luotettavuudesta. 6.1. Henkilötietojen käsittely verkkopalveluissa Seuraavassa listassa on yrityksen digitaalisia työkaluja ja palveluita, joissa henkilötietoja käsitellään. 1. Peruspalvelut: Webhotelli, sähköpostit, kotisivut, yhteydenotto-/tarjouspyyntölomakkeet, ajankohtaista-palstat, avoimet työpaikat/hakulomakkeet, kuvagalleriat, pilvipalvelusovellukset, varmuuskopiointi. 2. Digitaalinen liiketoiminta: Kävijäseuranta, hakukoneoptimointi, kampanjasivut, chat, verkkokauppa, varauskalenteri, extranet/intranet, asiakkuudenhallinta- ja tikettijärjestelmät, räätälöidyt verkko- ja mobiilisovellukset. 3. Sisältömarkkinointi: Uutiskirjeet, blogit, valokuvat, e-julkaisut, videot, podcastit, joukkoistamiset, kilpailut, sovellukset ja pelit. 4. Sosiaalinen media: Facebook, Instagram, YouTube, TikTok, X, Threads, Bluesky, Pinterest, SlideShare, WhatsApp, Signal ja muut somepalvelut. 5. Mainonta: Mainosviestit (sähköpostit ja tekstiviestit), Google-mainonta, Facebook- ja Instagram-mainonta, YouTube-mainonta, X-mainonta, TikTok-mainonta, mainosbannerit ja vaikuttajamarkkinointi. Yrityksen on kaikissa palveluissa varmistettava henkilötietojen asianmukainen ja lainmukainen käsittely. On huomioitava henkilötietojen käyttö eri tapauksissa: mikä rekisteri, käsittelyperuste, käyttötarkoitus, saadaanko tai luovutetaanko henkilötietoja? Henkilötietojen käsittely liittyy erityisesti kuvassa ympyröityihin palveluihin. Esimerkkejä: • Työnhakijoiden henkilötietojen käsittely on otettava huomioon hakulomakkeen yhteydessä. • Kävijäseurantapalvelujen tietosuoja täytyy arvioida ennen niiden käyttöönottoa. • Uutiskirjeiden tilaajat muodostavat oman rekisterinsä. • Kilpailuihin osallistujat ovat myös oma rekisterinsä.

46. 46 • Sovellukset ja pelit, jos niihin liittyy käyttäjätunnuksia, muodostavat

    omia rekistereitä. Lisäksi mainontaan liittyy henkilötietojen käsittelyä. Sähköiseen suoramarkkinointiin vaaditaan suostumus, jos se on kohdennettu yksityishenkilöille. Jos käytetään valmiita mainosalustoja, niihinkin voi liittyä henkilötietojen käsittelyä, josta yritys on vastuussa. Jos tietoja saadaan mainosalustalta tai luovutetaan sille, tarvitaan yleensä rekisteröityjen suostumus luovutukselle. 6.2. Verkkolomakkeiden tietosuojavaatimukset Verkkolomakkeet ovat tavallinen keino kerätä henkilötietoja. Huomioi niiden henkilötietojen käsittely: • Yleinen yhteydenottolomake liittyy tavallisesti yrityksen asiakasrekisteriin. • Jos lomakkeella kysytään vain tavanomaisia henkilötietoja kuten nimi ja yhteystiedot, käsittelyperusteena voi olla rekisterinpitäjän oikeutettu etu. • Kerro, mitä varten tietoja kysytään ja miten niitä käsitellään. Linkitä tietosuojaselosteelle. • Tietojen kerääminen on minimoitava tarkoituksen mukaan. • Eri tarkoituksiin on suositeltavaa luoda erilliset lomakkeet (esim. yhteydenotto, tarjouspyyntö, tukipyyntö, työnhaku). 6.2.1. Ennakkotapaus: Tietosuojaselosteen puuttuminen nettisivuilta Kyse oli tapauksesta, jossa lääkäriklinikan asiakas ei ollut saanut tietojaan tarkistettavaksi. Yrityksen nettisivuilla ei ollut tietosuojaselostetta. Puutteellisen informoinnin vuoksi epäselvää oli mm. se, mikä taho oli henkilötietojen käsittelystä vastaava rekisterinpitäjä. Apulaistietosuojavaltuutettu huomioi osana päätöstään puutteellisen henkilötietojen käsittelyn informoinnin. Apulaistietosuojavaltuutetun päätöksen mukaan: • GDPR:n läpinäkyvyyden periaatteen mukaisesti henkilötietojen käsittelyyn liittyvien tietojen tulisi olla helposti saatavilla. Tämä koskee erityisesti esimerkiksi tietoja rekisterinpitäjän identiteetistä sekä rekisteröityjen oikeutta saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. • Verkkosivuilla annettavan informaation tulisi olla saatavilla ja näkyvillä verkkosivuston kaikilla sivuilla, jolloin rekisteröity saa informaation nähtäväkseen yhdellä klikkauksella.

47. 47 • Rekisterinpitäjä ei ollut täyttänyt velvollisuuttaan toimittaa rekisteröidyille yleisen

    tietosuoja- asetuksen 12(1) artiklan ja 13 artiklan 1 ja 2 kohdan edellyttämää informaatiota henkilötietojen käsittelystä. • Apulaistietosuojavaltuutettu antoi huomautuksen ja määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi rekisteröityjen oikeuksien toteuttamiseen liittyvien menettelytapojen ja rekisteröityjen informoinnin osalta. Lähde: Apulaistietosuojavaltuutetun päätös 8493/161/21, 16.12.2021, https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2021/1303 6.3. Yksityisyyden suoja verkkokaupassa Vastuu verkkokaupan tietosuojasta on sitä pitävällä yrityksellä, joka on rekisterinpitäjä. Muistilista verkkokaupan pitäjälle: • Verkkokaupan turvallisuudesta tulee varmistua teknisillä suojatoimilla erilaisia uhkia vastaan. • Asiakkaiden henkilötiedot muodostavat rekisterin. • Kerättävien henkilötietojen tulee olla tarpeellisia. Ne voivat liittyä esimerkiksi maksamiseen sekä tuotteiden ja palvelujen toimittamiseen. • Tavallisesti verkkokaupan henkilötietojen käsittelyperusteena on sopimus, joka syntyy esimerkiksi asiakkaan hyväksyessä toimitusehdot. • Tietosuojaseloste tulee olla asiakkaiden saatavilla. • Jos asiakkaalle halutaan lähettää myöhemmin mainoksia, tulee sitä varten pyytää erikseen suostumus sähköiseen suoramarkkinointiin. Asiakkaan luottamuksen rakentaminen edellyttää avoimuutta ja toimivuutta: • Yrityksen nimi ja yhteystiedot löytyvät helposti. • Asiakaspalveluun saa yhteyden helposti. • Toimitusehdot ja tietosuojaseloste löytyvät helposti. • Verkkoyhteys on salattu (https-alkuinen osoite). • Verkkokauppa on selkeä ja toimii teknisesti hyvin. • Maksunvälittäjä on yleisesti tunnettu. • Maksukortin tietoja ei kysytä ja tallenneta verkkokauppaan, vaan ainoastaan maksutilanteessa. 6.3.1. Verkkokaupan toteutustavat: itse ylläpidetty vai valmisratkaisu pilvipalveluna? Kun suunnitellaan oman verkkokaupan teknistä ratkaisua, on pääsääntöisesti kaksi vaihtoehtoa: itse ylläpidetty verkkokauppa tai valmisratkaisu pilvipalveluna. Ratkaisujen välillä on isoja eroja. Itse ylläpidetty verkkokauppa edellyttää, että hankitaan webhotelli tai virtuaalipalvelin, johon verkkokauppa voidaan rakentaa. Tämän jälkeen asennetaan tarkoitukseen sopiva verkkokauppasovellus tai toteutetaan räätälöity verkkokaupparatkaisu. On tärkeää arvioida tietosuojan näkökulmasta, käytetäänkö valmissovellusta vai räätälöityä toteutusta. On varmistettava, että sovelluksessa käsitellään henkilötietoja turvallisesti. Teknisen toteuttajan tulee olla osaava, sillä erityisesti räätälöidyt ohjelmistot edellyttävät erityisosaamista.

48. 48 Verkkokauppaprojektiin liittyy yleensä maksunvälittäjän integrointi. Jos käytetään valmista, omalle

    palvelimelle asennettavaa verkkokauppasovellusta, siihen voidaan yleensä integroida mikä tahansa maksunvälittäjä, kuten esimerkiksi Suomessa paljon käytetty Paytrail. Plussat: • Henkilötietojen käsittely voidaan räätälöidä juuri omiin tarpeisiin sopivaksi. • Ei olla riippuvaisia palveluntarjoajasta, sillä kaikki on tavallaan omissa käsissä, kun kauppa on itse ylläpidetty ja rakennettu. • Verkkokauppa voidaan räätälöidä täysin tarpeisiin sopivaksi. Miinukset: • Palvelinohjelmistojen ja verkkokauppasovelluksen päivityksistä on huolehdittava jatkossa itse. Vaikka webhotelliin tai virtuaalipalvelimeen voi sisältyä palvelinohjelmistojen päivitys, voi olla tilanteita, joissa versiopäivitykset on teetettävä erikseen. • Verkkokauppasovelluksen ylläpito on hoidettava itse tai tilattava se osaavalta taholta. • Yrityksen ei yleensä kannata lähteä rakentamaan itse ylläpidettyä verkkokauppaa yksin, vaan hankkia siihen osaamista ulkopuolelta eli osaava tekninen kumppani. Toinen vaihtoehto on verkkokauppa pilvipalveluna. Useat tahot tarjoavat valmiita verkkokauppapalveluita, joiden käyttöönotto tapahtuu rekisteröitymällä. Palvelun käyttöönottoon liittyy verkkokaupan asetusten säätäminen omaan tarkoitukseen sopiviksi. Plussat: • Webhotelli sisältyy yleensä pakettiin, eli palvelimen ylläpito on hoidettu. • Valmis alusta on nopea ottaa käyttöön. • Valmiit integraatiot maksunvälittäjille, jotka ovat testattuja ja toimivia. • Tietosuojaratkaisut ovat valmiina, ja palveluntarjoaja vastaa päivityksistä. Tämä tarkoittaa, ettei itse tarvitse ottaa vastuuta ohjelmistopäivityksistä. Miinukset: • Vaikka tietosuojaratkaisut olisivat valmiina, se voi olla myös miinus. Muutosten tekeminen valmiisiin ratkaisuihin voi olla vaikeaa. Välttämättä ongelmat eivät ratkea olemalla yhteydessä asiakaspalveluun, koska sama järjestelmä on käytössä monilla muillakin, ja muutosten tekeminen voi olla mahdotonta. • Läpinäkyvyys on yleensä ongelma pilvipalveluissa. Voi olla vaikea varmistua siitä, mitä henkilötietoja tallennetaan, miten niitä käsitellään, kuinka kauan ne säilyvät, milloin ne poistuvat varmuuskopioista ja miten tietoja suojataan. Kaikki henkilötietojen käsittelyyn liittyvät asiat on syytä arvioida tarkkaan hankintavaiheessa. • Myös pilvipohjaisen verkkokaupan käyttöönotto vaatii teknisesti osaavan kumppanin, joka tuntee käyttöönotettavan järjestelmän ja osaa auttaa sen kanssa. 6.3.2. Verkkokauppoihin liittyviä uhkia Seuraavassa on listattu tavallisimpia verkkokauppoihin liittyviä tietoturvauhkia. Asiakkaiden tietoturva: • Ostajien huijaaminen ja tietojenkalastelu (huijausviestit verkkokaupan nimissä)

49. 49 • Salasanojen arvaaminen (brute force, heikot salasanat) • Murtautuminen

    asiakkaan koneelle Verkkokauppajärjestelmän tietoturva: • Palvelunestohyökkäys (DoS) • Ohjelmistohaavoittuvuudet (ohjelmistovirheet, päivittämätön järjestelmä) • Tietojen menettäminen (esim. palvelimen vikatilanne, puuttuvat varmuuskopiot) Lähde: TIEKE, Verkkokauppaopas, Yleisimpiä uhkia, https://tieke.fi/verkkokauppaopas/verkkokaupan-tietoturva/yleisimpia-uhkia/ (19.5.2025) 6.4. Ennakkotapaus: tietojen säilytyksen rajoittaminen Verkkokauppa.com edellytti verkko-ostoksen yhteydessä asiakastilin rekisteröintiä, vaikka kyse olisi ollut vain kertaostoksesta. Asiakkaiden perustiedot (nimi, sähköpostiosoite ja puhelinnumero) säilytettiin rekisterissä määräämättömän ajan, jos ei erikseen pyytänyt niiden poistamista. Verkkokauppa.com vetosi siihen, että asiakkaat määrittelevät itse asiakassuhteen keston. Kuitenkin se aloitti tapauksen aikana passiivisten käyttäjätilien poiston kuuden vuoden jälkeen viimeisestä ostoksesta. Kyse oli kaikkiaan lähes 2 miljoonan asiakastilin henkilötiedoista. Tietosuojavaltuutetun päätöksen mukaan: • Verkkokauppa.com:in käytäntö ei ollut GDPR:n tietojen säilytysajan rajoittamisen periaatteen mukainen. Sen olisi pitänyt määritellä tietojen säilytysaika erikseen verkko-ostoksille ja asiakastileille. • Verkkokauppa.com ei ollut varmistanut, että se käsittelee vain tarpeellisia henkilötietoja. Velvollisuus koskee henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. • Verkkokauppa.com:ille annettiin määräys saattaa käsittelytoimet tietosuojasääntelyn mukaisiksi sekä huomautus GDPR:n 5(1)(e) artiklan ja 25(2) artiklan rikkomisesta. • Tietosuojavaltuutetun seuraamuskollegio määräsi yritykselle 856 000 euron seuraamusmaksun (Verkkokauppa.com:in liikevaihto vuonna 2022 oli 543 miljoona euroa). • Verkkokauppa.com valitti seuraamusmaksusta hallinto-oikeuteen, joka piti sen voimassa. Lähteet: Tietosuojavaltuutetun päätös TSV/26/2020, 6.3.2024, https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2024/2163 Iltalehden uutinen hallinto-oikeuden päätöksestä, 24.2.2025, https://www.iltalehti.fi/talous/a/1e5a6cd8-0cf8-4742-a6cf-34e5e130e693 6.5. Ennakkotapaus: verkkopalveluun kirjautuminen Kyse oli Suomen Golfliitto ry:n rekisterinpitäjänä ylläpitämästä eBirdie-järjestelmäkokonaisuudesta, joka sisältää eBirdie-palvelun ja saman nimisen sovelluksen. Taustalla oli järjestelmässä tapahtunut tietoturvaloukkaus ja siitä herännyt huoli järjestelmän tietoturvallisuudesta.

50. 50 eBirdie-sovelluksen kirjautumisessa ei käytetty salasanoja, vaan sovelluksen jäsenpuolelle kirjauduttiin

    jäsentiedoilla (seura, jäsennumero, etunimi, sukunimi, syntymävuosi) ja Green Card-puolelle kortin tiedoilla (Green Card-numero, myöntäjäseura, etunimi, sukunimi, syntymävuosi). Sovelluksessa näkyi jäsenpuolella nimi, jäsenseura(t), jäsen- ja seuranumero(t), tasoitustiedot ja tasoituskierroksen tulokset sekä jäsenkortin voimassaolo ja Green Card -puolella kortin numero, myöntäjäseura, nimi ja suoritusajankohta. Apulaistietosuojavaltuutetun päätöksen mukaan: • Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole riittävällä tavalla varmistanut ylläpitämänsä palvelun tietoturvallisuutta tietosuoja-asetuksen 25 artiklan 1 kohdan ja 32 artiklan 1 kohdan b alakohdan vaatimalla tavalla. eBirdie-sovelluksen kautta on voinut saada luvatta haltuun toisten henkilöiden henkilötietoja, koska sovelluksen salasanakäytäntö on ollut heikko tai olematon. • Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen sekä määräyksen saattaa käsittelytoimensa tietosuoja-asetuksen säännösten mukaisiksi. Lähteet: Apulaistietosuojavaltuutetun päätös TSV/955/2023, 4.7.2024, https://finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2024/2263 Golfliiton tietosuojapoikkeama, tiedote 26.5.2023, https://golf.fi/tietoturvapoikkeama-golfliiton-keskusrekisterissa/ 6.6. Tietosuoja verkkosivujen teknisessä toteutuksessa Seuraavaksi mennään hieman teknisemmälle tasolle verkkosivujen toteutuksen konepellin alle. Vaikka yrityksen kannattaa yleensä hankkia osaava tekninen kumppani, on hyvä tuntea verkkosivujen teknisiä perusasioita myös itse. Alla olevat kuvat esittävät http-pyyntöjen karttoja (eng. request map), jotka visualisoivat tämän oppaan kirjoittajan yrityksen verkkosivuston tekemiä tiedostopyyntöjä. Kuvat ovat eri ajankohdilta. Vasemmalla oleva kuva edustaa verkkosivuston tilannetta ennen tietosuojaongelmien tiedostamista. Oikealla on saman sivuston tilanne sen jälkeen, kun sille oli tehty tietosuojakorjauksia.

