Tietosuoja ja luvat arjen
varhaiskasvatustyössä
17.8.2021
Harto Pönkä
Innowise
Kuva: Pixabay

Tietosuoja-asetusta sovelletaan
osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä
henkilörekistereihin.
GDPR EI koske seuraavia:
 Yksinomaan manuaalisesti käsiteltäviä
henkilötietoja, jotka eivät muodosta
rekisteriä.
 Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa.
 Henkilötietojen käsittelyä journalistisen,
akateemisen, taiteellisen tai kirjallisen
ilmaisun tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia).
2

Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.

Salassa pidettäviä tietoja ja
asiakirjoja saa luovuttaa vain lain
perusteella tai henkilön (alaikäisillä
huoltajan) suostumuksella.
4
Varhaiskasvatuksesta vastaavilla
henkilöillä on kuitenkin oikeus saada
välttämättömät tiedot.
Lähde: Varhaiskasvatuslaki,
https://www.finlex.fi/fi/laki/alkup/2018/20180540

Kenen vastuulla päiväkodin tietosuoja on?
5
 Päävastuu on varhaiskasvatuksen
järjestäjällä, joka on rekisterinpitäjä.
 Käytännön toiminnassa päiväkodin
johdolla on suuri vastuu.
 Vastuu henkilötietojen käsittelystä on
jokaisella työntekijällä.
 Henkilötietojen käsittely
annettujen ohjeiden mukaisesti.
 Rekisteröityjen ja alaikäisten
huoltajien informointi.
 Suostumusten/lupien pyyntö
tarvittaessa ja niiden
noudattaminen.
 Väärinkäytöksistä ja
rikkomuksista ilmoittaminen.
Vaka-
järjestäjä
Päiväkoti
Päiväkodin
johto
Muu
henkilöstö
Lapset ja
huoltajat

Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
6
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste

Esimerkkejä käsiteltävistä henkilötiedoista
7
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus

Rekisteri
8
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.

9
Jos käsittelet työssäsi
henkilötietoja, ota selvää:
1. selosteet
2. ohjeistukset
3. tietosuojavastaava

Informointi = rekisteröidyn oikeus saada
tietoa henkilötietojen käsittelystä
10
 Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
 Yleensä: tietosuojaseloste tai vastaava
 Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
 Rekisteröidyn pyynnöstä myös puheella
 Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
 Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

Tuusulan varhaiskasvatuksen tietosuojaseloste
11
Lähde: https://www.tuusula.fi/tiedostopankki/index.tmpl?sivu_id=8719 (16.8.2021)

Tuusalan Daisy-tietojärjestelmän tietosuojaseloste
12
Lähde: https://tuusula.daisynet.fi/Distribution/Tietosuojaseloste_Daisy_2021.pdf (16.8.2021)

Varhaiskasvatuksen
rekistereitä
13
 Vardaan luovutetaan tiedot
varhaiskasvatuksen järjestäjän
omista rekistereistä
 Lapsesta: nimi, henkilötunnus,
äidinkieli, kotikunta ja
yhteystiedot sekä vaka-palveluihin
liittyviä tietoja
 OPH:n oppijanumerorekisteristä
siirretään lapseen liittyvät tiedot
 nimi, oppijanumero ja
henkilötunnus tai muu vastaava
yksilöintitieto, kansalaisuus,
sukupuoli, äidinkieli ja tarpeelliset
yhteystiedot
Kunnan
varhaiskasvatuksen
asiakasrekisteri
Varhaiskasvatuksen tietovaranto Varda
(kunnat, OPH, AVI:t, Kela, muut viranomaiset)
Yksityisten
palveluntuottajien
rekisterit
Lapset
Huoltajat
Henkilöstö
Lapset
Huoltajat
Henkilöstö
Varhaiskasvatuslain 70 §:n
mukaiset tiedot
OPH:n oppijanumerorekisteri

Varhaiskasvatuksen tietovaranto Varda
Lisätietoa: CSC, https://confluence.csc.fi/display/OPHPALV/Varhaiskasvatuksen+tietovaranto
14
 Varhaiskasvatuspalvelujen tuottajien tulee yhteisrekisterinpitäjinä informoida rekisteröityjä
Vardaan liittyvästä henkilötietojen käsittelystä
 Rekisteröidyillä ja näiden huoltajilla on normaalit GDPR:n mukaiset oikeudet mm. tietojen
tarkastamiseen ja oikaisemiseen
 OPH:n Varda-palvelun tietosuojaseloste:
https://opintopolku.fi/wp/tietosuojaseloste/varda-palvelun-tietosuojaseloste/
 Lisätietoa Vardasta: https://www.oph.fi/fi/palvelut/varhaiskasvatuksen-tietovaranto-varda

Henkilötietojen käsittely varhaiskasvatuksessa

Tietosuojaperiaatteet
16
 Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
 Käyttötarkoitussidonnaisuus
 Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
 Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
 Tietojen minimointi
 Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
 Tietojen täsmällisyys
 Tietojen päivittäminen, tarkistaminen, virheiden korjaus
 Tietojen säilytyksen rajoittaminen
 Tietoja säilytetään vain tarvittavan ajan
 Tietojen eheys ja luottamuksellisuus
 Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
 Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

Tietosuojan perusteet varhaiskasvatuksessa
17
▪ Tietoja käytetään vain nimettyihin tarkoituksiin.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan tietosuoja käytettävissä
sovelluksissa ja pilvipalveluissa.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan esim. huoltajille sovellusten ja
käyttäjätunnusten turvallinen käyttö.

