3. 4 artikla
4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa
henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia
ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen
luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen,
henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen,
sijaintiin tai liikkeisiin,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Profilointi
4. Milloin opetuksessa tehdään profilointia?
• Yksittäiset tiedot, esim. pisteet ja edistyminen
• Yhteenvedot ja tilastot, lokitiedot
• Manuaaliset arvioinnit rekisteröidystä
• Yhdistelmänäkymät tiedoista ja toiminnasta
• Tiedonlouhinta big datasta
• Muut analyysit, joita ei käytetä yksilöitä
koskeviin toimenpiteisiin
EI GDPR:N TARKOITTAMAA
PROFILOINTIA
GDPR:N TARKOITTAMAA
PROFILOINTIA
• Rekisteröidyn tietoihin perustuvat
automaattiset luokittelut, jotka liittyvät
tämän ominaisuuksiin, kiinnostuksen
kohteisiin ja todennäköisyyksiin
• Automaattiset arvioinnit, ehdotukset,
valinnat, tulkinnat, johtopäätökset jne.
• Tietojen yhdistelystä johdetut ennusteet
5. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille,
Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf
Oppijoiden tuloksia kuvaavat pisteet, %-luvut ja kuvaajat kertovat edistymisestä,
mutta niissä ei tehdä automaattisia päätelmiä, joten kyse ei ole profiloinnista.
Oppimisanalytiikkaa kyllä, profilointia ei
6. Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille,
Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf
Tehtävien pisterajoihin tai suorituksiin perustuvat merkit eivät ole profilointia,
vaan tulosten esittämistä havainnollisesti suhteessa tavoitteisiin.
Oppimisanalytiikkaa kyllä, profilointia ei
7. Edistynytkään oppimisanalytiikka
ei aina ole profilointia
Oppimisanalytiikka, jossa ei tehdä yksittäisiin oppijoihin kohdistuvia päätelmiä, ei ole
profilointia. Datasta voidaan tunnistaa esimerkiksi oppimiseen liittyviä yleisiä malleja,
syy-seuraussuhteita, ongelmakohtia ja erilaisia oppijoiden ryhmiä.
Samalla tulee huolehtia oppijoiden tietosuojasta. Henkilötiedot voidaan poistaa
(anonymisoida) tai peittää (pseudonymisoida) ja tekijöillä tulee olla vaitiolovelvollisuus.
9. Korrelaatio r=0,67 (p<0,001)
Lähde: Pönkä, 2013, Luovan ongelmanratkaisun ja innovaatioiden analyysia Innolukiosta,
https://harto.wordpress.com/2013/04/16/luovan-ongelmanratkaisun-ja-innovaatioiden-analyysia-innolukiosta/
Oppimisanalytiikkaa kyllä, profilointia ei
Yhteenvedot, tilastot, kuvaajat ja tilastolliset analyysit eivät ole profilointia,
vaikka niitä voitaisiin käyttää apuna ennustemallien rakentamisessa.
10. Oppimisanalytiikkaa ja tiedonlouhintaa kyllä, profilointia ei
Oppimisesta kertyvän datan käyttö tiedonlouhintaan ei ole profilointia, kun sen
tarkoituksena on kehittää yleisesti opetusta, eikä tehdä päätelmiä yksittäisistä oppijoista.
Kuva: Äyrämö, 2006, Knowledge Mining Using Robust Clustering (väitösk.), Jyväskylän yliopisto,
https://pdfs.semanticscholar.org/8374/0f3c02800468e939c3e887a8061eb336b729.pdf
11. Kun analysoidaan tai ennakoidaan automaattisesti
yksilön ominaisuuksia, kyse on profiloinnista
Oppimisanalytiika, jonka tavoitteena on tuottaa yksilöä koskevia automaattisia
päätelmiä tai ehdotuksia oppijalle tai ohjaajalle, on GDPR:n tarkoittamaa profilointia.
Oleellista ei ole, voitaisiinko dataa käyttää näin, vaan tilanne, jossa näin tehdään.
Tyypillisesti kyse on oppijan luokitteluun perustuvista ehdotuksista, oppijan toimintaan
perustuvista ennusteista tai oppijaa koskevien todennäköisyyksien esittämisestä.
12. Oppimisanalytiikkaa kyllä, profilointia kyllä
Lähde: Parviainen, Tamminen, Kurvinen, & Enges-Pyykönen, 2017, ViLLE-oppimisympäristön ohje opettajille,
Turun yliopisto, https://ville.cs.utu.fi/opintopolku/villeohje-opintopolku-%20opettajille.pdf
ViLLE-oppimisympäristö pyrkii tunnistamaan oppijoiden tuen tarpeen käyttämällä
avuksi tietoa, miten tulokset ennustavat menestymistä MAKEKO-testissä.
13. Oikeusperusteet oppimisanalytiikassa
Oppijoiden tiedot
ja toiminta
Kun ei analysoida automaattisesti
oppijan ominaisuuksia
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
Tiedonlouhinta,
tilastot ja analyysit
Kun analyysin tulokset eivät kohdistu
yksittäisiin oppijoihin
Oppijan ominaisuuksien
autom. profilointi
Yksilön ominaisuuksien analysointi,
luokittelu ja näihin perustuvat toiminnot
Rekisterinpitäjän oikeutettu etu voi riittää Suostumus tai sopimus
14. 1. Oppimisanalytiikka, joka liittyy rekisterinpitäjän henkilötietojen käsittelyn
tarkoitukseen, esimerkiksi opetuksen järjestämiseen ja sen kehittämiseen
(pattern-finding)
– Tietosuoja-asetuksen lupa käyttää henkilötietoja tilastointiin tai tutkimukseen voi riittää
– Oikeutetussa edussa voidaan huomioida se, että opetuksen järjestäjä voi analyysin avulla kehittää
opetusta ja palveluitaan opiskelijoille (asiakkaille) sekä tuottaa yleistä hyötyä.
– Analyysin tulee olla sellaista, mihin rekisteröidyt voivat kohtuudella odottaa tietoja käytettävän.
– Tämän tyyppisellä analyysilla voidaan löytää esimerkiksi koulutukseen liittyviä yleisiä trendejä ja
kehitystarpeita sekä oppijoihin ja oppimiseen liittyviä yleisiä malleja, mekanismeja ja luokittelua
– Rekisterinpitäjän tulee huolehtia riittävistä suojakeinoista kuten rekisteröityjen anonymisoinnista tai
pseudonymisoinnista sekä analyysejä tekevän henkilöstön vaitiolovelvollisuudesta.
2. Oppimisanalytiikka, jonka tarkoitus on profiloinnin avulla tarjota esimerkiksi
yksilöllistä ohjausta, ehdotuksia ja tehtäviä (pattern-matching)
– Profilointiin ja automaattisiin päätöksiin/valintoihin tarvitaan suostumus tai sopimus
– Suostumus kannattaa pyytää vasta silloin, kun profilointi halutaan ottaa käyttöön.
– Oleellista rekisteröidyltä saatujen suostumusten (opt-in) ja kieltojen (opt-out) hallinta ja voimassaolo.
– Suostumuksen antoon ei saa painostaa. Oppijalla tulee olla aito valinnanvapaus esimerkiksi valita
perinteinen opetus automaattisesti räätälöidyn ohjauksen sijasta.
– Jos profilointi aiheuttaa rekisteröityjen tiedoille korkean riskin, tee tietosuojan vaikutustenarviointi.
Oppimisanalytiikan tietosuojakehikko
Lähde: Andrew Cormack, 2016, Data Protection Framework for Learning Analytics,
http://epress.lib.uts.edu.au/journals/index.php/JLA/article/view/4554
16. Suoramarkkinointi ja tietosuoja
• Perinteinen suoramarkkinointi
– Postitse tai puhelimitse
– Saa tehdä, jos vastaanottaja ei ole kieltänyt
– Vastaanottajille tulee kertoa kielto-oikeudesta
viesteissä ja tietosuojaselosteessa
• Sähköinen suoramarkkinointi
– Sähköpostiviestit, tekstiviestit, ääniviestit, kuvaviestit
– Yksityishenkilöiltä tarvitaan suostumus etukäteen
– Yrityksiltä ja niiden edustajilta ei tarvita suostumusta
– Vastaanottajille tulee kertoa kielto-oikeudesta
viesteissä ja tietosuojaselosteessa
• Ulkoistettu suoramarkkinointi
– Esimerkiksi postitus- ja puhelinmyyntipalvelut
– Henkilötietoja annetaan toiselle yritykselle
markkinoinnin tekoa varten, joten tarvitaan sopimus
henkilötietojen käsittelystä
– Toimeksiantaja on vastuussa markkinoinnista
Lähde: Suomen yrittäjät, 2018, Yrittäjän tietosuojaopas,
https://www.yrittajat.fi/yrittajan-abc/yritystoiminnan-abc/yrittajan- tietosuojaopas/suoramarkkinointi-570917
17. • Suostumus (opt-in)
– Sähköinen suoramarkkinointi (sähköposti, tekstiviesti ym.)
– Suostumuksen pitää olla selvä. Mahdollisuus kieltää suoramarkkinointi ei riitä.
– Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
• markkinoinnissa käytetään automaattista profilointia
• tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
• Rekisterinpitäjän oikeutettu etu
– Perinteinen suoramarkkinointi (puhelimitse ja postitse)
– Asiakassuhteeseen liittyvä viestintä: voit tiedottaa opiskelijoille opiskeluun liittyvistä
asioista ja esimerkiksi tulevista kursseista, jotka liittyvät heidän koulutukseensa.
– B2B-markkinointi: yritysten yhteyshenkilöille voit lähettää markkinointia ilman
etukäteissuostumusta.
– Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus!
• Mieti opiskelijan näkökulmasta, milloin kyse on suoramarkkinoinnista, ja erota
se selvästi opiskeluun liittyvästä viestinnästä.
• Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi kieltäytyä
ja mistä tietosuojaseloste on luettavissa.
• Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista
markkinointia he saavat.
Koulutusten markkinointi
18. Markkinointijärjestelmät ja profilointi
Facebookiin viedyt
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
syntymäaika, kaupunki, laitetunniste ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
Googleen viedyt
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Esimerkiksi sähköpostimarkkinointi
manuaalisesti valituille kohderyhmille
Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia
19. Vinkki: Jos et halua saada profiiliisi kohdennettua
markkinointia Facebookissa, voit estää sen helposti.
Ohjeet: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-
kayton-muilta-yrityksilta/
20. • Kolmannen osapuolen eväste (cookie) on laitteelle tallennettava tiedosto,
jonka avulla käyttäjää voidaan seurata netissä muiden palvelujen toimesta.
• Esimerkkejä:
– Google Analyticsin kävijäseurantakoodi
– Googlen AdWordsin sivustotagi / uudelleenmarkkinointipikseli
– Facebookin tykkäysnappula tai kirjautumistoiminto
– Facebook-mainonnan pikseli
– Chat-palvelujen evästeet
• Laki (tietoyhteiskuntakaari 205 §) vaatii, että evästeistä kerrotaan käyttäjille.
Jos evästeitä käytetään vain sivuston toimintoihin, niistä ei tarvitse kertoa.
• Esimerkiksi näin:
• Suomessa on tulkittu, että käyttäjän suostumukseksi riittää se, että evästeet on
sallittu nettiselaimen asetuksissa.
• GDPR ei puutu evästeisiin, mutta sitä koskeva asetus on odotettavissa
myöhemmin (nk. sähköisen viestinnän tietosuoja-asetus, ePrivacy).
Kolmansien osapuolten evästeet
Sivustolla käytetään evästeitä kävijäseurantaan ja markkinointiin. Evästekäytäntö Hyväksy
Lähde: Viestintävirasto, 2017, Evästeet,
https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet/palveluidenturvallinenkaytto/evasteet.html
22. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan.
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen
dokumentointia.
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen
käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava
valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi
tietosuojavirasto).
• Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi
sähköiseen suoramarkkinointiin tarvitaan erikseen suostumus.
• Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim.
ylläpitäjien lokitiedoilla.
• Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla
tai käytännesäännöillä
Osoitusvelvollisuus
Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
23. • Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet tarvittavista
suojatoimista määräytyvät riskiperusteisesti
• Se tarkoittaa, että riskit pitää arvioida ja henkilötietojen käsittelyn suojatoimet
on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin
• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti
aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja.
– Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen,
taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
• Riski voi olla korkeampi, kun
– käsitellään heikossa asemassa olevien tietoja (esim. lapset)
– käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
– käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi
• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva
vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää
riskiä (35 artikla).
Riskiperusteinen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
24. • Henkilötietojen tietoturvaloukkauksella tarkoitetaan tilannetta, jossa
henkilötietoja tuhoutuu, häviää, muuttuu, luovutetaan luvattomasti tai
tietoihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.
• Tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti
aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
– Ilmoitus pitää tehdä ilman aiheetonta viivytystä.
– Ilmoituksen voi jättää tekemättä jossain tilanteissa: esimerkiksi jos vuotaneet tiedot on salattu
vahvasti, tietojen väärinkäyttö on estetty tai jos ei voida selvittää, keitä vuoto on koskenut.
• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin
kuluessa siitä, kun loukkaus on havaittu, jos siitä voi aiheutua riski luonnollisten
henkilöiden oikeuksille ja vapauksille.
• Henkilötietojen käsittelijän on tehtävä ilmoitus rekisterinpitäjälle ilman
aiheetonta viivytystä.
• Rekisterinpitäjän on dokumentoitava henkilötietojen tietoturvaloukkaukset,
niihin liittyvät seikat, vaikutukset ja korjaavat toimet
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset,
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
25. • Tietoturvarikkomuksen tyyppi
– Esimerkiksi henkilötietojen vuoto ulkopuoliselle aiheuttaa suuremman riskin kuin
tietojen häviäminen järjestelmän vian vuoksi.
• Henkilötietojen luonne, arkaluonteisuus ja määrä
– Arkaluontoisiin tietoihin ja eri tietotyyppien yhdistelmiin liittyy suurempi riski
• Tunnistamisen helppous
– Tunnistettavuus lisää riskiä. Salaus tai pseudonymisointi vähentää riskiä.
• Rekisteröidyn ominaisuudet
– Heikossa asemassa oleviin rekisteröityihin kuten lapsiin kohdistuu suurempi riski
• Rekisterinpitäjän ominaisuudet
– Esimerkiksi potilastietojen rekisterinpitäjään kohdistuu suurempi riski
• Tietovuodon seurauksien vakavuus
– Seuraukset voivat olla vakavia esimerkiksi silloin, kun siitä voi seurata
identiteettivarkaus, petos, psyykkistä ahdistusta, nöyryytystä tai maineen menetys.
– Riski on suurempi, jos henkilötiedot ovat päätyneet rikolliselle.
Tietoturvaloukkauksen riskien arviointi
Lähde: Tietosuojavaltuutetun toimisto, 2017, Henkilötietojen tietoturvaloukkaukset,
http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
27. Tietoturvan osa-alue Vaatimus Vastaus
Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko
se ulkoistettu?
Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa?
Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset?
Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä?
Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset?
Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen?
Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö?
Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet?
Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen
tai poistaminen estetty?
Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista
suunnitelma, joka huomioi erilaiset tietojen
palautustarpeet?
Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia?
Tietoturvapäivitykset Luottamuksellisuus, eheys,
saatavuus
Onko järjestelmässä automatisoitu (tietoturva)päivitysten
jakelu?
Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma?
Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen
salaamiselle tai pseudonymisoinnille?
Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu?
Tietoturvatestaus Luottamuksellisuus, eheys,
saatavuus
Tehdäänkö säännöllisiä tietoturvatestauksia?
Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel),
saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
29. Pilvipalveluissa vastuu jakaantuu
Tiedot asiakkaasta
Laskutustiedot
Tiedot käytettävistä palveluista
ja niiden käytöstä
Asiakkaan vastuulla olevien
muiden käyttäjien palveluun
tallentamat tiedot
Mahdolliset muut palvelun tuottamiseen
liittyvät tahot ja niiden tiedot
Asiakas on rekisterinpitäjä
Muut käyttäjät ovat rekisterinpitäjiä
mahdollisesti luomiinsa rekistereihin
Palveluntarjoaja on henkilötietojen
käsittelijä
Palveluntarjoaja on rekisterinpitäjä
Lisäksi voi olla muita henkilötietojen
käsittelijöitä
Mahdolliset muut rekisterinpitäjät
ja henkilötietojen käsittelijät sekä
valvovat viranomaistahot
Asiakkaan palveluun
tallentamat tiedot
ASIAKAS&
KÄYTTÄJÄT
PALVELUNTARJOAJA
30. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut
33. Miten somepalveluita opetukseen?
• Monia somepalveluita voi käyttää ilman oppijoiden
rekisteröitymistä tai henkilötietojen antamista
• Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen
hyväksyntää:
– Alaikäiset huoltajan suostumuksella
– Täysi-ikäiset omalla vastuullaan
• Omassa hallinnassa olevat somepalvelut
– Koulu/kunta voi hankkia osto-/sopimuspalveluita
– Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita
– Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös
käyttösäännöistä.
34. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus
35. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Somepalvelujen ikärajat
Lisäksi alaikäinen
tarvitsee huoltajan
luvan sopimuksen
tekoon.
36. • Sopimuksen tekeminen kuten verkkopalvelun
käyttöehtojen hyväksyminen vaatii lain mukaan
18 vuoden ikää (oikeustoimikelpoisuuden)
riippumatta palvelun ikärajasta.
• Vähintään 16-vuotiaat voivat antaa itse luvan
henkilötietojensa käsittelyyn
(saattaa muuttua 13- tai 15-v.)
• Alaikäisten oppilaiden tuotosten julkaisuun
verkossa täytyy olla hänen oma lupansa sekä
huoltajan lupa.
Alaikäiset oppilaat
37. Huoltajan lupa?
Lähde: Tampereen TVT-portaali,
http://tvt.tampereenseutu.fi/@Bin/732920/Sosiaalisen+media
n+opetusk%C3%A4yt%C3%B6n+kaavio.pdf (4.4.2018)
Mikäli tunnuksen luomisessa on
hyväksyttävä palvelun käyttöehdot
Mikäli palvelussa julkaistaan teoksia
opiskelijaryhmän ulkopuolisille
39. Lähde: Some ja nuoret 2016, http://www.ebrand.fi/somejanuoret2016/5-harkinta-sosiaalisessa-mediassa/ (13-29-v.)
Nuorten mielipide
40. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa
käytetään oppimisen välineenä ja miten se tehdään turvallisesti
• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan
ja mille tahoille henkilötietoja on turvallista luovuttaa
– Somepalveluihin rekisteröitymisessä
– Chat- ja pikaviestikeskusteluissa
• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso)
– Älä kerro omia tai toisten henkilötietoja
– Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt.
– Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille.
– Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi.
– Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle.
– Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä.
– On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista.
– Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa.
– Mieti, millaisen kuvan annat itsestäsi
• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus
• Yhteistyö ja avoimuus huoltajien kanssa tärkeää.
Turvallisesti netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
42. • Oppilaita opastetaan käyttäjätunnusten ja salasanojen
tekemisessä sekä yksityisyyden suojaamisessa.
• Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja.
• Huolehditaan, että oppijoilla on riittävät tiedot
tekijänoikeuksista.
• Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen
omaksumista ja toisen kunnioittamista.
• Häiriökäyttäytymistä ja kiusaamista ei hyväksytä.
• Some-palvelujen opetuskäytölle tehdään malli, joka
mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen
turvallisessa ympäristössä.
• Luottamuksellista tietoa ei viedä some-palveluihin.
• Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa
koskevat määräykset.
Somen turvallinen ja eettinen käyttö
Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_
jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012
43. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja
ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat
rekisteröityvät niihin
– Nimen, koulun ja luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite)
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita
kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili
44. • Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla
voi toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/
terms/update
47. • Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn
nykytilasta ja kehitystarpeista
• Arviointi sisältää esimerkiksi:
– Mitä henkilötietoja organisaation hallussa on
– Miten tietosuojaperiaatteet on otettu huomioon
– Toimintaan liittyvät henkilötietovirrat
– Henkilötietojen käsittelyn oikeusperusteet
– Miten tietoturvasta on huolehdittu
– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu
• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks.
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/t
ietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.
pdf
• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen
sisällöstä, sillä se on viime kädessä vastuussa
Henkilötietojen nykytilan arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf