Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Tietosuoja ja henkilötiedot etäopetuksessa

191 visualizaciones

Publicado el

Pohjois-Pohjanmaan kesäyliopiston järjestämä webinaari, 15.9.2020, Harto Pönkä, Innowise

Publicado en: Educación
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Tietosuoja ja henkilötiedot etäopetuksessa

  1. 1. Tietosuoja ja henkilötiedot etäopetuksessa Harto Pönkä 15.9.2020
  2. 2. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää. Yksityisyyden suoja on perusoikeus.
  3. 3. • EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilörekistereihin. • GDPR:ää ei sovelleta: – Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä. – Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. – Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjalliseen ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia). • Lisäksi tulee huomioida monet muutkin lait, mm. perustuslain 10 §: – Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. – Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Tietosuojaan liittyvät lait
  4. 4. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
  5. 5. Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tunnistetiedot Lain mukaan salassa pidettäviä tietoja voi luovuttaa vain sellaiselle, jolla on laillinen peruste saada niitä. • Esim. terveystiedot, luottotiedot, sanalliset arvioinnit henkilön ominaisuuksista, salainen puhelinnumero, tietosuojavastaavan saamat tiedot • Salassa pidettävät asiakirjat Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai jos käsittelystä säädetään laissa, sekä: • Laissa säädetyn tehtävän suorittamiseksi. • Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. • Historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Henkilötunnusta ei tule laittaa tarpeettomasti esille. Erityiset ja salaiset henkilötiedot
  6. 6. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
  7. 7. Kysymys: milloin kyse henkilörekisteristä? - Milloin ”muu rekisteri” muuttuu henkilötietorekisteriksi? • Läppäri 233 • Varattu klo 10-14 • Käyttö: opiskelu • Haettu klo: 9:50 • Palautettu klo 14:00 • Varaaja ID: 20231 • Läppäri 112 • Läppäri 159 • Läppäri 217 • Läppäri 233 • Läppäri 288 • Läppäri 289 • Läppäri 302 • Läppäri 312 • 20111: Essi Esimerkki • 19547: Matti Mainio • 31313: Aku Ankka • 20231: Jaska Jokunen • 45990: Maija Mallikas • 21331: Joku Vaan A B C Sisältää henkilötietoja = muodostavat yhdessä rekisterinEi sisällä henkilötietoja
  8. 8. Henkilötietorekisterien perusteita
  9. 9. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  10. 10. • Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset – Opetustilanteet, myös etä- ja verkko-opetus – Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) – Paikallaolot, suoritukset, testit, arviointi – Yhteydenpito opiskelijaan ja alaikäisten huoltajiin (puhelin, sähköposti, osoite ym.) – Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa – Kuvaus-, julkaisu- ja tekijänoikeusluvat – Harjoitteluihin ja vierailuihin liittyvät tiedot – Oppilashuolto ja erityisen tuen tarve • Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. • Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita. – Suostumuksen pitää olla aidosti vapaaehtoinen, eikä sen antamatta jättäminen tai peruminen myöhemmin saa aiheuttaa oppijalle haittaa. – Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. Opiskelijarekisteri etäopetuksessa Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opiskelija- rekisteri opiskelijoihin liittyvät henkilötiedot