51. 51 Vasemman kuvan keskellä on itse verkkosivusto. Jokainen nuoli ja

    pallukka sen ympärillä kuvaa, mitä tiedostoja ladattiin muilta palvelimilta, kun sivusto avattiin vierailijan toimesta. Vierailijoiden nettiselaimesta lähti siis http-pyyntöjä useille eri tahoille. Aina kun jokin tiedosto ladataan – esimerkiksi sivun lähdekoodi, kuvat, tyylitiedostot, JavaScript-koodit ja fontit – käyttäjän selaimesta tehdään http-pyyntö palvelimelle, jossa tiedosto fyysisesti sijaitsee. Jokainen pyyntö välittää tietoja käyttäjän selaimesta ja avatusta nettisivusta. Http-pyyntöjen kautta voi välittyä lukuisille muille tahoille tietoja siitä, että vierailija on tietyllä verkkosivulla. Näin tapahtuu silloin, jos tiedostoja ladataan muualta kuin verkkosivuston omalta palvelimelta. Tämä on ongelma tietosuojan näkökulmasta, sillä vierailijan toiminta verkkosivustolla on seurattavissa muille tahoille. Tällainen tilanne on hyvinkin tavallinen, jos verkkosivuston tietosuojasta ei ole erikseen pidetty huolta. Kun verkkosivuston tietosuoja on kunnossa, tilanne muistuttaa pikemmin oikean kuin vasemman puoleista kuvaa. 6.6.1. CDN-koodikirjastojen tietosuoja Verkkosivujen toteutuksessa käytetään usein valmiita JavaScript- ja CSS-koodikirjastoja kuten jQuery, Bootstrap, Underscore, Modernizr, React, Lodash, Popper, Next.js ja Vue.js. Esimerkiksi Wordpress- julkaisujärjestelmän ulkoasuteeman mukana voi tulla useita koodikirjastoja. • Jos koodikirjastot ladataan ulkopuolisilta CDN-palvelimilta (Content Delivery Network), niille välittyy tietoja sivuston vierailijoista kuten avatun sivun osoite, selaimen tietoja ja IP-osoite. • CDN-palvelimet voivat asettaa vierailijoille myös omia evästeitään. • CDN-palvelimet altistavat vierailijat ulkopuoliselle datankeruulle samaan tapaan kuin mainosten seurantapikselit. • CDN-palvelimista ei ole mitään hyötyä. • Suositus: Asenna koodikirjastot sivuston omalle palvelimelle. Lähde: Tim Perry, 2021, Public CDNs Are Useless and Dangerous, https://httptoolkit.com/blog/public-cdn-risks/ 6.6.2. Googlen web-fonttien tietosuoja Googlen web-fonttien lataukseen ei käytetä evästeitä, mutta jos fontit ladataan Googlen palvelimelta, sille välittyy tietoa sivuston vierailijoista http-pyyntöjen välityksellä.

52. 52 Google kertoo keräävänsä rajallisesti tietoja palvelun kehittämistä ja turvallisuutta

    varten. Fonttien yhteydessä Google viittaa yleisiin tietosuojakäytäntöihinsä, jotka antaisivat sille oikeuden kerätä muitakin tietoja sivustojen vierailijoista. Siksi on epäselvää, miten Google tosiasiassa hyödyntää web-fonttien lataamisesta saamiaan tietoja. On suositeltavaa asentaa web- fontit sivuston palvelimelle, jolloin niiden lataamisesta ei päädy tietoja ulkopuoliselle taholle kuten Googlelle. 6.6.3. Vaihtoehtoinen roskapostiesto: hCaptcha Verkkolomakkeiden roskapostiin käytetään usein Googlen reCaptcha-palvelua, mutta saatavilla on myös vaihtoehtoinen ja hyvin samankaltainen palvelu: hCaptcha. Palvelu on suunniteltu niin, että vaihto Googlen reCaptcha-palvelusta hCaptchaan on mahdollisimman helppoa. HCaptcha on tietosuojan kuvaukseltaan selkeä. Siihen liittyy henkilötietojen käsittelyn sopimus (DPA- sopimus), mikä on tärkeää sivuston vierailijoiden tietosuojan kannalta. HCaptcha ei kerää tunnistetietoja loppukäyttäjistä eikä käytä niitä seurantaan. HCaptchaa voi suositella tietosuojaominaisuuksien vuoksi ja siksi, että se ole sidoksissa mihinkään verkkomainosalustaa ylläpitävään yritykseen, joka saattaisi käyttää tietoja muihin tarkoituksiin. Lisätietoa: https://www.hcaptcha.com/ "JOS VERKKOSIVUJEN TIETOSUOJARATKAISUJA EI ARVIOIDA, NIISSÄ TODENNÄKÖISESTI ON USEITA KORJAUSKOHTEITA."

53. 53 7. Osoitusvelvollisuus ja rekisterinpitäjän laatimat selosteet Tässä osiossa tutustumme

    rekisterinpitäjän GDPR:n mukaiseen osoitusvelvollisuuteen ja siihen, miten se käytännössä toteutetaan dokumentaation kuten erilaisten selosteiden avulla. Opit, mitkä ovat pienyrityksen tärkeimmät tietosuojadokumentit, kuten seloste käsittelytoimista ja tietosuojaseloste. Käymme läpi, miten henkilötietojen käsittelystä tulee informoida rekisteröityjä, mitä tietoja selosteisiin tulee sisällyttää. Osio sisältää pienyrityksille laaditun rekisteri- ja tietosuojaselosteen pohjan, jota voit helposti hyödyntää oman yrityksesi toiminnassa. 7.1. GDPR:n tietosuojaperiaatteet ja osoitusvelvollisuus Yleinen tietosuoja-asetus sisältää seitsemän tietosuojaperiaatetta henkilötietojen käsittelylle (ks. luku 3.3), joiden noudattamisen rekisterinpitäjän on kyettävä osoittamaan. Tätä kutsutaan osoitusvelvollisuuden periaatteeksi. Käytännössä tämä tarkoittaa erityisesti seuraavien asioiden dokumentaatiota: • Seloste henkilötietojen käsittelystä ja rekisteröityjen informointi (tietosuojaseloste) • Rekisterinpitäjän suunnitelmat, päätökset ja ohjeistukset • Henkilötietojen käsittelyä koskevat sopimukset • Tietosuojaa koskevien toimien dokumentointi • Rekisteröityjen oikeuksien käytön dokumentointi: o Suostumusten ja kieltojen hallinta. Esim. suostumus sähköiseen suoramarkkinointiin. o Rekisteröityjen tekemät pyynnöt ja vastaukset niihin. Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esimerkiksi käyttäjien ja ylläpitäjien lokitiedoilla. Tietosuojaa koskevat dokumentit on pyydettäessä toimitettava valvontaviranomaiselle eli Suomessa tietosuojavaltuutetun toimistolle (TSV). 7.1.1. Pienyrityksen keskeiset tietosuojadokumentit Pienyritysten on erityisesti kiinnitettävä huomiota tiettyihin dokumentteihin, jotka jakautuvat selosteisiin, muuhun käsittelyyn liittyvään dokumentaatioon, riskiarviointeihin ja niihin liittyvän ohjeistuksiin sekä sopimuksiin. Selosteet • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (ei-julkinen) • Rekisteröityjen informointi, esim. tietosuojaseloste (julkinen) • Verkkosivuilla käytettävien evästeiden tiedot (julkinen) Muu henkilötietojen käsittelyyn liittyvä dokumentointi • Rekisteröityjen antamien suostumusten ja kieltojen dokumentaatio • Rekisteröityjen tekemien pyyntöjen dokumentointi • Tasapainotesti, jos henkilötietoja käsitellään rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun perusteella

54. 54 Riskiarviot, ohjeistukset ja tietoturvaloukkaukset • Riskiarvioita ja vaikutustenarviointeja koskeva

    dokumentaatio • Tekniset ja organisatoriset suojatoimenpiteet • Ohjeet henkilötietoja käsitteleville työntekijöille • Henkilötietojen tietoturvaloukkausten dokumentointi Sopimukset • Sopimukset henkilötietojen käsittelystä (rekisterinpitäjän ja henkilötietojen käsittelijän rooleissa) • Ohjeet henkilötietojen käsittelijöille Lisätietoa tietosuojavaltuutetun sivustolta: https://tietosuoja.fi/osoitusvelvollisuus 7.2. Henkilötietojen käsittelytoimien seloste Seloste käsittelytoimista sisältää henkilötietojen käsittelyn yleisen kuvauksen koko organisaation tasolla. Mikäli se laaditaan, sitä voidaan käyttää osoitusvelvollisuuden perustana. • Voidaan kutsua rekisteriselosteeksi. • Organisaation sisäinen eli ei-julkinen dokumentti. • Pakollinen yli 250 hengen organisaatioissa ja myös silloin, kun henkilötietojen käsittely on jatkuvaa. • Tulee kattaa kaikki henkilötietojen käsittely organisaatiossa. GDPR suosittelee kuvaamaan käsittelytoimet ja henkilötiedot rekistereiden sijaan rekisteröidyt ryhmittäin. Käsittelytoimien kuvauksen voi laatia seuraavan ohjeen mukaan: 1. Kuvaa ryhmät (tai rekisterit), joiden henkilötietoja käsitellään: Esimerkiksi asiakkaat, työntekijät, markkinointirekisterissä olevat, opiskelijat, potilaat. 2. Kuvaa mihin tarkoituksiin henkilötietoja käsitellään ja millä perusteella: Esimerkiksi asiakassuhde, työsuhde, markkinointi, opetus, terveyspalvelut. Nyrkkisääntönä on kuvata sitä tarkemmin, mitä epätavanomaisempi käyttötarkoitus on. Kuvaa myös mahdolliset yhteensopivat tarkoitukset ja jatkokäsittelyt tulee kuvata. 3. Kuvaa henkilötietoryhmät eli mitä henkilötietoja käsitellään: Esimerkiksi yksilöintitiedot (nimi, syntymäaika, henkilötunnus), yhteystiedot sekä tiedot asiakkaan tilaamista palveluista, tuotteista, niiden toimittamisesta ja laskuttamisesta. Yleensä kategoriataso riittää, esimerkiksi "yhteystiedot" sen sijaan, että luetellaan erikseen sähköpostiosoite, puhelinnumero jne. Kuitenkin, jos käsitellään sähköisiä tunnisteita, ne on hyvä luetella tarkasti. 7.2.1. Esimerkkejä hyvistä ja huonoista käsittelytarkoituksen määrittelyistä Huonoja, liian epäselviä: • ”Henkilötietoja voidaan käyttää uusien palvelujen kehittämiseen.” → epäselvää, millaisista palveluista on kyse ja mitä hyötyä tiedoista on kehittämisessä

55. 55 • ”Henkilötietoja voidaan käyttää tutkimustarkoituksiin.” → epäselvää, millaiseen tutkimukseen

    • ”Henkilötietoja voidaan käyttää yksilöllisten palvelujen tarjoamiseen.” → epäselvää, mitä ”yksilöllinen” tässä yhteydessä tarkoittaa. Hyviä, riittävän tarkkoja: • ”Säilytämme ostoshistoriasi ja ehdotamme sinulle aiemmin ostamiesi tuotteiden perusteella muita tuotteita, joiden uskomme kiinnostavan sinua.” • ”Säilytämme ja arvioimme tietoja viimeaikaisista käynneistäsi verkkosivustollamme ja liikkumisestasi verkkosivustomme eri osissa tietojen analysointia varten, jotta ymmärtäisimme, miten kävijät käyttävät verkkosivustoamme, ja jotta voisimme tehdä siitä intuitiivisemman.” Lähde: Tietosuojatyöryhmä, 2018, Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, https://tietosuoja.fi/documents/6927448/8316711/L%C3%A4pin%C3%A4kyvyys+fi/ 7.3. Rekisteröityjen informointi Rekisteröidyille on tiedotettava henkilötietojen käsittelystä selkeästi ja ymmärrettävästi. Kyse on rekisteröityjen oikeudesta saada tietää henkilötietojensa käsittelystä sekä GDPR:n läpinäkyvyyden periaatteesta. • Voidaan kutsua tietosuojaselosteeksi, tietosuojakäytännöiksi tai privacy policyksi. • Yleensä julkinen dokumentti. • Suositeltavaa julkaista nettisivuilla niin, että se on avattavissa enintään kahdella klikkauksella. • Voi kattaa kaikki rekisteröityjen ryhmät/rekisterit tai olla rekisterikohtainen. • Sisältää rekisteröityjen oikeudet, mikä on sen suurin ero käsittelytoimien selosteeseen. • Oltava saatavilla tilanteessa, jossa henkilötietoja saadaan esimerkiksi verkkolomakkeen kautta tai kysytään suullisesti. • Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. • Rekisteröidyn pyynnöstä informointi voidaan tehdä myös puheella. • Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi tehdä viimeistään kuukauden kuluessa tai aiemmin siinä yhteydessä, kun rekisteröityyn ollaan ensimmäisen kerran yhteydessä. Käytännössä pienyritykselle voi riittää yksi seloste, joka kattaa sekä käsittelytoimien selosteen että rekisteröityjen informoinnin vaatimukset. Tämän dokumentin nimi voi olla esimerkiksi rekisteri- ja tietosuojaseloste. Tällaista yhden selosteen mallia voi suositella pienyrityksille, jotta molemmat vaatimukset täytetään ilman päällekkäistä työtä. Mitä informoinnin tulee sisältää: • Rekisterinpitäjä ja yhteystiedot • Tietosuojavastaavan yhteystiedot (jos on) • Käsittelyn oikeusperusteet • Tietojen säilytysajat • Käsiteltävät henkilötiedot • Henkilötietojen käsittelijät

56. 56 • Tietojen siirto kolmansiin maihin • Rekisteröityjen oikeudet, kuten:

    o Pääsy omiin henkilötietoihin o Tietojen oikaisu o Tietojen poisto o Käsittelyn rajoittaminen o Käsittelyn vastustaminen o Tietojen siirto toiseen järjestelmään o Tiedot automaattisesta päätöksenteosta o Oikeus valittaa valvontaviranomaiselle Lisätietoa tietosuojavaltuutetun sivuilta: https://tietosuoja.fi/rekisteroidyn-informointi Yksi tapa esittää informointiin liittyvät tiedot havainnollisesti on käyttää tietosuojakuvakkeita: Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3- 2023.pdf 7.3.1. Monitasoinen tietosuojaseloste Kun informointi on laaja, suositellaan monitasoista tietosuojaselostetta. • Ensimmäisellä tasolla (ylätasolla) tulee olla tärkeimmät tiedot. Tähän kuuluvat ainakin: o Henkilötietojen käsittelytarkoitukset o Rekisterinpitäjä o Rekisteröityjen oikeudet o Tiedot käsittelystä, joka vaikuttaa rekisteröityyn eniten ja joka voi tulla yllätyksenä. • Alatasoilla kerrotaan yksityiskohtaisemmin esimerkiksi eri tietoryhmistä ja rekisteröityjen ryhmistä. Kätevintä on hyödyntää verkkosivuja niin, että tietosuojaa koskeva pääsivu sisältää tärkeimmät tiedot, ja alasivuilla kerrotaan tarkemmin eri rekistereistä ja rekisteröityjen ryhmistä. Oleellista on, että pääsivulla on tärkeimmät tiedot. Kuitenkin jos käsittelytarkoituksia on useita toisistaan poikkeavia, on suositeltavaa tehdä jokaiselle ns. pääkäsittelytarkoitukselle oma tietosuojaseloste.

