On tärkeää olla tietoinen digitaalisista riskeistä ja turvatoimenpiteistä. Tämä kysely on suunniteltu testaamaan ja laajentamaan tietämystäsi digitaalisesta turvallisuudesta. Osallistumalla tähän kyselyyn et ainoastaan vahvista omaa ymmärrystäsi, vaan saat myös arvokkaita oivalluksia, joita voit jakaa työssäsi nuorten kanssa.
Oletko valmis haastamaan itsesi ja oppimaan lisää? Aloitetaan!
Huoneentaulu kiteyttää kymmenen kohdan muistilistan siitä, mitkä asiat ovat tärkeitä muistaa digitaalisesta turvallisuudesta. Huoneentaulun tavoitteena on edistää digiturvallisuutta ja varmistaa, että jokainen ymmärtää roolinsa tietosuojaan ja tietoturvaan liittyen.
Sosiaalisen median palvelut keräävät tietoja käyttäjien toimista, kuten tykkäyksistä ja seuraamista sivuista, koska nämä tiedot ovat niiden elinehto ja keskeinen ansaintakeino. Nyrkkisääntönä voidaan sanoa, että jos palvelu on vastikkeeton eli ei maksa mitään, se tarkoittaa sitä, että palvelun tarjoaja tekee käyttäjästä ja tarkemmin sanoen tämän henkilötiedoista myytävän tuotteen. Käyttäjien toimet ja niistä kerätty data mahdollistavat palveluiden räätälöinnin yksilöllisten mieltymysten mukaan, mikä lisää käyttäjien viihtyvyyttä ja palvelun käyttöä.
Toisaalta tämä tieto on myös kauppatavaraa: se on arvokasta mainostajille, jotka ovat valmiita maksamaan päästäkseen kohdentamaan mainoksensa tarkemmin, perustuen käyttäjien kiinnostuksen kohteisiin ja käyttäytymiseen. Ilman käyttäjien aktiivista osallistumista ja niistä kerättyä tietoa, sosiaalisen median palvelut eivät pystyisi tarjoamaan yhtä kohdennettua sisältöä eikä niillä olisi yhtä tehokasta ansaintamallia. Palvelut hankkivat myös tuloja myymällä tätä tietoa. Vaikka palvelut usein väittävät, että tieto on muodossa, josta yksittäistä käyttäjää ei pystytä tunnistamaan, tämä ei pidä paikkaansa. Esimerkiksi käyttäjän sijaintitietoa seuraamalla on helppo päätellä kuka tämä on. Sijaintitietojen perusteella voi myös päätellä esimerkiksi työ- tai asuinpaikan, mistä on puolestaan helppo päätellä käyttäjän henkilöys.
Some- ja muiden Internet-palveluiden taipumus väittää, että käyttäjää koskevia tietoja käsitellään muodossa, josta yksittäinen käyttäjä ei ole tunnistettavissa selittyy sillä, että palvelut suojelevat omaa liiketoimintaansa väittämällä näin. Tämän lisäksi EU/ETA-alueen ulkopuolisissa maissa on ilmeisiä vaikeuksia ymmärtää kuinka lavea EU:n yleisen tietosuoja-asetuksen (GDPR) henkilötietojen määritelmä on.
”’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.”
Määritelmä on huomattavasti laveampi kuin esimerkiksi Yhdysvaltojen lainsäädännön Personally Identifiable Information (PII). Tästä syystä moni yhdysvaltalaisyhtiön palvelu ei hahmota käsittelevänsä henkilötietoja tarjotessaan palveluita EU/ETA-alueen käyttäjälle vaikka näin olisikin.
On myös tärkeä huomata sana “epäsuorasti”. Ei riitä, että henkilöä ei voida tunnistaa käsiteltävän tietojoukon avulla, vaan tulee ottaa huomioon se, että yhdistettynä johonkin muuhun tietoon tai havaintoon henkilö voidaan tunnistaa. Esimerkiksi jos henkilöstä käsitellään tietoja “pelaa jalkapalloa, käy nuorisotalolla, osoite on Liljakuja, on maahanmuuttajataustainen” ja muualta hankitaan tiedot että tämän henkilön kotikylässä on vain yksi maahanmuuttajataustainen perhe ja lapsista toinen pelaa jalkapalloa ja toinen ei, tiedot yksilöivät henkilön.
Yksityisyyden suoja verkossa on tärkeää monista syistä, ja sen merkitystä ei tulisi aliarvioida, vaikka henkilö itse ei kokisi omien tietojensa leviämistä vakavana asiana. Tässä muutamia syitä, miksi yksityisyyden suoja on olennainen:
Näistä syistä yksityisyyden suoja verkossa on tärkeää jokaiselle yksilölle, riippumatta siitä, kokeeko sen itse merkittäväksi vai ei. Tietosuojalainsäädännön pohja on YK:n ihmisoikeuksien julistuksessa ja EU:n perusoikeusjulistuksen tarkoittama perusoikeus yksityiselämään. Yksityisyyden suoja on myös osa henkilökohtaista turvallisuutta ja vapautta digitaalisessa maailmassa. Nuorten kanssa työskennellessä kannattaa myös ajatella sitä että oma käyttö vaikuttaa myös siihen mitä tietoja nuorista kertyy eri toimijoille.
Käsitteet tietosuoja ja tietoturva sekoittuvat usein arkipuheessa. Se ei ole ihme, koska toista ei voi olla ilman toista. Käsitteillä on kuitenkin ero: tietoturva on lähinnä tekninen käsite jolla tarkoitetaan tietojenkäsittelyn teknistä tietoturvaa kuten tietojen salaamista siirtojen aikana tai käytettävien ohjelmistojen ja palveluiden teknistä tietoturvallisuutta.
Tietosuojalla tarkoitetaan myös niitä hallinnollisia toimenpiteitä joilla varmistetaan että henkilötietojen käsittely noudattaa tietosuojalainsäädäntöä. Käytännön esimerkki erosta: vaikka henkilötietojen käsittelyn tekninen toteutus olisi korkealaatuinen, tietosuojavaatimukset eivät toteudu jos henkilötietojen käsittelystä ei informoida tietosuojalainsäädännön mukaisesti rekisteröityjä eli heitä joiden tietoja käsitellään.
Nuorisotyön kannalta olennainen tietosuojan haaste on se, että nuorten käyttämät palvelut vaihtuvat kulloisenkin muodin mukaan ja ne ovat osin eri palveluita kuin mitä aikuisväestö käyttää. Jonkun pitäisi kuitenkin hahmottaa palveluhin liittyvät tietosuoja- ja tietoturvahaasteet jotta palveluiden käyttöä voidaan arvioida perustellusti. Kunnissa ja seurakunnissa tulee tietosuoja-asetuksen mukaan olla tietosuojavastaava häntä voidaan käyttää apuna. Esimerkiksi kolmannella sektorilla ei kuitenkaan välttämättä ole käytössä organisaation tietosuojavastaavaa.
Tietosuojan roolien ja vastuiden osalta pääsääntö on se, että organisaation ylin johto vastaa tietosuojan hallinnollisesta toteutumisesta. Tähän kuuluu muun muassa henkilötietojen käsittelyn suunnittelu, käsittelytoimien kuvauksien laatiminen ja henkilöstön ohjeiden laatiminen. Se, että johto on vastuussa ei tarkoita sitä että heidän tulisi itse tehdä tämä työ vaan johto on vastuussa siitä että kyseiset toimet tehdään. Työntekijän vastuuseen kuuluu annettujen ohjeiden noudattaminen.
Digitaalisen aikakauden myötä algoritmien rooli ihmisten arjessa on kasvanut merkittävästi. Erityisesti sosiaalisen median palvelut, kuten Facebook ja TikTok, ovat kehittäneet monimutkaisia algoritmeja, jotka vaikuttavat siihen, mitä sisältöä käyttäjät näkevät päivittäin. Vaikka näiden palveluiden tarjoajat väittävät algoritmien auttavan tarjoamaan käyttäjille heitä kiinnostavaa sisältöä, todellisuus on monisyisempi ja herättää huolta algoritmien todellisesta vallasta ja vaikutuksesta.
Algoritmien suunnittelussa piilee perustavanlaatuinen ongelma: ne eivät ainoastaan suodata sisältöä käyttäjän mieltymysten mukaisesti, vaan ne myös päättävät, mitä tietoa käyttäjä saa tai ei saa nähdä. Tämä asettaa algoritmit poikkeuksellisen voimakkaaseen asemaan, sillä ne voivat muokata käyttäjien käsityksiä maailmasta ja vaikuttaa jopa yhteiskunnallisiin asenteisiin ja käyttäytymiseen. Esimerkiksi Facebookin on raportoitu yllyttäneen väkivaltaan Rohinga-vähemmistöä vastaan, ja TikTokin algoritmeista on löydetty piirteitä jotka voivat vääristää todellisuuden kuvaa. Nämä tapaukset osoittavat, kuinka algoritmit voivat toimia myös käyttäjän kannalta haitallisesti.
Lisäksi on tärkeää huomata, että sosiaalisen median palveluissa ei ole olemassa ”puhdasta viestivirtaa”. Käyttöehdoissa palvelut useimmiten varaavat itselleen oikeuden päättää, mitä sisältöä käyttäjälle näytetään ja mitä ei, jopa silloin kun kyseessä on seurattu sisältö. Tämä tarkoittaa käytännössä sitä että viesti, joka on tarkoitettu tietylle ryhmälle, ei välttämättä mene kaikille perille.
