Tietosuoja ja tietoturva opetuksessa

Harto Pönkä
Harto PönkäCEO at Innowise en Innowise
Tietosuoja ja tietoturva opetuksessa Harto Pönkä 4.4.2019 Kuva: Pixabay
Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
Arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Rekisterinpitäjä  tarkoitukset  tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste
Tietosuoja ja tietoturva opetuksessa
• Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia. – Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa. – Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan. • Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n vaatimuksia. • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu yksinään muodostavan henkilörekisteriä. – Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin. – On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana esityslistaa tai pöytäkirjaa. Tavallisia poikkeuksia Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus- kuntalain#henkilotiedot-ja-verkkotiedottaminen
Henkilötietojen käsittelyn lähtökohtia
• Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
• Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Koulutoimessa muodostuvia rekistereitä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja _tietosuoja_opetustoimessa.pdf Huomaa, että GDPR ohjaa käsittelemään rekisteröityjä ryhminä ja niihin liittyvinä tietoina, ei erillisinä rekistereinä kuten tässä.
• Opetuksessa vastuu GDPR:n mukaisen selosteen ja informoinnin teosta on opetuksen järjestämisestä vastaavalla taholla, joka on rekisterinpitäjä. • Kunta opetuksen järjestäjänä  vastuu kunnalla • Yksityiskoulu  vastuu virallisella opetuksen järjestäjällä • Opetuksen järjestäjä voi määrätä koulun johdon huolehtimaan GDPR:n vaatimusten käytännön toteuttamisesta. • Vastuu henkilötietojen käsittelystä ja informoinnista on lopulta myös jokaisella työntekijällä. GDPR:n määräykset – kenen vastuulla? Lisää aiheesta esim. OKM:n tietosuojaoppaassa: https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opetuksen järjestäjä Koulu/oppilaitos Koulun johto Opettajat ja muu henkilöstö Oppilaat ja huoltajat
• Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Rekisteröityjen informointi (vrt. tietosuojaseloste) – Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet – Pidetään saatavilla / julkaistaan • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n mukaiset selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
• Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. – Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Rekisteröityjen informointi (tietosuojasel.) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
Pudasjärven tietosuojasivusto: https://www.pudasjarvi.fi/kaupunki-info/kaupungin-toiminta/tietosuojaperiaatteemme (3.4.2019) Tunne työhösi liittyvät tietosuojaselosteet, jotta osaat kertoa niistä!
Pudasjärven sivistystoimen tietosuojaseloste Lähde: https://www.pudasjarvi.fi/tiedostot/liitteet/rekist eriselosteet/tietosuojaseloste_visma-inschool- oppilastietojarjestelma.pdf (3.4.2019)
Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Mihin ja miten tietoja saa käyttää?
Mitä henkilötietojen käsittelyssä tulee huomioida?
Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
Asiakirjojen ja tietojen arkistointiaikoja Esiopetuksen ja oppivelvollisten luettelot, rekisterit, päätökset ja vastaavat Oppivelvollisuusaika + 10 v Varhaiskasvatussuunnitelmat, yksilölliset esiopetussuunnitelmat 10 v Oppilaiden koulua ja luokkia koskevat luettelot tai rekisterit 50 v Aineiden valintaa ja opetuksesta vapauttamista koskevat asiakirjat 10 v Henkilökohtaisen opetuksen järjestämistä koskevat suunnitelmat, HOJKS 10 v Oppilasrekisterit Henkilötiedot ja arvosanat: pysyvästi Muut tiedot: oppivelvollisuusaika + 10 v Koekysymykset ja -vastaukset, esseet, muut lukuvuosi- ja väliarviointeihin tarvittavat tiedot Lukuvuosi Oppimispäiväkirjat, portfoliot ja muut itsearviointiin liittyvät tiedot Oppivelvollisuusaika Lukuvuosi-, väli- ja jaksotodistukset liitteineen Oppivelvollisuusaika Perusopetuksen ja lukion päättötodistukset, erotodistukset Säilytetään pysyvästi, mikäli arvosanatietoja ei ole siirretty arviointirekisteriin, jolloin 50 v Oppilaiden palkitsemiseen liittyvät rekisterit, luettelot palkintojen saajista Pysyvästi Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat
• Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman, että rekisteröidyltä on siihen suostumus. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. Henkilötietojen käsittelyn perusteita
- Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia? - Saako esikoululaisten nimiä näkyä opetustiloissa? - Ovatko koulun oppilaiden nimet, luokka-asteet salassapidettäviä? Kysymys: saako oppilaiden nimiä kertoa? • Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. • Kuvien esittämiseen muuten kuin oppilasryhmän kesken tarvitaan suostumus. • Tieto lapsen osallistumisesta päivähoitoon on julkinen (uusi varhaiskasvatuslaki). • Tieto lapsen osallistumisesta esiopetukseen on julkinen. • Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.) • Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §) • Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön) Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
Henkilötietojen näkyminen opetuksessa Opetuksen järjestämiseen liittyvä toiminta tiloineen (henkilötietojen käsittelyn tarkoituksen mukaisesti) Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok (laitelupa) Kuvat ja videot: ok Muut: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Muille opettajille ja henkilöstölle Koko nimi: ok Koulun email ja puh.nrot: ok Muut tarpeelliset/välttämättömät: ok Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
- Monella koululla on sijaisia varten ollut kansio, josta löytyy tiettyä luokkaa koskevat esim. ryhmäjaot, mutta myös allergiat ja muuta tärkeää, mutta salassa pidettävää. - Voiko sijaiskansioissa olla enää henkilötietoja GDPR:n takia? Kysymys: henkilötiedot sijaiskansiossa • Koulun oikeusperuste henkilötietojen käsittelylle on mm. opetuksen järjestäminen. Kaikki siihen liittyvät toimet ovat lähtökohtaisesti hyväksyttäviä. • Oppilaiden henkilötiedot tulee olla saatavilla vain niille, joiden työtehtäville ne ovat tarpeellisia. Käytännössä koulussa koko henkilökunta on sellaisessa asemassa, että heillä voi jossakin tilanteessa olla tarve saada oppilaan henkilötietoja. • Oppilaan salassa pidettäviä tietoja (terveys, tukitoimet ym.) saa luovuttaa vain niille henkilöille, joille ne ovat työtehtäviensä puolesta välttämättömiä. • Sijaiskansiot ovat hyväksyttäviä ja ne voivat sisältää oppilaan turvallisuuden kannalta tarpeellisia terveystietoja. Samalla on huolehdittava siitä, etteivät tiedot päädy ulkopuolisten käyttöön. • Sijaiskansioihin kirjattavat tiedot ja anto sijaisten käyttöön on syytä ohjeistaa. Lähteenä mm. OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
Listan teko huoltajien toimesta: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Listan teko koulun toimesta: • Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille. Tietojen anto koulun rekisteristä: • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia, eli esimerkiksi puhelinnumero ei ole salainen. – Rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tai turvakielto tulee merkitä oppilasrekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
• Henkilötietojen julkaisu netissä on niiden sähköistä luovuttamista – älä tee ilman suostumusta! • Pyydä huoltajan suostumus aina, kun julkaistaan alaikäisen henkilötietoja. – Huomaa, että yli 12-vuotiaalle täytyy varata tilaisuus tulla kuulluksi omassa asiassaan. • Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan julkaista netissä vain suostumuksella, vaikka tiedot olisivat periaatteessa julkisia. • Tunnistamisen mahdollistava valokuva tai video on henkilötieto, jonka julkaisuun koulun toimesta tarvitaan suostumus. • Opiskelijavalinnan tulosten ilmoittamiseen netissä tarvitaan suostumus. – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika Oppilaiden tietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Valokuvat ja videot • Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. • Tunnistettavan henkilökuvan julkaisuun on syytä pyytää lupa. • Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. • Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. • Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. • Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
Kuvaaminen järjestyssäännöissä Esimerkiksi näin: ”Tiedostan tekijänoikeusasiat käyttäessäni kännykkää koulussa. Kuvaan ainoastaan henkilöitä, joilta olen saanut luvan kuvan ottamiseen. Julkaisen sosiaalisessa mediassa ja muualla ainoastaan sisältöjä, joihin minulla on tekijänoikeudet ja asianmukaiset luvat. Epäillessäni sisältöjeni asiallisuutta tiedustelen aina opettajaltani hänen kantaansa mahdolliseen julkaisemiseen.” Lainauksen lähde: OPH, 2016, http://www.oph.fi/download/175407_jarjestyssaantojen_laatiminen.pdf
