Tietosuojaa opiskelijahallinnon henkilöstölle

Harto Pönkä
Harto PönkäCEO at Innowise en Innowise
Tietosuojaa opiskelijahallinnon henkilöstölle Harto Pönkä 20.4.2018
Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385 ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html
Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 § Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia. Kuva: Edvard Isto, 1899 , Hyökkäys
• Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietorekistereihin • Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista • Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa • Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä • Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa • Uutta nykyiseen henkilötietolakiin verrattuna: – Aiempaa yksityiskohtaisempi – Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla – Tietosuojavastaava (pakollinen julkisissa organisaatioissa) – Pakollinen tietomurroista ilmoittaminen – Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa) – Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen kanssa organisaation (pää-)toimipaikan mukaan EU:n yleinen tietosuoja-asetus (GDPR) Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Arkaluontoiset henkilötiedot Erityisiä henkilötietoryhmiä koskeva käsittely on kielletty ilman nimenomaista suostumusta •rotu tai etninen alkuperä •poliittiset mielipiteet •uskonnollinen tai filosofinen vakaumus •ammattiliiton jäsenyys •terveyttä koskevat tiedot •seksuaalinen suuntautuminen tai käyttäytyminen •geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisterien muodostaminen
4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Tietosuojaa opiskelijahallinnon henkilöstölle
• Henkilötiedoilla tulee olla laillinen lähde ja oikeusperuste käsittelylle – tietojen saantitavasta riippumatta. • Varminta on pyytää henkilötiedot suoraan rekisteröidyiltä. – Lomakkeilla, sopimuksilla, suullisesti, puhelimessa… • Yritysten yhteyshenkilöiden tietoja voi kerätä esimerkiksi verkkosivustoilta (B2B-markkinointi on hyväksyttävä rekisterinpitäjän oikeutettu etu). • Monet tahot tarjoavat tietoja mm. hakupalvelujen ja ohjelmistorajapintojen kautta (esim. Facebook ja Twitter). – Tarkista, millä ehdoin tietoja saa käyttää ja säilyttää. • Henkilötietoja voi myös ostaa. Väestörekisterikeskus, Trafi ja monet yritykset myyvät niitä. Henkilötietojen kerääminen
Kerää vain käyttötarkoitukseen liittyviä tietoja siihen sopivassa laajuudessa. Kerää vain tietoja, joita rekisteröity voi rekisteriselosteen perusteella kohtuudella odottaa. Jokaista tietoa ei tarvitse mainita selosteessa erikseen – sopiva tarkkuus riittää. Kerro selosteessa, kuinka kauaa tietoja säilytetään.
• Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste ja se tulee olla jokaisen saatavilla. • Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen • Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §): – Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot – Henkilötietojen käsittelyn tarkoitus – Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä – Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle – Kuvaus rekisterin suojauksen periaatteista – Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä • Tietosuoja-asetuksen uusia vaatimuksia mm. – Mahdollinen tietosuojavastaava ja tämän yhteystiedot – Henkilötietojen käsittelyn oikeusperuste – Henkilötietojen säilytysaika – Henkilötietojen luovutuksen vastaanottajat – Rekisteröityjen uudet oikeudet • Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista, jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan. Rekisteriseloste ja tietosuojaseloste Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
• Alle 250 työntekijän yritysten ja järjestöjen tulee pitää jatkossa rekisteriä ainoastaan, jos henkilötietojen käsittely on säännöllistä, uhkaa ihmisten oikeuksia ja vapauksia tai koskee arkaluontoisia tietoja tai rikosrekisteritietoja • Yksityisen henkilön yksityiseen tarkoitukseen käyttämä rekisteri kuten kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta – Henkilötietolakia ei sovelleta lainkaan • Toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten henkilötietojen käsittelystä ei tarvitse tehdä rekisteriselostetta – Voimassa vain muutamat henkilötietolain kohdat • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään muodostavan henkilörekisteriä – Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista – Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja Poikkeuksia Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja- julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Kerro tässä tarkoituksen lisäksi oikeusperuste: - Henkilön suostumus - Sopimus, jossa rekisteröity osapuolena - Laki - Julkisen tehtävän hoitaminen - Rekisterinpitäjän oikeutettu etu (esim. asiakassuhde, työsuhde, jäsenyys)
• Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste • Henkilötietojen käsittely voi perustua esimerkiksi: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Lakiin – Julkisen tehtävän hoitamiseen – Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. – Mahdollista kuitenkin nimenomaisella suostumuksella • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
• Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle. – Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta – Suomessa ei ole vielä päätöstä, hallituksen esitys 13 vuotta (Nykyisenä rajana on 15 vuotta.) Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Tasapainotesti: oikeutettu etu Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/rekisterinpitajanoikeutettuetu.html 1. Onko oikeutettu etu sopivin käsittelyperuste? 2. Täyttyvätkö perusvaatimukset? Laillinen, selkeästi ilmaistu ja todellinen tarkoitus ja tarve. 3. Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi? 4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet? Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet • Tietojen käsittelyn täytyy olla tarpeen, jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) • Myös yleinen tai yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt). • Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn, joka on lähellä jotain muuta tarkoitusta, johon on muu oikeusperuste (esim. sopimus). • Esimerkkejä: suoramarkkinointi, tieteellinen ja historiallinen tutkimus sekä tilastointi, henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä. • Arkaluontoisten tietojen ja salassa pidettävien henkilötietojen käsittelylle on korkeammat vaatimukset. • Huomioi sekä konkreettiset että mahdolliset seuraukset. Esim. mahdollisuus käyttää tietoja syrjivästi ja rekisteröidylle aiheutuva mielipaha. • Arvioi riskien todennäköisyys, epävarmuustekijät ja seurauksien mahdollinen vakavuus. • Käsittely ei saa olla rekisteröidylle odottamatonta. • Heikossa asemassa olevien rekisteröityjen kuten lasten ja muiden haavoittuvassa asemassa olevien oikeuksien toteutumisessa on oltava huolellisempi. 5. Varmista tietosuojan lisätakeet Tekniset ja toiminnalliset keinot, joilla vähennetään henkilötietoihin kohdistuvia riskejä. Esim. tietojen minimointi, anonymisointi ja korkea tietoturva. 6. Osoita toiminnan lainmukaisuus ja varmista avoimuus Dokumentoi tasapainotestin suoritus ja valmistaudu selittämään käsittelyn perusteet rekisteröidyille. vs.
Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d- 822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)
Koulutoimessa muodostuvia rekistereitä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja _tietosuoja_opetustoimessa.pdf
Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Huomaa, että Tietosuojavaltuutetun toimiston tietosuojaselosteen pohjassa ei ole vielä huomioitu EU:n yleisen tietosuoja-asetuksen vaatimuksia!
• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus) – Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste) – Helposti ymmärrettävässä ja saatavilla olevassa muodossa – Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja. • Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) – Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä – Oikeus saada jäljennös henkilötiedoista – Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi • Oikeus tietojen oikaisemiseen – Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä • Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi – Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille, joille se on luovuttanut kyseisiä tietoja Rekisteröidyn oikeudet 1/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
• Oikeus käsittelyn rajoittamiseen – Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu. – Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta – Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi – Jos rekisteröity on vastustanut henkilötietojen käsittelyä • Oikeus siirtää tiedot järjestelmästä toiseen – Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa – Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista – Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely tapahtuu automaattisesti. • Vastustamisoikeus (kielto-oikeus) – Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten • Automatisoidut yksittäispäätökset ja profilointi – Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös Rekisteröidyn oikeudet 2/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Rekisteri- ja tietosuojaselosteen malli Katso GDPR:n mukainen rekisteri- ja tietosuojaselosteen malli: http://www.innowise.fi/fi/gdprn-mukainen- rekisteri-ja-tietosuojaselosteen-malli/
- Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun edustaja ja harjoittelupaikan ohjaaja. - Miten harjoittelusopimuksia tulisi säilyttää/käsitellä? - Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille, onko kyseessä erillinen rekisteri? Kysymys: harjoittelusopimukset • Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin). • Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan. • Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi harjoittelupaikkojen yhteyshenkilöiden tietoja. • Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa erikseen markkinoinnissa käytettävät yhteystiedot.
Henkilötietojen käsittely
4 artikla 2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittely
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Vain tarkoitukseen olennaiset tiedot. • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaus, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
• Henkilötietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman rekisteröidyn informointia (rekisteriseloste) tai suostumusta. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia käyttäjätunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). Henkilötietojen käsittelyn perusteita
Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
• Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on kyse uudesta rekisteristä. • Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri. • Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri. – Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin • Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri. – Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä • Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista muodostua uusi rekisteri. – Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille. – Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida. Milloin voi muodostua uusi rekisteri?
- Voiko yhteistä Excel-taulukkoa pitää missään verkkopalvelussa, esim. oppilaitoksen omassa 0ffice 365:n OneDrivessa? - Voiko Excel-tiedostoja lähettää toisille sähköpostilla? - Myös Googlen lomakekyselyt luovat helposti vastaavan Excelin. Kysymys: henkilötiedot pilvipalveluissa • Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu. • Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa organisaatiossa tarkemmin. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen käsittelyssä. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
Älä lähetä suojaamattomassa sähköpostissa: • Arkaluontoisia henkilötietoja – Etninen alkuperä, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seksuaalisuus, geneettiset ja biometriset tunnistetiedot • Lain mukaan salassapidettäviä tietoja ja asiakirjoja – Terveyteen ja sosiaalihuoltoon liittyvät tiedot – Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot – Henkilökohtaisten ominaisuuksien sanalliset arvioinnit – Tiedot psykologisesta testistä ja soveltuvuuskokeesta ja niiden tuloksista – Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten elinoloista ja taloudellisesta asemasta Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Valintatulokset, koearvosanat • Henkilötunnus, jos rekisteröity on hyväksynyt tämän • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Henkilötietojen lähetys sähköpostilla Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html OPH, 2017, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
• Henkilötietorekisterin tietojen julkaisu netissä tai somepalveluissa tarkoittaa henkilötietojen sähköistä luovuttamista – älä tee ilman suostumusta! • Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella – Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen. Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen. • Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun tarvitaan myös asianomaisen lupa • Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä. – Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika Oppilaiden tietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Huoltajien toimesta: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Koulun toimesta: • Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen he suostuvat • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää hankkimaan yhteystiedot julkisesta lähteestä. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tulee merkitä oppilasrekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Henkilötietojen luovuttaminen
Henkilötietoja ulkopuoliselle taholle?
4 artikla 8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittelijä
Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteri- ja tietosuojaseloste (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
• Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja luovutetaan. – Luonnollinen henkilö, yritys, yhdistys, viranomainen, virasto tms. – Yhteisrekisterinpitäjät ja henkilötietojen käsittelijät – Kuvaa rekisteriselosteessa esim. vastaanottajien tyyppi (esim. mitä käsittelytoimia tekee), toimiala, sektori sekä sijainti. • Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle. • Lakeihin perustuvaa tietojen luovutusta viranomaisille (esim. tilastot ja selvitykset) ei tarvitse kuvata rekisteriselosteessa. • Kerro selosteessa, jos tietoja siirretään EU:n ulkopuolelle tai kansainväliselle järjestölle. Selosteessa tulee kertoa, mihin tietosuoja- asetuksen kohtaan siirto perustuu: – EU-komission hyväksymät maat (artikla 45) – Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46) – Yritystä koskevat sitovat säännöt (artikla 47) – Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49) Henkilötietojen luovuttaminen Lähde: Tietosuojavaltuutetun toimisto, 2018, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html
Osoitusvelvollisuus ja vastuu
• Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköinen suoramarkkinointi on voitava kieltää – varminta on pyytää suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
Tietojärjestelmien GDPR-valmius?
Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle • Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen – vahingossa tapahtuva tai lainvastainen tuhoaminen – häviäminen – muuttaminen – luvaton luovuttaminen tai – pääsy tietoihin • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu • Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
• Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen käsittelyä organisaatiossa • Tietosuojavastaava on nimitettävä, kun – rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet) – ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai – henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin. • Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. • Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja. • Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan valvontaviranomaiselle. • Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia. Tarvitsetko tietosuojavastaavan? Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
• Organisaatiossa olevat rekisterit ja niiden rekisteri- ja tietosuojaselosteet • Rekisteröityjen tärkeimmät oikeudet • Henkilötietojen turvallinen säilytys, tietoturva • Eri työtehtäviin sisältyvä henkilötietojen käsittely • Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet • Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät käsittelytoimista, tietojärjestelmin lokit) • Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen toimintamalli • Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee ulkopuolinen taho • Salassapito • Ongelmista ja tietovuodoista ilmoittaminen • Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava Mitä asioita kannattaa ohjeistaa?
Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)
Tietosuoja pilvipalveluissa
Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tahot ja niiden tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot ASIAKAS& KÄYTTÄJÄT PALVELUNTARJOAJA
Tietosuoja somessa ja verkkopalveluissa?
WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
• Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, oppilaitoksen/koulun ja ryhmän/kurssin/luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
• Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
Keskustelu & kysymykset
Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013): http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/ Kiitos!
1 de 66

Tietosuojaa opiskelijahallinnon henkilöstölle

Descargar para leer sin conexión
Educación

Koulutus DIAK:ille, 20.4.2018, Harto Pönkä, Innowise

Harto Pönkä
Harto PönkäCEO at Innowise en Innowise

Recomendados

Henkilötiedot ja tietosuoja (GDPR) por
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Harto Pönkä
7.5K vistas41 diapositivas
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa por
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHenkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessa
Henkilötiedot, EU:n tietosuoja-asetus ja tietoturva opetuksessaHarto Pönkä
6.2K vistas92 diapositivas
Henkilötiedot, tietosuoja ja GDPR opetuksessa por
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
2.1K vistas38 diapositivas
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR por
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
4.3K vistas43 diapositivas
Laki henkilötietojen ja asiakastietojen pakollisesta sijoittamisesta Venäjälle por
Laki henkilötietojen ja asiakastietojen pakollisesta sijoittamisesta VenäjälleLaki henkilötietojen ja asiakastietojen pakollisesta sijoittamisesta Venäjälle
Laki henkilötietojen ja asiakastietojen pakollisesta sijoittamisesta VenäjälleAwara Direct Search
575 vistas9 diapositivas
EU:n yleinen tietosuoja-asetus opetuksessa por
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
2.6K vistas93 diapositivas

Más contenido relacionado

La actualidad más candente

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa por
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
5.6K vistas81 diapositivas
Tietosuoja ja sosiaalinen media por
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
861 vistas84 diapositivas
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa por
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaHarto Pönkä
1K vistas55 diapositivas
Tietosuoja opetustoimessa por
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
1K vistas96 diapositivas
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta por
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
2.8K vistas57 diapositivas
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä por
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
610 vistas82 diapositivas

La actualidad más candente(20)

Tietosuoja kunnan viestinnässä ja asiakaspalvelussa por Harto Pönkä
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä5.6K vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä861 vistas
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa por Harto Pönkä
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessaYksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Yksityisyys, henkilötiedot ja verkkopalvelujen käyttöehdot opetuksessa
Harto Pönkä1K vistas
Tietosuoja opetustoimessa por Harto Pönkä
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
Harto Pönkä1K vistas
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta por Harto Pönkä
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
Harto Pönkä2.8K vistas
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä por Harto Pönkä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Harto Pönkä610 vistas
Tietosuoja verkko- ja etäopetuksessa por Harto Pönkä
Tietosuoja verkko- ja etäopetuksessaTietosuoja verkko- ja etäopetuksessa
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä2.6K vistas
GDPR ja tietosuoja opetustoimessa por Harto Pönkä
GDPR ja tietosuoja opetustoimessaGDPR ja tietosuoja opetustoimessa
GDPR ja tietosuoja opetustoimessa
Harto Pönkä2.4K vistas
Tietosuojasta ym. por Ville Oksanen
Tietosuojasta ym.Tietosuojasta ym.
Tietosuojasta ym.
Ville Oksanen348 vistas
Tietosuoja ja henkilötiedot etäopetuksessa por Harto Pönkä
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
Harto Pönkä427 vistas
Evästystä evästeiden käyttöön por Harto Pönkä
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
Harto Pönkä644 vistas
Tietosuoja ja luvat arjen varhaiskasvatustyössä por Harto Pönkä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä3K vistas
Tietoisku tietosuoja-asetuksesta - Lena Jolkkonen por Suomen UNICEF - UNICEF Finland
Tietoisku tietosuoja-asetuksesta - Lena JolkkonenTietoisku tietosuoja-asetuksesta - Lena Jolkkonen
Tietoisku tietosuoja-asetuksesta - Lena Jolkkonen
Suomen UNICEF - UNICEF Finland318 vistas
Tietosuoja ja tekijänoikeudet opetuksessa por Harto Pönkä
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
Harto Pönkä1K vistas
Tietosuoja oppilaitoksen hallinnossa por Harto Pönkä
Tietosuoja oppilaitoksen hallinnossaTietosuoja oppilaitoksen hallinnossa
Tietosuoja oppilaitoksen hallinnossa
Harto Pönkä503 vistas
Oppimisanalytiikka ja GDPR por Harto Pönkä
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
Harto Pönkä578 vistas
Evästeet nettisivuilla - aiemmin tapahtunutta ja nykyinen linjaus por Harto Pönkä
Evästeet nettisivuilla - aiemmin tapahtunutta ja nykyinen linjausEvästeet nettisivuilla - aiemmin tapahtunutta ja nykyinen linjaus
Evästeet nettisivuilla - aiemmin tapahtunutta ja nykyinen linjaus
Harto Pönkä412 vistas
Paikkatietomarkkinat 05112018 por Päivi Korpisaari
Paikkatietomarkkinat 05112018Paikkatietomarkkinat 05112018
Paikkatietomarkkinat 05112018
Päivi Korpisaari417 vistas
GDPR, GDPR, vaan mikä se on se GDPR por Jyrki Kasvi
GDPR, GDPR, vaan mikä se on se GDPRGDPR, GDPR, vaan mikä se on se GDPR
GDPR, GDPR, vaan mikä se on se GDPR
Jyrki Kasvi816 vistas
Tietosuoja etäopetuksessa por Harto Pönkä
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
Harto Pönkä708 vistas

Similar a Tietosuojaa opiskelijahallinnon henkilöstölle

Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa por
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
4.9K vistas43 diapositivas
Tietosuoja ja sosiaalinen media por
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
1.2K vistas75 diapositivas
Tietosuoja ja sosiaalinen media por
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
732 vistas91 diapositivas
Tietosuoja ja tietoturva opetuksessa por
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
4.5K vistas80 diapositivas
Tietosuoja opetuksessa por
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
851 vistas73 diapositivas
Tietosuoja varhaiskasvatuksessa por
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
6.6K vistas87 diapositivas

Similar a Tietosuojaa opiskelijahallinnon henkilöstölle(19)

Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa por Harto Pönkä
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä4.9K vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä1.2K vistas
Tietosuoja ja sosiaalinen media por Harto Pönkä
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä732 vistas
Tietosuoja ja tietoturva opetuksessa por Harto Pönkä
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä4.5K vistas
Tietosuoja opetuksessa por Harto Pönkä
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
Harto Pönkä851 vistas
Tietosuoja varhaiskasvatuksessa por Harto Pönkä
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä6.6K vistas
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa por Harto Pönkä
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
Harto Pönkä432 vistas
EU:n yleisen tietosuoja-asetuksen perusteet por Harto Pönkä
EU:n yleisen tietosuoja-asetuksen perusteetEU:n yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
Harto Pönkä2.2K vistas
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta por Harto Pönkä
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä560 vistas
EU:n yleinen tietosuoja-asetus koulussa por Harto Pönkä
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussa
Harto Pönkä5.3K vistas
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa por Harto Pönkä
Julkisuus ja tietosuoja Nurmijärven sivistystoimessaJulkisuus ja tietosuoja Nurmijärven sivistystoimessa
Julkisuus ja tietosuoja Nurmijärven sivistystoimessa
Harto Pönkä442 vistas
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet por Harto Pönkä
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Harto Pönkä240 vistas
Henkilötiedot ja tietosuoja opetuksessa por Harto Pönkä
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä854 vistas
EU:n yleinen tietoturva-asetus opetushenkilökunnalle por Harto Pönkä
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
Harto Pönkä508 vistas
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki por Harto Pönkä
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Harto Pönkä1.8K vistas
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa por eamkhanke
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissaeAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa
eamkhanke233 vistas
GDPR-työkaluja por Harto Pönkä
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
Harto Pönkä969 vistas
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta por Suomen Yrittäjäopisto
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Suomen Yrittäjäopisto148 vistas
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa por Suomen metsäkeskus
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Suomen metsäkeskus138 vistas

Más de Harto Pönkä

Sosiaalinen media, pelit ja ruutuaika por
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
45 vistas47 diapositivas
Juuri nyt: Somen trendit ja algoritmit por
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
125 vistas40 diapositivas
Henkilötietojen ja yksityisyyden suojaaminen por
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
110 vistas25 diapositivas
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin por
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
153 vistas51 diapositivas
Toiminta tietoturvaloukkaustapauksissa por
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
44 vistas17 diapositivas
Informaatiovaikuttamisen tunnistaminen somessa por
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
55 vistas48 diapositivas

Más de Harto Pönkä(20)

Sosiaalinen media, pelit ja ruutuaika por Harto Pönkä
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
Harto Pönkä45 vistas
Juuri nyt: Somen trendit ja algoritmit por Harto Pönkä
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
Harto Pönkä125 vistas
Henkilötietojen ja yksityisyyden suojaaminen por Harto Pönkä
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
Harto Pönkä110 vistas
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin por Harto Pönkä
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä153 vistas
Toiminta tietoturvaloukkaustapauksissa por Harto Pönkä
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
Harto Pönkä44 vistas
Informaatiovaikuttamisen tunnistaminen somessa por Harto Pönkä
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
Harto Pönkä55 vistas
Tietosuoja perusopetuksessa ja toisella asteella por Harto Pönkä
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä185 vistas
Twitter taitekohdassa por Harto Pönkä
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
Harto Pönkä122 vistas
Sosiaalinen media, koulu ja opetus por Harto Pönkä
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
Harto Pönkä63 vistas
Verkkopalvelujen datankeruu ja opetuksen tietosuoja por Harto Pönkä
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Harto Pönkä71 vistas
Some- ja pikaviestisovellusten tietosuoja por Harto Pönkä
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
Harto Pönkä192 vistas
Mikä se some oikein on? por Harto Pönkä
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
Harto Pönkä589 vistas
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta por Harto Pönkä
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä428 vistas
Opetuksen tietosuoja - mikä muuttui? por Harto Pönkä
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä77 vistas
Tietosuojavaatimukset markkinointiviestinnässä por Harto Pönkä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
Harto Pönkä118 vistas
Tietoturva ja tietosuoja Office 365 -palveluissa por Harto Pönkä
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä109 vistas
Digikompassi ja digisivistys por Harto Pönkä
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
Harto Pönkä50 vistas
Case: jauhojengi-kohu Twitterissä kesällä 2022 por Harto Pönkä
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
Harto Pönkä1.8K vistas
Tietoturva hybridityössä por Harto Pönkä
Tietoturva hybridityössäTietoturva hybridityössä
Tietoturva hybridityössä
Harto Pönkä38 vistas
Tietosuoja ja digitaalinen turvallisuus koulussa por Harto Pönkä
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä178 vistas

Tietosuojaa opiskelijahallinnon henkilöstölle

  • 2. Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385 ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html
  • 3. Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 § Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia. Kuva: Edvard Isto, 1899 , Hyökkäys
  • 4. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietorekistereihin • Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista • Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa • Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä • Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa • Uutta nykyiseen henkilötietolakiin verrattuna: – Aiempaa yksityiskohtaisempi – Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla – Tietosuojavastaava (pakollinen julkisissa organisaatioissa) – Pakollinen tietomurroista ilmoittaminen – Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa) – Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen kanssa organisaation (pää-)toimipaikan mukaan EU:n yleinen tietosuoja-asetus (GDPR) Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 5. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  • 6. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  • 7. Arkaluontoiset henkilötiedot Erityisiä henkilötietoryhmiä koskeva käsittely on kielletty ilman nimenomaista suostumusta •rotu tai etninen alkuperä •poliittiset mielipiteet •uskonnollinen tai filosofinen vakaumus •ammattiliiton jäsenyys •terveyttä koskevat tiedot •seksuaalinen suuntautuminen tai käyttäytyminen •geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
  • 9. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
  • 11. • Henkilötiedoilla tulee olla laillinen lähde ja oikeusperuste käsittelylle – tietojen saantitavasta riippumatta. • Varminta on pyytää henkilötiedot suoraan rekisteröidyiltä. – Lomakkeilla, sopimuksilla, suullisesti, puhelimessa… • Yritysten yhteyshenkilöiden tietoja voi kerätä esimerkiksi verkkosivustoilta (B2B-markkinointi on hyväksyttävä rekisterinpitäjän oikeutettu etu). • Monet tahot tarjoavat tietoja mm. hakupalvelujen ja ohjelmistorajapintojen kautta (esim. Facebook ja Twitter). – Tarkista, millä ehdoin tietoja saa käyttää ja säilyttää. • Henkilötietoja voi myös ostaa. Väestörekisterikeskus, Trafi ja monet yritykset myyvät niitä. Henkilötietojen kerääminen
  • 12. Kerää vain käyttötarkoitukseen liittyviä tietoja siihen sopivassa laajuudessa. Kerää vain tietoja, joita rekisteröity voi rekisteriselosteen perusteella kohtuudella odottaa. Jokaista tietoa ei tarvitse mainita selosteessa erikseen – sopiva tarkkuus riittää. Kerro selosteessa, kuinka kauaa tietoja säilytetään.
  • 13. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste ja se tulee olla jokaisen saatavilla. • Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen • Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §): – Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot – Henkilötietojen käsittelyn tarkoitus – Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä – Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle – Kuvaus rekisterin suojauksen periaatteista – Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä • Tietosuoja-asetuksen uusia vaatimuksia mm. – Mahdollinen tietosuojavastaava ja tämän yhteystiedot – Henkilötietojen käsittelyn oikeusperuste – Henkilötietojen säilytysaika – Henkilötietojen luovutuksen vastaanottajat – Rekisteröityjen uudet oikeudet • Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista, jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan. Rekisteriseloste ja tietosuojaseloste Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
  • 14. • Alle 250 työntekijän yritysten ja järjestöjen tulee pitää jatkossa rekisteriä ainoastaan, jos henkilötietojen käsittely on säännöllistä, uhkaa ihmisten oikeuksia ja vapauksia tai koskee arkaluontoisia tietoja tai rikosrekisteritietoja • Yksityisen henkilön yksityiseen tarkoitukseen käyttämä rekisteri kuten kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta – Henkilötietolakia ei sovelleta lainkaan • Toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten henkilötietojen käsittelystä ei tarvitse tehdä rekisteriselostetta – Voimassa vain muutamat henkilötietolain kohdat • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään muodostavan henkilörekisteriä – Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista – Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja Poikkeuksia Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja- julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen
  • 15. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Kerro tässä tarkoituksen lisäksi oikeusperuste: - Henkilön suostumus - Sopimus, jossa rekisteröity osapuolena - Laki - Julkisen tehtävän hoitaminen - Rekisterinpitäjän oikeutettu etu (esim. asiakassuhde, työsuhde, jäsenyys)
  • 16. • Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste • Henkilötietojen käsittely voi perustua esimerkiksi: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Lakiin – Julkisen tehtävän hoitamiseen – Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. – Mahdollista kuitenkin nimenomaisella suostumuksella • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Henkilötietojen käsittelyn oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 17. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle. – Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta – Suomessa ei ole vielä päätöstä, hallituksen esitys 13 vuotta (Nykyisenä rajana on 15 vuotta.) Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 18. Tasapainotesti: oikeutettu etu Lähde: Tietosuojavaltuutetun toimisto, 2018, Rekisterinpitäjän oikeutettu etu, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/rekisterinpitajanoikeutettuetu.html 1. Onko oikeutettu etu sopivin käsittelyperuste? 2. Täyttyvätkö perusvaatimukset? Laillinen, selkeästi ilmaistu ja todellinen tarkoitus ja tarve. 3. Onko henkilötietojen käsittely tarpeen edun saavuttamiseksi? 4. Syrjäyttääkö etu todella rekisteröidyn edut ja oikeudet? Rekisterinpitäjän edut ja oikeudet Rekisteröidyn edut ja oikeudet • Tietojen käsittelyn täytyy olla tarpeen, jonkin perusoikeuden toteuttamiseksi (esim. sananvapaus, taiteen ja tutkimuksen vapaus, elinkeinovapaus) • Myös yleinen tai yhteisön etu voi olla oikeutettu (esim. hyväntekeväisyys, voittoa tavoittelemattomat yhteisöt). • Oikeutettu etu voi liittyä myös henkilötietojen käsittelyyn, joka on lähellä jotain muuta tarkoitusta, johon on muu oikeusperuste (esim. sopimus). • Esimerkkejä: suoramarkkinointi, tieteellinen ja historiallinen tutkimus sekä tilastointi, henkilötietojen siirtäminen hallinnollisista syistä konsernin sisällä. • Arkaluontoisten tietojen ja salassa pidettävien henkilötietojen käsittelylle on korkeammat vaatimukset. • Huomioi sekä konkreettiset että mahdolliset seuraukset. Esim. mahdollisuus käyttää tietoja syrjivästi ja rekisteröidylle aiheutuva mielipaha. • Arvioi riskien todennäköisyys, epävarmuustekijät ja seurauksien mahdollinen vakavuus. • Käsittely ei saa olla rekisteröidylle odottamatonta. • Heikossa asemassa olevien rekisteröityjen kuten lasten ja muiden haavoittuvassa asemassa olevien oikeuksien toteutumisessa on oltava huolellisempi. 5. Varmista tietosuojan lisätakeet Tekniset ja toiminnalliset keinot, joilla vähennetään henkilötietoihin kohdistuvia riskejä. Esim. tietojen minimointi, anonymisointi ja korkea tietoturva. 6. Osoita toiminnan lainmukaisuus ja varmista avoimuus Dokumentoi tasapainotestin suoritus ja valmistaudu selittämään käsittelyn perusteet rekisteröidyille. vs.
  • 19. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d- 822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)
  • 20. Koulutoimessa muodostuvia rekistereitä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja _tietosuoja_opetustoimessa.pdf
  • 21. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html Huomaa, että Tietosuojavaltuutetun toimiston tietosuojaselosteen pohjassa ei ole vielä huomioitu EU:n yleisen tietosuoja-asetuksen vaatimuksia!
  • 22. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus) – Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste) – Helposti ymmärrettävässä ja saatavilla olevassa muodossa – Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja. • Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) – Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä – Oikeus saada jäljennös henkilötiedoista – Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi • Oikeus tietojen oikaisemiseen – Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä • Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi – Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille, joille se on luovuttanut kyseisiä tietoja Rekisteröidyn oikeudet 1/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 23. • Oikeus käsittelyn rajoittamiseen – Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu. – Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta – Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi – Jos rekisteröity on vastustanut henkilötietojen käsittelyä • Oikeus siirtää tiedot järjestelmästä toiseen – Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa – Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista – Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely tapahtuu automaattisesti. • Vastustamisoikeus (kielto-oikeus) – Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten • Automatisoidut yksittäispäätökset ja profilointi – Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös Rekisteröidyn oikeudet 2/2 Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 24. Rekisteri- ja tietosuojaselosteen malli Katso GDPR:n mukainen rekisteri- ja tietosuojaselosteen malli: http://www.innowise.fi/fi/gdprn-mukainen- rekisteri-ja-tietosuojaselosteen-malli/
  • 25. - Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun edustaja ja harjoittelupaikan ohjaaja. - Miten harjoittelusopimuksia tulisi säilyttää/käsitellä? - Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille, onko kyseessä erillinen rekisteri? Kysymys: harjoittelusopimukset • Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin). • Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan. • Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi harjoittelupaikkojen yhteyshenkilöiden tietoja. • Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa erikseen markkinoinnissa käytettävät yhteystiedot.
  • 27. 4 artikla 2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittely
  • 28. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Vain tarkoitukseen olennaiset tiedot. • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaus, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 29. • Henkilötietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman rekisteröidyn informointia (rekisteriseloste) tai suostumusta. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia käyttäjätunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). Henkilötietojen käsittelyn perusteita
  • 30. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  • 31. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  • 32. • Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on kyse uudesta rekisteristä. • Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri. • Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri. – Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin • Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri. – Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä • Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista muodostua uusi rekisteri. – Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille. – Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida. Milloin voi muodostua uusi rekisteri?
  • 33. - Voiko yhteistä Excel-taulukkoa pitää missään verkkopalvelussa, esim. oppilaitoksen omassa 0ffice 365:n OneDrivessa? - Voiko Excel-tiedostoja lähettää toisille sähköpostilla? - Myös Googlen lomakekyselyt luovat helposti vastaavan Excelin. Kysymys: henkilötiedot pilvipalveluissa • Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu. • Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa organisaatiossa tarkemmin. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen käsittelyssä. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
  • 34. Älä lähetä suojaamattomassa sähköpostissa: • Arkaluontoisia henkilötietoja – Etninen alkuperä, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seksuaalisuus, geneettiset ja biometriset tunnistetiedot • Lain mukaan salassapidettäviä tietoja ja asiakirjoja – Terveyteen ja sosiaalihuoltoon liittyvät tiedot – Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot – Henkilökohtaisten ominaisuuksien sanalliset arvioinnit – Tiedot psykologisesta testistä ja soveltuvuuskokeesta ja niiden tuloksista – Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten elinoloista ja taloudellisesta asemasta Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Valintatulokset, koearvosanat • Henkilötunnus, jos rekisteröity on hyväksynyt tämän • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Henkilötietojen lähetys sähköpostilla Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html OPH, 2017, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 35. • Henkilötietorekisterin tietojen julkaisu netissä tai somepalveluissa tarkoittaa henkilötietojen sähköistä luovuttamista – älä tee ilman suostumusta! • Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella – Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen. Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen. • Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun tarvitaan myös asianomaisen lupa • Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä. – Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika Oppilaiden tietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 36. Huoltajien toimesta: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Koulun toimesta: • Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen he suostuvat • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää hankkimaan yhteystiedot julkisesta lähteestä. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tulee merkitä oppilasrekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 39. 4 artikla 8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Henkilötietojen käsittelijä
  • 40. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Rekisteri- ja tietosuojaseloste (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  • 41. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  • 42. • Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja luovutetaan. – Luonnollinen henkilö, yritys, yhdistys, viranomainen, virasto tms. – Yhteisrekisterinpitäjät ja henkilötietojen käsittelijät – Kuvaa rekisteriselosteessa esim. vastaanottajien tyyppi (esim. mitä käsittelytoimia tekee), toimiala, sektori sekä sijainti. • Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle. • Lakeihin perustuvaa tietojen luovutusta viranomaisille (esim. tilastot ja selvitykset) ei tarvitse kuvata rekisteriselosteessa. • Kerro selosteessa, jos tietoja siirretään EU:n ulkopuolelle tai kansainväliselle järjestölle. Selosteessa tulee kertoa, mihin tietosuoja- asetuksen kohtaan siirto perustuu: – EU-komission hyväksymät maat (artikla 45) – Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46) – Yritystä koskevat sitovat säännöt (artikla 47) – Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49) Henkilötietojen luovuttaminen Lähde: Tietosuojavaltuutetun toimisto, 2018, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html
  • 44. • Organisaation voitava osoittaa, että tietosuojaperiaatteita noudatetaan. • Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. • Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä. • Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto). • Rekisteröityjen antamien suostumusten ja kieltojen hallinta. Esimerkiksi sähköinen suoramarkkinointi on voitava kieltää – varminta on pyytää suostumus. • Tietojärjestelmissä henkilötietojen käsittely on dokumentoitava esim. ylläpitäjien lokitiedoilla. • Myös tietosuojaloukkaukset dokumentoidaan. • Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä Osoitusvelvollisuus Lähteenä mm.: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 46. Tietoturvan osa-alue Vaatimus Vastaus Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko se ulkoistettu? Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa? Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset? Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä? Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset? Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen? Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö? Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet? Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen tai poistaminen estetty? Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista suunnitelma, joka huomioi erilaiset tietojen palautustarpeet? Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia? Tietoturvapäivitykset Luottamuksellisuus, eheys, saatavuus Onko järjestelmässä automatisoitu (tietoturva)päivitysten jakelu? Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma? Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen salaamiselle tai pseudonymisoinnille? Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu? Tietoturvatestaus Luottamuksellisuus, eheys, saatavuus Tehdäänkö säännöllisiä tietoturvatestauksia? Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel), saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)
  • 47. • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle • Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen – vahingossa tapahtuva tai lainvastainen tuhoaminen – häviäminen – muuttaminen – luvaton luovuttaminen tai – pääsy tietoihin • Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu • Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 48. • Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen käsittelyä organisaatiossa • Tietosuojavastaava on nimitettävä, kun – rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet) – ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai – henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin. • Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla yhteinen tietosuojavastaava. • Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja. • Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan valvontaviranomaiselle. • Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia. Tarvitsetko tietosuojavastaavan? Lisätietoa: Tietosuoja-asetuksen 4 jakso, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1
  • 49. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  • 50. • Organisaatiossa olevat rekisterit ja niiden rekisteri- ja tietosuojaselosteet • Rekisteröityjen tärkeimmät oikeudet • Henkilötietojen turvallinen säilytys, tietoturva • Eri työtehtäviin sisältyvä henkilötietojen käsittely • Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet • Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät käsittelytoimista, tietojärjestelmin lokit) • Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen toimintamalli • Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee ulkopuolinen taho • Salassapito • Ongelmista ja tietovuodoista ilmoittaminen • Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava Mitä asioita kannattaa ohjeistaa?
  • 51. Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)
  • 53. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  • 54. Pilvipalveluissa vastuu jakaantuu Tiedot asiakkaasta Laskutustiedot Tiedot käytettävistä palveluista ja niiden käytöstä Asiakkaan vastuulla olevien muiden käyttäjien palveluun tallentamat tiedot Mahdolliset muut palvelun tuottamiseen liittyvät tahot ja niiden tiedot Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot Asiakkaan palveluun tallentamat tiedot ASIAKAS& KÄYTTÄJÄT PALVELUNTARJOAJA
  • 55. Tietosuoja somessa ja verkkopalveluissa?
  • 56. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  • 57. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
  • 58. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 59. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla. Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/
  • 60. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 61. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin – Nimen, oppilaitoksen/koulun ja ryhmän/kurssin/luokan kertominen somessa – Käyttäjätunnuksen muodostamistapa – Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite) – Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä – Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa • Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava • Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta • Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin Opettajan tunnus ja työprofiili
  • 62. • Facebookin käyttöehdot kieltävät kahden eri käyttäjätunnuksen luomisen. • Erillistä oppilas-, opettaja- tai ohjaajatunnusta ei pitäisi tehdä. • Facebook-ryhmissä ja -sivuilla voi toimia henkilökohtaisella tunnuksella, jolloin esimerkiksi oppilaita ei tarvitse ottaa kavereiksi. • Facebookin käyttöehdot: https://www.facebook.com/legal/ terms/update
  • 64. Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013): http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
  • 65. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.