  11. 11. REKIST. OIKEUDET OIKEUSPERUSTEEN MUKAAN Suostumus Sopimus Lakisääteiset velvoitteet Yleinen etu tai julkinen tehtävä Rekisterinpitäjän oikeutettu etu Elintärkeiden etujen suojaaminen Oikeus saada tietoa henkilötietojen käsittelystä Kyllä Kyllä Kyllä, ellei kyse ole laista tulevasta poikkeuksesta Kyllä, ellei kyse ole laista tulevasta poikkeuksesta Kyllä Kyllä Oikeus saada pääsy tietoihin Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus oikaista tietoja Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä Oikeus poistaa tiedot Kyllä, perumalla suostumuksen Kyllä, jos tietoja ei enää tarvita sop. Ei Ei Kyllä Kyllä Oikeus rajoittaa tietojen käsittelyä Kyllä Kyllä Ei Kyllä Kyllä Kyllä Oikeus vastustaa tietojen käsittelyä Ei Ei Ei Kyllä Kyllä Ei Oikeus siirtää tiedot järjestelmästä toiseen Kyllä Kyllä Ei Ei Ei Ei Oikeus olla joutumatta autom. päätöksenteon kohteeksi ilman laillista perustetta Kyllä, mutta rekisteröity voi antaa suostumuksen automaattiseen päätöksentekoon Kyllä, paitsi jos autom. päät. on välttämätöntä sopimuksen tekoon tai täyttämiseen Kyllä Kyllä GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia GDPR ei salli tällä perusteella automaattista päät.tekoa, jolla on merkittäviä vaikutuksia Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708- c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf
  12. 12. • Rekisteröidyllä on oikeus tietää henkilötietojen käsittelystä: kuka, miksi, mitä, miten, kuinka kauan, mitä oikeuksia jne. • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja tietojenkeruulomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten informointi on toteutettu. Informointi (tietosuojaseloste) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  13. 13. Henkilötietojen informoinnin sisältö Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/documents/6927448/8214536/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot/419957bd-fd5a-4090- 9c64-cf4769b10570/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot.pdf Rekisterinpitäjä ja yhteystiedot Tietosuojavastaava yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja siinä käytettävät suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  14. 14. - Mitä henkilötietoja voi kerätä opiskelijoilta? - Mitä kyselypalveluita voi käyttää henkilötietojen keräämisessä? • Kerättävien henkilötietojen laadun ja määrän tulee olla tarkoituksenmukaisia. • Varmista, että kerättävät tiedot liittyvät oppilaitoksen lainmukaisiin tehtäviin kuten opetuksen järjestämiseen. – Esimerkiksi Puolassa eräälle koululle on annettu huomautus laittomien tietojen keräämisestä. * • Jos kerätään henkilötietoja, jotka eivät sovi sisällöltään ja käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on kyse uudesta rekisteristä. – Ennen henkilötietojen käsittelyn aloittamista tulee tehdä riskiarvio ja tarvittaessa vaikutustenarviointi. • Linkitä kyselylomakkeelle kyseisen rekisterin tietosuojaseloste tai tuo henkilötietojen käsittelyä koskeva informointi suoraan lomakkeelle. • Jos käytetään ulkoista kyselypalvelua, tulee sen kanssa olla sopimus henkilötietojen käsittelystä. Lisäksi on varmistettava, että kyselypalvelu ei luovuta tietoja muille osapuolille. • Henkilötietojen keräämisessä on noudatettava organisaation ohjeistusta. Kysymys: henkilötietojen keruu *) Puolan tapauksesta lisätietoa: https://edpb.europa.eu/news/national-news/2020/polish-dpa-imposes-penalty-reprimand-processing-students-personal-data_en
  15. 15. Samat tiedot ja tarkoitus = sama rekisteri Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot Opetuksen järjestäminen + yhteensopivat käyttötarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  16. 16. Henkilötietojen käyttö opetuksessa • Opetus • Opetuksen tukitoiminnot • Arkistointi • Tutkimus • Tilastot • Oppimisanalyytiika ja profilointi ilman automatisoituja päätöksiä • Lisäpalvelut kuten ulkopuoliset sovellukset • Oppimisanalyytiikka, jossa tehdään oppijaa koskevia automatisoituja päätöksiä • Tietojen luovutus ja julkaisu • Lisäpalvelut kuten ulkopuoliset sovellukset • Automatisoidut päätökset • Tietojen luovutus ja julkaisu
