Esitys Tietosuoja ry:n jäsentapahtumassa, 15.5.2023, Harto Pönkä, Innowise

1. Kuva: Aman Pal @paman0744, Unsplash
Some- ja pikaviesti-
sovellusten tietosuoja
15.5.2023
Harto Pönkä
Innowise

2. Suosituimmat sosiaalisen median palvelut Suomessa 2022
Datalähde: DNA, Digitaaliset elämäntavat 2022 -tutkimus, https://corporate.dna.fi/tutkimukset-digitaaliset-elamantavat-22
(n=1000, 16-74-vuotiaat), käyttö vähintään viikoittain, SVT:n väestötiedot 2021 (stat.fi), kuva: Harto Pönkä, 5.7.2022.
2

3. Jokainen klikkaus ja
kommentti sosiaalisen
median uutisvirrassa on
kuin vastaus
psykologisessa testissä
– osa profilointia.
3
Kuva: Pixabay
“

4. Eniten henkilötietoja kerääviä yrityksiä
Useimmin kerättyjä tietoja:
▪ Sähköpostiosoite
▪ Nimi
▪ Syntymäaika/ikä
▪ Sukupuoli
▪ Kielet
▪ Reaaliaikainen sijainti
▪ Kotiosoite
▪ Työtilanne
▪ Puhelinnumerot
▪ Puhelimen ja muiden laitteiden mallit
▪ Kiinnostuksenkohteet
▪ Pankkikortin tiedot
▪ Sosiaalinen profiili ja verkostot
▪ Kännykän kontaktilista
▪ Kännykän kuvagalleria
▪ Kasvojen, paikkojen ja tuotteiden
tunnistus kuvista
Lähde: PCmag UK, 31.12.2021, https://uk.pcmag.com/news/129572/facebook-uber-and-dating-sites-top-list-of-companies-collecting-your-personal-data, ja Clario, 2022,
https://clario.co/blog/which-company-uses-most-data/
4

5. Sijaintitiedot
Käyttäjien sijainti on yksi perustiedoista
sisältöjen ja mainosten kohdennuksessa.
”Jos käyt usein hiihtokeskuksissa, voit
nähdä suksimainoksen YouTube-videossa.”
Sijaintia seuraavat mm.
▪ Google/YouTube
▪ Facebook
▪ Instagram
▪ WhatsApp
▪ Twitter
▪ Snapchat
▪ Jodel
▪ Useat mediayhtiöt
5
Kuvakaappaukset: Google kartan sijaintihistoria, Snapchat: Cyber SafeTrick, 2019, http://cybersafetrick.com/snapchat-tracker/,
Secret service agent: New York Times, 20.12.2019, https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html

6. Pimeä some (dark social)
Jopa 80 % linkkien jaoista tapahtuu ns. pimeässä
somessa: WhatsAppissa, Snapchatissa,
Instagramissa, Slackissa, sähköpostilla jne.
Pimeää somea seurataan linkkeihin liitetyillä
käyttäjäkohtaisilla seurantakoodeilla ja
linkkien lyhentäjillä. Esimerkkejä:
...?fbclid=IwAR1YMey9Pojq8...
…?gclid=Cj0KCQjw1Iv0BRDa…
....#gs.1s5zvw
https://t.co/4L9Mp0iTU3
https://mtvgo.fi/l/AmVeISLR
6
Kuvat/lähde: GetSocial/What’s new in publishing, 2019,
https://whatsnewinpublishing.com/77-5-of-shares-are-on-dark-social-only-7-5-on-facebook-and-other-trends-publishers-are-in-the-dark-about/

7. Evästeettömät seurantatekniikat: esimerkkinä TikTok
▪ TikTok-videopalvelu seuraa käyttäjiä mm. selainkohtaisten kuva- ja äänitunnisteiden avulla.
▪ Kun käyttäjä jakaa videon linkillä, se sisältää tiedon tämän käyttäjätunnuksesta.
▪ TikTokin palvelimet ovat Yhdysvalloissa, mutta se on kiinalainen yritys.
Lähde: Matthias Eberl, 5.12.2019,
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
7