Kysymys: saako lasten nimiä kertoa?
18
 Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. Etunimi voi siten olla esimerkiksi
naulakossa.
 Tieto lapsen osallistumisesta päivähoitoon tai esiopetukseen on periaatteessa julkinen, mutta vaka-
järjestäjä päättää, mille perustein tietoja annetaan, mikäli niitä joku kysyy.
 Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla
perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.)
 Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja
jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain
sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §)
 Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta
käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön).
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/sites/default/files/documents/julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia?
• Saako esikoululaisten nimiä näkyä opetustiloissa?
• Ovatko koulun oppilaiden nimet ja luokka-asteet salassa pidettäviä?

Tietosuoja viestinnässä
19
 Normaalissa sähköpostissa:
 Tavalliset henkilötiedot (nimi, osoite jne.)
 Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
 Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
 Arkaluontoiset/erityiset henkilötiedot
 Salassa pidettävät tiedot ja asiakirjat
 Huijauksia on tavallista enemmän liikenteessä.
 Ohjeet, miten varmistaa viestien aitous?

Kysymys: kuvat, videot ja lasten tuotokset
20
 Varhaiskasvatus- ja esiopetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä
pedagogisessa tarkoituksessa saman ryhmän kesken.
 Lasten tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia voidaan myös valo- ja
videokuvata opetustarkoituksessa.
 Kuvia ja videoita voidaan tallentaa esimerkiksi lapsen henkilökohtaiseen portfolioon tai kasvun
kansioon. Tallenteiden turvallisesta säilytyksestä on huolehdittava.
 Mikäli lapsesta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti esim.
vanhempainillassa, julkisessa tilassa tai netissä, tulee siihen pyytää lupa lapselta ja hänen
huoltajaltaan. On hyvä sopia, näkyykö lapsen etu- ja/tai sukunimi tässä yhteydessä.
 Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä informoida huoltajia.
• Saako varhaiskasvatuksen tai esiopetuksen tilanteissa ottaa valokuvia ja
videoita sekä esittää niitä opetustarkoituksessa?
• Saako varhaiskasvatus- tai esiopetusryhmän sisällä esittää lasten tekemiä
tuotoksia muille?

Esimerkki 1:
kaiken kattava kuvauslupa
21
Lähde: Savonlinnan kaupunki, https://www.savonlinna.fi/filebank/11763-
Lapsen_kuvauslupa_varhaiskasvatuksessa.docx

Esimerkki 2:
rajattu valinnainen kuvauslupa
22
Lähde: Oulun kaupunki,
https://www.ouka.fi/documents/112792/131455/Perustietolomake+9.2018.pdf/dd
02b39c-4816-4344-80c1-b6e4911bbe54

Tietosuoja etäyhteyssovelluksissa ja live-streamissa
23
 Käytä vain rekisterinpitäjän sallimia sovelluksia.
 Tunnistettava videokuva on henkilötieto – pyydä
tarvittaessa lapsista kuvausluvat, jos aiot esittää
heitä etätilanteessa.
 Toimita kutsut henkilökohtaisesti osallistujille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista tarvittaessa osallistujien henkilöllisyys.
 Varmista esittäjien osaaminen etukäteen.
 Kerro etukäteen, jos etätilanne tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.

Kysymys: henkilötiedot Googlen ja Microsoftin pilvipalveluissa
24
 Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
 Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
 Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
 Pääsyoikeudet henkilötietoihin tulee määritellä työtehtävien mukaan. Ei yhteiskäyttötunnuksia.
 Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle.
 Jos jaat videoita YouTuben kautta, tarvitset siihen henkilön/alaikäisen huoltajan suostumuksen.
 Rekisterinpitäjän kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko pilvipalveluihin tehdyillä lomakkeilla kerätä henkilötietoja?
• Voiko videoita tietosuoja huomioiden tallentaa salattuun YouTubeen?

Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
25

Tietoturvaloukkaus
26
Tietoturvaloukkauksella tarkoitetaan
henkilötietojen…
 vahingossa tapahtuvaa tai lainvastaista
tuhoamista
 häviämistä
 muuttamista
 luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
siitä aiheutuu korkea riski.

27
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!