  17. 17. GDPR:N TARKOITTAMAA PROFILOINTIA, MUTTA EI AUTOMAATTISTA PÄÄTÖSTÄ GDPR:N TARKOITTAMA AUTOMAATTINEN PÄÄTÖS Tunnista profilointi ja autom. päätökset Lähde: Oulu Juuso ja Voutilainen Tomi, 2019, Oppimisanalytiikka ja opiskelijatietojen käsittely yliopistoissa, https://www.edilex.fi/artikkelit/20064.pdf
  18. 18. Henkilötietojen käytön perusteita
  19. 19. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman, että rekisteröidyltä on siihen suostumus. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. Henkilötietojen käsittelyn perusteita
  20. 20. Vaitiolovelvollisuus henkilötiedoista • Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. • Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. • Laissa on lukuisia erityistapauksia, joissa säädetään erikseen salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot, tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.). – Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla rikoslain mukainen salassapitorikos. • Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee varmistua näiden vaitiolovelvollisuudesta sopimuksella. Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120, Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
  21. 21. Henkilötietojen näkyminen opetuksessa Opetuksen järjestämiseen liittyvä toiminta, tilat ja verkkopalvelut Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok (laitelupa) Kuvat ja videot: ok Muut: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Muille opettajille ja henkilöstölle Koko nimi: ok Koulun email ja puh.nrot: ok Muut tarpeelliset/välttämättömät: ok Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat/videot: lupa Muut: lupa
  22. 22. Oppijoiden valokuvat ja videot • Tunnistettavan henkilökuvan julkaisuun on yleensä aina syytä pyytää lupa. • Opiskelijarekisterissä oleva valokuva on henkilötieto. Sen julkaisuun opetusryhmää laajemmin tarvitaan suostumus. • Kuvan julkaisun voi estää kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. • Esim. oppikirjan sivusta, toisen kodista, noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa julkaista. • Myös jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä. • Jokainen omistaa persoonansa ns. kaupalliset oikeudet. • Huomioitava, jos kuva julkaistaan kaupallisessa palvelussa.
  23. 23. - Saako opetustilanteissa ottaa valokuvia ja videoita sekä esittää niitä opetusryhmän kesken? - Saako opetusryhmän sisällä esittää opiskelijoiden tuotoksia? - Tarvitaanko opiskelijoilta suostumus, jos he itse julkaisevat tuotoksiaan opetuksen yhteydessä? Kysymys: kuvat ja tuotokset opetuksessa • Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. • Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa. • Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. Tällöin täytyy huolehtia tietosuojasta asianmukaisesti. • Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. • Jos täysi-ikäinen opiskelija itse julkaisee kuvansa tai tuotoksensa/teoksensa opetuksen yhteydessä, ei opetuksen järjestäjä tarvitse siihen suostumusta. • Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille.
  24. 24. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on nimenomaisesti säädetty. • Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §). – Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa. – Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. • Suostumus on käytännössä esimerkiksi: – Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja tullaan julkaisemaan – Julkaisuluvat esimerkiksi kuviin ja videoihin – Suostumus haku-/ilmoittautumislomakkeessa – Muilla tavoin kysytyt ja saadut suostumukset • Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista. – Kuvan julkaisusta on syytä sopia erikseen. Henkilötietojen julkaisu netissä Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet
  25. 25. Lähde: Mediakasvatusseura, https://mediakasvatus.com/materiaali/kuvauslupa/ Tekijänoikeus-, kuvaus- ja henkilötietojen julkaisulupa
  26. 26. Tietojen anto ulkopuoliselle taholle?
