1. Yksityisyys,
henkilötiedot ja
verkkopalvelujen
käyttöehdot
opetuksessa
Harto Pönkä
13.4.2018

2. Yksityisyyden suoja on perusoikeus
Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
Henkilötietojen suojasta säädetään tarkemmin lailla.
PeL 10 §
Henkilötietojen luvaton käsittely sekä yksityisyyttä
loukkaavan tiedon levittäminen voivat olla rikoksia.
Kuva: Edvard Isto, 1899 , Hyökkäys

3. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Tietosuojan suojaamisen toimenpiteet
suhteutetaan riskiarvioon tietoturvauhista.

4. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen
käsittelyn on oltava tietosuoja-asetuksen mukaista
• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat
rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Asetuksessa henkilötiedot on määritelty vastaavasti kuin henkilötietolaissa
• Uutta nykyiseen henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen
kanssa organisaation (pää-)toimipaikan mukaan
EU:n yleinen tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

5. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

6. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

7. Arkaluontoiset henkilötiedot
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia
mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja
suuntautumista koskevien tietojen käsittely on kiellettyä.
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

8. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri

10. 4 artikla
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisterinpitäjä

11. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste
ja se tulee olla jokaisen saatavilla.
• Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §):
– Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä
• Tietosuoja-asetuksen uusia vaatimuksia mm.
– Mahdollinen tietosuojavastaava ja tämän yhteystiedot
– Henkilötietojen käsittelyn oikeusperuste
– Henkilötietojen säilytysaika
– Henkilötietojen luovutuksen vastaanottajat
– Rekisteröityjen uudet oikeudet
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista,
jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla
informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

12. • Alle 250 työntekijän yritysten ja järjestöjen tulee pitää jatkossa rekisteriä
ainoastaan, jos henkilötietojen käsittely on säännöllistä, uhkaa ihmisten
oikeuksia ja vapauksia tai koskee arkaluontoisia tietoja tai rikosrekisteritietoja
• Yksityisen henkilön yksityiseen tarkoitukseen käyttämä rekisteri kuten
kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta
– Henkilötietolakia ei sovelleta lainkaan
• Toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten
henkilötietojen käsittelystä ei tarvitse tehdä rekisteriselostetta
– Voimassa vain muutamat henkilötietolain kohdat
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu yksinään
muodostavan henkilörekisteriä
– Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista
– Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja
Poikkeuksia
Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

13. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Kerro tässä tarkoituksen lisäksi oikeusperuste:
- Henkilön suostumus
- Sopimus, jossa rekisteröity osapuolena
- Laki
- Julkisen tehtävän hoitaminen
- Rekisterinpitäjän oikeutettu etu
(esim. asiakassuhde, työsuhde, jäsenyys)

14. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d-
822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)

15. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Huomaa, että Tietosuojavaltuutetun
toimiston tietosuojaselosteen pohjassa ei
ole vielä huomioitu EU:n yleisen
tietosuoja-asetuksen vaatimuksia!

16. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

17. • Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti.
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

18. Rekisteri- ja tietosuojaselosteen malli
Katso GDPR:n mukainen rekisteri- ja
tietosuojaselosteen malli:
http://www.innowise.fi/fi/gdprn-mukainen-
rekisteri-ja-tietosuojaselosteen-malli/

19. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

20. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

21. • Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja
käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on
kyse uudesta rekisteristä.
• Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen
tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri.
• Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta
käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri.
– Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin
• Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja
vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri.
– Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä
• Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai
tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista
muodostua uusi rekisteri.
– Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille.
– Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida.
Milloin voi muodostua uusi rekisteri?