Algoritmien valta ja niiden vaikutus yksilöiden elämään ja yhteiskuntaan laajemmin herättävät kysymyksiä siitä, miten voimme varmistaa, että teknologia palvelee ihmisten etua eikä toimi sitä vastaan. On tärkeää kehittää ja vaatia läpinäkyvyyttä algoritmien toiminnassa, jotta voidaan ymmärtää ja valvoa, miten ne vaikuttavat sisällön jakeluun ja mitä seurauksia niiden päätöksillä on. Lisäksi on olennaista luoda eettisiä ohjeistuksia ja sääntelyä, joka suojaa käyttäjiä mahdollisilta haitoilta ja varmistaa, että digitaalinen ympäristö edistää terveellistä ja oikeudenmukaista tiedonvälitystä.
Q= Saanko kerätä leiriläisten terveystietoja ja eroaako niiden käsittely jotenkin muusta henkilötiedosta?
A= Leiriläisten terveystietoja saa, voi ja tuleekin kerätä jos keräämiselle on perustelu joka on tyypillisesti leiriläisen oman turvallisuuden lisääminen. Sopivia käsittelyperusteita terveystiedon käsittelyyn ovat esimerkiksi suostumus tai rekisterinpitäjän oikeutettu etu. Suostumus pitää saada joko leiriläiseltä itseltään ja alaikäisen tapauksessa hänen huoltajaltaan. Terveystietojen käsittely tulee suunnitella dokumentoidusti kuvaukseen henkilötietojen käsittelystä (kuten muukin henkilötietojen käsittely) ja terveystietojen käsittelystä on mainittava toimintaa koskevassa tietosuojaselosteessa.Jos käsittely perustuu suostumukseen, on leirin järjestäjän huolehdittava myös suostumuksen peruutuksen mahdollisuudesta. Mikäli henkilötietoja käsitellään oikeutetun edun perusteella, laaditaan siitä tasapainotesti.
Q= Saanko jakaa rippikoulunuorten terveystietoja isosille tms.?
A= Saat jos siihen on saatu suostumus nuorelta/huoltajalta tai jos se on välttämätöntä rippikoulun järjestämiseksi, esimerkiksi turvallisuuden takaamiseksi. Jos näin aiotaan menetellä, menettely on syytä suunnitella kirjata sekä henkilötietojen käsittelyä koskevaan kuvaukseen että tietosuojaselosteeseen. Huomaa että muidenkin henkilötietoja käsittelevien on oltava kuvattuna. Esimerkiksi pelkkä esimiesasema ei oikeuta saamaan alaiselta henkilötietoja joita alainen työssään käsittelee.
Q= Kuinka pitkään saan säilyttää nuorten yhteystietoja?
A= Riippuu käsittelyperusteesta ja käsittelyn tarpeesta. Kaikella henkilötiedolla pitää olla elinkaari määriteltynä ja henkilötietojen säilytysaika dokumentoidaan henkilötietojen käsittelytoimien kuvauksessa. Joissain tapauksissa käsittelyperuste voi olla lakisääteinen kuten rippikoulun käymisestä ja konfirmaatiosta kirkon jäsenrekisteriin tehdyt merkinnät. Jos henkilötietojen käsittely perustuu kuitenkin suostumukseen, on tällaisissa tapauksissa käsittelyaika (säilytyskin on käsittelyä) kerrottava suostumuksen pyytämisen yhteydessä. Tietosuojaperiaatteiden mukaisesti tietoja saa säilyttää vain sen ajan, kun se on tarpeellista käyttötarkoitukseen.
Q= Leirille tulee ulkopuolinen ohjelmantuottaja. Voinko antaa hänelle listan osallistujista?
A= Voit, jos ohjelmantuottaja tarvitsee tiedon osallistujista. Tämä tietojen luovuttaminen tai siirtäminen dokumentoidaan henkilötietojen käsittelyn kuvauksessa ja asiasta kerrotaan osallistujille tietosuojaselosteessa sekä suostumuksen pyytämisen yhteydessä, jos käsittely perustuu suostumukseen.
Q= Voinko luoda Whatsapp-ryhmän nuorisotilan tai muun pienryhmän nuorista?
A= Voit. Ryhmään kuulumisen tulee kuitenkin olla vapaaehtoista. Kaikkien kaupallisten some- ja muidenkin palvelun kohdalla käyttö tulee kuvata käsittelytoimien kuvaukseen jo senkin takia että nuorisotyöntekijän oma palvelun käyttö pitää sisällään hänen henkilötietojensa käsittelyä.
Q= Voinko kuvata nuoria ja laittaa kuvat Tiktokkiin tai Instagramiin?
A= Voit jos saat siihen suostumuksen nuorilta tai heidän huoltajiltaan. Sama koskee myös muuta julkaisemista, esim. organisaation omia nettisivuja.
Q= Voinko kerätä osallistujatiedot Google Formsilla?
A= Voit, jos kyseinen käyttötapa on osa suunniteltua ja kuvattua henkilötietojen käsittelyä ja rekisteröityjä on informoitu asiasta.