  27. 27. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  28. 28. Tietosuoja sähköisessä viestinnässä
  29. 29. • Noudata aina työnantajan ohjeita, miten työlaitteita, henkilötietoja ja salassa pidettäviä tietoja tulee käsitellä. • Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää siten, että muut saavat ne tietoonsa. • Työntekijän tulee varmistaa, että sivulliset, kuten perheenjäsenet, eivät käytä työnantajan laitteita tai saa otettua yhteyttä työnantajan tietojärjestelmiin. • Työnantajan laitteistoa tai järjestelmiä ei saa käyttää toimintaan, joka vaarantaa laitteiston tai tietojärjestelmien turvallisuuden. – Tällaisia voivat olla esim. tietokonepelit, epäluotettavien internet-sivujen selaaminen ja netistä ladattavien ohjelmien asentaminen tai käyttö. • Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. • Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. • Työpuhelut hoidetaan niin, että perheenjäsenet eivät kuule niitä. Pidä työnantajan laitteet suojattuina Lähteen mm. OpiTietosuojaa.fi, 2020, https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf
  30. 30. Kännyköiden tietosuoja • Käytä työpuhelinta aina, kun mahdollista. • Päivittämätön laite tai sovellus on aina tietoturvariski! • Asenna sovelluksia vain virallisista sovelluskaupoista • IPhonet ovat yleensä Android-laitteita turvallisempia. • App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. • Androidille tehdään enemmän haittaohjelmia ja viruksia • Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms. • Jos tallennat työhön liittyviä yhteystietoja kännykkään, varmista, että ne eivät tallennu ulkopuolisiin verkkopalveluihin ilman suostumusta tai etukäteistä informointia. • Esim. Google ja pikaviestimet kuten WhatsApp • Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa tallennustila/muistikortti • Käytä laitteen paikantamista sen häviämisen varalta. • Tarkista sovellusten pyytämät käyttöoikeudet. • Käytä sovelluksissa kaksivaiheista kirjautumista. • Tyhjennä vanha kännykkä
  31. 31. Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Valintatulokset, koearvosanat • Henkilötunnus, jos rekisteröity on hyväksynyt tämän • Arkaluontoiset tiedot, jos rekisteröity on pyytänyt niitä • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa, esim. suojatussa intra-/extranetissä: • Arkaluontoiset henkilötiedot • Lain mukaan salassa pidettävät tiedot ja asiakirjat – Terveyteen ja sosiaalihuoltoon liittyvät tiedot – Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot – Henkilökohtaisten ominaisuuksien sanalliset arvioinnit – Tiedot ja tulokset psykologisesta testistä tai soveltuvuuskokeesta – Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten elinoloista ja taloudellisesta asemasta Pikaviestipalvelut työasioissa: noudata työnantajan ohjeistusta. Opiskelijatiedot sähköisessä viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html, Tietosuojavaltuutetun päätös 21.11.2019, https://finlex.fi/fi/viranomaiset/tsv/2019/20190483
  32. 32. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista. • Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat luottamuksellisen viestinnän piiriin. – Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea. – Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän sähköpostiosoitteeseen edellyttää tämän suostumusta. • Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän palveluista, 136 §): – Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim. kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä. – Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään. – Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta • Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon.. Viestinnän luottamuksellisuus Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018, https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88- 42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
  33. 33. Tarkista työnantajan linjaukset (esimerkki) Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa
  34. 34. Tietosuoja etäyhteystilanteissa • Toimita kutsu henkilökohtaisesti opiskelijoille • Varmista tarvittaessa kokoushuoneessa olijoiden henkilöllisyys ja työtehtävät • Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta • Varmista esittäjien osaaminen etukäteen • Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet • Huomioi kotoa osallistuvat: • Rauhallinen paikka, ei sivullisia kuulolla • Videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen • Huolehdi jälkihoidosta: • Tyhjennä chat ja poista materiaalit • Sulje huone/päätä kokous • Suojaa tallenne sivullisilta ja huolehdi sen käytön tietosuojasta