57. 57 7.3.2. Rekisteröityjen oikeudet sähköisessä markkinoinnissa Sähköisessä markkinoinnissa on erotettava

    markkinointitoimien jakautuminen yksityishenkilöille suunnattuun markkinointiin ja yritysten yhteyshenkilöille suunnattuun markkinointiin (B2B). • Yksityishenkilöille suunnatussa sähköisessä suoramarkkinoinnissa täytyy pyytää suostumus. • Yritysten yhteyshenkilöille suunnatussa markkinoinnissa oikeutettu etu voi riittää käsittelyperusteeksi, jolloin suostumusta ei tarvitse pyytää etukäteen. Kun käsittelyperuste eri ryhmillä poikkeaa toisistaan, informoinnissa kuten tietosuojaselosteella on kuvattava kunkin rekisteröityjen ryhmän oikeudet erikseen. Esimerkiksi kun käsittelyperusteena on suostumus, rekisteröidyillä ei ole oikeutta vastustaa tietojen käsittelyä, mutta heillä on oikeus perua antamansa suostumus. Vastaavasti jos käsittelyperusteena on rekisterinpitäjän oikeutettu etu, rekisteröidyillä on oikeus vastustaa käsittelyä. Alla olevassa taulukossa on kerrottu näiden kahden ryhmän oikeuksien erot. Rekisteröidyn oikeudet Suostumus sähköiseen suoramarkkinointiin Oikeutettu etu esimerkiksi B2B-markkinoinnissa Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Oikeus poistaa tietoja Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei (suostumuksen voi perua) Kyllä Oikeus siirtää tiedot järjestelmästä toiseen Kyllä, jos käsittely tapahtuu autom. ja tiedot on saatu rekisteröidyltä itseltään Ei Oikeus olla joutumatta autom. päätöksenteon ml. profiloinnin kohteeksi ilman laillista perustetta Rekisteröity voi antaa erikseen suostumuksen automaattiseen päätöksentekoon ja profilointiin GDPR ei salli tällä perusteella automaat. päätöksentekoa, jolla on merkittäviä vaikutuksia rekisteröityyn Oikeus valittaa valvontaviranomaiselle Kyllä Kyllä Muista nämä ohjeet sähköisessä suoramarkkinoinnissa: • Markkinointiviesteissä on muistettava mainita kielto-oikeudesta tai mahdollisuudesta perua suostumus markkinointiin. • Jotta informointi olisi aina rekisteröityjen helposti saatavissa, markkinointiviesteissä tulisi linkittää tietosuojaselosteelle. 7.4. Rekisteri- ja tietosuojaselosteen pohja Kuten edellä on käyty, läpi rekisterinpitäjän tulee laatia seloste henkilötietojen käsittelytoimista sekä rekisteröityjen informointi yrityksen tilanteen mukaan huomioiden kaikki rekisteröityjen ryhmät ja niiden henkilötietojen käsittelytavat.

58. 58 Koska selosteiden teko voi olla haastavaa erityisesti ensi kertaa

    tietosuoja-asioita pohtivalle rekisterinpitäjälle, oppaan liitteenä on valmis rekisteri- ja tietosuojaselosteen pohja, joka on tehty niin, että se palvelisi erityisesti pienten yritysten tarpeita. Oppaan liitteenä oleva rekisteri- ja tietosuojalosteen pohja sisältää kohdat seuraaville rekisteröityjen ryhmille: • asiakasrekisteri • markkinointirekisteri • kumppanirekisteri • työntekijä- ja hakijarekisteri • verkkosivujen vierailijat Muokkaa rekisteröityjen ryhmät yrityksenne tilanteen mukaisiksi – poista turhat ryhmät ja lisää sellaiset, joita dokumentissa ei ole valmiina. Muokkaa myös dokumentin keltaisella merkityt kohdat. Merkitse selosteeseen päiväys. Jos muutat selostetta myöhemmin, merkitse viimeisen muutoksen päiväys ja tiedota tarvittaessa rekisteröityjä etukäteen heitä koskevista muutoksista. 7.5. Ennakkotapaus: tarkastusoikeuden ja informoinnin laiminlyönti Lääkäriklinikan asiakas oli pyytänyt potilastietojaan, mutta niitä ei toteutettu. Lääkäriklinikka kertoi antavansa tiedot vain paikan päällä, ei sähköpostitse. Lisäksi lääkäriklinikka ei informoinut selvästi henkilötietojen käsittelystä. Useiden pyyntöjen jälkeen lääkäriklinikka toimitti asiakkaan perustiedot ja käyntitiedot tietosuojavaltuutetun toimistolle. Varsinaisia potilastietoja se ei toimittanut. Lääkäriklinikka vetosi siihen, että heillä ei ollut pääsyä asiakasta hoitaneen kirurgin yrityksen potilasrekisteriin. Kysyttäessä lääkäriklinikka ei kertonut, mitä tahoa se pitää rekisterinpitäjänä. Apulaistietosuojavaltuutetun päätöksen mukaan: • Yrityksen kotisivuilla ei ollut saatavilla rekisteröityjen informointia. • Verkkosivuilla rekisteröityjen informoinnin pitäisi olla saatavilla yhdellä klikkauksella. • Rekisterinpitäjälle annettiin määräys antaa rekisteröidylle pääsy tietoihinsa sekä saattaa menettelytapansa kuntoon informoinnin osalta. • Rekisterinpitäjälle annettiin huomautus GDPR:n vastaisista käsittelytoimista rekisteröidyn oikeuksien toteuttamisessa ja rekisteröityjen informoinnissa.

59. 59 • Tietosuojavaltuutetun seuraamuskollegio määräsi yritykselle 5000 euron seuraamusmaksun (liikevaihto

    oli n. 500 000 euroa). Lähde: Apulaistietosuojavaltuutetun päätös, 8493/161/21, https://www.finlex.fi/fi/viranomaiset/tietosuojavaltuutettu/2021/1303 (lainvoimainen) "TIETOSUOJASTA HUOLEHDITAAN, JOTTA JOKAINEN TIETÄISI, MITÄ TIETOJA HÄNESTÄ KERÄTÄÄN JA MITEN NIITÄ VOIDAAN KÄYTTÄÄ."

60. 60 8. Evästeet – milloin evästeille tarvitaan suostumus ja kuinka

    se tulee pyytää? Tässä osiossa käsitellään evästeitä ja sitä, milloin niille tarvitaan suostumus ja miten se tulee pyytää oikealla tavalla. Opit, mitä eroa on välttämättömillä ja ei-välttämättömillä evästeillä sekä evästeiden suostumuksen vaatimuksista. Aihetta tarkastellaan sekä viranomaisten antamien ohjeiden että käytännön näkökulmasta. Käymme läpi esimerkkejä evästebannereista ja evästeisiin liittyvien tietojen annosta verkkopalveluissa ja sovelluksissa. Tutustumme myös kävijäseurantatyökalujen vaihtoehtoihin, ja miten voit parantaa YouTube-videoiden upotusten tietosuojaa välttämällä niihin liittyvät markkinointievästeet. Osio sisältää tietoa evästeistä -sivun pohjan nettisivuille. 8.1. Yleistä evästeistä verkkosivustoilla Alla on esimerkki kuvitteellisen verkkosivuston sisältämistä evästeistä. Kuten siitä voi päätellä, yksittäiseen sivustoon voi liittyä lukuisia evästeitä ja niitä voidaan käyttää moniin tarkoituksiin. Haasteena on usein selvittää, mitä evästeitä sivustolla käytetään, mitkä ovat niiden käyttötarkoitukset ja säilytysajat. Nämä tiedot on kuitenkin kerrottava verkkosivuston käyttäjille, sillä heillä on oikeus saada tietoa evästeiden käytöstä – erityisesti, jos kyse on ei-välttämättömistä evästeistä. Asiantuntijan tekemässä evästekartoituksessa käydään läpi muun muassa seuraavat asiat: • Yritykset ja palvelut: Esimerkkeinä Adform, Facebook, Giosg, Google, HubSpot ja HCaptcha. • Domainit: Mistä verkkotunnuksista evästeitä ladataan ja/tai mihin niitä lähetetään. • Evästeiden tyypit: Evästeet jaotellaan ei-välttämättömiin ja välttämättömiin evästeisiin. • Evästeiden nimet

61. 61 • Käyttötarkoitukset: Evästeitä käytetään mm. markkinointiin, sosiaalisen median palveluihin,

    fonttien näyttämiseen, asiakaspalveluun, markkinointitiedon keruuseen, analytiikkaan ja kävijäseurantaan. • Säilytysajat: Evästeiden säilytysajat voivat vaihdella suuresti. Ne voivat olla jopa tuhansia päiviä, mikä käytännössä tarkoittaa pysyvää säilytystä, tai hyvin lyhyitä, kuten muutamia päiviä tai vain istunnon ajan eli niin kauan kuin käyttäjä on sivustolla. • Riippuvuus käyttäjän aiemmasta toiminnasta: Joissakin tapauksissa evästeiden käyttö voi riippua käyttäjän aiemmasta toiminnasta, jolloin puhutaan dynaamisista evästeistä. 8.1.1. Yleisimpiä datankerääjiä ja evästeitä käyttäviä toimintoja Erään selvityksen mukaan verkon suurimpia datankerääjiä ovat Google, Microsoft ja Facebook. Datankeräys verkkosivuilta liittyy tavallisesti evästeitä käyttäviin seurantatoimintoihin, markkinointiin ja sosiaalisen median alustoihin. Edellä mainittujen lisäksi muita amerikkalaisia suuria databisneksen yrityksiä ovat esimerkiksi Amazon ja Adobe. Alla olevassa kuvassa on pidempi lista. Kuvan oikeassa sarakkeessa on listattu yleisimpiä evästeiden lataukseen käytettyjä domaineja eli verkko-osoitteita. Listassa on useita tuttuja verkkopalveluita: • Google Tag Manager, jota käytetään evästeiden ja seurantaskriptien hallintaan. • Google Doubleclick, joka liittyy esimerkiksi YouTube-videoiden markkinointievästeisiin. • Google Analytics -kävijäseurantapalvelu • Googlen web-fontit • Facebook Lähde: DuckDuckGo, Tracker Radar Wiki, https://duckduckgo.github.io/tracker-radar-wiki/ (4.11.2024) Evästetietokantoja, jotka tarjoavat lisätietoa eri evästeistä: • Cookie Database, https://cookiedatabase.org/ • Cookie Search, https://cookiesearch.org/ • Open Cookie Database, https://github.com/jkwakman/Open-Cookie-Database

62. 62 8.2. Kuinka evästeet toimivat? Vaikka evästeistä on puhuttu julkisuudessakin

    paljon, monelle lukijalle saattaa olla epäselvää, miten evästeet todella toimivat. Alla olevassa kuvassa esitetään, miten evästeitä käytetään esimerkiksi Google Analytics -kävijäseurannassa. Evästeiden käyttö etenee seuraavasti, kun käyttäjä avaa yrityksen verkkosivun: • Käyttäjän tullessa sivustolle, sivulle ladataan usein ensin Google Tag Managerin skripti. Tämä skripti puolestaan lataa esimerkkitapauksessa Google Analyticsin skriptin, joka on lyhyt JavaScript-koodi sivuston lähdekoodissa. • Kun selain lähtee lataamaan seurantaskriptiä Googlen palvelimelta, se lähettää http-pyynnön mukana Googlelle erilaisia tietoja: 1. Selaimen tiedot, eli millä selaimella käyttäjä on paikalla. 2. Sivun tiedot, eli miltä sivulta skripti ladataan. 3. Googlen mahdolliset aiemmat evästeet käyttäjän laitteella. • Käyttäjän tunnistaminen ja tiedonkeruu: 1. Erityisesti evästeiden avulla Google voi tunnistaa käyttäjän ja kerätä tietoja siitä, millä sivulla käyttäjä on ja mitä selainta hän käyttää. 2. Tunnistaminen voi tapahtua aiemmin käyttäjän laitteelle tallentuneen evästeen avulla, vaikka käyttäjä ei olisi sillä hetkellä kirjautuneena mihinkään Googlen palveluun. 3. Joissain tapauksissa käyttäjä voidaan tunnistaa myös selaimen tietojen perusteella. • Google palauttaa varsinaisen kävijäseurantaskriptin tiedoston ja voi samalla asettaa uusia evästeitä käyttäjän laitteelle. • Kun kävijäseurantaskripti on ladattu ja se alkaa toimia verkkosivulla. Se seuraa käyttäjän kaikkea toimintaa ja rikastuttaa siten käyttäjästä kerättyä profiilia Googlen tietokannoissa. Tässä kuvattu evästeen käyttö on esimerkki ei-välttämättömästä evästeen käytöstä. Siksi siihen on pyydettävä suostumus ennen kuin evästettä saadaan ladata sivustolle.

63. 63 8.3. Evästeiden käytön pääperiaatteet ja suostumuksen pyytäminen Lukemattomilla verkkosivustoilla

    kysytään suostumuksia evästeiden käytölle. Kun vierailijalle esitetään evästebanneri tai muu evästeitä koskeva kysymys, kyse on käytännössä aina ei-välttämättömistä evästeistä, sillä vain niille on pyydettävä suostumus. Valitettavan monella verkkosivustolla evästebanneri ei ole vaatimusten mukainen. Evästeiden käytön pääperiaatteet ovat kuitenkin yksinkertaisia ja ne voi tiivistää kolmeen kohtaan: 1. Käyttäjille tulee kertoa evästeiden käytön tarkoituksesta. 2. Käyttäjien on voitava kieltäytyä ei-välttämättömistä evästeistä. Esimerkiksi kolmansien osapuolten seurantaevästeet ovat tällaisia. 3. Ei-välttämättömille evästeille tarvitaan GDPR:n mukainen suostumus: • Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. • Suostumukseen liittyvän informoinnin on oltava helposti ymmärrettävässä ja saatavilla olevassa muodossa, selkeää ja yksinkertaista kieltä. • Käyttäjällä on oikeus peruuttaa suostumus milloin tahansa yhtä helposti kuin suostumuksen voi antaa. Jos verkkosivustolla ei anneta yhtä helppoa mahdollisuutta kieltäytyä ei-välttämättömistä evästeistä kuin hyväksyä ne, tai jos vierailijalle ei kerrota vaadittavia tietoja, toteutus on todennäköisesti laiton. Suomessa tärkein evästeiden käyttöä linjaava ohjeistus on Traficomin vuonna 2021 antama ohje palveluntarjoajille: https://www.traficom.fi/fi/toimintamme/saantely-ja-valvonta/evasteet Oleellista on erottaa ei-välttämättömät evästeet, joille on pyydettävä käyttäjän suostumus ennen niiden käyttöä. Alla on Traficomin evästeohjeen esimerkkejä: • Ei-välttämättömät evästeet ja tiedot → pyydä suostumus o Analytiikkaan liittyvät evästeet o Chat-palvelujen evästeet o Sosiaalisen median alustoihin liittyvät evästeet o Kohdennettuun mainontaan ja markkinointiin liittyvät evästeet o Sijainti ja muut päätelaitteesta saatavat tiedot, joita käytetään esim. profilointiin • Välttämättömät evästeet ja tiedot → suostumusta ei tarvita o ”Ainoana tarkoituksena toteuttaa viestin välittämistä” tai ” välttämätöntä palvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota käyttäjä on nimenomaisesti pyytänyt”. o Käyttäjän kirjautumiseen ja todentamiseen liittyvät evästeet o Käyttäjän valintojen ja syötteiden muistaminen palvelussa o Saavutettavuuteen ja sisältöjen näyttöön liittyvät evästeet o Tietoturvaan liittyvät evästeet (esim. spämmiestot)

64. 64 8.4. Rekisteröidyn informointi evästeiden suostumuksen yhteydessä Suostumuksen pyytämisessä voidaan

    käyttää jo edellä esiteltyä monitasoista informointia. Se voi koostua esimerkiksi evästebannerista ja erillisestä tietoa evästeistä - sivusta. 1. taso (evästebanneri/-ilmoitus): • Rekisterinpitäjä • Henkilötietojen käsittelytarkoitukset • Erityisesti käsittely, joka vaikuttavat rekisteröityyn eniten tai voivat tulla yllätyksenä. • Linkki 2. tasolle: esim. tietoa evästeistä -sivu tai tietosuojaseloste. 2. taso (tietoa evästeistä -sivu, tietosuojaseloste): • Kerrotaan, mitä evästeet ovat ja mihin niitä käytetään. • Tarkemmat tiedot evästeistä, kuten palveluntarjoajat, nimet, tarkoitukset ja säilytysajat. Alla on esimerkki evästeistä tarkemmin kertovasta sivusta. Kyseessä on kuvakaappaus EU- tuomioistuimen Evästeet-sivusta: https://curia.europa.eu/jcms/jcms/a1_1095707/ (14.5.2025) Oppaan liitteenä on asiakirjapohja yrityksen verkkosivuston tietoa evästeistä -sivun tekoon. Muokkaa dokumenttipohja verkkosivustonne evästeiden käytön mukaisesti.

65. 65 8.5. Euroopan tietosuojaneuvoston ohjeita suostumuksen pyynnölle Ei-välttämättömille evästeille on

    siis pyydettävä suostumus ennen niiden käyttöä. Tarkempia ohjeita evästeiden suostumuksen pyytämiselle on EU:n tietosuojaneuvoston (EDPB) ohjeessa suostumuksesta ja läpinäkyvyydestä vuodelta 2020. Alle on poimittu keskeisiä ohjeita ja esimerkkejä. Evästebanneri ei saa estää sivuston käyttöä: Ohjeen mukaan verkkosivuston vierailijoita ei saa ikään kuin painostaa evästeiden käytön hyväksyntään. On muistettava, että suostumus on pätevä vain, jos se on aidosti vapaaehtoinen valinta – eikä vaihtoehdoksi riitä se, että vierailija voi poistua sivustolta. Toisaalla ohjeessa on mainittu myös se, että jos vierailija jatkaa sivuston käyttöä vastaamatta evästebanneriin, ei vierailun jatkamista voida tulkita suostumukseksi ei-välttämättömien evästeiden käytölle. Selvät kyllä- ja ei-vaihtoehdot: Vaikka evästeiden sääntelyn lähtökohta on se, että vierailijan on voitava kieltäytyä ei-välttämättömistä evästeistä ja niille on saatava suostumus ennen käyttöä, voi ei-välttämättömien evästeiden suostumuksen toteuttaa myös selvillä kyllä- ja ei-valinnoilla. Tässä kohtaa lukija voi huomata, että toisin kuin vaaditaan, monella verkkosivustolla ei- välttämättömien evästeiden kielto-nappi joko puuttuu tai se on piilotettu monimutkaisten asetusten taakse. Kuitenkin ”kiellä evästeet” tai ”käytä vain välttämättömiä evästeitä” -vaihtoehdon tulisi olla samassa yhteydessä ei-välttämättömien evästeiden hyväksy-painikkeen kanssa. Samalla on tärkeää huolehtia evästeiden käytön informoinnista tässä luvussa kerrotun mukaisesti, jotta suostumus on pätevä eli GDPR:n mukainen. Muussa tapauksessa evästeiden käytölle ei ole lainmukaista suostumusta, vaikka käyttäjä olisikin klikannut hyväksy-painiketta.

66. 66 Suostumuksen voimassaolo: Yksiselitteistä ohjetta ei-välttämättömien evästeiden maksimisäilytysajalle on vaikea

    antaa. Yllä olevan ohjeen mukaan suostumus tulisi uudistaa asianmukaisin väliajoin, mitä voi soveltaa evästeiden säilytysaikaan. Myös palveluntarjoajat ovat tehneet omia linjauksiaan. Esimerkiksi Google edellyttää mainosevästeiden suostumusten uusimista vähintään 13 kuukauden välein. Lähde: Europan tietosuojaneuvosto EDPB, 2020, Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_fi.pdf 8.6. Vierailijan toiminta sivustolla ja evästeiden käyttö Verkkosivuston vierailijan toiminta ja evästeiden käyttö voidaan hahmottaa neljään vaiheeseen. 1. Sivun avaaminen: Aluksi voidaan ladata vain välttämättömät evästeet. Myös välttämättömistä evästeistä tulee kertoa. Voidaan ladata myös toimintoja, jotka eivät käytä evästeitä (esim. evästeetön kävijätilastointi). 2. Suostumuksen pyyntö: Jos käytössä on ei-välttämättömiä evästeitä käyttäviä seurantatoimintoja, kysytään suostumus. Samalla tulee tehdä 3. osapuolten henkilötietojen käsittelyn informointi. Jos käyttäjä ei anna suostumusta, sitä ei pidä kysyä toistuvasti.

67. 67 3. Suostumuksen antaminen: Ladataan käyttäjän hyväksymät seurantatoiminnot ja evästeet.

    Näytetään käyttäjälle, mille evästeille hän on antanut suostumuksen. Käyttäjä voi perua suostumuksen milloin tahansa. 4. Toimintojen käyttö sivustolla: Toimintoihin liittyvät välttämättömät evästeet saadaan ladata, kun käyttäjä avaa toiminnon. Ei-välttämättömille evästeille kysytään erikseen suostumus. Jos käyttäjä on hyväksynyt evästeet jo aiemmalla vierailukerralla, voimassa olevia evästeitä voidaan käyttää, mikäli niihin liittyvät toiminnot ja käyttötarkoitukset ovat säilyneet ennallaan. 8.7. Ennakkotapaus: Forecan TCF-evästebanneri Verkkosivustoilla käytetään usein mainostajien evästebannereita, kuten Forecan sääsivustolla vuonna 2023. Niiden ensimmäisellä tasolla voi olla esimerkiksi "hyväksy" ja "lisää vaihtoehtoja" -nappulat. Jälkimmäisestä avautuu tavallisesti hyvin monimutkainen asetuskokonaisuus. Mikään laki ei vaadi monimutkaista evästebanneria, vaan riittää, että ei- välttämättömille evästeille on "hyväksy" ja "kiellä" -napit ja informointi on hoidettu asianmukaisesti niin kuin edellä on käyty läpi. Forecan tapauksen kaltaiset monimutkaiset bannerit ovat yleensä niin sanottuja TCF- evästebannereita. Kyse on Transparency and Consent Framework -nimisestä evästeiden suostumuksen standardista, jonka on kehittänyt mainostajien järjestö IAB Europe. TCF-evästebannereita käytetään usein sivustoilla, joihin liittyy kohdennettua mainontaa ja mainosalustojen evästeitä. Tietosuojan näkökulmasta TCF-evästebannereihin voi liittyä useita ongelmia: • TCF-evästebannerit eivät automaattisesti ole GDPR:n mukaisia, vaan säädösten noudattamisesta on varmistuttava erikseen. • TCF-evästebanneri luo TC-nimisen merkkijonon käyttäjän valinnoista. EU-tuomioistuimen päätöksen mukaan TC-merkkijono on henkilötietoa, joten myös sen käsittely on huomioitava. • On kyseenalaista, onko yksi suostumus pätevä, jos kyse on kymmenistä tai jopa sadoista mainostajista tai kumppaneista, joille lähetetään tietoja vierailijasta hyväksy-painikkeen napsautuksen perusteella. Suomessa Traficom tekee päätökset evästebannereiden toteutuksen laillisuuteen liittyvistä tapauksista. Traficom antoi vuonna 2024 päätöksen Forecan TCF-evästebannerista. Päätöksessä edellytettiin muun muassa lisäämään "estä kaikki" -nappi evästebannerin ensimmäiselle tasolle sekä rajoittamaan mainoskumppanien määrää.

68. 68 Traficomin päätöksen perusteella kaikki evästebannerit, joissa ei ole ensimmäisellä

    tasolla "kiellä kaikki ei-välttämättömät evästeet" tai "hyväksy vain välttämättömät evästeet" -nappia, ovat sääntelyn vastaisia eli laittomia. Tämä asia on syytä tarkistaa, jos sivustolla käytetään TCF-evästebanneria. Lisäksi on suositeltavaa poistaa sellaiset mainoskumppanit, joiden palveluita yritys ei käytä. Lähteet: Traficomin päätös Forecan evästebannerista, 12.6.2024, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Foreca%20Oy.pdf EU-tuomioistuimen päätös TC-merkkijonoista, 7.3.2024, https://curia.europa.eu/juris/document/document.jsf?docid=283529&doclang=FI IAB Finlandin TCF:n esittelysivu: https://www.iab.fi/tyoryhmat-2/tcf.html 8.8. Ennakkotapaus: verkkosivujen kävijäseuranta Google Analyticsilla (GA: Apulaistietosuojavaltuutetun päätös koski Google Analytics -kävijäseurannan käyttöä pääkaupunkiseudun kirjastojen Helmet-verkkopalvelussa. Ongelmat liittyivät 1) evästeiden käyttöön, 2) tietojen siirtoon Googlelle ja 3) tietojen siirtoon ETA-alueelta Yhdysvaltoihin. • Päätöksen mukaan henkilötietoja päätyi perusteetta sivullisille, tässä tapauksessa Googlelle. • Päätöksen mukaan evästebanneri ei toiminut oikein ja rekisteröityjen informoinnissa oli puutteita. Rekisteröidyille olisi pitänyt kertoa mm. kuinka pitkään Google käsittelee tietoja – mikä on vaikeaa. • Seurantadataan saattoi päätyä tietoja myös käyttäjien aineistohauista linkkien ns. referer- tietojen kautta. • Päätöksessä viitattiin EU-tuomioistuimen ns. Schrems II –päätökseen, jonka mukaan Yhdysvaltoihin siirretyillä henkilötiedoilla ei ole riittävää suojaa, koska maan viranomaisilla oli pääsy niihin. o 10.7.2023 lähtien henkilötietoja voidaan siirtää EU-komission tekemän riittävyyspäätöksen perusteella sellaisille yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen tietosuojakehyksessä. Ks. lista: https://www.dataprivacyframework.gov/ - Google on mukana. • Johtopäätös: Google Analyticsin käyttöön liittyy useita ongelmia. Uusi EU-USA-tietosuojakehys korjaa niistä vain yhden. Lähde: Apulaistietosuojavaltuutetun päätös, 4672/161/22, https://www.finlex.fi/fi/viranomaiset/tsv/2022/20221663 8.9. Vaihtoehtoja Google Analyticsille: esimerkkinä Matomo EU:n yleisen tietosuoja-asetuksen myötä yhä useampi organisaatio etsii vaihtoehtoja Google Analyticsin kävijäseurannalle, jotka eivät ole yhteydessä nettijättien mainosalustoihin. Matomo on yksi tällainen vaihtoehto. Matomon etuja: • Google Analyticsin tapaan monipuoliset kävijäseurannan raportit ja ominaisuudet.

69. 69 • Mahdollistaa seurannan ilman evästeitä, jolloin suostumusta evästeille ei

    tarvitse kysyä. • Kun seurantaskripti voidaan ladata heti vierailijan tullessa sivustolle, kaikki käyttäjät saadaan kävijätilastoihin. • Henkilötietoja ei päädy kolmansien osapuolten käyttötarkoituksiin. • Käyttäjäkohtainen raakadata poistetaan automaattisesti raporttien muodostamisen jälkeen. • IP-osoitteet voidaan anonymisoida poistamalla niistä esim. 2 viimeistä numeroa Matomo on saatavana omalle palvelimelle asennettavana ohjelmana ja ylläpidettynä palveluna. Lisätietoa: Matomo Analytics, https://matomo.org/ Matomo ylläpidettynä palveluna, esim. https://www.matomo-analytics.fi/ Vaihtoehtoisia kävijäseurantapalveluita (Dana Hooshmand, 2024), https://hooshmand.net/privacy-focused-alternative-to-google-analytics/ 8.10. YouTube-videoiden upotukset sisältävät ei-välttämättömiä evästeitä Oletuksena YouTube-upotuskoodi käyttää Googlen seuranta- ja markkinointievästeitä, jotka vaatisivat suostumuksen ennen kuin videota saadaan ladata vierailijan nähtäväksi. Tämä on onneksi helppo korjata: muuta upotuskoodissa osoitteen kohta youtube.com muotoon youtube-nocookie.com yllä olevan kuvan mukaisesti. "YRITYKSEN NETTISIVUJEN VIERAILIJAT HALUAVAT SAADA TIETOA YRITYKSEN PALVELUISTA JA TUOTTEISTA – EI JAKAA TIETOJAAN ULKOPUOLISILLE MAINOSTAJILLE."

70. 70 9. Henkilötietojen käsittelijät – milloin on tehtävä käsittelysopimus? Tässä

    osiossa syvennymme henkilötietojen käsittelijöihin kuten alihankkijoihin ja palveluntarjoajiin sekä henkilötietojen käsittelysopimuksiin. Käymme läpi rekisterinpitäjän ja henkilötietojen käsittelijän roolien erot. Tarkastelemme GDPR:n vaatimusten pohjalta, miksi on syytä tehdä kirjallinen sopimus henkilötietojen käsittelystä osapuolten välillä. Opit, mitä kaikkea käsittelysopimuksen tulee sisältää ja mitä velvollisuuksia henkilötietojen käsittelijällä on. Lisäksi pureudumme alakäsittelijöiden käyttöön ja siihen, miten vastuu määräytyy, jos käsittelysopimus on puutteellinen. Osio sisältää henkilötietojen käsittelyn sopimuspohjan, jota yritykset voivat käyttää silloin, kun he luovuttavat esimerkiksi asiakkaiden tai työntekijöiden henkilötietoja alihankkijan suorittamaa työtä varten tai silloin, kun yritys käsittelee asiakasyritykseltä saamiaan henkilötietoja sille suorittamiensa palvelujen yhteydessä. 9.1. Yrityksen alihankkijat ovat henkilötietojen käsittelijöitä Kerrataan tämän osion aluksi lyhyesti henkilötietojen käyttäjien roolit, joita käsittelimme oppaan luvussa 1.6. Rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tavallisesti tässä asemassa on yritys tai yrittäjä, joka vastaa henkilötietojen käsittelystä. Useampi taho yhdessä voivat olla yhteisrekisterinpitäjiä, jos heillä on yhteinen rekisteri. Rekisterinpitäjän työntekijät toimivat rekisterinpitäjän vastuun alaisena. Henkilötietojen käsittelijä on luonnollinen henkilö tai oikeushenkilö – yleensä yritys – joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tällöin tarvitaan sopimus henkilötietojen käsittelystä, jos esimerkiksi palveluntarjoaja, alihankkija tai muu taho käsittelee yrityksen henkilötietoja sen lukuun. Henkilötietojen käsittelijän työntekijät toimivat sen (esimerkiksi palveluntarjoajan) vastuun alaisena. Kolmas osapuoli on taho, joka ei ole mikään edellä mainituista ja jolla ei ole oikeutta käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. Vastaanottaja on henkilö tai oikeushenkilö kuten yritys, jolle henkilötietoja luovutetaan. Myös henkilötietojen käsittelijät ovat vastaanottajia. Vastaanottajat tulee kertoa yrityksen tietosuojaan liittyvissä selosteisa. 9.2. Henkilötietojen käsittelijöistä selvitettävät asiat Kun valitaan tai arvioidaan henkilötietojen käsittelijää, tulee selvittää seuraavat asiat: • Yrityksen/organisaation nimi • Kotimaa ja kaikki maat, joihin tietoja voidaan siirtää. • Käsiteltävät henkilötiedot, käsittelytarkoitus ja miten tietoja käsitellään. • Tietosuojaseloste, tietosuojaperiaatteet ja muut dokumentit, jotka osoittavat, miten yritys täyttää GDPR:n vaatimukset. • Palvelusopimus tai käyttöehdot • Mahdollisuus tehdä henkilötietojen käsittelysopimus eli DPA-sopimus (Data Processing Agreement) ja sen tyyppi (vakio, valinnainen vai räätälöity sopimus)

71. 71 • DPA-sopimuksen GDPR:n mukaisuus. • Alakäsittelijät (nimi, kotimaa, käsittelytarkoitus,

    siirtoperuste, suojatoimet). • Siirtoperusteet, jos tietoja siirretään EU:n tai ETA:n ulkopuolelle. 9.3. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijän oikeusperuste käsitellä henkilötietoja on se, että henkilötietojen käsittely tapahtuu rekisterinpitäjän kanssa sovitun mukaisesti ja rekisterinpitäjän ohjeiden mukaisesti. Alla olevassa kuvassa on esitetty henkilötietojen käsittely, johon liittyy henkilötietojen käsittelijä, jolle rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten. Henkilötietojen kulkeutuminen henkilötietojen käsittelijälle ja siihen liittyvät dokumentit: • Rekisterinpitäjä saa henkilötietoja rekisteröidyiltä. • Rekisterinpitäjä huolehtii rekisteröityjen informoinnista (GDPR 13 artikla). • Rekisterinpitäjän seloste käsittelytoimista (GDPR 30 artikla). • Rekisterinpitäjän ja henkilötietojen käsittelijän välinen sopimus ja ohjeet henkilötietojen käsittelystä (GDPR 28 artikla). • Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen. • Henkilötietojen käsittelijän seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (GDPR 30 aritkla). • Mahdolliset muut käsittelijät (alakäsittelijät). • Valvontaviranomainen voi tarvittaessa kysyä käsittelyyn liittyviä dokumentteja. 9.4. Sopimus henkilötietojen käsittelystä (DPA-sopimus) Henkilötietojen käsittelysopimuksen merkitys on se, että käsittelijä toimii rekisterinpitäjän lukuun ja tämän vastuulla. Tehdessään sopimuksen henkilötietojen käsittelijän kanssa, rekisterinpitäjä ottaa

72. 72 vastuun henkilötietojen käsittelijän toiminnasta sekä mahdollisten alakäsittelijöiden tekemästä henkilötietojen

    käsittelystä sopimuksen mukaisesti. Rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen on oltava yksityiskohtainen ja GDPR:n vaatimusten mukainen, jotta varmistetaan henkilötietojen lainmukainen ja turvallinen käsittely sekä selkeytetään vastuita. Sopimuksen on vahvistettavat asiat: • Käsittelyn kohde, kesto, luonne ja tarkoitus. • Rekisteröityjen ryhmät ja tietojen tyypit. • Rekisterinpitäjän velvollisuudet ja oikeudet. Erityisesti tulee sopia, että käsittelijä: • Käsittelee tietoja ohjeiden mukaisesti. • Varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta. • Ei käytä toisia käsittelijöitä ilman lupaa. • Auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet (esim. tietoturvaloukkauksista ilmoittamisessa). • Lopuksi poistaa tai palauttaa tiedot. • Antaa tarvittavat tiedot osoitusvelvollisuudesta. • Sallii rekisterinpitäjän valvonnan ja tarkastukset. Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal- content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 9.5. Henkilötietojen käsittelijän alakäsittelijät Yksittäisen alihankkijan tai palveluntarjoajan (esim. tietojärjestelmä tai pilvipalvelu) sopimukseen voi liittyä laaja ketju, joka koostuu useista henkilötietojen käsittelijöistä oheisen kuvan mukaisesti. Ikään kuin pyramidin huippuna on palveluntarjoajan kanssa sopimuksen tekevä yritys. Viime kädessä se vastaa rekisterinpitäjänä koko henkilötietojen käsittelyprosessista. Vastuut määräytyvät yleisen tietosuoja-asetuksen ja tehtyjen sopimusten ehtojen mukaan. Kuvan esimerkissä rekisterinpitäjän henkilötiedot jakautuvat rekisteröityjen ryhmiin A ja B. B-ryhmään liittyy neljä henkilötietojen käsittelijää. Henkilötietojen käsittelijän asemassa ovat alihankkijat ja palveluntarjoajat. Ne käsittelevät henkilötietoja rekisterinpitäjän lukuun suorittaen erilaisia toimintoja kuten markkinointia, tuotteiden toimitusta tai asennusta asiakkaille. Henkilötietojen käsittelyn toimitusketju voi olla erittäin laaja. Se voi sisältää edelleen alakäsittelijöitä. Näin on esimerkiksi silloin, jos rekisterinpitäjän alihankkijalla on omia alihankkijoita, jotka käsittelevät rekisterinpitäjän hallinnassa olevia henkilötietoja. Tämä muodostaa alakäsittelijöiden ketjun.

73. 73 Koko tämä laaja kokonaisuus, mukaan lukien kaikki alakäsittelijät, on

    yhden ja saman henkilötietojen käsittelysopimuksen alaisuudessa. Henkilötietojen käsittelijän on vastattava, että sen käyttämät alakäsittelijät noudattavat käsittelyssä samoja ehtoja kuin mihin se itse on sitoutunut rekisterinpitäjän kanssa tehdyssä henkilötietojen käsittelysopimuksessa. 9.5.1. Muutokset henkilötietojen alakäsittelijöihin GDPR:n 28 artiklan 2 kohta määrää, miten alakäsittelijöiden eli toisten henkilötietojen käsittelijöiden käytöstä on sovittava henkilötietojen käsittelysopimuksessa: Yleinen lupa: • Sopimukseen tulee liittää lista nykyisistä alakäsittelijöistä. • Käsittelijän tulee ilmoittaa etukäteen kaikista suunnitelluista muutoksista alakäsittelijöihin. • Rekisterinpitäjälle on annettava mahdollisuus vastustaa muutoksia kohtuullisessa ajassa. • Jos rekisterinpitäjä ei vastusta tai ei vastaa määräajassa, lupa katsotaan annetuksi. Erityinen lupa: • Sopimuksessa voidaan mainita rekisterinpitäjän aluksi hyväksymät alakäsittelijät.

74. 74 • Käsittelijän on ilmoitettava kirjallisesti suunnitelluista muutoksista alakäsittelijöihin. •

    Rekisterinpitäjän tulee erikseen hyväksyä käsittelijän ehdottamat muutokset. • Jos rekisterinpitäjä ei vastaa määräajassa, lupa katsotaan hylätyksi. Lähde: EDPB, 7.7.2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2022- 02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf 9.6. Rekisterinpitäjän antamat ohjeet käsittelijälle GDPR:n 28 artiklan 3 kohdan a-alakohta määrää, että henkilötietojen käsittelystä on sovittava niin, että henkilötietoja käsitellään vain rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti: • Rekisterinpitäjien on annettava kuhunkin käsittelytoimeen liittyvät ohjeet. • Ohjeisiin voi kuulua henkilötietojen sallittu ja asiaton käsittely, yksityiskohtaisemmat menettelyt, tietojen turvaamiskeinot, siirrot kolmansiin maihin jne. • Henkilötietojen käsittelijä ja alakäsittelijät eivät saa käsitellä henkilötietoja ohjeita laajemmin. • Käsittelijä voi tehdä ehdotuksia, joista tulee osa ohjeita, jos rekisterinpitäjä hyväksyy ne. • Rekisterinpitäjän antamat ohjeet on dokumentoitava, esim. sopimuksen liite. • Ohjeet voivat sisältyä osin sopimukseen ja lisäksi voi olla kohta lisäohjeiden annosta. • Ohjeiden yksityiskohtaisuus riippuu henkilötietojen käsittelyn tapauksesta. Lähde: EDPB, 7.7.2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2022- 02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf 9.7. Henkilötietojen käsittelyn sopimuspohja Henkilötietojen käsittelysopimuksen sisällöstä määrätään kaiken kaikkiaan yksityiskohtaisesti GDPR:n 28 artiklassa. Yrityksen tulisikin aina tarkistaa, että henkilötietojen käsittelysopimus on GDPR:n mukainen ennen sopimuksen tekoa. Tämän oppaan liitteenä on henkilötietojen käsittelyn sopimuspohja. Se on laadittu noudattaen GDPR:n vaatimuksia – kuitenkin niin, että osa kohdista on täydennettävä käyttötapauksen mukaan. Pienyritykset

75. 75 voivat käyttää sopimusta omalla vastuullaan sekä rekisterinpitäjän että henkilötietojen

    käsittelijän roolissa. Oppaan liitteenä oleva sopimuspohja sisältää seuraavat kohdat: • Rekisterinpitäjän ja sen yhteyshenkilön tiedot • Henkilötietojen käsittelijän ja sen yhteyshenkilön tiedot • Sopimuksen kohteena olevat rekisteröityjen ryhmät ja/tai henkilötiedot • Henkilötietojen käsittelyn tarkoitukset • Rekisterinpitäjän antamat ohjeet käsittelijälle (valmiita ohjeita ja mahdollisuus antaa lisäohjeita) • Käsittelijän velvollisuudet • Henkilötietojen suojatoimet (lista minimisuojatoimista) • Menettely tietoturvaloukkauksissa • Alakäsittelijöiden käyttäminen (yleinen ennakkolupa, jos rekisterinpitäjä ei vastusta 30 päivän kuluessa) • Vastuunrajoitus (käsittelijä vastaa vain rekisterinpitäjän osoittamista vahingoista, ei vastuuta välillisistä tai kolmansien osapuolten vahingoista) • Sopimuksen voimassaolo • Molemminpuolinen irtisanomisaika (30 päivää) • Allekirjoitukset 9.8. Henkilötietojen käsittelijän vastuu Tietosuojaviranomainen voi huomauttaa henkilötietojen käsittelijää, jos sen toiminta on GDPR:n vastaista, määrätä saattamaan käsittelytoimet asetuksen mukaisiksi tai asettaa käsittelylle väliaikaisen tai pysyvän kiellon. Jos rekisteröidylle aiheutuu GDPR:n rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus vahingosta. Velvoitteiden noudattamatta jättämisestä on kyse esimerkiksi, jos henkilötietojen käsittelijä: • on toiminut rekisterinpitäjän lainmukaisten ohjeiden ulkopuolella tai vastaisesti • ei auta rekisterinpitäjää sen velvollisuuksien suorittamisessa (esimerkiksi tietoturvaloukkauksesta ilmoittamisessa) • ei anna rekisterinpitäjälle velvoitteiden noudattamisen osoittamiseen tai auditointien suorittamiseen tarvittavia tietoja • ei ilmoita rekisterinpitäjälle, että sen antama ohje rikkoo yleistä tietosuoja-asetusta • käyttää toisen käsittelijän palveluita ilman rekisterinpitäjän ennakkohyväksyntää • käyttää sellaista toista käsittelijää, joka ei täytä tietosuoja-asetuksen edellytyksiä

76. 76 • ei nimitä tietosuojavastaavaa, kun sitä edellytetään • ei

    ylläpidä selostetta rekisterinpitäjän lukuun suoritettavista käsittelytoimista. Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/henkilotietojen-kasittelijan-velvollisuudet 9.9. Ennakkotapaus: osapuolten asema, kun käsittelysopimus on puutteellinen Yritys Y oli tehnyt robottimarkkinointipuheluita toimeksiantajayrityksen XX hyväksi. Osapuolten välillä oli vain ylimalkainen ”yleistä tietosuoja-asetusta koskeva sopimus”, jossa ei yksilöity mm. käsiteltäviä tietoja tai annettu käsittelyä koskevia ohjeita. Apulaistietosuojavaltuutetun päätöksen mukaan: • Ratkaisevaa osapuolten asemassa oli se, että yritys Y toimi yrityksen XX hyväksi. • Velvoite laatia sopimus henkilötietojen käsittelystä koskee molempia osapuolia. • Koska osapuolten välinen sopimus ei sisältänyt GDPR:n 28 artiklan 3 kohdan mukaisia asioita, TSV katsoi, että yritys Y laiminlöi GDPR:n säännöksiä henkilötietojen käsittelijänä. • Päätöksen mukaan: ”henkilötietojen käsittelijän oikeusperuste käsitellä henkilötietoja perustuu siihen, että henkilötietojen käsittely tapahtuu rekisterinpitäjän kanssa sovitun mukaisesti ja rekisterinpitäjän ohjeiden mukaisesti”. • Yritys Y:lle annettiin huomautus. Sakkoja ei määrätty, koska yritys oli jo konkurssissa. Lähde: Apulaistietosuojavaltuutetun päätös 21.3.2023, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211003 (lainvoimainen) ”TEHDESSÄÄN SOPIMUKSEN HENKILÖTIETOJEN KÄSITTELIJÄN KANSSA, REKISTERINPITÄJÄ OTTAA VASTUUN SEN SEKÄ MAHDOLLISTEN ALAKÄSITTELIJÖIDEN TEKEMÄSTÄ HENKILÖTIETOJEN KÄSITTELYSTÄ SOPIMUKSEN MUKAISESTI.”

77. 77 10. Milloin on kyse tietoturvaloukkauksesta ja miten silloin toimitaan?

    Lopuksi käsittelemme yhtä tietosuojan kriittisintä aihetta: tietoturvaloukkauksia ja niihin reagoimista. Tässä osiossa opit tunnistamaan, milloin kyseessä on tietoturvapoikkeama tai henkilötietojen tietoturvaloukkaus. Ymmärrät tietoturvaloukkausten eri tyypit: luottamuksellisuuden, eheyden ja saatavuuden loukkauksen. Käymme läpi, miten loukkauksen vakavuus arvioidaan, ja milloin rekisterinpitäjällä on velvollisuus ilmoittaa loukkauksesta tietosuojaviranomaiselle ja rekisteröidyille. Saat konkreettisia ohjeita ja esimerkkejä, miten ilmoitukset tulee tehdä. Lisäksi saat käytännön ohjeita, mitä tehdä, jos epäilet haittaohjelmaa tai virusta, sekä neuvoja identiteettivarkauden tai tietovuodon uhrille. 10.1. Varo huijauksia ja tietojenkalastelua Erilaiset netin kautta tehtävät huijaukset ovat lisääntyneet, ja niiden tunnistaminen on tärkeää tietoturvan kannalta. Huijausviestejä lähetetään varsinkin tekstiviestitse ja sähköpostitse. Huijarit hyödyntävät tunnettujen ja laajasti käytettyjen palveluntarjoajien nimiä pyrkiessään kalastelemaan tietoja. Tavallisia vaaranpaikkoja ovat huijausviestit, joita lähetetään muun muassa postin, verkkopankkien, veronpalautusten, työterveyspalveluiden ja sähköyhtiöiden nimissä. Postihuijaukset ovat hyvin yleisiä siksi, koska monet odottavat parhaillaankin paketti-ilmoitusta, mikä tekee heistä alttiimpia uskomaan huijausviesteihin. 10.1.1. Ohjeita digihuijausten välttämiseen Muista nämä tärkeimmät ohjeet: • Älä luota viestin lähettäjänä näkyvään nimeen, sähköpostiosoitteeseen tai puhelinnumeroon. Ne voidaan väärentää, jolloin viesti voi näyttää tulevan tutulta lähettäjältä. • Älä avaa yllätyksenä tulleita linkkejä, olivatpa ne sitten tekstiviestissä tai sähköpostissa. • Varmista oikea linkki tarvittaessa muualta, esimerkiksi verottajan tai pankkien ohjeista. • Tunne käyttämiesi verkkopalveluiden oikeat nettiosoitteet. Tämä pätee erityisesti kirjautumissivuihin ja niihin palveluihin, joita käytetään paljon, mutta myös muihin työhön liittyviin verkkopalveluihin. • Tarkistamalla verkkopalvelun osoitteen huomaat, onko kyse tietojenkalastelusivusta, mikäli se poikkeaa oikeasta. • Lukko-symboli selaimen osoiterivillä ei takaa sivun oikeellisuutta. Lukko-symboli ilmaisee vain sen, käyttääkö sivu SSL-salattua verkkoyhteyttä (https-alkuinen osoite). Myös huijaussivut voivat käyttää salattua yhteyttä.

78. 78 10.1.2. Laskutuspetokset ja toimitusjohtajahuijaukset Lomakaudet, erityisesti kesä, luovat otollisen

    maaperän erilaisille digitaalisille huijauksille. Sellaisia ovat niin sanotut toimitusjohtajahuijaus ja laskutuspetos. Niissä rikollinen hyödyntää organisaatioiden lomakausien henkilöstömuutoksia tai kiireistä ilmapiiriä. Toimitusjohtajahuijauksissa rikolliset esiintyvät organisaation johdon nimissä ja pyytävät vastaanottajaa suorittamaan kiireellisiä toimia. Tällaisia pyyntöjä voivat olla esimerkiksi laskujen maksaminen tai lahjakorttien ostaminen. Viestejä saatetaan lähettää eri kanavissa: sähköpostilla, tekstiviesteillä, WhatsApp-viesteillä ja puhelimitse. Huijausten ytimessä on pyrkimys ohittaa ihmisten normaali varovaisuus vetoamalla asian kiireellisyyteen. Viestit voivat alkaa viattomilla kysymyksillä, kuten "voitko tehdä mun puolesta yhden jutun" tai "olisiko sulla hetki aikaa", joita seuraa pyyntö toimia mahdollisimman nopeasti ja huomaamattomasti. Huijaukseen voi liittyä väite, toimitusjohtaja on unohtanut oman tunnuksensa tai salasanansa ja pyytää siksi vastaanottajan käyttäjätunnuksia lainaksi. Huijauslaskuja voidaan lähettää luotettavalta vaikuttavasta osoitteesta, murretulta tililtä tai muusta vastaavasta lähteestä. Huijauslaskuja saatetaan lähettää myös todellisten asiakkaiden nimissä. Jos tutun yrityksen lasku on tavallista kiireellisempi ja pyydetään sen nopeaa maksamista, kyseessä voi olla huijaus. On tärkeää olla antamatta kiireen hämätä – erityisesti kun on kyse rahoista. Vaikka pienyritykset eivät välttämättä ole yhtä alttiita toimitusjohtajahuijauksille kuin isot, huijauksissa voidaan hyödyntää esimerkiksi kesätyöntekijöitä tai harjoittelijoita. Heitä on erityisen tärkeää ohjeistaa tarkistamaan yllättävät pyynnöt kysymällä oikealta henkilöltä, joka tietää asiasta. Kaikkiin äkillisiin muutoksiin laskutustiedoissa on syytä suhtautua epäluuloisesti. Parasta on laatia ja käyttää yleisiä yrityksen tai työpaikan varmistuskäytäntöjä ja ohjeita, miten maksuja hoidetaan. Lähde: Traficomin Kyberturvallisuuskeskus, 30.5.2025, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kyberturvallisuuskeskuksen-viikkokatsaus- 222025

79. 79 10.2. Mitä tehdä, jos epäilet haittaohjelmaa tai virusta? Mikäli

    epäillään haittaohjelmaa tai virusta, tulee toimia seuraavasti: 1. Etukäteen: varmuuskopioi tärkeät tiedostot esim. ulkoiselle kovalevylle. 2. Kun tilanne on päällä: ota laite pois netistä. 3. Jos henkilötietoja on vaarantunut, ilmoita tietosuojavastaavalle. 4. Kysy apua ammattilaiselta/tekniseltä tuelta. 5. Aja virustorjuntaohjelman tarkistus 6. Tarkista selaimen aloitussivu ja asennetut laajennukset (plugins) sekä viimeksi asennetut ohjelmat ja poista epämääräiset. 7. Tarvittaessa palauta laite aiempaan palautuspisteeseen tai asenna käyttöjärjestelmä / alusta laite uudestaan. 10.3. Tietoturva- ja tietosuojapoikkeamat Tietoturvapoikkeama tarkoittaa tahallista tai tahatonta tapahtumaa, jonka seurauksena organisaation vastuulla olevien tietojen tai palveluiden eheys, luottamuksellisuus tai saatavuus/käytettävyys on tai saattaa olla vaarantunut. • Voi tapahtua esimerkiksi tietojenkalastelun, tietomurron tai palvelunestohyökkäyksen yhteydessä. • Esimerkiksi haittaohjelmahyökkäys saattaa näkyä laitteen hidasteluna, kaatuiluna, satunnaisena verkkoyhteyden katkeiluna tai epätavallisen suurena verkkoliikenteen määränä. Tietosuojapoikkeaman seurauksena voi olla henkilötietojen tietoturvaloukkaus eli siirrettyjen, tallennettujen tai muuten käsiteltävien henkilötietojen vahingossa tapahtuva, tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Tietosuojapoikkeamasta on kyse esimerkiksi silloin, kun: • havaitaan henkilötietojen päätyminen ulkopuolisille taholle • havaitaan henkilötietoja työntekijällä, jolla ei pitäisi olla katseluoikeutta niihin • havaitaan henkilötietoja sisältävän viestin lähteneen väärälle vastaanottajalle • havaitaan virhe tietojärjestelmän toiminnassa tai ohjelmakoodissa • havaitaan lokitiedoissa epätavallista tai työtehtäviin kuulumatonta henkilötietojen käyttöä Lähteet: DVV, Ohje: tietoturva- tai tietosuojapoikkeamien käsittelystä henkilötietoja sisältävissä palveluissa, https://dvv.fi/documents/16079645/17325934/Tietoturva- +tai+tietosuojapoikkeamien+k%C3%A4sittelyohje.pdf/ Metropolia, Tietoturvapoikkeaman havaitseminen ja ilmoitus, https://wiki.metropolia.fi/display/tietohallinto/Tietoturvapoikkeaman+havaitseminen+ja+ilmoitus

80. 80 10.4. Henkilötietojen tietoturvaloukkausten tyypit Tietoturvaloukkauksella tarkoitetaan henkilötietojen vahingossa tapahtuvaa

    tuhoamista, häviämistä, muuttamista tai luvatonta luovuttamista tai pääsyä tietoihin (GDPR:n 4 artiklan määritelmä). Tämän mukaan tietoturvaloukkaukset voidaan jakaa kolmeen tyyppiin. Luottamuksellisuuden loukkaus • Henkilötietoja paljastetaan tai ne ovat vahingossa tai luvatta ulkopuolisten saatavilla. • Esimerkiksi henkilötietoja sisältävä salaamaton USB-muistitikku katoaa, haittaohjelma on päässyt käsiksi tietoihin tai tietoihin on murtauduttu. Eheyden loukkaus • Henkilötietoja on muutettu vahingossa tai luvatta. • Esimerkiksi työntekijä kirjaa vahingossa tietoja väärälle henkilölle tai muuttaa tarkoituksella rekisteröidyn tietoja virheellisiksi. Saatavuuden loukkaus • Pääsy tietoihin on menetetty vahingossa tai luvatta tai henkilötietoja on tuhoutunut. • Esimerkiksi tiedot on poistettu vahingossa tai ne ovat pitkään pois käytöstä sähköhäiriön, haittaohjelman tai palvelunestohyökkäyksen takia. Lähde: EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data- breach-notification-under_en 10.5. Toiminta tietoturvaloukkauksen sattuessa Kun tietoturvaloukkaus tapahtuu, rekisterinpitäjällä ja henkilötietojen käsittelijällä on yleisen tietosuoja-asetuksen mukaisia velvollisuuksia reagoida tilanteeseen, pyrkiä estämään loukkauksen jatkuminen, ilmoittaa siitä muille tahoille sekä selvittää tapahtuneen johtaneet syyt ja tehdä korjaavia toimenpiteitä. Rekisterinpitäjällä on velvollisuus ilmoittaa tietoturvaloukkauksesta 72 tunnin kuluessa tietosuojaviranomaiselle tultuaan siitä tietoiseksi. Kello alkaa tikittää siitä hetkestä, kun rekisterinpitäjä havaitsee loukkauksen tai saa siitä tiedon esimerkiksi henkilötietojen käsittelijältä. Ennen ilmoituksen tekemistä rekisterinpitäjän on tehtävä riskiarvio siitä, voiko loukkauksesta aiheutua riski henkilöiden oikeuksille ja vapauksille. Jos riskiä ei aiheudu, ilmoitusta ei vaadita. Jos tietoturvaloukkauksesta aiheutuu todennäköisesti korkea riski rekisteröityjen oikeuksille ja vapauksille, rekisterinpitäjän täytyy ilmoittaa asiasta rekisteröidyille. Tässä ilmoituksessa kerrotaan tapahtuneesta ja annetaan ohjeita, miten rekisteröity voi suojautua mahdollisilta haitoilta. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä. Vaikka loukkaus olisi tapahtunut jo aikaisemmin, toimenpiteet on aloitettava heti, kun siitä tullaan tietoisiksi. Kaikki tietoturvaloukkaukset on aina dokumentoitava. Siihen tulee sisällyttää tiedot tapahtuneesta, miten asiaa selvitettiin, millaisiin toimenpiteisiin ja ilmoituksiin ryhdyttiin, ja miten henkilötietojen suojatoimenpiteitä voidaan jatkossa parantaa.

81. 81 Lisätietoa tietosuojavaltuutetun sivustolta: https://tietosuoja.fi/tietoturvaloukkaukset 10.5.1. Milloin reksiterinpitäjä tulee tietoiseksi

    tietoturvaloukkauksesta? Rekisterinpitäjän katsotaan ”tulleen tietoiseksi” tietosuojarikkomuksesta, kun on kohtuullisen varmaa, että tapahtunut on johtanut henkilötietojen vaarantumiseen. Esimerkkejä: • Jos salaamaton henkilötietoja sisältävä USB-muistitikku katoaa, rekisterinpitäjä on tietoinen asiasta, kun katoaminen havaitaan. • Kolmas osapuoli ilmoittaa saaneensa vahingossa rekisteröidyn tietoja. • Rekisterinpitäjä huomaa tunkeutumisen verkkoonsa tai palvelimelleen. Lokitietojen perusteella voidaan havaita, onko tunkeutuja päässyt käsiksi henkilötietoihin. • Kyberrikollinen ottaa yhteyttä rekisterinpitäjään tai rekisteröityyn pyytääkseen lunnaita, ja esittää näytteitä rekisteristä saamistaan henkilötiedoista.

82. 82 • Rekisteröity ilmoittaa rekisterinpitäjälle saaneensa huijaussähköpostin, joka sisältää henkilötietoja,

    jotka ovat selvästi rekisteristä lähtöisin. • Rekisterinpitäjä saa ilmoituksen tietosuojarikkomuksesta henkilötietojen käsittelijältä. Lähde: EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data- breach-notification-under_en 10.6. Tietoturvaloukkauksen vakavuuden arviointi Tietoturvaloukkauksen vakavuus tulee aina arvioida. Riskiarvion teossa voi hyödyntää oppaan lukua 4. Tietoturvaloukkauksen arvioinnissa tulee huomioida: 1. Loukkauksen tyyppi 2. Henkilötietojen luonne, arkaluonteisuus ja määrä 3. Tunnistamisen helppous 4. Rekisteröityjen ominaisuudet 5. Rekisterinpitäjän ominaisuudet 6. Tietovuodon seurauksien vakavuus Esimerkkejä, milloin ilmoitus valvontaviranomaiselle ja/tai rekisteröidyille on tarpeen: Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille tod.näk. aiheutuvien seurausten vakavuus on suuri. Rekisterinpitäjään kohdistuu kiristysohjelmahyökkäys, jonka seurauksena kaikki tiedot salataan. Varmuuskopioita ei ole, eikä tietoja voida palauttaa. Kyllä, jos henkilöille aiheutuu seurauksia tietojen menetyksestä. Kyllä, ilmoitetaan henkilöille mm. henkilötietojen luonteesta ja tietojen häviämisestä riippuen. Sairaalan potilastiedot ovat poissa käytöstä 30 tunnin ajan verkkohyökkäyksen vuoksi. Kyllä, koska potilaille voi aiheutua korkea riski. Kyllä, kohteena oleville henkilöille ilmoitetaan. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen. Lähde: Tietosuojatyöryhmä, 2018, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/

83. 83 10.7. Tietoturvaloukkauksesta ilmoittaminen tietosuojaviranomaiselle Rekisterinpitäjän tulee tehdä ilmoitus tietoturvaloukkauksesta,

    jos siitä aiheutuu riski rekisteröityjen oikeuksille ja vapauksille – myös silloin, kun riskiä ei arvioida korkeaksi. Suomessa ilmoitus tehdään tietosuojavaltuutetun toimistolle. Tietosuojavaltuutetun turvaviestilomake organisaatioille tietoturvaloukkauksesta ilmoittamiseen: https://turvaviesti.om.fi/ilmoitus-tietoturvaloukkauksesta Ohjeita ilmoittamiseen: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta Sisällytä ilmoitukseen nämä tiedot: • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Jos kyse on yksityishenkilön henkilötiedoista, ilmoituksen tekoon yksityishenkilönä on toinen lomake: https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle 10.7.1. Tietoturvaloukkauksen tyyppi ja kuvaus ilmoituksessa Tietoturvaloukkauksen ilmoituslomakkeella on kerrottava loukkauksen tyyppi. Alle olevaan listaan on koottu lomakkeella olevat vaihtoehdot: • Luvaton luovuttaminen tai pääsy tietoihin o Tiedot leviävät laajemmalle kuin mihin rekisteröidyt ovat antaneet suostumuksensa tai kuin on tarpeen. o Tieto voidaan yhdistää muihin rekisteröityä koskeviin tietoihin. o Tietoja voidaan käyttää muihin tarkoituksiin tai muuten oikeudettomasti. • Tietojen muuttaminen o Tietoja on voitu muuttaa tai käyttää, vaikka ne eivät enää ole paikkansapitäviä. o Tietoja on voitu muuttaa muuksi tiedoksi ja käyttää muihin tarkoituksiin. • Tietojen lainvastainen tai vahingossa tapahtunut tuhoaminen tai hävittäminen o Kyvyttömyys tarjota erittäin tärkeää palvelua rekisteröidyille, jotka ovat tietoturvaloukkauksen vaikutuspiirissä. o Muutos kykyyn tarjota erittäin tärkeää palvelua rekisteröidyille. • Tietojen saatavuus tai käytettävyys on tilapäisesti estynyt o Kyvyttömyys tarjota erittäin tärkeää palvelua rekisteröidyille, jotka ovat tietoturvaloukkauksen vaikutuspiirissä. o Muutos kykyyn tarjota erittäin tärkeää palvelua rekisteröidyille. Lisäksi kerrotaan sanallinen kuvaus loukkauksen tavasta, syystä, seurauksista ja muut olennaiset seikat. Mainitse mahdolliset järjestelmät ja ohjelmat, jotka liittyvät loukkauksen kohteena oleviin henkilötietoihin.

84. 84 10.8. Tietoturvaloukkauksesta ilmoittaminen rekisteröidyille Rekisterinpitäjän on ilmoitettava rekisteröidyille, jos

    tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen ja vapauksilleen. Ilmoitus tulisi tehdä niin pian kuin se on kohtuudella mahdollista ja yhteistyössä valvontaviranomaisen kanssa noudattaen sen sekä esimerkiksi poliisin antamia ohjeita. 1. Jos on tarve vähentää välittömiä haittoja → tee ilmoitus viipymättä 2. Jos on tarve ensin toteuttaa suojatoimenpiteitä loukkausten estämiseksi jatkossa → pidempi ilmoitusaika voi olla perusteltu Ilmoituksessa on kerrottava rekisteröidyille: • Millainen henkilötietojen tietoturvaloukkaus on tapahtunut • Tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste • Kuvaus tietoturvaloukkauksen todennäköisistä seurauksista • Kuvaus toimenpiteistä, joita on tehty tai aiotaan tehdä asian korjaamiseksi ja haittavaikutusten lieventämiseksi • Tarvittaessa konkreettisia neuvoja ja ohjeita rekisteröidyille. 10.8.1. Milloin tietoturvaloukkauksesta ei tarvitse ilmoittaa rekisteröidyille? Tilanteita, joissa ilmoitusta rekisteröidyille ei vaadita aiheutuneesta riskistä huolimatta: 1. Jos rekisterinpitäjä on toteuttanut asianmukaiset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (esim. salaus niin, ettei ulkopuolinen voi hyväksikäyttää tietoja) 2. Rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu 3. Ilmoittaminen vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla. Jos rekisterinpitäjä ei ole alun perin ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä myöhemmin. Lähde: Tietosuojavaltuutetun toimisto, 2023, https://tietosuoja.fi/tietoturvaloukkaukset

85. 85 10.8.2. Esimerkki: Oulun yliopiston opiskelijoihin kohdistunut tietojenkalastelu Oulun yliopistolla

    tapahtui laaja tietojenkalastelutapaus syksyllä 2021, kun uudet opiskelijat saapuivat yliopistolle ja heille luotiin käyttäjätunnuksia järjestelmiin. Alun perin yliopisto lähetti tiedotteen, jossa kehotettiin vaihtamaan student-tunnuksen salasana kahden päivän kuluessa. Tiedotteessa mainittu osoite salasanan vaihtamiseen oli oulu.fi/th/salasana. Tässä vaiheessa rikollinen huomasi tilaisuutensa tulleen ja lähetti opiskelijoille hyvin samanlaisen tiedotteen. Huijausviestissä kehotettiin vaihtamaan @student.oulu.fi-tunnuksen salasanan viestissä olevan linkin kautta. Viesti lähetettiin muka Microsoftin nimissä ja linkki johti muka Microsoftin palveluun, minkä vuoksi se oli hyvin harhauttava. Tietojenkalastelun kautta jopa 900 salasanaa päätyi vääriin käsiin, mikä teki tapauksesta erittäin merkittävän tietojenkalastelun ja tietovuodon. Tapauksen jälkeen yliopisto lähetti toisen tiedotteen opiskelijoille. Toinen viesti oli yliopiston ensimmäiseen aitoon tiedotteeseen verrattuna hyvin hämäävä. Tällä kertaa salasanan vaihtamiseen kehotettiin käyttämään ”vain tätä linkkiä: account.oulu.fi/passwd” – eli eri linkkiä kuin ensimmäisessä tiedotteessa. On hyvä kysymys, miten rekisteröity voi erottaa, mikä on aito viesti, jos rekisterinpitäjän viestit ovat keskenään ristiriitaisia salasanan vaihtolinkkiä myöten? Taitava opiskelija saattaisi ehkä huomata, että ratkaisevaa on linkeissä oleva oulu.fi-verkkotunnus, mutta vähemmän osaaville yliopiston viestintä aiheutti varmasti vain lisää sekaannusta. On tärkeää pohtia, miten tietoturvasta tiedottaminen kannattaa tehdä, jotta se ei olisi ristiriitaista. Lähde: Ilta-Sanomat, 2.9.2021, https://www.is.fi/digitoday/tietoturva/art-2000008235534.html 10.8.3. Ennakkotapaus: epäonnistunut julkinen ilmoitus tietoturvaloukkauksesta Rekisterinpitäjä oli ollut kirjeitse yhteydessä 9000–10 000 rekisteröityyn, joiden osalta rekisterinpitäjällä on ollut riittävät yhteystiedot. Noin 7000 rekisteröityä ei tavoitettu yhteystietojen puutteellisuuden vuoksi. Yhteystietojen selvittäminen olisi rekisterinpitäjän mukaan vaatinut kohtuutonta vaivaa. Rekisterinpitäjä oli julkaissut nettisivuilla ja Facebook-sivulla tiedotteen tietoturvaloukkauksesta. Apulaistietosuojavaltuutetun päätös: • Tiedonanto oli pääosiltaan yleisen tietosuoja-asetuksen mukainen.

86. 86 • Julkaistu tiedonanto sisälsi kohdan, jonka mukaan ”asianomaisille on

    lähetetty tilanteesta lisätietoa henkilökohtaisesti”. • Ilmoitusta ei kuitenkaan toimitettu noin 7000 rekisteröidylle. Päätöksen mukaan he olivat voineet jäädä virheellisesti sellaiseen käsitykseen, että tietoturvaloukkaus ei koskenut heitä, jos asiasta ei ilmoitettu heille henkilökohtaisesti. • Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen. Lähde: Apulaistietosuojavaltuutetun päätös, 3.1.2020, https://finlex.fi/fi/viranomaiset/tsv/2020/20200461 10.9. Neuvot identiteettivarkauden tai tietovuodon uhrille 1. Ota välittömästi yhteys pankkiisi, jos rikollinen on päässyt verkkopankkiin tai saanut luottokorttitiedot. 2. Tee rikosilmoitus poliisille. Sähköisen rikosilmoituksen voi tehdä netissä. 3. Tee oma luottokielto. Jotta oma luottokielto on kattava, tulee se tehdä sekä Suomen Asiakastieto Oy:n että Bisnode Finland Oy:n palveluissa. Oman luottokiellon tekeminen on maksullista. 4. Tee rekisteröintikielto Patentti- ja rekisterihallitukselle. Varmista myös, että tietojasi ei saa muuttaa ilman, että sinuun ollaan ensin yhteydessä. 5. Tee osoitteenmuutoskielto. Pyydä osoitteenmuutoskielto tai muuttosuojaus Postin kautta. 6. Tee asiakirjan katoamisilmoitus ja hae uusi henkilöllisyystodistus, jos sen kuva ja tiedot on päätynyt rikolliselle. Katso ohjeet Suomi.fi-palvelusta. 7. Tee omien osoitetietojen suojaus Digi- ja väestötietovirastolle. ▪ Mikäli henkilö- ja osoitetietosi vaativat erityistä varjelua, harkitse turvakiellon hakemista DVV:ltä. Turvakiellon hakemiselle pitää olla perusteltu syy – pelkästään tietovuodon kohteeksi joutuminen ei riitä. Lähde: Traficom, Kyberturvallisuuskeskus, 2020, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/neuvoja-identiteettivarkauden-tai- tietovuodon-uhrille ”ON KAHDEN TYYPPISIÄ REKISTERINPITÄJIÄ: 1) NIITÄ, JOILLA TIETOTURVALOUKKAUKSIA ON TAPAHTUNUT, JA JOTKA OVAT KEHITTÄNEET TOIMINTAANSA SEN MUKAAN. 2) LISÄKSI ON NIITÄ, JOTKA EIVÄT OLE VIELÄ HAVAHTUNEET OLEMASSA OLEVIIN TIETOSUOJARISKEIHIN.”

87. 87 Liite I: Rekisteri- ja tietosuojaselosteen pohja Tämän mallin on

    laatinut Harto Pönkä/Innowise 23.5.2025. Voit käyttää dokumenttia omalla vastuullasi. Muokkaa merkityt kohdat tarpeesi mukaisiksi. Rekisteri- ja tietosuojaseloste Tämä on Yritys Oy:n EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaselostee, jota käytetään selosteena käsittelytoimista sekä rekisteröityjen informoimiseen henkilötietojen käsittelystä. Laadittu pp.kk.vvvv. Viimeisin muutos pp.kk.vvv. 1. Rekisterinpitäjä Yritys Oy Osoite, 01234 Postitoimipaikka Muut yhteystiedot 2. Rekisteristä vastaava yhteyshenkilö Etunimi Sukunimi, sähköposti, puhelinnumero Jos organisaatiossasi on tietosuojavastaava, kirjaa tähän vähintään hänen yhteystietonsa. Muutoin kuka tahansa yhteyshenkilö. 3. Rekisteröityjen ryhmät Henkilötietorekisteri sisältää alla mainitut rekisteröityjen ryhmät: • asiakasrekisteri • markkinointirekisteri • kumppanirekisteri • työntekijä- ja hakijarekisteri • verkkosivujen vierailijat Muokkaa rekisteröityjen ryhmät tilanteenne mukaisesti. Poista tarpeettomat ryhmät tästä ja jäljessä olevista kohdista. 4. Henkilötietojen käsittelyn perusteet ja käyttötarkoitukset Asiakasrekisteri Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän oikeutettu etu tai osapuolten välinen sopimus. Henkilötietoja käytetään asiakasviestintään ja muuhun asiakassuhteen hoitamiseen, hallintaan, kehittämiseen, analysointiin, mittaamiseen, palveluiden tuottamiseen sekä liiketoiminnan kehittämiseen ja suunnittelemiseen.

88. 88 Asiakkaalta voidaan pyytää suostumuksia henkilötietojen luovutukseen ja käsittelyyn ulkopuolisissa

    palveluissa. Markkinointirekisteri Henkilötietojen käsittelyn oikeusperuste on yksityishenkilöiden osalta markkinointiin saatu suostumus sekä yritysten ja muiden organisaatioiden yhteyshenkilöiden osalta rekisterinpitäjän oikeutettu etu. Henkilötietoja käytetään yrityksen palvelujen ja tuotteiden markkinointiin. Kumppanirekisteri Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän oikeutettu etu tai osapuolten välinen sopimus. Henkilötietojen käsittelyn tarkoitus on osapuolten välisen yhteydenpidon ja muun yhteistyön mahdollistaminen. Työntekijä- ja hakijarekisteri Henkilötietojen käsittelyn oikeusperuste on ensisijaisesti sopimus ja toissijaisesti rekisterinpitäjän oikeutettu etu. Henkilötietojen käsittelyn tarkoitus on hoitaa työsuhteeseen liittyvät asiat työnantajan ja työntekijöiden sekä hakijoiden välillä. Verkkosivujen vierailijat Verkkosivuston vierailijoiden tietoja käsitellään rekisterinpitäjän oikeutetun edun perusteella mm. tietoturvasta huolehtimiseksi ja sivuston vierailijoiden tilastotietojen keruuta varten. Ei- välttämättömien evästeiden käyttöön voidaan pyytää suostumus. 5. Rekisterin tietosisältö ja tietojen säilytysajat Asiakasrekisteri • Henkilön nimi • Yhteystiedot (osoite, sähköpostiosoite, puhelinnumero) • Tehtävänimike, työrooli • Yritys, yrityksen koko ja muut yrityksen toimintaa kuvaavat tiedot • Yrityksen yhteystiedot ja laskutustiedot • Asiakassuhteeseen liittyvät tiedot kuten sopimukset, ostetut tuotteet ja palvelut sekä muut tarpeelliset tiedot • Tiedot asiakkaan käyttämistä palveluista ja niiden muutoksista • Annetut suostumukset ja kiellot • Tunnukset sosiaalisen median palveluissa siltä osin, kun niiden käyttöön yhteydenpidossa on saatu suostumus • Verkkoyhteyden IP-osoite • Mahdolliset muut asiakkaan suostumuksella kerättävät tiedot Tiedot säilytetään niin kauan, kun niitä tarvitaan asiakkaan kanssa tehtävän sopimuksen täytäntöönpanemiseksi tai asiakaspalvelun kehittämiseksi. Osa henkilötiedoista kuten yhteystiedot säilytetään mahdollista jatkoyhteistyötä varten. Lisäksi osa henkilötiedoista säilytetään arkistointitarkoituksessa 10 vuotta kirjanpitolain vaatimusten mukaisesti (mm. laskutustiedot, yhteyshenkilö, yhteystiedot, ostetut palvelut, muu mahdollinen liiketoimintaan liittyvä kirjanpitoaineisto).

89. 89 Markkinointirekisteri • Henkilön nimi • Yhteystiedot (osoite, sähköpostiosoite, puhelinnumero)

    • Tehtävänimike, työrooli • Yritys, yrityksen koko ja muut yrityksen toimintaa kuvaavat tiedot • Yrityksen yhteystiedot • Annetut suostumukset ja kiellot (markkinointilupa, evästeiden ja seurannan käyttö, markkinointiin liittyvä profilointi) • Markkinointia ja myyntiä edistävät tiedot, kuten rekisteröityyn kohdistetut markkinointitoimenpiteet • Tunnukset sosiaalisen median palveluissa siltä osin, kun niiden käyttöön markkinoinnissa on saatu suostumus • Verkkoyhteyden IP-osoite • Mahdolliset muut suostumuksen perusteella kerättävät tiedot Tietoja säilytetään niin kauan, kun niitä tarvitaan markkinointikäyttöön, henkilö peruu antamansa suostumuksen tai kieltää tietojensa käytön suoramarkkinointiin. Yrityksen tai muun organisaation yhteyshenkilön tiedot poistetaan rekisteristä myös silloin, jos hänen todetaan poistuneen kyseisestä roolista. Kumppanirekisteri • Henkilön nimi • Yhteystiedot (osoite, sähköpostiosoite, puhelinnumero) • Tehtävänimike, työrooli • Yritys, yrityksen koko ja muut yrityksen toimintaa kuvaavat tiedot • Yrityksen yhteystiedot • Annetut suostumukset ja kiellot • Yhteistyöhön liittyvät ja sitä edistävät tiedot • Tunnukset sosiaalisen median palveluissa siltä osin, kun niiden käyttöön yhteydenpidossa on saatu suostumus • Verkkoyhteyden IP-osoite • Mahdolliset muut suostumuksen perusteella kerättävät tiedot Kumppanien yhteyshenkilöiden tietoja käsitellään niin kauaa, kun osapuolet ovat yhteistyösuhteessa. Yhteyshenkilön tiedot poistetaan rekisteristä myös silloin, jos hänen todetaan poistuneen kyseisestä roolista. Työntekijä- ja hakijarekisteri • Nimi • Yhteystiedot kuten sähköposti, puhelinnumero ja osoite • Henkilötunnus • Työtehtävät, työaika- ja palkkatiedot • Veronumero • Tilinumero • Ammattipätevyydet • Ansioluettelo • Hakemus ja muut haun yhteydessä annetut tiedot

90. 90 • Työnantajan antamat työhön liittyvät laitteet sekä niiden osoitteet

    ja puhelinnumerot • Pilvipalvelujen ja muiden työhön liittyvien järjestelmien käyttäjätunnukset • Muut työsuhteeseen liittyvät tiedot Tietoja säilytetään työsuhteen ajan sekä tarvittavan ajan sen jälkeen työnantajan velvollisuuksien täyttämiseksi. Työhakemuksia säilytetään kaksi vuotta, ellei työnhakijan kanssa sovita pidemmästä säilytysajasta. Verkkosivujen vierailijat • IP-osoitteet • Välttämättömät evästeet • Ei-välttämättömät evästeet ja niiden käytön perusteena olevat suostumukset 6. Säännönmukaiset tietolähteet Asiakasrekisteri Rekisteriin tallennettavat tiedot saadaan asiakkaalta mm. www-lomakkeilla lähetetyistä viesteistä, sähköpostitse, puhelimitse, sosiaalisen median ja pikaviestipalvelujen kautta, markkinointipalvelujen kautta, tapahtumista ja koulutuksista, sopimuksista, yhteistyökumppaneiden kautta, asiakastapaamisista sekä muista tilanteista, joissa asiakas luovuttaa tietojaan. Markkinointirekisteri Rekisteriin tallennettavat tiedot saadaan asiakkaalta mm. www-lomakkeilla lähetetyistä viesteistä, sähköpostitse, puhelimitse, sosiaalisen median ja pikaviestipalvelujen kautta, markkinointipalvelujen kautta, tapahtumista ja koulutuksista, sopimuksista, yhteistyökumppaneiden kautta, asiakastapaamisista sekä muista tilanteista, joissa asiakas luovuttaa tietojaan. Yritysten ja muiden organisaatioiden yhteyshenkilöiden tietoja voidaan kerätä julkisista lähteistä kuten verkkosivuilta, hakemistopalveluista ja muilta yrityksiltä. Kumppanirekisteri Henkilötiedot saadaan pääasiassa yhteistyötahoina olevilta yrityksiltä tai niiden yhteyshenkilöiltä suoraan. Tietoja voidaan kerätä myös julkisista lähteistä kuten verkkosivuilta. Työntekijä- ja hakijarekisteri Työntekijän tai -hakijan tiedot saadaan pääasiassa häneltä itseltään mm. työhakemuksesta, työsopimuksesta ja muista tilanteista, joissa hän luovuttaa tietojaan. Työnhakijatietoja voidaan saada myös rekrytointiportaalien ja työnvälityspalvelujen kautta. Verkkosivujen vierailijat Tiedot kerätään automaattisesti verkkosivujen vierailujen yhteydessä sekä tilanteissa, joissa vierailija antaa suostumuksen ei-välttämättömien evästeiden käyttöön.

91. 91 7. Tietojen säännönmukaiset luovutukset, tietojen siirto EU:n tai ETA:n

    ulkopuolelle ja henkilötietojen käsittelijät Tietoja ei luovuteta säännönmukaisesti muille tahoille. Tietoja voidaan luovuttaa ja julkaista siltä osin kuin niin on sovittu rekisteröidyn kanssa. Tietoja voidaan siirtää rekisterinpitäjän ja sen käyttämien henkilötietojen käsittelijöiden suorittamassa käsittelyssä EU:n tai ETA:n ulkopuolelle EU-komission hyväksymiin maihin sekä yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä. Tietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle myös käyttäen perusteena EU-komission hyväksymiä mallisopimuslausekkeita ja lisäsuojatoimenpiteitä, tai rekisteröidyn suostumuksella. Tietoja voidaan siirtää alihankkijoille ja palveluntarjoajille, joiden kanssa rekisterinpitäjällä on sopimus henkilötietojen käsittelystä. Tällöin kyseiset tahot käyttävät tietoja henkilötietojen käsittelijän roolissa rekisterinpitäjän lukuun. Henkilötietoja käsitellään aina tehtyjen sopimusten puitteissa ja luottamuksellisesti niin, että niiden käyttö perustuu kunkin työntekijän tehtävien mukaisiin käyttöoikeuksiin, ja käyttöä valvotaan. Tietoja ei luovuteta ulkopuolisille ilman lain mukaista perustetta. 8. Rekisterin suojauksen periaatteet Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. 9. Automaattinen päätöksenteko ja profilointi Emme käytä tietoja automaattiseen päätöksentekoon tai profilointiin ilman rekisteröidyn nimenomaista suostumusta. 10. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

92. 92 11. Muut henkilötietojen käsittelyyn liittyvät oikeudet Rekisterissä olevalla henkilöllä

    on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä ("oikeus tulla unohdetuksi") siltä osin, kun rekisterinpitäjällä ei ole lain mukaista oikeutta jatkaa henkilötietojen käsittelyä tai tietoja ei tarvita enää sopimuksen täyttämiseen. Siltä osin, kun tietoja käsitellään rekisterinpitäjän oikeutetun edun perusteella, rekisteröidyllä on oikeus kieltää tietojensa käyttö. Siltä osin, kun tietoja käsitellään suostumuksen perusteella, rekisteröidyllä on oikeus perua antamansa suostumus. Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet. Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). Rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle kantelu, jos hän kokee, että rikomme henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä.

93. 93 Liite II: Henkilötietojen käsittelyn sopimuspohja Sopimus henkilötietojen käsittelystä EU:n

    yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittelystä on tehtävä sopimus silloin, kun joku muu taho käsittelee rekisterinpitäjän hallinnassa olevia henkilötietoja kuten nimiä ja yhteystietoja. Palveluntarjoaja tai alihankkija on silloin henkilötietojen käsittelijän roolissa. Sopimuksen sisältö määräytyy pääosin GDPR:n vaatimusten mukaan. 1. Osapuolet 1.1. Rekisterinpitäjä Nimi: ________________________________________________________ Y-tunnus: ________________________________________________________ Osoite: ________________________________________________________ Yhteyshenkilö: ________________________________________________________ Puhelinnumero: ________________________________________________________ Sähköpostiosoite: ________________________________________________________ 1.2. Henkilötietojen käsittelijä Nimi: ________________________________________________________ Y-tunnus: ________________________________________________________ Osoite: ________________________________________________________ Yhteyshenkilö: ________________________________________________________ Puhelinnumero: ________________________________________________________ Sähköpostiosoite: ________________________________________________________ 2. Sopimuksen tarkoitus ja kohde 2.1. Tällä sopimuksella sovitaan yllä mainitun Rekisterinpitäjän ja henkilötietojen käsittelijän (“ j ”) j EU: j -asetuksen (2016/679, “GD R”) 8 d .