- Saako koulun tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? - Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? - Pitääkö koulun kieltää tapahtuman vierailijoilta kuvaaminen? Kysymys: tapahtumissa kuvaaminen • Koulun tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. • Jos kuvaaminen tapahtuu koulun toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta. • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Koulu ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. • Kuvien julkaisusta säädetään laissa. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimitukselliseen tarkoitukseen on ok.
Lähde: Mediakasvatusseura, https://mediakasvatus.com/materiaali/kuvauslupa/ Tekijänoikeus-, kuvaus- ja henkilötietojen julkaisulupa
Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun jälkeen myös muut voivat jakaa ja lainata niitä – joskus yllättävillä tavoilla. Huhtasaari & oppilasjuliste -tapaus tarkemmin: https://harto.wordpress.com/2018/10/03/huhtasaaren-jakaman-oppilastyon-tekijanoikeudet-ja-tietosuoja/
Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
Tietojen anto ulkopuoliselle taholle?
Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
Miten GDPR toteutuu Wilmassa? • Vastuu Primuksen ja Wilman tiedoista on opetuksen järjestäjällä • GDPR-informointia ei ole viety Wilman toimintoihin • Wilman tukisivuston ohjeistukset ovat osin vanhentuneita • Wilmassa ei ole toimintoa tietojen tarkistukseen tai siirtoon • Toistaiseksi on epäselvää, pitääkö Wilma-viestit toimittaa pyynnöstä
GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
- Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia kahvipöydässä työtovereilleen? - Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla arvioidaan oppilaita ääneen? Kysymys: kahvipöytäkeskustelut? • Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §). • Myös mm. tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä. • Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta. • Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä. • Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Viimeksi mainitut päättävät annettavista tiedoista. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
- Saako oppilaitoksessa olla esillä kuvia henkilökunnasta, joissa on myös heidän etunimensä? - Mitä tietoja henkilöstöstä voi julkaista netissä? - Saako oppilas kuvata opettajaa tunnilla? Kysymys: mitä saa kertoa työntekijöistä? • Opettaja toimii työroolissaan julkisesti. Tiedot oppilaitoksen henkilöstön nimistä, asemasta, työtehtävistä ja yhteystiedoista ovat julkisia. • Opettajan muita henkilötietoja kuten kuvia ja yksityisiä osoite- ja yhteystietoja ei saa julkaista ilman hänen suostumustaan. • Samoin kuin oppilaiden myös henkilöstön ja näiden perheenjäsenten henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyvät tiedot ovat salassa pidettäviä (perusopetuslaki). • Tietoa työntekijän sairaslomasta ei saa kertoa ilman henkilön suostumusta. • Oppilas saa ottaa valokuvan tai videon oppitunnilla, jos opettaja on antanut siihen luvan. Opetukseen liittymätön kuvaaminen ja videoiminen voidaan järjestyssäännöissä kieltää opetusta ja oppimista häiritsevänä. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN GDPR:n tarkoittama profilointi Profilointiin tarvitaan suostumus tai sopimus!
Milloin analytiikka on profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
Somepalvelujen tietosuoja ja käyttöehdot
Jane Hart, Top tools for learning, 200 somepalvelua: https://www.toptools4learning.com/ Harto Pönkä, Open somekirja, 82 somepalvelua: https://www.docendo.fi/open-somekirja-harto-ponka.html
Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
- Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa
Ulkopuoliset somepalvelut opetuksessa?
Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
• Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Alaikäinen tarvitsee huoltajan luvan palvelun käyttöehtojen hyväksymiseen, jos hän on alle palvelun ikärajan tai GDPR:n ikärajan 13 vuotta.
WhatsAppin käyttö alle 16-vuotiaiden opetuksessa • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
• Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan sopimuksen tekoon. • Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli ehdoissa ei kielletä palvelun antoa toisen käyttöön. • Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse omaisuuttaan. • Suostumuksen henkilötietojen käsittelyyn some- ja verkkopalveluissa voi tietosuojalain mukaan antaa yli 13-vuotias. Alaikäiset voivat myös hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä käyttöehtoja. • Suostumus tulee dokumentoida. Se voidaan kirjata koulun rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää. • Suostumukset on hyvä tarkistaa vuosittain. Ikä ja huoltajilta pyydettävät luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja _muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ ja_velvollisuuksista_koulussa Omien laitteiden käyttö opetuksessa -mallisopimus Suosittelen muokkaamaan sopimuksen tekstin näin: ”oppilas voi käyttää seuraavia laitteita ja niissä olevia sovelluksia oppimisen tukena…” Suostumus omien laitteiden käyttöön tarvitaan alle 15- vuotiaiden huoltajilta.
WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. – Useita somepalveluita voi käyttää ilman henkilötietojen antamista. – Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite. • Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli. – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt (privacy policy). • Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim. MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin. • Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa. • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin. Somepalvelut ja tietosuoja
Riskien arviointi ja vastuu tietosuojasta
• Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
• Saman ryhmän kesken nimien ja kuvien näkyminen on ok. • Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan huoltajan suostumus. • Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa. • Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia verkko- ja somepalveluita. • Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön. • Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin hallinnoimia tai omiin laitteisiin ja sovelluksiin on opetuskäytön lupa. – Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset • Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto). • Muista salassapito- ja vaitiolovelvollisuudet. – Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot – Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS – Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia – Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut – Sosiaalihuollon asiakkuus, etuudet ja tukitoimet • Oppijat tai huoltajat voivat jakaa keskenään omia ja muiden henkilötietoja sekä julkaista valokuvia. Se ei ole koulun asia, mutta koulu voi antaa yleisiä ohjeita. Opettajan muistilista tietosuojasta
Vinkkejä turvalliseen toimintaan
• Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan. Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
• Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä. • Asenna sovelluksia vain virallisista sovelluskaupoista. • Noudata omien laitteiden käytössä työnantajan ohjeistusta. • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin. • Älä käytä suojaamattomia langattomia verkkoja (WLAN). • Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista. Mobiililaitteiden tietoturva
5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
Tietosuojan tarkistuslista 1. Organisaation rekisterit, seloste käsittelytoimista ja informointitavat 2. Henkilötietojen käsittely eri työtehtävissä • Käsittelytarkoitukset ja oikeusperusteet • Salassa pidettävät tiedot ja asiakirjat 3. Henkilötietojen turvallinen säilytys 4. Mitkä ovat organisaation omassa hallinnassa olevia tietojärjestelmiä ja pilvipalveluita? 5. Miten tietosuojasta huolehditaan ulkopuolisissa pilvipalveluissa kuten sosiaalisen median palveluissa? 6. Saako työssä käyttää yksityisiä some- profiileita kuten Facebook-tunnusta? 7. Saako työssä käyttää henkilökohtaisia laitteita ja mitä silloin on huomioitava? 8. Uusien rekistereiden teossa huomioitavat asiat ja yhteinen toimintamalli 9. Ongelmista ilmoittaminen, mahdollinen tietosuojavastaava
Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Vinkki: Julkisuus ja tiedonhallinta opetustoimessa, 2018 https://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
Keskustelu & kysymykset
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!
1 de 80

