2. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.
3. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017,
http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Kuvassa on ns. tavallisia henkilötietoja.
Huom. Jos IP-osoite ei mahdollista henkilön tunnistamista, se ei ole henkilötieto.
6. • Opiskelijarekisterin käyttötarkoitus on opetuksen
järjestäminen + yhteensopivat tarkoitukset
– Opetustilanteet, myös etä- ja verkko-opetus
– Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut
(käyttäjätunnukset, sisällöt, lokitiedot)
– Paikallaolot, suoritukset, testit, arviointi
– Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
– Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
– Kuvaus-, julkaisu- ja tekijänoikeusluvat
– Harjoitteluihin ja vierailuihin liittyvät tiedot
– Oppilashuolto ja erityisen tuen tarve
• Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä julkisen
tehtävän hoitaminen tai lakisääteiset velvoitteet.
• Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.
– Suostumuksen pitää olla aidosti vapaaehtoinen, eikä sen antamatta jättäminen tai peruminen
myöhemmin saa aiheuttaa oppijalle haittaa.
– Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
Opiskelijarekisteri etäopetuksessa
Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu
Opiskelija-
rekisteri
oppijoiden ja huoltajien
henkilötiedot
7. • Tietosuojavaltuutettu katsoi v. 2017, että suostumusta opetuksen
järjestäjän hallinnoimien pilvipalvelujen opetuskäyttöön ei tarvita.
• Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä, ja voivat
sen perusteella käsitellä tarpeellisia henkilötietoja.
• Opetuksen järjestäjä päättää, millaisia laitteita, työvälineitä ja
oppimateriaaleja käytetään, ml. digitaalisia oppimisympäristöjä
• Henkilötiedot tulee suojata asiattomalta pääsyltä ja käsittelyn
lainmukaisuutta tulee valvoa.
• Ulkopuolisten palvelujen käytöstä tulee sopia rekisterinpitäjän ja
palveluntarjoajan välillä niin, että rekisterinpitäjä vastaa
henkilötiedoista (nyk. sopimus henkilötietojen käsittelystä).
• Tietoja voidaan siirtää EU:n ulkopuolelle Privacy shield -järjestelyllä.
• Opetuksen järjestäjän tulee laatia säännöt, minkälainen TVT:n käyttö
on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa.
Ennakkopäätös: pilvipalvelut opetuksessa
Lähde: Tietosuojavaltuutetun päätös 28.2.2017, https://finlex.fi/fi/viranomaiset/tsv/2017/20170242 (huom. ennen GDPR:ää)
8. Samat tiedot ja tarkoitus = sama rekisteri
Opiskelija-
rekisteri
oppijoiden ja huoltajien
henkilötiedot
Opetuksen
järjestäminen
+ yhteensopivat
käyttötarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.
9. Ulkopuoliset verkkopalvelut
Opiskelija-
rekisteri
(opetuksen järjestäjä
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Henkilötietoja ei saa luovuttaa opetuksessa
ulkopuoliselle taholle, jos
1) ei ole sopimusta henkilötietojen käsittelystä tai
2) jos siihen ei ole saatu suostumusta.
Jos henkilötietoja kerätään
ulkopuolisen verkkopalvelun kautta,
tulee siihen olla oikeusperuste sekä
huolehtia rekisterinpitäjän
informointivelvollisuudesta, esim.
linkki tietosuojaselosteeseen.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, jos aloite siihen
tulee heiltä, jolloin he käytännössä
antavat suostumuksen sen käyttöön
ko. asian hoidossa.
10. Verkkopalvelujen tyypit opetuksessa
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava
organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät opetuksen järjestäjän hallinnassa
Henkilötietoja päätyy ulkop.
rekisterinpitäjälle suostumus
Palvelua
käyttävä
organisaatio
Opettajat
Opiskelijat
11. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja
yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Alaikäisen kohdalla suostumuksen antaa huoltaja.
• Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja
mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia.
• Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön
opetuksessa (OPH:n ohjeistus).
– Mikäli laitteille asennetaan sovelluksia opetuksessa, tulee tähän pyytää suostumus.
– Huoltaja voi hyväksyä sovelluksen käyttöehdot lapsen puolesta ja antaa sen lapsen
käyttöön, mikäli ehdoissa ei kielletä tällaista.
• Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain.
Pyydettävät suostumukset ja luvat
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa
12. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden
käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa,
OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja
_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_
ja_velvollisuuksista_koulussa
Omien laitteiden
käyttö opetuksessa
-mallisopimus
Suosittelen muokkaamaan
sopimuksen tekstin näin:
”oppilas voi käyttää
seuraavia laitteita ja niissä
olevia sovelluksia oppimisen
tukena…”
Suostumus omien laitteiden
käyttöön tarvitaan alle 15-
vuotiaiden huoltajilta.