8. TikTokin käyttökielto työpuhelimissa leviää nyt vauhdilla
IL, 4.12.2019, https://www.iltalehti.fi/digiuutiset/a/0098e670-4d0a-494c-9383-4ca1558daaa6, IS, 23.2.2023, https://www.is.fi/digitoday/art-2000009413276.html, IS, 10.4.2023,
https://www.is.fi/digitoday/art-2000009509921.html, Yle, 15.4.2023, https://yle.fi/a/74-20027290, Yle, 28.2.2023, https://yle.fi/a/74-20020252 (lainattu tekstikappale)
8

9. Asentaisitko kiinalaisen vakoiluskriptin nettisivustollenne?
Lähteet & lisätietoa: https://ads.tiktok.com/help/article?aid=10021, https://ads.tiktok.com/help/article?aid=9663
9

10. Snapchatin My AI -tekoälykaveri
▪ Snapchat kertoo, että My AI:n
kanssa käytyjä keskusteluja ei
poisteta automaattisesti kuten
tavalliset snäpit.
▪ Snapchat käyttää My AI:n keräämää
tietoa mainosten kohdentamiseen.
▪ My AI:lle välittyy käyttäjän sijainti,
jos Snapchatille on annettu sijainnin
käyttöoikeus.
▪ My AI perustuu OpenAI:n
ChatGPT:hen, mutta OpenAI:ta ei
mainita Snapchatin käyttämissä
palveluntarjoajissa tai
henkilötietojen käsittelijöissä.
Lähde: Yle, 5.5.2023, https://yle.fi/a/74-20030399
10

11. Käyttöehtojen arviointeja: Terms of Service; Didn’t Read
Kuvakaappaus: https://tosdr.org/en/service/219
11

12. Somepalvelujen arviointeja
12
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528

13. Tietosuojan huomiointi somepalveluissa
13

14. Lähde: Kuntaliitto, Kuntien verkkoviestinnän ja sosiaalisen median käytön selvitys 2022, kyselyyn vastasi 181 kuntaa,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestinn%C3%A4n%20ja%20sosiaalisen%20median%20k%C3%A4yt%C3%B6n%20kysely%202022.pdf
14

15. Lähde: Kuntaliitto, Kuntien verkkoviestinnän ja sosiaalisen median käytön selvitys 2022, kyselyyn vastasi 181 kuntaa,
https://www.kuntaliitto.fi/sites/default/files/media/file/Kuntien%20verkkoviestinn%C3%A4n%20ja%20sosiaalisen%20median%20k%C3%A4yt%C3%B6n%20kysely%202022.pdf
15

16. Henkilötietojen käsittely somepalveluissa
16
▪ Noudata rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia.
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna työhön liittyviä henkilötietoja
yksityisessä käytössä olevaan kännykkään.
▪ Tarvittaessa pyydä suostumukset
henkilötietojen käytölle ulkoisissa
somepalveluissa ja muista informointi.
▪ Työtehtävät vaikuttavat: someaspa tuskin voi
käsitellä esim. arkaluonteisia tietoja.
▪ Älä julkaise henkilötietoja somessa luvatta.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.

17. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
17
▪ Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
▪ Jos mahdollista, linkitä
tietosuojaseloste
▪ Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
▪ Ohjataanko asiakkaat käyttämään
muita turvallisempia kanavia
yhteydenottoon?

18. Facebook-sivujen ja -ryhmien ylläpitäjän asema
▪ Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
▪ Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä.
▪ Huolehdi näistä:
▪ Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
▪ Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
▪ Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
▪ Facebook-ryhmien perustaminen organisaation toimesta on sallittua.
▪ Jos liität organisaation toiminnassa FB-ryhmään jäseniä, pyydä siihen suostumukset,
koska tällöin rekisterissä olevia henkilötietoja käytetään uuteen tarkoitukseen.
▪ Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
Facebookin ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta), https://www.facebook.com/legal/terms/page_controller_addendum
18

19. Siirrätkö henkilötietoja somepalveluihin?

20. Somepalvelut kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
20
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

21. Henkilötietojen vuotaminen sovellusten kautta
21
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Jos sovelluksille on
annettu pääsy kännykän
yhteystietoihin…
Henkilötietoja voi päätyä
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Ei käy ilman suostumusta!