Tietosuoja ja tietoturva opetuksessa

Descargar para leer sin conexión
Educación

Koulutus Pudasjärven hirsikampuksella, 4.4.2019, Harto Pönkä, Innowise

Harto Pönkä
Harto PönkäCEO at Innowise en Innowise

Recomendados

GDPR ja tietosuoja opetustoimessa por
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessaHarto Pönkä
2.4K vistas88 diapositivas
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet por
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
240 vistas53 diapositivas
Tietosuoja koulussa käytännössä por
Tietosuoja koulussa käytännössäTietosuoja koulussa käytännössä
Tietosuoja koulussa käytännössäHarto Pönkä
601 vistas43 diapositivas
Tietosuoja varhaiskasvatuksessa por
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
255 vistas45 diapositivas
Tietosuoja varhaiskasvatuksessa por
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
6.6K vistas87 diapositivas
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta por
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
560 vistas51 diapositivas

Más contenido relacionado

La actualidad más candente

Informaatiovaikuttaminen somessa por
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessaHarto Pönkä
400 vistas70 diapositivas
Tietosuoja opetustoimessa por
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
1K vistas96 diapositivas
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä por
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
610 vistas82 diapositivas
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa por
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
5.6K vistas81 diapositivas
Kuvaaminen oppilaitoksissa por
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
316 vistas29 diapositivas
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta por
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
428 vistas42 diapositivas

La actualidad más candente(20)