22. Henkilötietoja ulkopuoliselle taholle?

23. 4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä

24. Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Rekisteri- ja
tietosuojaseloste
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen

25. Tietojärjestelmien GDPR-valmius?

26. Tietoturvan osa-alue Vaatimus Vastaus
Järjestelmän ylläpito Vastaako järjestelmän ylläpidosta organisaatio vai onko
se ulkoistettu?
Suostumusten hallinta Tukeeko tietokanta suostumusten ja kieltojen hallintaa?
Käyttäjienhallinta Luottamuksellisuus Onko kaikilla käyttäjillä yksilölliset käyttäjätunnukset?
Pääsynvalvonta Luottamuksellisuus Onko järjestelmä kertakirjautumisen piirissä?
Pääsynvalvonta Luottamuksellisuus Onko salasanoilla laatuvaatimukset? Millaiset?
Lokitus Luottamuksellisuus Lokitetaanko järjestelmään kirjautuminen?
Lokitus Luottamuksellisuus Lokitetaanko henkilötietojen käyttö?
Lokitus Luottamuksellisuus Lokitetaanko admin-käyttäjien toimet?
Lokitus Luottamuksellisuus Onko järjestelmän tuottamien lokien muuttaminen
tai poistaminen estetty?
Varmuuskopiointi Eheys, saatavuus Onko järjestelmän ja sen tietojen varmuuskopioinnista
suunnitelma, joka huomioi erilaiset tietojen
palautustarpeet?
Varmuuskopiointi Eheys, saatavuus Testataanko varmuuskopioiden palautuksia?
Tietoturvapäivitykset Luottamuksellisuus, eheys,
saatavuus
Onko järjestelmässä automatisoitu (tietoturva)päivitysten
jakelu?
Toipumiskyky Saatavuus Onko järjestelmälle laadittu toipumissuunnitelma?
Tiedon suojaus Luottamuksellisuus Onko tunnistettu tarvetta henkilötietojen
salaamiselle tai pseudonymisoinnille?
Tiedon suojaus Luottamuksellisuus Onko tiedonsiirrot organisaation ulkopuolelle salattu?
Tietoturvatestaus Luottamuksellisuus, eheys,
saatavuus
Tehdäänkö säännöllisiä tietoturvatestauksia?
Lähde: Valtiovarainministeriö, Tietojärjestelmien tietoturvavaatimuksia GDPR-näkökulmasta (Excel),
saatavana: http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit (27.2.2018)

27. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

28. Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)

29. • Organisaatiossa olevat rekisterit ja niiden rekisteri- ja
tietosuojaselosteet
• Rekisteröityjen tärkeimmät oikeudet
• Henkilötietojen turvallinen säilytys, tietoturva
• Eri työtehtäviin sisältyvä henkilötietojen käsittely
• Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet
• Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät
käsittelytoimista, tietojärjestelmin lokit)
• Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen
toimintamalli
• Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee
ulkopuolinen taho
• Salassapito
• Ongelmista ja tietovuodoista ilmoittaminen
• Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava
Mitä asioita kannattaa ohjeistaa?

30. Esimerkkejä opetuksesta

31. - Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun
edustaja ja harjoittelupaikan ohjaaja.
- Miten harjoittelusopimuksia tulisi säilyttää/käsitellä?
- Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota
hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille,
onko kyseessä erillinen rekisteri?
Kysymys: harjoittelusopimukset
• Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain
alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin).
• Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan.
• Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole
henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi
harjoittelupaikkojen yhteyshenkilöiden tietoja.
• Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi
hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa
erikseen markkinoinnissa käytettävät yhteystiedot.

32. - Voiko yhteistä excel-taulukkoa pitää missään verkkopalvelussa.
esim. oppilaitoksen omassa 0365 OneDrive-palvelussa?
- Ja voiko niitä lähettää toisilleen sähköpostilla?
- Myös Googlen lomakekyselyt luovat helposti vastaavan excelin.
Kysymys: henkilötiedot pilvipalveluissa
• Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on
pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu.
• Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa
organisaatiossa tarkemmin.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen
käsittelyssä.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan
antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan
käytetään.

33. • Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa
tarkoittaa henkilötietojen sähköistä luovuttamista
• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai
alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa:
– Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä
– Lähettää suojaamattomassa muodossa sähköpostilla
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

34. Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013,
http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess
amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata
Opetuksen videokuvaaminen

35. Tietosuoja pilvipalveluissa

36. Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay

37. Pilvipalveluissa vastuu jakaantuu
Tiedot asiakkaasta
Laskutustiedot
Tiedot käytettävistä palveluista
ja niiden käytöstä
Asiakkaan vastuulla olevien
muiden käyttäjien palveluun
tallentamat tiedot
Mahdolliset muut palvelun tuottamiseen
liittyvät tahot ja niiden tiedot
Asiakas on rekisterinpitäjä
Muut käyttäjät ovat rekisterinpitäjiä
mahdollisesti luomiinsa rekistereihin
Palveluntarjoaja on henkilötietojen
käsittelijä
Palveluntarjoaja on rekisterinpitäjä
Lisäksi voi olla muita henkilötietojen
käsittelijöitä
Mahdolliset muut rekisterinpitäjät
ja henkilötietojen käsittelijät sekä
valvovat viranomaistahot
Asiakkaan palveluun
tallentamat tiedot
ASIAKAS&
KÄYTTÄJÄT
PALVELUNTARJOAJA

38. Tietosuoja somessa ja verkkopalveluissa?

39. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste?
Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)

40. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus

41. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista
yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli
sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen
suojan.
– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)
• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä
helmikuussa 2016.
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

42. • Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja
ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten
opettajat rekisteröityvät niihin
– Nimen, oppilaitoksen/koulun ja ryhmän/kurssin/luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite (yleensä henkilökohtainen on parempi kuin työosoite)
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita
kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella
on mahdollista käyttää useita muidenkin tahojen ylläpitämiä
somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia
työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä
työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili

43. • Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla
voi toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/
terms/update

44. WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestit ja ryhmäkeskustelut

45. Varovaisuus omassa somen käytössä

46. Yksittäisen käyttäjän tietoturvauhat
Lähde: Viestintäviraston Kyberturvallisuuskeskuksen vuosiraportti 2015,
https://www.viestintavirasto.fi/attachments/tietoturva/Viestintaviraston_Kyberturvallisuuskeskuksen_vuosiraportti_2015.pdf

47. Harmittomat Facebook-testit saavat yllättän paljon oikeuksia käyttäjätietoihisi ja voivat käyttää niitä haluamallaan tavalla.
Lisää aiheesta: https://harto.wordpress.com/2016/03/29/ala-anna-facebook-tietojasi-hupitestia-vastaan/

48. Salasanan valinta somessa

49. • Suositus vähintään 8,
mielellään 15 merkkiä
• Ei ole yksittäinen sana. Lause
tai lorun pätkä ovat hyviä.
• Sisältää:
– Isoja ja pieniä kirjaimia
– Numeroita
– Erikoismerkkejä
• Ei ole arvattavissa
• Ei ole käytössä muualla
Hyvä salasana tai salalause
Lähde: Viestintävirasto, 2014, https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2014/12/ttn201412031257.html

50. Googlen kaksivaiheinen tunnistautuminen
1. Kirjaudu Google-tunnuksellasi
ja mene osoitteeseen:
https://myaccount.google.com/
2. Valitse ”Googleen kirjautuminen”
Kuvakaappaus ja lisätietoa:
https://www.google.com/landing/2step/
3. Ota käyttöön ”2-vaiheinen vahvistus”

51. Facebookin kirjautumisen asetukset
Facebook-tunnuksen asetukset, Turvallisuus ja sisäänkirjautuminen, https://www.facebook.com/settings?tab=security (28.9.2017)

52. Jos käyttäjätunnuksesi on
murrettu tai vuotanut,
vaihda heti salasanasi!
Kuva: Patryk Grądys @ Unsplash

53. Työskentely:
Miten valmistautua
tietosuoja-
asetukseen?
Mitä yhteisiä
linjauksia olisi hyvä
tehdä?

54. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.

55. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!