13. WhatsAppin käyttö alle
16-vuotiaiden opetuksessa
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
15. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita
16. Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38
17. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-
järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa
18. Henkilötietojen näkyminen opetuksessa
Opetuksen järjestämiseen
liittyvä toiminta, tilat ja verkkopalvelut
Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: ok (laitelupa)
Kuvat ja videot: ok
Muut: lupa
Muille ryhmille
opetuksen yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk.
Kuvat ja videot: lupa
Muut: lupa
Muille opettajille ja henkilöstölle
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut tarpeelliset/välttämättömät: ok
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
Ulkopuolisille
henkilöille ja tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut: lupa
19. Oppijoiden valokuvat ja videot
• Tunnistettavan henkilökuvan
julkaisuun on yleensä aina syytä
pyytää lupa.
• Opiskelijarekisterissä oleva
valokuva on henkilötieto. Sen
julkaisuun opetusryhmää
laajemmin tarvitaan suostumus.
• Kuvan julkaisun voi estää
kotirauha, yksityisyyden suoja tai
kuvassa näkyvän teoksen
tekijänoikeudet.
• Esim. oppikirjan sivusta, toisen
kodista, noloista tilanteista tai
kiusaamistarkoituksessa otettuja
kuvia ei saa julkaista.
• Myös jonkun muun julkaiseman
kuvan levittäminen voi olla
kiellettyä.
• Jokainen omistaa persoonansa ns.
kaupalliset oikeudet.
• Huomioitava, jos kuva julkaistaan
kaupallisessa palvelussa.
20. - Saako opetustilanteissa ottaa valokuvia ja videoita sekä esittää
niitä opetusryhmän kesken?
- Saako opetusryhmän sisällä esittää opiskelijoiden tuotoksia?
- Tarvitaanko opiskelijoilta suostumus, jos he itse julkaisevat
tuotoksiaan opetuksen yhteydessä?
Kysymys: kuvat ja tuotokset opetuksessa
• Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä
pedagogisessa tarkoituksessa saman opetusryhmän kesken.
• Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken.
Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa.
• Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai
oppimisalustoille. Tällöin täytyy huolehtia tietosuojasta asianmukaisesti.
• Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan
esittää julkisesti, tulee siihen pyytää suostumus.
• Jos täysi-ikäinen opiskelija itse julkaisee kuvansa tai tuotoksensa/teoksensa
opetuksen yhteydessä, ei opetuksen järjestäjä tarvitse siihen suostumusta.
• Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä
tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille.
22. Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Valintatulokset, koearvosanat
• Henkilötunnus, jos rekisteröity on hyväksynyt tämän
• Arkaluontoiset tiedot, jos rekisteröity on pyytänyt niitä
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa, esim. suojatussa intra-/extranetissä:
• Arkaluontoiset henkilötiedot
• Lain mukaan salassa pidettävät tiedot ja asiakirjat
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot ja tulokset psykologisesta testistä tai soveltuvuuskokeesta
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Pikaviestipalvelut työasioissa: noudata työnantajan ohjeistusta.
Opiskelijatiedot sähköisessä viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html,
Tietosuojavaltuutetun päätös 21.11.2019, https://finlex.fi/fi/viranomaiset/tsv/2019/20190483
23. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
• Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat
luottamuksellisen viestinnän piiriin.
– Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
– Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
• Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän
palveluista, 136 §):
– Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim.
kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä.
– Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
– Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
• Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka
oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon..
Viestinnän luottamuksellisuus
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf
24. Listan teko huoltajien toimesta:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Listan teko koulun toimesta:
• Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään
ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille.
Tietojen anto koulun rekisteristä:
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia, eli esimerkiksi puhelinnumero ei ole salainen.
– Rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tai turvakielto tulee merkitä oppilasrekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
25. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos
siitä on nimenomaisesti säädetty.
• Pyydä huoltajan suostumus aina, kun julkaistaan alaikäisen henkilötietoja.
– Huomaa, että yli 12-vuotiaalle täytyy varata tilaisuus tulla kuulluksi omassa asiassaan.
• Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan
julkaista netissä vain suostumuksella, vaikka tiedot olisivat periaatteessa julkisia.
• Tunnistamisen mahdollistava valokuva tai video on henkilötieto, jonka
julkaisuun koulun toimesta tarvitaan suostumus.
• Opiskelijavalinnan tulosten ilmoittamiseen netissä tarvitaan suostumus.
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
Oppijoiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
26. Henkilötietorekisteriä saa käyttää vain alkuperäisiin tarkoituksiin.
Vaikka tiedot olisivat julkisuuslain perusteella julkisia, organisaation työntekijät saavat
käyttää rekisteriä vain tehtäviinsä liittyviin tarkoituksiin annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Tampereen yliopiston professori
käytti opiskelijarekisteristä
saatavia tietoja someväittelyssä...
Yliopisto puuttui asiaan.
28. Jane Hart, Top tools for learning, 200 somepalvelua:
https://www.toptools4learning.com/
Harto Pönkä, Open somekirja, 82 somepalvelua:
https://www.docendo.fi/open-somekirja-harto-ponka.html
30. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin.
– Useita somepalveluita voi käyttää ilman henkilötietojen antamista.
– Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin
verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite.
• Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli.
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt
(privacy policy).
• Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim.
MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin.
• Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa.
– Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään (esim.
Facebook), mikäli se ei ole ollut edellytyksenä työtehtävän hoitamiselle.
• Somepalvelujen työkäyttöön on suositeltavaa olla työpuhelin.
Somepalvelut ja tietosuoja
31. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Onko palvelussa ikärajaa tai suositeltua ikää?
• Mitä henkilötietoja vaaditaan rekisteröitymisessä?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Voiko palvelua käyttää opetuksessa ilman, että siihen
tallennetaan opiskelijoiden henkilötietoja?
• Onko palvelussa organisaatioille tarkoitettu sopimus
henkilötietojen käsittelystä?
• Voidaanko tietoja luovuttaa muille tai käyttää markkinointiin?
• Mitä oikeuksia palvelu saa tallennettuihin sisältöihin kuten
teksteihin ja kuviin? Voidaanko niitä käyttää muualla?
• Mitä sisällöille ja henkilötiedoille tapahtuu, kun palvelun käyttö
lopetetaan?
Palvelun käyttöehdot = sopimus
32. • Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update
33. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää EU:n ulkopuolisia verkkopalveluita myös
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista.
Yhdysvaltalaiset verkkopalvelut
34. Zoom-etäkokouspalvelun
tietosuoja
• Zoomin tietosuojaa on kritisoitu runsaasti – aiheesta.
• Zoomista on kaksi versiota: ilmaisversio sekä korkeakouluille ja
yrityksille tarkoitettu versio. Tietosuojaongelmat ovat koskeneet
lähinnä ilmaisversiota.
• Zoomin iPhone-versiosta ilmeni tietojen lähetys Facebookille
maaliskuun lopussa, josta se ei ollut kertonut
tietosuojaselosteessa. Zoom korjasi sen päivässä. Sovellus
kannattaa siis päivittää.
• Zoomissa on ollut kokouksen ylläpitäjän käytössä toiminto, jolla
voi ”vakoilla”, ovatko osallistujat katsomassa lähetystä.
• Zoombombing-ilmiö: osallistujat ovat voineet häiriköidä.
• Zoom julkaisi huhtikuussa päivityksen, jossa ylläpitäjä voi mm.
• Lukita huoneen, jolloin siihen ei voi liittyä
• Aktivoida odotushuoneen, jolloin ylläpitäjä hyväksyy
osallistujat
• Poistaa osallistujia
• Estää osallistujia jakamasta ruutua, keskustelemasta
chatissa, vaihtaa nimeä
• Viimeisin uutinen: verkossa kaupitellaan Zoom-käyttäjien
tietoja. Kyse on tunnuksista, jotka on saatu selville kokeilemalla
muista palveluista vuotaneita tunnuksia ja salasanoja.
Lisää aiheesta Zoomin blogissa:
https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-
new-security-toolbar-icon-for-hosts-meeting-id-hidden/
36. WhatsApp Business -sovellus
• Android-versio tammikuussa 2018,
iOS-versio huhtikuussa 2019
• Asennettu yli 50 miljoonaa kertaa
• Kuten WhatsApp-sovellus, mutta voi
luoda profiilin
yritykselle/organisaatiolle
• Sisältää GDPR:n mukaisen sopimuksen
henkilötietojen käsittelystä
• Keskustelun aloitus linkin kautta
• Automaattiset aloitusviestit,
pikavastaukset, tilastot
• Android:
https://play.google.com/store/apps/details?id=com.wh
atsapp.w4b
• iOS: https://itunes.apple.com/app/whatsapp-
business/id1386412985?mt=8
38. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
39. Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
40. Kyllä kai suostumukseksi
riittää, että ilmoitin
Wilmassa WhatsAppin
käytöstä opetuksessa.
Annoin tehtäväksi
asentaa Sport Trackerin
ja jakaa kävelylenkit sitä
kautta muille.
Lähetän musiikin
tehtävät TikTokissa ja
oppilaat kuittaavat ne
kommentilla.
Julkaisen perjantaisin
YouTube-videon, johon
kokoan oppilaiden
tuotoksia ja annan
palautetta.
Tein jokaisen opiskelijan
nimellä Padlet-taulun,
johon he käyvät
merkitsemässä
suorituksensa.
Tehtävänä on siivota
olohuone ja lähettää
siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi
tulla koululle
lähiopetukseen.
Ei näin.
41. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.