94. 94 . . “ p j ” “ j j

    ” " " " j " " ” j “ j ” GD R: 4: j asioita. 2.3. Tämän sopimuksen perusteella käsiteltävät rekisteröityjen ryhmät ja/tai henkilötiedot: • Rekisterinpitäjän työntekijät • Rekisterinpitäjän asiakasrekisteri • Muu: _____________________________________________________________ __________________________________________________________________ __________________________________________________________________ 2.4. Henkilötietojen käsittelyn tarkoitukset: • Käsittelijä suorittaa Rekisterinpitäjälle palveluita, joihin liittyy henkilötietojen käsittelyä • Rekisterinpitäjän ja Käsittelijän välillä voimassa olevien sopimusten täyttäminen • Muu: _______________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ 3. Käsittelijän velvollisuudet 3.1. Käsittelijä käsittelee henkilötietoja ainoastaan tässä sopimuksessa määriteltyihin tarkoituksiin vain siinä laajuudessa kuin on tarpeen sovittujen palvelujen toimittamista varten ja ainoastaan tämän sopimuksen voimassaoloajan. 3.2. Käsittelijä varmistaa, että henkilötietoja käsittelevät vain ne henkilöt, joiden työtehtäviin se kuuluu, ja että kyseiset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä sitoo lakisääteinen salassapitovelvollisuus. 3.3. Käsittelijä käsittelee henkilötietoja Rekisterinpitäjän antamien ohjeiden mukaisesti. Käsittelijä ilmoittaa Rekisterinpitäjälle, jos se katsoo, että ohjeistus rikkoo lainsäädäntöä. 3.4. Jos muu lainsäädäntö edellyttää henkilötietoja koskevia toimenpiteitä, Käsittelijä tiedottaa lakiin perustuvasta vaatimuksesta Rekisterinpitäjälle ennen henkilötietojen käsittelyä, mikäli laki ei kiellä tällaista ilmoittamista. 3.5. Käsittelijä avustaa Rekisterinpitäjää vastaamaan rekisteröityjen tekemiin pyyntöihin ottaen huomioon käsittelyn luonteen ja käytettävissä olevat tiedot. Tähän voi sisältyä tietojen korjausten, muutosten ja poistojen toteuttaminen ilman aiheetonta viivytystä. 3.6. Käsittelijä auttaa GDPR:n edellyttämässä laajuudessa Rekisterinpitäjää täyttämään sen velvoitteet erityisesti käsittelyn turvallisuudesta ja tietoturvaloukkausten osalta sekä toimittaa pyydettäessä tarvittavat tiedot GDPR:n velvoitteiden toteuttamisen osoittamiseksi. 3.7. Käsittelijä tuhoaa tai palauttaa Rekisterinpitäjälle tämän sopimuksen päätyttyä Rekisterinpitäjän valinnan mukaisesti kaikki henkilötiedot ja poistaa olemassa olevat kopiot, ellei pakottavasta lainsäädännöstä muuta johdu. 3.8. Rekisterinpitäjän antamat ohjeet Käsittelijän tekemälle henkilötietojen käsittelylle: • Vain tässä sopimuksessa mainitut ohjeet • Ohjeet toimitetaan Käsittelijälle erikseen • Lisäksi seuraavat ohjeet: _______________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________

95. 95 4. Henkilötietojen suojatoimet ja menettely tietoturvaloukkauksissa 4.1. Käsittelijä toteuttaa

    ja ylläpitää asianmukaiset tekniset ja organisatoriset suojatoimet, joilla suojataan henkilötietoja luvattomalta ja laittomalta käsittelyltä sekä tahattomalta häviämiseltä, poistamiselta, muuttamiselta ja luovuttamiselta. Käsittelijä huomioi Rekisterinpitäjän antamat ohjeet käsittelyssä. 4.2. Käsittelijä noudattaa henkilötietojen käsittelyssä vähintään seuraavia teknisiä ja organisatorisia suojatoimia: 4.2.1. Rekisterinpitäjän ja Käsittelijän välisessä yhteydenpidossa ja muussa asioinnissa varmistetaan yhteyshenkilöiden oikeus kyseiseen henkilötietojen käsittelyyn, mikäli asiassa on epäselvyyttä tai kyse on uudesta yhteyshenkilöstä. 4.2.2. Henkilötietoja säilytetään tiloissa, joihin ulkopuolisilla ei ole pääsyä ilman Käsittelijän tai tämän valtuuttaman muun tahon tekemää valvontaa. 4.2.3. Käsittelijän työntekijöille on kirjallinen ohjeistus henkilötietojen käsittelylle, ja samalla huomioidaan tähän sopimukseen liittyvät Rekisterinpitäjän antamat ohjeet. 4.2.4. Henkilötietoja käsitellään kaikissa tilanteissa niin, etteivät ne ole luvatta tai laittomasti ulkopuolisten saatavissa. 4.2.5. Käytettävissä tietojärjestelmissä huolehditaan siitä, että henkilötiedot ovat vain niiden Käsittelijän työntekijöiden saatavissa, joiden työtehtäviin se kuuluu, ja henkilötietoihin liittyvät toimenpiteet merkitään järjestelmien lokitietoihin. 4.2.6. Käytettävien palvelimien, tietokoneiden ja muiden laitteiden sekä niiden verkkoyhteyksien tietoturvasta huolehditaan asianmukaisesti. 4.2.7. Henkilötietojen tuhoaminen tehdään turvallisesti. 4.3. Käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta, sen olosuhteista ja kohteena olevista henkilötiedoista Rekisterinpitäjälle ilman aiheetonta viivytystä, kun Käsittelijä saa loukkauksen tietoonsa. Käsittelijän tulee Rekisterinpitäjän pyynnöstä avustaa tietoturvaloukkauksen selvittämisessä. Tiedot voi toimittaa vaiheittain selvityksen edetessä. 5. Alakäsittelijöiden käyttäminen 5.1. Rekisterinpitäjä antaa ennakkoluvan Käsittelijälle käyttää alakäsittelijöitä silloin, kun se on välttämätöntä tämän sopimuksen toteuttamiseksi. Käsittelijä antaa pyynnöstä tiedon käytössä olevista alakäsittelijöistä. 5.2. Alakäsittelijöihin sovelletaan samoja tämän sopimuksen mukaisia velvoitteita kuin Rekisterinpitäjän ja Käsittelijän välillä. Käsittelijä vastaa täysimääräisesti tämän sopimuksen velvoitteiden täyttämisestä suhteessa Rekisterinpitäjään alakäsittelijöiden suorittaman käsittelyn osalta. Käsittelijä antaa pyynnöstä Rekisterinpitäjän nähtäväksi alakäsittelijän kanssa tehdyn tai suunnitteilla olevan sopimuksen osat, jotka liittyvät tämän sopimuksen kohteena olevien henkilötietojen käsittelyyn. 5.3. Käsittelijä tiedottaa Rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat alakäsittelijöiden lisäämistä tai vaihtamista. Muutokset tulevat voimaan sen jälkeen, kun Rekisterinpitäjä ilmoittaa kirjallisesti hyväksyvänsä ne tai ei vastusta muutoksia kolmenkymmenen (30) päivän kuluessa.

96. 96 6. Vastuunrajoitus 6.1. Mikäli osapuolten välisissä muissa sopimuksissa ei

    muuta sovita, Käsittelijä vastaa vain huolimattomuudestaan johtuvista välittömistä Rekisterinpitäjän osoittamista vahingoista. Käsittelijä ei vastaa välillisistä tai kolmansien osapuolten vahingoista. 6.2. Kumpikin osapuoli vastaa itse valvontaviranomaisen tai toimivaltaisen tuomioistuimen sille määräämistä hallinnollisista sanktioista, jotka ovat kyseisen viranomaisen tai tuomioistuimen päätöksen mukaisesti seurausta siitä, että osapuoli ei ole noudattanut sille tietosuojalainsäädännössä asetettuja vaatimuksia tai velvoitteita. 7. Sopimuksen voimassaolo ja purkaminen 7.1. Tämä sopimus on voimassa sopimuksen molemminpuolisesta allekirjoittamisesta lähtien toistaiseksi niin kauaa, kun osapuolten välillä vallitsee kohdissa 2.1.-2.4. tarkoitettu suhde, johon liittyy henkilötietojen käsittelyä. 7.2. Kummallakin osapuolella on oikeus purkaa sopimus 30 päivän irtisanomisajalla. Irtisanomisajan päättymisen jälkeen Käsittelijä saa tehdä henkilötiedoille vain välttämättömiä toimenpiteitä, jotka liittyvät käsittelyn lopettamiseen, tai jotka Rekisterinpitäjä pyytää. 7.3. Velvoitteet kuten henkilötietojen salassapito ja niihin liittyvät suojatoimet, joiden on niiden luonteen vuoksi tarkoitus säilyä voimassa sopimuksen voimassaolosta riippumatta, jäävät voimaan sopimuksen päättymisestä huolimatta. 8. Allekirjoitukset Rekisterinpitäjä Aika ja paikka: ________________________________________________________ Allekirjoitus: ________________________________________________________ Nimenselvennys: ________________________________________________________ Käsittelijä Aika ja paikka: ________________________________________________________ Allekirjoitus: ________________________________________________________ Nimenselvennys: ________________________________________________________

97. 97 Liite III: Tietoa evästeiden käytöstä -sivun pohja Tämän mallin

    on laatinut Harto Pönkä/Innowise 28.5.2025. Voit käyttää dokumenttia omalla vastuullasi. Muokkaa merkityt kohdat sen mukaisiksi, mitä evästeitä sivustolla käytetään. Tietoa evästeiden käytöstä Evästeet ovat pieniä tekstitiedostoja, joita sivusto voi tallentaa laitteellesi vierailusi aikana. Evästeiden tärkein käyttötarkoitus on säilyttää kävijän sivustolla tekemiä valintoja ja tunnistaa hänet samaksi eri käyttökerroilla. Evästeet voivat tallentaa tietoa tietyksi ajaksi myös sivuston käyttötavoista. Ensimmäisen osapuolen evästeet liittyvät suoraan käyttämääsi sivustoon, ja vain se pystyy lukemaan niitä laitteeltasi. Lisäksi verkkosivusto saattaa sisältää ulkopuolisia palveluja, joihin liittyy niin sanottuja kolmansien osapuolten evästeitä. Evästeet ryhmitellään 1) välttämättömiin sivuston toimintoihin liittyviin evästeisiin ja 2) ei-välttämättömiin evästeisiin, joiden käyttö liittyy useimmiten ulkopuolisiin verkkopalveluihin. Ei-välttämättömille evästeille pyydetään suostumuksesi ennen niiden käyttöä. Alla näet käyttämiemme evästeiden käyttötarkoitukset ja säilytysajat. Lisätietoa evästeistä löydät esimerkiksi Liikenne- ja viestintävirasto Traficomin sivustolta: https://efti.fi/fi/toimintamme/saantely-ja-valvonta/evasteet Välttämättömät evästeet Välttämättömät evästeet liittyvät sivuston toimintoihin, tekemiisi valintoihin ja tietoturvaan. Mikäli et anna suostumusta ei-välttämättömien evästeiden käyttöön, säilytämme tätä koskevan tiedon evästeessä (cookieconsent_status) 30 päivän ajan. Käytämme Googlen reCaptcha -palvelua lomakkeiden roskapostiestoon. ReCaptchan eväste (_GRECAPTCHA) tallennetaan käyttäjän laitteelle hänen klikatessaan "en ole robotti" -painiketta. Evästeen säilymisaika on korkeintaan 180 päivää. Lisäksi tieto roskapostiestoon vastaamisesta tallennetaan käyttäjän selaimen local storage -muistiin.

98. 98 Ei-välttämättömät evästeet Tällä sivustolla ei-välttämättömiä evästeitä käytetään kävijäseurantaan, uutiskirjeiden

    tilaukseen ja markkinointitiedon keruuseen. Mikäli annat siihen suostumuksesi, käytämme oheisten kolmansien osapuolten evästeitä ja seurantatekniikoita näihin tarkoituksiin. Tietoja voidaan siirtää myös EU:n ulkopuolelle kuten Yhdysvaltoihin. 3. osapuoli/ palveluntarjoaja Käyttötarkoitus Evästeiden nimet Evästeiden säilymisaika Google Analytics Kävijäseuranta _ga _ga_<id> korkeintaan 730 päivää (2 vuotta) Googlen mainosalusta Markkinointiin liittyvä tiedonkeruu ja kohdennettu markkinointi Ks. https://business.safety.google /adscookies/ korkeintaan 730 päivää (2 vuotta) Facebook ja Instagram (Meta) Markkinointiin liittyvä tiedonkeruu ja kohdennettu markkinointi Ks. https://www.facebook.com/pri vacy/policies/cookies 1-1825 päivää (5 vuotta) LinkedIn Markkinointiin liittyvä tiedonkeruu ja kohdennettu markkinointi Ks. https://www.linkedin.com/lega l/l/cookie-table korkeintaan 2920 päivää (8 vuotta) YouTube (Google) Videokatselun asetukset yt-remote-cast-installed yt-remote-connected-devices yt-remote-device-id yt-remote-fast-check-period yt-remote-session-app yt-remote-session-name istunnon ajan Laitteellesi tallentuvat evästeet riippuvat toiminnastasi sivustollamme sekä yllä mainituissa 3. osapuolten verkkopalveluissa. Voit koska tahansa perua antamasi suostumuksen evästeiden käyttöön, jolloin niitä ja niihin liittyviä palveluita ei enää käytetä vieraillessasi sivustollamme. Voit myös tyhjentää laitteellesi aiemmin tallentuneet evästeet selaimesi asetuksista tai sivuhistoriasta.

99. 99 L IV: Henkilötietojen käsittelyn riskiarviotesti Henkilötietojen käsittelyn riskiarvio: onko

    tehtävä tietosuojaa koskeva vaikutustenarviointi (TVA/DPIA)? Vastaa alla oleviin kohtiin merkitsemällä "x" Kyllä- tai Ei-sarakkeeseen. Jokaisesta kyllä-vastauksesta saat TVA-pisteitä. Lopuksi näet TVA-pistemäärän yhteensä ja tulkinnan, onko syytä tehdä tietosuojaa koskeva vaikustenarviointi. Vähintään 2 pistettä johtaa tarpeeseen tehdä tietosuojan vaikutustenarviointi. Sen avulla pyritään löytämään suojakeinoja, joilla henkilötietojen käsittely voidaan tehdä riittävän turvallisesti. Liittyykö henkilötietojen käsittelyyn seuraavia piirteitä? TVA- pisteet Kyllä (x) Ei (x) 1. Automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia Esimerkiksi henkilökohtaisten ominaisuuksien laajamittainen automaattinen profilointi, jota voitaisiin käyttää syrjintään tai muuten rekisteröidyille haitallisesti. 2 2. Järjestelmällinen valvonta Esimerkiksi julkisten ja avointen tilojen kameravalvonta, työntekijöiden tai asiakkaiden järjestelmällinen valvonta. 2 3. Erityiset henkilötiedot, salassa pidettävät tiedot ja muut arkaluontoiset tai luonteeltaan hyvin henkilökohtaiset tiedot Erityiset henkilötietoryhmät (etninen tausta, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seksuaalinen suuntautuminen, geneettiset ja biometriset tunnisteet), tiedot rikkomuksista, rikosrekisteritiedot. Myös esimerkiksi taloustiedot, sanalliset arviot henkilöiden ominaisuuksista, psykologiset testit, yksityiset päiväkirjat, kotirauhan piiriin liittyvät tiedot. 2 4. Uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen Uusiin ratkaisuihin voi liittyä riskejä, joita ei havaita helposti. Esimerkiksi uuden järjestelmän tai tekoälyn käyttö tavalla, joka ei ole kyseisellä toimialalla yleistä. 2 5. Arviointi tai pisteytys Esimerkiksi käyttäytymis- tai markkinointiprofiilien koostaminen. 1 6. Tietojen laajamittainen käsittely Esimerkiksi huomattavan suuri määrä tietoja yksittäisistä rekisteröidyistä, rekisteröityjä on runsaasti, kattava osuus tietyn alueen väestöstä, tietojen käsittely useissa maissa, käsittelyn pitkäkestoisuus. 1 7. Tietokokonaisuuksien sovittaminen yhteen tai yhdistäminen Eri yhteyksistä kerättyjen tietojen yhdistely, tai kun tietoja yhdistellään rekisteröityjen kohtuullisia odotuksia laajemmin. 1 8. Heikossa asemassa olevia rekisteröityjä koskevat tiedot Esimerkiksi lapset ja työntekijät, rekisteröityjen riippuvuus rekisterinpitäjästä. 1 9. Käsittely voi estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta Esimerkiksi pankin arvio luottokelpoisuudesta. Huomioi myös tilanteet, joissa tietoja saadaan muualta kuin rekisteröidyiltä itseltään ja tietojen käyttö on rekisteröidyille ennakoimatonta läpinäkyvyyden puutteen vuoksi, tai kun rekisteröidyillä on vaikeuksia käyttää tietosuoja-asetuksen mukaisia oikeuksiaan. 1

100. 100 10. Sijaintitiedot Esimerkiksi yksittäisiin ihmisiin liitettävät sijaintitiedot, jotka voivat

     paljaa arkaluontoisia tai luonteeltaan hyvin henkilökohtaisia tietoja kuten käyttäytymisestä vapaa-ajalla. 2 11. Poikkeaminen rekisteröidyn informoinnista (GDPR:n artiklan 14.5 perusteella) Esimerkiksi kun rekisteröityjä ei informoida henkilötietojen käytöstä yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. 2 12. Whistleblowing-/ilmiantojärjestelmä Tietosuojavaltuutetun päätöksen mukaan whistleblowing- /ilmiantojärjestelmästä on aina tehtävä tietosuojaa koskeva vaikutustenarviointi. 2 TVA-PISTEET YHTEENSÄ JOHTOPÄÄTÖS Alle 2 pistettä: Vaikutustenarviointia ei todennäköisesti tarvitse tehdä. Vähintään 2 pistettä: Tietosuojaa koskeva vaikutustenarviointi on syytä tehdä. Lisätietoa tietosuojavaltuutetun sivustolta: https://tietosuoja.fi/vaikutustenarviointi https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista Lähteenä on käytetty myös Tietosuojatyöryhmän julkaisua 2017 "Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski": https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223- 9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf Tekijä: Harto Pönkä, Innowise, 2025. Käyttö omalla vastuulla.