  35. 35. Ulkopuoliset sovellukset ja verkkopalvelut
  36. 36. • Tietosuojavaltuutettu katsoi v. 2017, että suostumusta opetuksen järjestäjän hallinnoimien pilvipalvelujen opetuskäyttöön ei tarvita. • Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä, ja voivat sen perusteella käsitellä tarpeellisia henkilötietoja. • Opetuksen järjestäjä päättää, millaisia laitteita, työvälineitä ja oppimateriaaleja käytetään, ml. digitaalisia oppimisympäristöjä • Henkilötiedot tulee suojata asiattomalta pääsyltä ja käsittelyn lainmukaisuutta tulee valvoa. • Ulkopuolisten palvelujen käytöstä tulee sopia rekisterinpitäjän ja palveluntarjoajan välillä niin, että rekisterinpitäjä vastaa henkilötiedoista (nyk. sopimus henkilötietojen käsittelystä). • Tietoja voidaan siirtää EU:n ulkopuolelle Privacy shield -järjestelyllä. – 16.7.2020: EU-tuomioistuin totesti Privacy shieldin pätemättömäksi. • Opetuksen järjestäjän tulee laatia säännöt, minkälainen TVT:n käyttö on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa. Ennakkopäätös: pilvipalvelut opetuksessa Lähde: Tietosuojavaltuutetun päätös 28.2.2017, https://finlex.fi/fi/viranomaiset/tsv/2017/20170242 (huom. ennen GDPR:ää)
  37. 37. Erota oma ja ulkopuolinen rekisteri Opiskelija- rekisteri (opetuksen järjestäjä rekisterinpitäjänä) Ulkopuolinen verkkopalvelu (jonka kanssa ei ole sopimusta henkilötietojen käsittelystä) Henkilötietoja ei saa luovuttaa opetuksessa ulkopuoliselle taholle, jos 1) ei ole sopimusta henkilötietojen käsittelystä tai 2) jos siihen ei ole saatu suostumusta. Jos henkilötietoja kerätään ulkopuolisen verkkopalvelun kautta, tulee siihen olla oikeusperuste sekä huolehtia rekisterinpitäjän informointivelvollisuudesta, esim. linkki tietosuojaselosteeseen. Ulkopuolista verkkopalvelua voidaan käyttää viestintään rekisteröityjen kanssa myös silloin, kun aloite siihen tulee heiltä, jolloin he käytännössä antavat suostumuksen sen käyttöön ko. asian hoidossa.
  38. 38. Verkkopalvelujen tyypit opetuksessa REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät opetuksen järjestäjän hallinnassa Henkilötietoja päätyy ulkop. rekisterinpitäjälle  suostumus Palvelua käyttävä organisaatio Opettajat Opiskelijat
  39. 39. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voitiin aiemmin siirtää Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020. – Monen yhdysvaltalaisen palvelun käyttö opetuksessa tuli tämän myötä laittomaksi EU:ssa. – Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun osalta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa! • Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää vahvaa salausta henkilötietojen siirrossa ja tallennuksessa. – Tämä tulee sopia henkilötietojen käsittelyn sopimuksessa. – Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi. • Varminta on käyttää EU:n ulkopuolisia verkkopalveluita opetuksessa rekisteröityjen/huoltajien nimenomaisella suostumuksella. Yhdysvaltalaiset verkkopalvelut
  40. 40. Privacy shieldin kaatumisen jälkeen… Microsoft Google Facebook (ml. Instagram ja WhatsApp) Peruste EU-USA- siirroille EU:n mallisopimuslausekkeet Tilanne nyt? Kertoo saaneensa EU:n tietosuojatyöryhmältä vahvistuksen käyttämälleen sopimukselle ”ensimmäisenä pilvipalveluna”. Käyttöehtojen mukaan henkilötiedot ”pseudonymisoidaan ja salataan”. On päivittämässä sopimusehtojaan ”mahdollisimman pian”. Vakuuttaa ”sitoutuneensa hankkimaan lailliset perusteet siirroille”. Googlesta on tehty useita kanteluita tietosuojaviranomaisille. WSJ:n uutisen (9.9.2020) mukaan Irlannin tietosuojaviranomainen on alustavassa päätöksessään käskenyt Facebookin keskeyttää EU-maiden käyttäjien tietojen siirrot Yhdysvaltoihin. Muuttanut mm. WhatsAppin tietosuojaselostetta em. jälkeen. Lähteet https://docs.microsoft.com/fi-fi/microsoft- 365/compliance/offering-eu-model- clauses?view=o365-worldwide https://www.microsoftvolumelicensing.com/ Downloader.aspx?DocumentId=15237 https://privacy.google.com/businesses/co mpliance/?hl=fi https://policies.google.com/privacy/frame works?hl=en-US https://www.facebook.com/help/56699466033 3381?ref=dp https://on.wsj.com/3hg7RoS https://privacyant.com/en/blog/2020/09/10/irl annin-tietosuojaviranomainen-katkaisemassa- facebookin-henkil%C3%B6tietojen- siirt%C3%A4misen-yhdysvaltoihin/ Riski: jos EU:n mallisopimuslausekkeet todetaan laittomaksi perusteeksi tietojen EU-USA-siirrolle Facebookin tapauksessa, sama voi koskea muitakin palveluita.
  41. 41. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle opetuksessa ei ole estettä. – Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista rekisteröityjen suostumuksen ja/tai EU-komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa
  42. 42. 1. Kun opetuksessa käytetään sovellusta tai verkkopalvelua, joka ei ole opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä). – Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa/palvelussa. 2. Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle. – Suostumus henkilötietojen siirrolle ko. palveluun ja maahan. 3. Kun julkaistaan henkilötietoja. – Suostumus henkilötietojen julkaisulle. 4. Kun luovutetaan henkilötietoja ulkopuoliselle taholle tarkoitukseen, joka ei liity opetuksen järjestämiseen tai jonka kanssa ei ole sopimusta henkilötietojen käsittelystä. – Suostumus henkilötietojen luovuttamiselle ko. taholle. 5. Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen, jotka eivät ole välttämättömiä opetuksen kannalta. – Suostumus henkilötietojen käytön perusteena ko. palveluille. 6. Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä. – Suostumus automaattiselle päätöksenteolle. Milloin ja mihin tarvitaan suostumus?
  43. 43. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Alaikäisen kohdalla suostumuksen antaa huoltaja. • Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. • Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus). – Mikäli laitteille asennetaan sovelluksia opetuksessa, tulee tähän pyytää suostumus. – Huoltaja voi hyväksyä sovelluksen käyttöehdot lapsen puolesta ja antaa sen lapsen käyttöön, mikäli ehdoissa ei kielletä tällaista. • Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain. Pyydettävät suostumukset ja luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/sites/default/files/documents/183993_tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuk.pdf
  44. 44. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/sites/default/files/documents/183993_tie tokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon _liittyvista_oikeuk.pdf Omien laitteiden käyttö opetuksessa -mallisopimus Suosittelen muokkaamaan sopimuksen tekstin näin: ”oppilas voi käyttää seuraavia laitteita ja niissä olevia sovelluksia oppimisen tukena…” Suostumus omien laitteiden käyttöön tarvitaan alle 15- vuotiaiden huoltajilta.
  45. 45. - Saako opettaja viestiä WhatsAppissa opiskelijoiden kanssa? - Mitä pitää ottaa huomioon, jos oppilaitoksen nimissä luodaan WhatsApp-ryhmiä? Kysymys: WhatsApp opetuksessa • Opettaja voi käyttää henkilökohtaiseen viestintään tavallista WhatsAppia. • WhatsAppin opetuskäyttöön on suositeltavaa olla työpuhelin. • Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business - versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön. – WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä. – Tietoja voidaan siirtää yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella. – Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa vaikutustenarviointi. • WhatsApp tulee mainita tietosuojaselosteessa henkilötietojen käsittelijänä. • Pyydä suostumus WhatsAppin käyttöön oppijalta tai alle 16-vuotiaan huoltajalta. • WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Sille pitää olla vaihtoehto. • OPH sallii WhatsAppin käytön, mutta jotkut kunnat ja opetuksen järjestäjät ovat kieltäneet erikseen sen käytön. Tarkista oman työnantajasi linjaus! Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
  46. 46. WhatsAppin käyttö alle 16-vuotiaiden opetuksessa • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  47. 47. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. – Useita somepalveluita voi käyttää ilman henkilötietojen antamista. – Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite. • Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli. – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt (privacy policy). • Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim. MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin. • Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa. – Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään (esim. Facebook), mikäli se ei ole ollut edellytyksenä työtehtävän hoitamiselle. • Somepalvelujen työkäyttöön on suositeltavaa olla työpuhelin. Somepalvelut ja tietosuoja
  48. 48. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Onko palvelussa ikärajaa tai suositeltua ikää? • Mitä henkilötietoja vaaditaan rekisteröitymisessä? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Voiko palvelua käyttää opetuksessa ilman, että siihen tallennetaan opiskelijoiden henkilötietoja? • Onko palvelussa organisaatioille tarkoitettu sopimus henkilötietojen käsittelystä? • Voidaanko tietoja siirtää EU:n ulkopuolelle? Millä perusteella? • Voidaanko tietoja luovuttaa muille tai käyttää markkinointiin? • Mitä oikeuksia palvelu saa tallennettuihin sisältöihin kuten teksteihin ja kuviin? Voidaanko niitä käyttää muualla? • Mitä sisällöille ja henkilötiedoille tapahtuu, kun palvelun käyttö lopetetaan? Palvelun käyttöehdot = sopimus
  49. 49. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/t erms/update
  50. 50. Arvioi riskit ja reagoi tarvittaessa
  51. 51. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  52. 52. - Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta? - Voidaanko opetuksessa ottaa nopeutetusti käyttöön uusia välineitä esimerkiksi koronapandemian tilanteessa? - Onko Teams turvallinen väline henkilötietojen käsittelyssä? Kysymys: uudet viestintävälineet • Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille. – GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa tietoturvan varmistamiseen tähtäävät toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä (32 artikla). • Tietosuoja tulee huomioida myös poikkeustilanteessa kuten pandemian aikana. • Jos olet epävarma, saako jotain sovellusta tai verkkopalvelua käyttää, tarkista työnantajasi antamat linjaukset. Kysy tarvittaessa tietosuojavastaavalta apua. • Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi. – Vaikutustenarviointi on tehtävä etukäteen, kun toimintaan saattaa kohdistua korkea riski. – Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaan. • Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus). • Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta opetuksessa. Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus
  53. 53. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  54. 54. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  55. 55. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista + tietosuojavastaavan neuvot 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä + rekisteröityjen näkemykset 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu 5. Dokumentointi (GDPR:n 35 artikla ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb- e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020
  56. 56. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  57. 57. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  58. 58. Kyllä kai suostumukseksi riittää, että ilmoitin Wilmassa WhatsAppin käytöstä opetuksessa. Annoin tehtäväksi asentaa Sport Trackerin ja jakaa kävelylenkit sitä kautta muille. Lähetän musiikin tehtävät TikTokissa ja oppilaat kuittaavat ne kommentilla.  Julkaisen perjantaisin YouTube-videon, johon kokoan oppilaiden tuotoksia ja annan palautetta. Tein jokaisen opiskelijan nimellä Padlet-taulun, johon he käyvät merkitsemässä suorituksensa. Tehtävänä on siivota olohuone ja lähettää siitä ennen ja jälkeen kuvat Classroomiin. Mikäli oppijalla ei ole tietokonetta, hän voi tulla koululle lähiopetukseen. Ei näin.
  59. 59. Kysymyksiä tai kommentteja?
  60. 60. Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!

×