22. Metan keräämät tiedot ei-käyttäjistä
▪ ”Kun käyttäjä käyttää yhteystietojen lataamista
ja myöntää meille pääsyn laitteensa
osoitekirjaan, käytämme ja lataamme
osoitekirjan nimet, puhelinnumerot ja
sähköpostiosoitteet päivittäin palvelimillemme,
mukaan lukien sekä Facebook-, Messenger- ja
Instagram-käyttäjät että muut yhteystiedot,
jotka eivät ole käyttäjiämme tai joilla ei ole tiliä
(eli muut kuin käyttäjät), Facebook kuvailee
toimintoa.”
▪ Meta sanoo siirtävänsä ei-käyttäjistä kerätyt
tiedot USA:han, Argentiinaan, Israeliin, Uuteen-
Seelantiin, Sveitsiin ja mahdollisesti Kanadaan.
▪ Meta ei ole informoinut ei-käyttäjiä heidän
tietojensa käsittelystä
Lähde: IS, 6.11.2022, https://www.is.fi/digitoday/tietoturva/art-2000009178384.html
22

23. Monet yritykset vievät
asiakkaidensa tietoja
Facebookiin, jotta heille
voidaan kohdistaa
mainontaa Facebookin
mainosalustan kautta.
Voit tarkistaa tietosi
Facebookin mainosasetusten
”Kohderyhmään perustuva
mainonta” -kohdasta:
https://www.facebook.com/a
dpreferences/ad_settings
23
Ei käy ilman sähköisen
suoramarkkinoinnin ja
profiloinnin suostumuksia!

24. Pikaviestisovellusten tietosuoja
24

25. Viestipalvelujen viikoittainen käyttö 2019-2022
▪ WhatsApp on yhä selvästi suosituin viestipalvelu. Nuorilla ykköspalvelu on Snapchat.
Datalähde: DNA, Digitaaliset elämäntavat -tutkimukset 2019, 2020, 2021 ja 2022, käyttö viikoittain, 16-74-vuotiaat, kuva: Harto Pönkä, 7.7.2022.
25

26. Organisaatioiden sisäisesti käyttämät viestintäsovellukset
Lähde: North Patrol, Digitaaliset työympäristöt 2022 -selvitys, https://intranet-ostajanopas.fi/2022/08/22/suomalaisten-organisaatioiden-digityon-valineet-2022/
(N=64 vastaajaorganisaatiota)
26

27. WhatsApp työhön liittyvässä viestinnässä
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• WhatsAppissa on vahva päästä päähän -salaus.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia käyttää työssä,
miten ja mihin, ja mitä silloin tulee huomioida.
→ Tarkista työnantajan linjaus ja ohje ennen kuin käytät!
• WhatsAppia ei saa käyttää esim. spämmäämiseen, automatisoituun
viestintään tai yhteystietojen keräämiseen ilman ko. henkilöiden lupaa.
Organisaatiossa huomioitava:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on tarvittaessa huomioitava organisaation
henkilötietojen käsittelyssä, esim. riskien arviointi, maininta
tietosuojaselosteessa, suostumukset asiakkailta jne.
• Organisaatioprofiilin voi luoda WhatsApp Business –sovelluksessa, joka
tarjoaa myös DPA-sopimuksen henkilötietojen käsittelyyn.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?categor

28. 28
Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022)
Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9

