1. Henkilötiedot,
tietosuoja
ja GDPR
opetuksessa
Harto Pönkä
14.3.2018

2. Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385
ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html

3. Yksityisyyden suoja on perusoikeus
Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
Henkilötietojen suojasta säädetään tarkemmin lailla.
PeL 10 §
Henkilötietojen luvaton käsittely sekä yksityisyyttä
loukkaavan tiedon levittäminen voivat olla rikoksia.
Kuva: Edvard Isto, 1899 , Hyökkäys

4. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Tietosuojan suojaamisen toimenpiteet
suhteutetaan riskiarvioon tietoturvauhista.

5. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen
käsittelyn on oltava tietosuoja-asetuksen mukaista
• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat
rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa
• Uutta nykyiseen henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen
kanssa organisaation (pää-)toimipaikan mukaan
EU:n yleinen tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

6. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

7. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

8. Arkaluontoiset henkilötiedot
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia
mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja
suuntautumista koskevien tietojen käsittely on kiellettyä.
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

9. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri

11. 4 artikla
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisterinpitäjä

12. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä

13. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste
ja se tulee olla jokaisen saatavilla.
• Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §):
– Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä
• Tietosuoja-asetuksen uusia vaatimuksia mm.
– Mahdollinen tietosuojavastaava ja tämän yhteystiedot
– Henkilötietojen käsittelyn oikeusperuste
– Henkilötietojen säilytysaika
– Henkilötietojen luovutuksen vastaanottajat
– Rekisteröityjen uudet oikeudet
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista,
jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla
informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

14. • Alle 250 työntekijän yritysten ja järjestöjen tulee pitää jatkossa rekisteriä
ainoastaan, jos henkilötietojen käsittely on säännöllistä, uhkaa ihmisten
oikeuksia ja vapauksia tai koskee arkaluontoisia tietoja tai rikosrekisteritietoja
• Yksityisen henkilön yksityiseen tarkoitukseen käyttämä rekisteri kuten
kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta
– Henkilötietolakia ei sovelleta lainkaan
• Toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten
henkilötietojen käsittelystä ei tarvitse tehdä rekisteriselostetta
– Voimassa vain muutamat henkilötietolain kohdat
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään
muodostavan henkilörekisteriä
– Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista
– Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja
Poikkeuksia
Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

15. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Kerro tässä tarkoituksen lisäksi oikeusperuste:
- Henkilön suostumus
- Sopimus, jossa rekisteröity osapuolena
- Laki
- Julkisen tehtävän hoitaminen
- Rekisterinpitäjän oikeutettu etu
(esim. asiakassuhde, työsuhde, jäsenyys)

16. • Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste
• Henkilötietojen käsittely voi perustua esimerkiksi:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Lakiin
– Julkisen tehtävän hoitamiseen
– Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde)
• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen
käsittely on lähtökohtaisesti kielletty.
– Mahdollista kuitenkin nimenomaisella suostumuksella
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

17. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d-
822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)

18. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Huomaa, että Tietosuojavaltuutetun
toimiston tietosuojaselosteen pohjassa ei
ole vielä huomioitu EU:n yleisen
tietosuoja-asetuksen vaatimuksia!

19. Kuvakaappaus Espoon kaupungin Google G Suite for Education –palvelun tietosuojaselosteesta:
http://www.espoo.fi/download/noname/%7BD288C16C-71F6-40EE-9A16-34F6864CC620%7D/86398 (29.11.2017)

20. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeuksia
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

21. Koulutoimessa
muodostuvia
rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf

22. Tietojärjestelmien GDPR-valmius?

23. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

24. Tietosuoja somessa ja verkkopalveluissa?

25. Miten some-palveluita opetukseen?
• Monia somepalveluita voi käyttää ilman oppijoiden
rekisteröitymistä tai henkilötietojen antamista
• Kaupalliset somepalvelut, jotka edellyttävät käyttöehtojen
hyväksyntää:
– Alaikäiset huoltajan suostumuksella
– Täysi-ikäiset omalla vastuullaan
• Omassa hallinnassa olevat somepalvelut
– Koulu/kunta voi hankkia osto-/sopimuspalveluita
– Koulu/kunta voi asentaa ja ylläpitää omia somepalveluita
– Tällöin koulu/kunta on rekisterinpitäjä ja voi monesti määrätä myös
käyttösäännöistä.

26. • Sopimuksen tekeminen kuten verkkopalvelun
käyttöehtojen hyväksyminen vaatii lain mukaan
18 vuoden ikää (oikeustoimikelpoisuuden)
riippumatta palvelun ikärajasta.
• Vähintään 16-vuotiaat voivat antaa itse luvan
henkilötietojensa käsittelyyn
(saattaa muuttua 13- tai 15-v.)
• Alaikäisten oppilaiden tuotosten julkaisuun
verkossa täytyy olla hänen oma lupansa sekä
huoltajan lupa.
Alaikäiset oppilaat

27. Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay

28. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista
yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli
sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen
suojan.
– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)
• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä
helmikuussa 2016.
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

29. Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-
sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)

30. • Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa
käytetään oppimisen välineenä ja miten se tehdään turvallisesti
• Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin
luonteesta ja sen turvallisesta käytöstä
• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan
ja mille tahoille henkilötietoja on turvallista luovuttaa
– Somepalveluihin rekisteröitymisessä
– Chat- ja pikaviestikeskusteluissa
• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso)
– Älä kerro omia tai toisten henkilötietoja
– Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt.
– Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille.
– Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi.
– Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle.
– Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä.
– On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista.
– Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa.
– Mieti, millaisen kuvan annat itsestäsi
• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus
• Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat.
Turvallisesti netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

31. Esimerkkejä koulun tilanteista

32. Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013,
http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess
amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata
Opetuksen videokuvaaminen

33. • Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa
tarkoittaa henkilötietojen sähköistä luovuttamista
• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai
alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa:
– Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä
– Lähettää suojaamattomassa muodossa sähköpostilla
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

34. Huoltajat:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Koulu:
• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla
vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen
he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää
hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

35. Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013):
http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa

36. Keskustelu
&
kysymykset

37. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.

38. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!