Informaatiovaikuttaminen somessa por Harto Pönkä
Informaatiovaikuttaminen somessaInformaatiovaikuttaminen somessa
Informaatiovaikuttaminen somessa
Harto Pönkä400 vistas
Tietosuoja opetustoimessa por Harto Pönkä
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä1K vistas
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä por Harto Pönkä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä610 vistas
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa por Harto Pönkä
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä5.6K vistas
Kuvaaminen oppilaitoksissa por Harto Pönkä
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
Harto Pönkä316 vistas
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta por Harto Pönkä
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä428 vistas
Henkilötiedot ja tietosuoja opetuksessa por Harto Pönkä
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä854 vistas
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset por Harto Pönkä
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Harto Pönkä132 vistas
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka por Harto Pönkä
Oppimisanalytiikka, GDPR, tietosuoja ja etiikkaOppimisanalytiikka, GDPR, tietosuoja ja etiikka
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Harto Pönkä453 vistas
Tietosuoja ja luvat arjen varhaiskasvatustyössä por Harto Pönkä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä3K vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä1.2K vistas
Tietosuoja perusopetuksessa ja toisella asteella por Harto Pönkä
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä185 vistas
Tietosuojavaatimukset markkinointiviestinnässä por Harto Pönkä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä118 vistas
Opetuksen tietosuoja - mikä muuttui? por Harto Pönkä
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä77 vistas
Tietoturva ja tietosuoja Office 365 -palveluissa por Harto Pönkä
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä109 vistas
Sosiaalinen media tietosuojan näkökulmasta por Harto Pönkä
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä526 vistas
Henkilötiedot ja tietosuoja (GDPR) por Harto Pönkä
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
Harto Pönkä7.5K vistas
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa por Harto Pönkä
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessaTekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Tekijänoikeudet ja kuvausluvat varhaiskasvatuksessa ja opetuksessa
Harto Pönkä6.1K vistas
Tietosuojavastaavan nimittäminen ja tehtävät por Harto Pönkä
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
Harto Pönkä111 vistas
Verkkopalvelujen datankeruu ja opetuksen tietosuoja por Harto Pönkä
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä71 vistas

Similar a Tietosuoja ja tietoturva opetuksessa

EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta por
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
2.8K vistas57 diapositivas
Tietosuoja ja tekijänoikeudet opetuksessa por
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
1K vistas76 diapositivas
Tietosuoja ja sosiaalinen media por
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
861 vistas84 diapositivas
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa por
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
4.9K vistas43 diapositivas
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa por
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
432 vistas57 diapositivas
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR por
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
4.3K vistas43 diapositivas

Similar a Tietosuoja ja tietoturva opetuksessa(20)

EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta por Harto Pönkä
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
Harto Pönkä2.8K vistas
Tietosuoja ja tekijänoikeudet opetuksessa por Harto Pönkä
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
Harto Pönkä1K vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä861 vistas
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa por Harto Pönkä
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä4.9K vistas
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa por Harto Pönkä
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
Harto Pönkä432 vistas
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR por Harto Pönkä
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Harto Pönkä4.3K vistas
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta por Harto Pönkä
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä5.6K vistas
Tietosuojaa opiskelijahallinnon henkilöstölle por Harto Pönkä
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
Harto Pönkä817 vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä732 vistas
Henkilötiedot, tietosuoja ja GDPR opetuksessa por Harto Pönkä
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Harto Pönkä2.1K vistas
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa por Harto Pönkä
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Harto Pönkä1K vistas
Tietosuoja ja henkilötiedot etäopetuksessa por Harto Pönkä
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
Harto Pönkä427 vistas
EU:n yleisen tietosuoja-asetuksen perusteet por Harto Pönkä
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
Harto Pönkä2.2K vistas
Tietosuoja oppilaitoksen hallinnossa por Harto Pönkä
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
Harto Pönkä503 vistas
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa por Harto Pönkä
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Harto Pönkä6.2K vistas
EU:n yleinen tietosuoja-asetus opetuksessa por Harto Pönkä
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
Harto Pönkä2.6K vistas
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa por Harto Pönkä
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Harto Pönkä442 vistas
EU:n yleinen tietosuoja-asetus koulussa por Harto Pönkä
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussa
Harto Pönkä5.3K vistas
EU:n yleinen tietoturva-asetus opetushenkilökunnalle por Harto Pönkä
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
Harto Pönkä508 vistas
GDPR-työkaluja por Harto Pönkä
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
Harto Pönkä969 vistas

Más de Harto Pönkä

Sosiaalinen media, pelit ja ruutuaika por
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
45 vistas47 diapositivas
Juuri nyt: Somen trendit ja algoritmit por
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
125 vistas40 diapositivas
Henkilötietojen ja yksityisyyden suojaaminen por
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
110 vistas25 diapositivas
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin por
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
153 vistas51 diapositivas
Toiminta tietoturvaloukkaustapauksissa por
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
44 vistas17 diapositivas
Informaatiovaikuttamisen tunnistaminen somessa por
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
55 vistas48 diapositivas

Más de Harto Pönkä(20)

Sosiaalinen media, pelit ja ruutuaika por Harto Pönkä
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä45 vistas
Juuri nyt: Somen trendit ja algoritmit por Harto Pönkä
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä125 vistas
Henkilötietojen ja yksityisyyden suojaaminen por Harto Pönkä
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä110 vistas
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin por Harto Pönkä
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä153 vistas
Toiminta tietoturvaloukkaustapauksissa por Harto Pönkä
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä44 vistas
Informaatiovaikuttamisen tunnistaminen somessa por Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä55 vistas
Twitter taitekohdassa por Harto Pönkä
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
Harto Pönkä122 vistas
Sosiaalinen media, koulu ja opetus por Harto Pönkä
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä63 vistas
Some- ja pikaviestisovellusten tietosuoja por Harto Pönkä
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
Harto Pönkä192 vistas
Mikä se some oikein on? por Harto Pönkä
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä589 vistas
Digikompassi ja digisivistys por Harto Pönkä
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
Harto Pönkä50 vistas
Case: jauhojengi-kohu Twitterissä kesällä 2022 por Harto Pönkä
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä1.8K vistas
Tietoturva hybridityössä por Harto Pönkä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
Harto Pönkä38 vistas
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta por Harto Pönkä
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkintaEvästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Evästystä evästeiden käyttöön + GA:n tämän hetken tulkinta
Harto Pönkä105 vistas
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset por Harto Pönkä
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Harto Pönkä100 vistas
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa por Harto Pönkä
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissaTietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä106 vistas
Informaatiovaikuttamisen tunnistaminen por Harto Pönkä
Informaatiovaikuttamisen tunnistaminenInformaatiovaikuttamisen tunnistaminen
Informaatiovaikuttamisen tunnistaminen
Harto Pönkä87 vistas
LinkedInin käyttö rekrytoinnissa por Harto Pönkä
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
Harto Pönkä200 vistas
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta por Harto Pönkä
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Harto Pönkä141 vistas
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla por Harto Pönkä
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalullaTwitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Twitter-bottien tunnistaminen Tweeps.net-analyysityökalulla
Harto Pönkä93 vistas

Tietosuoja ja tietoturva opetuksessa

  • 2. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  • 3. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
  • 4. Arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  • 5. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  • 6. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
  • 7. Rekisterinpitäjä  tarkoitukset  tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste
  • 9. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia. – Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa. – Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan. • Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n vaatimuksia. • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu yksinään muodostavan henkilörekisteriä. – Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin. – On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana esityslistaa tai pöytäkirjaa. Tavallisia poikkeuksia Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus- kuntalain#henkilotiedot-ja-verkkotiedottaminen
  • 11. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  • 12. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 13. Koulutoimessa muodostuvia rekistereitä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja _tietosuoja_opetustoimessa.pdf Huomaa, että GDPR ohjaa käsittelemään rekisteröityjä ryhminä ja niihin liittyvinä tietoina, ei erillisinä rekistereinä kuten tässä.
  • 14. • Opetuksessa vastuu GDPR:n mukaisen selosteen ja informoinnin teosta on opetuksen järjestämisestä vastaavalla taholla, joka on rekisterinpitäjä. • Kunta opetuksen järjestäjänä  vastuu kunnalla • Yksityiskoulu  vastuu virallisella opetuksen järjestäjällä • Opetuksen järjestäjä voi määrätä koulun johdon huolehtimaan GDPR:n vaatimusten käytännön toteuttamisesta. • Vastuu henkilötietojen käsittelystä ja informoinnista on lopulta myös jokaisella työntekijällä. GDPR:n määräykset – kenen vastuulla? Lisää aiheesta esim. OKM:n tietosuojaoppaassa: https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opetuksen järjestäjä Koulu/oppilaitos Koulun johto Opettajat ja muu henkilöstö Oppilaat ja huoltajat
  • 15. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Rekisteröityjen informointi (vrt. tietosuojaseloste) – Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet – Pidetään saatavilla / julkaistaan • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n mukaiset selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
  • 16. • Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. – Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Rekisteröityjen informointi (tietosuojasel.) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  • 17. Pudasjärven tietosuojasivusto: https://www.pudasjarvi.fi/kaupunki-info/kaupungin-toiminta/tietosuojaperiaatteemme (3.4.2019) Tunne työhösi liittyvät tietosuojaselosteet, jotta osaat kertoa niistä!
  • 19. Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)
  • 20. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 21. Mihin ja miten tietoja saa käyttää?
  • 23. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  • 24. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  • 25. Asiakirjojen ja tietojen arkistointiaikoja Esiopetuksen ja oppivelvollisten luettelot, rekisterit, päätökset ja vastaavat Oppivelvollisuusaika + 10 v Varhaiskasvatussuunnitelmat, yksilölliset esiopetussuunnitelmat 10 v Oppilaiden koulua ja luokkia koskevat luettelot tai rekisterit 50 v Aineiden valintaa ja opetuksesta vapauttamista koskevat asiakirjat 10 v Henkilökohtaisen opetuksen järjestämistä koskevat suunnitelmat, HOJKS 10 v Oppilasrekisterit Henkilötiedot ja arvosanat: pysyvästi Muut tiedot: oppivelvollisuusaika + 10 v Koekysymykset ja -vastaukset, esseet, muut lukuvuosi- ja väliarviointeihin tarvittavat tiedot Lukuvuosi Oppimispäiväkirjat, portfoliot ja muut itsearviointiin liittyvät tiedot Oppivelvollisuusaika Lukuvuosi-, väli- ja jaksotodistukset liitteineen Oppivelvollisuusaika Perusopetuksen ja lukion päättötodistukset, erotodistukset Säilytetään pysyvästi, mikäli arvosanatietoja ei ole siirretty arviointirekisteriin, jolloin 50 v Oppilaiden palkitsemiseen liittyvät rekisterit, luettelot palkintojen saajista Pysyvästi Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat
  • 26. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman, että rekisteröidyltä on siihen suostumus. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. Henkilötietojen käsittelyn perusteita
  • 27. - Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia? - Saako esikoululaisten nimiä näkyä opetustiloissa? - Ovatko koulun oppilaiden nimet, luokka-asteet salassapidettäviä? Kysymys: saako oppilaiden nimiä kertoa? • Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. • Kuvien esittämiseen muuten kuin oppilasryhmän kesken tarvitaan suostumus. • Tieto lapsen osallistumisesta päivähoitoon on julkinen (uusi varhaiskasvatuslaki). • Tieto lapsen osallistumisesta esiopetukseen on julkinen. • Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.) • Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §) • Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön) Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 28. Henkilötietojen näkyminen opetuksessa Opetuksen järjestämiseen liittyvä toiminta tiloineen (henkilötietojen käsittelyn tarkoituksen mukaisesti) Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok (laitelupa) Kuvat ja videot: ok Muut: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Muille opettajille ja henkilöstölle Koko nimi: ok Koulun email ja puh.nrot: ok Muut tarpeelliset/välttämättömät: ok Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
  • 29. - Monella koululla on sijaisia varten ollut kansio, josta löytyy tiettyä luokkaa koskevat esim. ryhmäjaot, mutta myös allergiat ja muuta tärkeää, mutta salassa pidettävää. - Voiko sijaiskansioissa olla enää henkilötietoja GDPR:n takia? Kysymys: henkilötiedot sijaiskansiossa • Koulun oikeusperuste henkilötietojen käsittelylle on mm. opetuksen järjestäminen. Kaikki siihen liittyvät toimet ovat lähtökohtaisesti hyväksyttäviä. • Oppilaiden henkilötiedot tulee olla saatavilla vain niille, joiden työtehtäville ne ovat tarpeellisia. Käytännössä koulussa koko henkilökunta on sellaisessa asemassa, että heillä voi jossakin tilanteessa olla tarve saada oppilaan henkilötietoja. • Oppilaan salassa pidettäviä tietoja (terveys, tukitoimet ym.) saa luovuttaa vain niille henkilöille, joille ne ovat työtehtäviensä puolesta välttämättömiä. • Sijaiskansiot ovat hyväksyttäviä ja ne voivat sisältää oppilaan turvallisuuden kannalta tarpeellisia terveystietoja. Samalla on huolehdittava siitä, etteivät tiedot päädy ulkopuolisten käyttöön. • Sijaiskansioihin kirjattavat tiedot ja anto sijaisten käyttöön on syytä ohjeistaa. Lähteenä mm. OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 30. Listan teko huoltajien toimesta: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Listan teko koulun toimesta: • Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille. Tietojen anto koulun rekisteristä: • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia, eli esimerkiksi puhelinnumero ei ole salainen. – Rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tai turvakielto tulee merkitä oppilasrekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 31. • Henkilötietojen julkaisu netissä on niiden sähköistä luovuttamista – älä tee ilman suostumusta! • Pyydä huoltajan suostumus aina, kun julkaistaan alaikäisen henkilötietoja. – Huomaa, että yli 12-vuotiaalle täytyy varata tilaisuus tulla kuulluksi omassa asiassaan. • Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan julkaista netissä vain suostumuksella, vaikka tiedot olisivat periaatteessa julkisia. • Tunnistamisen mahdollistava valokuva tai video on henkilötieto, jonka julkaisuun koulun toimesta tarvitaan suostumus. • Opiskelijavalinnan tulosten ilmoittamiseen netissä tarvitaan suostumus. – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika Oppilaiden tietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 32. Valokuvat ja videot • Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. • Tunnistettavan henkilökuvan julkaisuun on syytä pyytää lupa. • Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. • Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. • Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. • Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 33. Kuvaaminen järjestyssäännöissä Esimerkiksi näin: ”Tiedostan tekijänoikeusasiat käyttäessäni kännykkää koulussa. Kuvaan ainoastaan henkilöitä, joilta olen saanut luvan kuvan ottamiseen. Julkaisen sosiaalisessa mediassa ja muualla ainoastaan sisältöjä, joihin minulla on tekijänoikeudet ja asianmukaiset luvat. Epäillessäni sisältöjeni asiallisuutta tiedustelen aina opettajaltani hänen kantaansa mahdolliseen julkaisemiseen.” Lainauksen lähde: OPH, 2016, http://www.oph.fi/download/175407_jarjestyssaantojen_laatiminen.pdf
  • 34. - Saako koulun tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? - Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? - Pitääkö koulun kieltää tapahtuman vierailijoilta kuvaaminen? Kysymys: tapahtumissa kuvaaminen • Koulun tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. • Jos kuvaaminen tapahtuu koulun toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta. • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Koulu ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. • Kuvien julkaisusta säädetään laissa. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimitukselliseen tarkoitukseen on ok.
  • 36. Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun jälkeen myös muut voivat jakaa ja lainata niitä – joskus yllättävillä tavoilla. Huhtasaari & oppilasjuliste -tapaus tarkemmin: https://harto.wordpress.com/2018/10/03/huhtasaaren-jakaman-oppilastyon-tekijanoikeudet-ja-tietosuoja/
  • 37. Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
  • 39. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  • 40. Miten GDPR toteutuu Wilmassa? • Vastuu Primuksen ja Wilman tiedoista on opetuksen järjestäjällä • GDPR-informointia ei ole viety Wilman toimintoihin • Wilman tukisivuston ohjeistukset ovat osin vanhentuneita • Wilmassa ei ole toimintoa tietojen tarkistukseen tai siirtoon • Toistaiseksi on epäselvää, pitääkö Wilma-viestit toimittaa pyynnöstä
  • 41. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
  • 42. - Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia kahvipöydässä työtovereilleen? - Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla arvioidaan oppilaita ääneen? Kysymys: kahvipöytäkeskustelut? • Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §). • Myös mm. tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä. • Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta. • Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä. • Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Viimeksi mainitut päättävät annettavista tiedoista. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 43. - Saako oppilaitoksessa olla esillä kuvia henkilökunnasta, joissa on myös heidän etunimensä? - Mitä tietoja henkilöstöstä voi julkaista netissä? - Saako oppilas kuvata opettajaa tunnilla? Kysymys: mitä saa kertoa työntekijöistä? • Opettaja toimii työroolissaan julkisesti. Tiedot oppilaitoksen henkilöstön nimistä, asemasta, työtehtävistä ja yhteystiedoista ovat julkisia. • Opettajan muita henkilötietoja kuten kuvia ja yksityisiä osoite- ja yhteystietoja ei saa julkaista ilman hänen suostumustaan. • Samoin kuin oppilaiden myös henkilöstön ja näiden perheenjäsenten henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyvät tiedot ovat salassa pidettäviä (perusopetuslaki). • Tietoa työntekijän sairaslomasta ei saa kertoa ilman henkilön suostumusta. • Oppilas saa ottaa valokuvan tai videon oppitunnilla, jos opettaja on antanut siihen luvan. Opetukseen liittymätön kuvaaminen ja videoiminen voidaan järjestyssäännöissä kieltää opetusta ja oppimista häiritsevänä. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 44. 4 artikla 4) ’profiloinnilla’ mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN GDPR:n tarkoittama profilointi Profilointiin tarvitaan suostumus tai sopimus!
  • 45. Milloin analytiikka on profilointia? • Yksittäiset tiedot, esim. pisteet ja edistyminen • Yhteenvedot ja tilastot, lokitiedot • Manuaaliset arvioinnit rekisteröidystä • Yhdistelmänäkymät tiedoista ja toiminnasta • Tiedonlouhinta big datasta • Muut analyysit, joita ei käytetä yksilöitä koskeviin toimenpiteisiin EI GDPR:N TARKOITTAMAA PROFILOINTIA GDPR:N TARKOITTAMAA PROFILOINTIA • Rekisteröidyn tietoihin perustuvat automaattiset luokittelut, jotka liittyvät tämän ominaisuuksiin, kiinnostuksen kohteisiin ja todennäköisyyksiin • Automaattiset arvioinnit, ehdotukset, valinnat, tulkinnat, johtopäätökset jne. • Tietojen yhdistelystä johdetut ennusteet
  • 47. Jane Hart, Top tools for learning, 200 somepalvelua: https://www.toptools4learning.com/ Harto Pönkä, Open somekirja, 82 somepalvelua: https://www.docendo.fi/open-somekirja-harto-ponka.html
  • 48. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  • 49. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa
  • 51. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 52. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 53. • Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger) • YouTube: 13 vuotta (osa videoista 18 v.) • Facebook: 13 vuotta • WhatsApp: 16 vuotta (oli 13 vuotta 8/2016 - 5/2018) • Instagram: 13 vuotta • Snapchat: 13 vuotta • Twitter: 13 vuotta • Steam: 13 vuotta • Pinterest: 13 vuotta • Twitch: 13 vuotta • Ask.fm: 13 vuotta • Kik Messenger: 13 vuotta (suositus 17 v.) • WordPress.org: 13 vuotta • We heart it: 13 vuotta • Pokémon Go: 13 vuotta Somepalvelujen ikärajat Alaikäinen tarvitsee huoltajan luvan palvelun käyttöehtojen hyväksymiseen, jos hän on alle palvelun ikärajan tai GDPR:n ikärajan 13 vuotta.
  • 54. WhatsAppin käyttö alle 16-vuotiaiden opetuksessa • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  • 55. • Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan sopimuksen tekoon. • Huoltaja voi hyväksyä käyttöehdot lapsen puolesta ja antaa somepalvelun tämän käyttöön ikärajasta huolimatta, mikäli ehdoissa ei kielletä palvelun antoa toisen käyttöön. • Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa alle 15-vuotiailta (OPH:n ohjeistus). Yli 15-vuotias saa hallita itse omaisuuttaan. • Suostumuksen henkilötietojen käsittelyyn some- ja verkkopalveluissa voi tietosuojalain mukaan antaa yli 13-vuotias. Alaikäiset voivat myös hyväksyä ikätasolle tavanomaisia ja merkitykseltään vähäisiä käyttöehtoja. • Suostumus tulee dokumentoida. Se voidaan kirjata koulun rekisteriin, jonka jälkeen lupalappuja ei tarvitse säilyttää. • Suostumukset on hyvä tarkistaa vuosittain. Ikä ja huoltajilta pyydettävät luvat Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
  • 56. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017, https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja _muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ ja_velvollisuuksista_koulussa Omien laitteiden käyttö opetuksessa -mallisopimus Suosittelen muokkaamaan sopimuksen tekstin näin: ”oppilas voi käyttää seuraavia laitteita ja niissä olevia sovelluksia oppimisen tukena…” Suostumus omien laitteiden käyttöön tarvitaan alle 15- vuotiaiden huoltajilta.
  • 57. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  • 58. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
  • 59. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  • 60. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. – Useita somepalveluita voi käyttää ilman henkilötietojen antamista. – Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite. • Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli. – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt (privacy policy). • Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim. MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin. • Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa. • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin. Somepalvelut ja tietosuoja
  • 61. Riskien arviointi ja vastuu tietosuojasta
  • 62. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 63. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  • 64. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 65. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  • 66. • Saman ryhmän kesken nimien ja kuvien näkyminen on ok. • Älä julkaise tai luovuta henkilötietoja ilman suostumusta. Alaikäiseltä tarvitaan huoltajan suostumus. • Muista minimointiperiaate: käsittele henkilötietoja tarvittavassa laajuudessa. • Huolehdi suostumuksista alle 13-vuotiaiden huoltajilta, kun käytetään kaupallisia verkko- ja somepalveluita. • Pyydä alle 15-vuotiaiden huoltajilta lupa omien laitteiden ja sovellusten käyttöön. • Ryhmän kesken voidaan jakaa yhteystietoja, kun ne ovat koulun tai päiväkodin hallinnoimia tai omiin laitteisiin ja sovelluksiin on opetuskäytön lupa. – Esimerkiksi sähköpostiosoitteet, puhelinnumerot, somepalvelujen käyttäjätunnukset • Julkisuuslaki mahdollistaa mm. oppijan huoltajan tietojen annon toiselle huoltajalle, mikäli sille ei ole muuta estettä (esim. turvakielto). • Muista salassapito- ja vaitiolovelvollisuudet. – Oppilaan ja hänen perheensä yksityiselämän ja taloudellisen tilanteen tiedot – Oppilashuoltoon ja tukeen liittyvät tiedot ja asiakirjat, esim. VASU ja HOJKS – Asiakirjat, jotka sisältävät henkilökohtaisten ominaisuuksien sanallista arviointia – Terveystiedot, terveydenhuollon ja kuntoutuksen palvelut – Sosiaalihuollon asiakkuus, etuudet ja tukitoimet • Oppijat tai huoltajat voivat jakaa keskenään omia ja muiden henkilötietoja sekä julkaista valokuvia. Se ei ole koulun asia, mutta koulu voi antaa yleisiä ohjeita. Opettajan muistilista tietosuojasta