29. Kysymys ja ennakkotapaus: pikaviestipalvelu työntekijöiden käytössä
29
▪ Työnantaja ei voi edellyttää työntekijöiltä tavallisten pikaviestisovellusten käyttöä, koska
niiden käyttö perustuu käyttöehtojen hyväksyntään yksityishenkilönä.
▪ TSV:n päätös 8.12.2021 WhatsAppin käytöstä toi esiin useita ongelmia:
▪ Ongelmana oli asiakkaiden tietojen lähetys työntekijöille WhatsApp-ryhmän kautta.
▪ Rekisterinpitäjällä ei ole keinoja valvoa, miten henkilötietoja käytetään WA:ssa.
▪ WhatsAppin käyttö perustui yksityishenkilöiden tekemiin sopimuksiin, jolloin yritys ei
voi vedota sen sopimusehtoihin esim. vastuukysymyksissä.
▪ Rekisterinpitäjä ei ollut varmistanut, onko yritystoimintaan liittyvä WhatsApp-ryhmä ja
sen varmuuskopiot esimerkiksi työsuhteen päättyessä poistettu.
▪ WA:n käyttö johtaa henkilötietojen siirtoon kolmansiin maihin (EU-US & Schrems II).
▪ Rekisterinpitäjä ei ollut informoinut asiakkaita WhatsAppin käytöstä.
▪ Jos WhatsAppia silti päätetään käyttää, rekisterinpitäjän tulee tehdä riskiarviointi, tarvittaessa
vaikutustenarviointi ja ohjeistus sekä informoida henkilötietojen käsittelystä.
TSV:n päätös eräästä tapauksesta ja lisätietoa: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/
• Saako työnantaja lähettää esimerkiksi asiakkaiden tietoja työntekijöilleen
WhatsAppin tai jonkun muun yleisen pikaviestipalvelun välityksellä?

30. Mitä suostumuksia esimerkiksi WhatsAppin käyttöön pitäisi pyytää?
▪ Kun rekisterissä olevia henkilötietoja aiotaan käyttää uuteen tarkoitukseen.
⬞ → Suostumus henkilötietojen käsittelylle viestintää varten ko. sovelluksessa.
→ Kerrotaan, miten sovellus käsittelee henkilötietoja.
→ Kerrotaan mahdollisista riskeistä.
▪ Kun käytetään henkilötietojen käsittelijää, joka voi siirtää tietoja ETA-alueelta
Yhdysvaltoihin.
⬞ → GDPR:n 49 artikla mahdollistaa suostumuksen käytön henkilötietojen siirtoperusteena.
→ Suostumus henkilötietojen siirrolle ko. palveluntarjoajalle Yhdysvaltoihin.
→ Kerrotaan mahdollisista riskeistä, jotka johtuvat suojatoimien puuttumisesta.
▪ Kun käsittelijä saattaa luovuttaa henkilötietoja Yhdysvaltojen viranomaisille.
⬞ → Suostumus henkilötietojen luovuttamiselle Yhdysvaltojen viranomaisille.
→ Kerrotaan mahdollisista riskeistä.
▪ Vaikka nämä kolme suostumusta pyydettäisiin, on tietojen siirron lainmukaisuus silti epävarma.
▪ Tietojen poistopyyntöjen ja suostumuksen perumisen toteuttaminen voi olla mahdotonta.
30

31. Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Poikkeustapaus: kun asiakas ottaa yhteyttä some- tai pikaviestipalvelun kautta
31
Asiakas ottaa yhteyttä some-
tai pikaviestipalvelun kautta
esimerkiksi yksityisviestillä
→ Aktiivinen toimi voidaan
tulkita suostumukseksi ko.
palvelun käyttöön viestinnässä
Henkilötietoja päätyy some-
tai pikaviestipalvelun
välityksellä
rekisterinpitäjälle
Asiakas tulee yrityksen
someprofiiliin tai
verkkosivuille, jossa on
toiminto viestin lähetykseen
ja informointi henkilötietojen
käsittelystä

32. Signal työkäytössä
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
32
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)

33. Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://www.huoltovarmuuskeskus.fi/files/57c03f5135e2394fe6c3a442d4348b27d9b48061/ohjeita-turvallisten-etatyovalineiden-valintaan.pdf
33

34. Tule tietosuojavastaavien jatkokurssille!
Aiheina mm. tietotilinpäätös, tietosuoja pilvipalveluissa ja vaikutustenarviointi
https://snellmanedu.fi/tuote/tietosuojavastaavan-jatkokoulutus-2-op/
34

35. 35
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!