  • 68. • Suositus vähintään 8, mielellään 15 merkkiä • Ei ole yksittäinen sana. Lause tai lorun pätkä ovat hyviä. • Sisältää: – Isoja ja pieniä kirjaimia – Numeroita – Erikoismerkkejä • Ei ole arvattavissa • Ei ole käytössä muualla Hyvä salasana tai salalause Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html
  • 69. Googlen kaksivaiheinen tunnistautuminen 1. Kirjaudu Google-tunnuksellasi ja mene osoitteeseen: https://myaccount.google.com/ 2. Valitse ”Googleen kirjautuminen” Kuvakaappaus ja lisätietoa: https://www.google.com/landing/2step/ 3. Ota käyttöön ”2-vaiheinen vahvistus”
  • 70. Facebookin kirjautumisen asetukset Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)
  • 71. Vinkki: Rajoita Facebook-tietojesi käyttöä mainontaan. Löydät nämä Facebookin ylävalikon kohdasta: ▼  Asetukset  Mainokset Lisää aiheesta: https://harto.wordpress.com/2018/03/21/nailla-facebook-asetuksilla-estat-tietojesi-kayton-muilta-yrityksilta/ ja https://harto.wordpress.com/2019/01/22/katso-miten-facebook-on-profiloinut-sinut-ja-mitka-yritykset-ovat-vieneet-asiakastietojasi-facebookiin/ Lista kymmenistä yrityksistä, jotka ovat tuoneet tietojasi Facebookiin Katso, miten monella eri tavalla Facebook on profiloinut sinut
  • 72. Selaimen yksityinen tila Firefox Internet Explorer Chrome Yksityisessä tilassa nettiselain ei tallenna laitteen muistiin: • Sivuhistoriaa • Lomaketietoja • Evästeitä (engl. cookie) • Www-sivustojen tiedostoja välimuistiin Verkkopalvelut ja verkkoyhteyden tarjoaja näkevät toimintasi normaalisti.
  • 73. 1. Hyökkääjät etsivät haavoittuvia verkkopalveluita, joita voidaan käyttää esim. mainostamiseen tai virusten ja haittaohjelmien levittämiseen. 2. Saastunut palvelu etsii palvelun käyttäjien käyttöjärjestelmän, selaimen ja sen liitännäisten tietoturva-aukkoja, joiden kautta voidaan asentaa viruksia ja haittaohjelma. Saastuneet verkkopalvelut Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015, https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf
  • 74. • Tee käyttöjärjestelmän ja sovellusten päivitykset viipymättä. • Asenna sovelluksia vain virallisista sovelluskaupoista. • Noudata omien laitteiden käytössä työnantajan ohjeistusta. • IPhonet ja iPadit ovat Android-laitteita turvallisempia. – App Storen sovellustarjontaa valvotaan tarkemmin kuin Google Playn. – Androidille tehdään enemmän haittaohjelmia ja viruksia • Tietoturvaohjelmia ei välttämättä vielä tarvita mobiililaitteille – varovaisuus ja maalaisjärki riittävät pitkälle. • Isoin tietoturvauhka on vanhoissa laitteissa, joihin ei tehdä enää päivityksiä. Tällaisia laitteita ei kannattaisi kytkeä nettiin. • Älä käytä suojaamattomia langattomia verkkoja (WLAN). • Käytä VPN-nettiyhteyttä mobiililaitteissa, jos mahdollista. Mobiililaitteiden tietoturva
  • 75. 5 neuvoa mobiilisovellusten arviointiin 1. Asenna sovelluksia vain luotetuista sovelluskaupoista. – Suhtaudu varauksella sovellusten asentamiseen muista kuin virallisista Googlen ja Applen sovelluskaupoista. 2. Tarkista sovelluksen tekijä ja sovelluksen saama palaute. – Sovelluskaupoissa voi olla myös tunnettujen sovellusten väärennöksiä. – Jos sovellukselle ei tule päivityksiä, se voi sisältää haavoittuvuuksia, joita hyökkääjät voivat hyväksikäyttää. 3. Arvioi sovelluksen pyytämät oikeudet verrattuna sovelluksen käyttäjää palvelevaan toiminnallisuuteen. – Hyväksy mahdollisimman vähän oikeuksia laitteen tietoihin. – Tarkista sovellusten oikeudet aika ajoin. 4. Tutustu sovelluksen käyttöehtoihin. – Mitä tietojen keräämisestä ja käsittelystä kerrotaan? – Missä maassa tietoja käsitellään? 5. Työnantajalla voi olla tarkempia ohjeita työssä käytettävän mobiililaitteiden käytöstä. – Noudata työnantajan ohjeita, jos asennat sovelluksia työssä käytettäviin laitteisiin. Lähde: Viestintäviraston Kyberturvallisuuskeskus, 2018, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2018/11/ttn201811141100.html
  • 76. Tietosuojan tarkistuslista 1. Organisaation rekisterit, seloste käsittelytoimista ja informointitavat 2. Henkilötietojen käsittely eri työtehtävissä • Käsittelytarkoitukset ja oikeusperusteet • Salassa pidettävät tiedot ja asiakirjat 3. Henkilötietojen turvallinen säilytys 4. Mitkä ovat organisaation omassa hallinnassa olevia tietojärjestelmiä ja pilvipalveluita? 5. Miten tietosuojasta huolehditaan ulkopuolisissa pilvipalveluissa kuten sosiaalisen median palveluissa? 6. Saako työssä käyttää yksityisiä some- profiileita kuten Facebook-tunnusta? 7. Saako työssä käyttää henkilökohtaisia laitteita ja mitä silloin on huomioitava? 8. Uusien rekistereiden teossa huomioitavat asiat ja yhteinen toimintamalli 9. Ongelmista ilmoittaminen, mahdollinen tietosuojavastaava
  • 77. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.
  • 78. Vinkki: Julkisuus ja tiedonhallinta opetustoimessa, 2018 https://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa