SlideShare a Scribd company logo

Tietosuoja taiteen perusopetuksen oppilaitoksissa

Harto Pönkä, profile picture
Harto Pönkä

Koulutus Taito ry:lle 19.9.2024, Harto Pönkä, Innowise

Education
1 of 41
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Tietosuoja taiteen perusopetuksen oppilaitoksissa 19.9.2024 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
Esimerkkejä käsiteltävistä henkilötiedoista 3 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, markkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tunnistetieto/ pseudonymisoitu tunniste Voidaan ehkä käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Etninen tausta, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seks.suuntautuminen, geneet. ja biometr. tunnisteet Erityinen henkilötieto (GDPR) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto (julkisuuslaki) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen
Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta tai henkilötunnusta ja nimeä ei saa yksinään käyttää rekisteröidyn tunnistamiseen. 4 Tietosuojalaki, 29 §, https://www.finlex.fi/fi/laki/ajantasa/2018/20181050 Kuva: Poliisi, https://poliisi.fi/henkilokortti 010195-112X
Rekisteri 5 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Henkilötietojen käyttäjät ▪ ”Rekisteröity” on tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka tietoja käsitellään. ▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. ▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. ▪ ”Kolmas osapuoli” on taho, joka ei ole jokin edellä mainituista, ja jolla ei ole oikeutta käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. ▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. 6 Lähde: Euroopan unionin perusoikeusvirasto ja Euroopan neuvosto, 2021, Käsikirja Euroopan tietosuojaoikeudesta, vuoden 2018 painos, https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_fi.pdf
Opiskelijarekisteri Lähteenä mm. OPH:n tietosuojaopas, 2018 Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota esimerkiksi vapaaehtoisia lisäpalveluita. ▪ Oppilaalle tulee olla tarjolla aito vaihtoehto, joka ei edellytä suostumuksen antoa. ▪ Suostumuksen kriteerit on täytettävä, mm. informointi henkilötietojen käsittelystä. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. 7
Sama tiedot ja tarkoitus = sama rekisteri 8 Opetuksen järjestäminen + yhteensopivat käyttötarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön. Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot
Suostumus suoritustietojen tallentamiselle KOSKI-tietovarantoon 9 ▪ Taiteen perusopetuksen koulutuksen järjestäjät ovat voineet päättää oppijoiden tietojen tallentamisesta KOSKI-palveluun 1.1.2023 alkaen. ▪ Vapaatavoitteisen vapaan sivistystyön koulutuksen, vapaan sivistystyön osaamismerkkien ja taiteen perusopetuksen opiskeluoikeus- ja suoritustietojen tallentaminen KOSKI-tietovarantoon perustuu aina oppijan antamaan suostumukseen. ▪ Koulutuksen järjestäjä on sekä järjestämänsä, että hankkimansa taiteen perusopetuksen osalta KOSKI-tietovarantoon tallennettujen tietojen yhteisrekisterinpitäjä OPH:n kanssa. ▪ Koulutuksen järjestäjä vastaa tallennettavan tiedon oikeellisuudesta sekä rekisteröidyn oikeudesta tietojen oikaisemiseen. Lähteet: OPH, Koski-palvelu, https://www.oph.fi/fi/palvelumme/koski-palvelu, Oulujoki-opiston suostumusdokumentti: https://www.suomi.fi/palvelut/lomake/suostumus-taiteen-perusopetuksen-suoritustietojen-tallentamiseen-koski-tietovarantoon- muhoksen-kunta/20a5eeef-3cb2-4f41-9ee4-6f2cb17a287c (haettu 19.9.2024)
Suostumus henkilötietojen käsittelyn perusteena 10 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus) sekä tarvittaessa sovellusten asentamiseen. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Oppijoiden henkilötietojen käsittelystä tulee informoida selkeästi Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf 11 Pääsy omiin henkilötietoihin Tietojen oikaisu Tietojen poisto Käsittelyn rajoittaminen Käsittelyn vastustaminen Tietojen siirto toiseen järj. Automaattinen päätöksenteko Oikeus valittaa valvonta- viranomaiselle Käsittelyn oikeusperuste Tietojen säilytysaika Käsiteltävät henkilötiedot Henkilötietojen käsittelijät Tietojen siirto kolmansiin maihin Tietosuojavastaavan yhteystiedot Rekisterinpitäjä ja yhteystiedot
GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä 12 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Tietosuojan huomiointi työtehtävissä
Työnantajan laitteet ja ohjelmat 14 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Virka-/työtunnuksella ei kirjauduta työn ulkopuolisiin verkkopalveluihin (esim. Microsoft-käyttäjätunnus). ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelut hoidetaan sivullisilta suojassa.
Tietosuojalaki 35 §: vaitiolovelvollisuus 15 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Huolehdi oppijoiden tietosuojasta 16 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan rekisterinpitäjän linjaukset käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
Tietosuoja sähköposteissa 17 ▪ Normaalissa sähköpostissa voi lähettää: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset sähköpostilaatikot, tietoturva kunnossa ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Älä tee massalähetyksiä niin, että vastaanottajat näkevät toistensa osoitteet. ▪ Tarvittaessa piilokopio-toiminto (BCC).
Oppijoiden henkilötietojen julkaisu 18 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn (tai alaikäisen huoltajan) suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat lain mukaan ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tai vastaavan hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin saadut suostumukset (suullinen lupa riittää, kunhan se merkitään ylös)
Henkilötietojen käsittely opetuksessa 19
Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok/alle 15-v. laitelupa Kuvat/videot: ok Muut hlötiedot: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk./laitelupa Kuvat/videot: lupa Muut hlötiedot: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat/videot: lupa Muut hlötiedot: lupa Muille opettajille ja henkilöstölle tarvittaessa Koko nimi: ok Koulun email ja puh.nrot: ok Muut välttämättömät tiedot: ok Henkilötiedot opetuksen tiloissa ja tilanteissa Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Salaisia puhelinnumeroita ei tule koskaan jakaa tai laittaa esille. 20 Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
Kysymys: koevastaukset ja muut salassa pidettävät tiedot 21 ▪ Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja. ▪ Oppilaiden koesuoritukset, niiden arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §). Sama koskee erityisen tuen tarvetta, psykologisia testejä ja soveltuvuuskokeita. ▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä. ▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta. ▪ Perusopetuslain ja lukiolain mukaan oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat päättävät annettavista tiedoista. ▪ Salassapitovelvollisuus ei estä opetuksen järjestämisestä vastaavia ja opetushenkilöstöä ilmoittamasta henkeen tai terveyteen kohdistuvasta uhasta välttämättömiä tietoja poliisille. ▪ Salassa pidettäviä tietoja voidaan antaa myös asianosaisen (tai alaikäisen huoltajan) suostumuksella. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf • Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia kahvipöydässä työtovereilleen? • Vaarantuuko oppilaiden tietosuoja, jos samalla arvioidaan oppilaita ääneen?
Kysymys: oppilaan teoksen asettaminen esille 22 ▪ Oppilaan koko nimi voi olla työssä esillä luokan seinällä, jos luokka on pelkästään opetuksen käytössä. Tämä on normaalia opetukseen liittyvää toimintaa. ▪ Kysymyksessä on kuitenkin tietosuojaa enemmän kyse tekijänoikeuksista. ▪ Tekijänoikeuksien kannalta nimen tulee olla esillä teoksessa. Kyse on tekijän ns. isyysoikeudesta. ▪ Oppilas voi itse päättää, miten hän merkitsee nimensä tekemäänsä työhön. ▪ Jos oppilaan työ laitetaan esille julkiseen tilaan tai nettiin, kyse on oppilaan teoksen esittämisestä julkisesti. Tähän tarvitaan oppilaan oma ja alaikäisen tapauksessa lisäksi huoltajan lupa (julkaisulupa). ▪ Jos työ asetetaan julkisesti nähtävästi, myös muut tahot saattavat valokuvata sitä tai jakaa eteenpäin. • Voiko oppilaan työssä (piirros, valokuva tms.) olla hänen etunimensä esillä, kun työ laitetaan luokan seinälle? • Tarvitaanko etunimen käyttöön tällaisessa tapauksessa vanhempien lupa, vai riittääkö, että oppilas on itse halukas laittamaan työnsä esille nimensä kanssa?
Henkilöä esittävä valokuva tai video on henkilötieto ja tunnistetieto ▪ Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta vai ei. ▪ Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen ▪ Tunnistamisen voi estää se, että henkilön kasvot eivät näy tai kuva on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. ▪ Henkilön kasvot voi sumentaa tai peittää eli ”anonymisoida” kuvan. ▪ Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 23 Kuva: Pixabay
Valokuvat ja videot 24 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää suostumus (julkaisulupa). ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
Kysymys: kuvat, videot ja etätilanteiden tallenteet 25 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
Kysymys: tapahtumissa kuvaaminen 26 ▪ Oppilaitoksen tapahtuma on julkinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. ▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta kieltää sitä. ▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta (ja alaikäisten huoltajilta), sillä se ei ole opetuksen järjestämiseen liittyvää toimintaa. ▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. Eli kuvia ei tallenneta rekisteriin. ▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim. paikallislehdessä on sallittua. • Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? • Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? • Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
Julkaisuluvan malli päiväkodeille ja kouluille 27 ▪ Tämä julkaisulupa on vapaasti käytettävissä. ▪ Saatavina Google Drivessa: https://docs.google.com/document/d/1ObAtxeY jtp9KRegV0s0jI2L- pfueGWVmbmv4paertSk/edit?usp=sharing ▪ PDF-versio: https://drive.google.com/file/d/1iHgvNR-VZq_- 4cIUuh4NR2FFz3PVa5g3/view?usp=sharing
Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 28
Tietosuojan huomiointi opetuksen digialustoilla 29
Tietosuoja etäyhteyssovelluksissa 30 ▪ Käytä vain oppilaitoksen sallimia sovelluksia. ▪ Toimita kutsu henkilökohtaisesti opiskelijoille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta. ▪ Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Jos teit tallenteen, huolehdi sen tietosuojasta.
Pilvipalvelut henkilötietoja sisältävien tiedostojen käytössä ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 31
Harkitse ennen kuin jaat! 32 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
Verkkopalvelujen ja sovellusten tietosuoja 33
Mitä sovelluksia ja verkkopalveluita opetuksessa voi käyttää? Opetuksen järjestäjän hallinnoimat sovellukset ▪ Opetuksen järjestäjä on tehnyt päätöksen sovelluksen käytöstä. ▪ Opetuksen järjestäjä toimii rekisterinpitäjänä. ▪ Palveluntarjoajan kanssa on voimassa sopimus henkilötietojen käsittelystä. ▪ Opetuksen järjestäjä luo/antaa tunnukset. → Voi käyttää opetuksessa Sovellus, johon voi kirjautua koulun edu-tunnuksella* ▪ Selvitä, onko tehty sopimus henkilötietojen käsittelystä tai voidaanko se tehdä. → Jos kyllä, oppilaat voivat käyttää palvelua opetuksessa edu-tunnuksilla. ▪ Jos sopimusta ei ole, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Edu-tunnus = koulun hallinnoima opiskelijan käyttäjätunnus. Muu ulkopuolinen sovellus tai verkkopalvelu ▪ Selvitä, voiko sovellusta käyttää ilman tunnuksia ja henkilötietojen antoa. → Voi käyttää opetuksessa ▪ Jos rekisteröityminen vaaditaan, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Jos sovellus on jo valmiiksi oppilaiden omissa laitteissa. → Alle 15-v: laitelupa huoltajalta → Yli 15-v: opiskelijan luvalla 34
Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 35 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
WhatsApp opetuksessa? • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median- palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
Tietosuojarikkomuksiin reagointi 37
Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin. ▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 38
Ohjeista tietosuojarikkomuksiin reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse. Ensikäden havainnoista on hyötyä jatkotutkinnalle. Rekisterinpitäjä yhdessä tietosuojavastaavan kanssa: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Yhteiskunnan kannalta kriittisten organisaatioiden ilmoituslomake: https://eservices.traficom.fi/dataservices/forms/NISlomake.aspx ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 39
Henkilötietojen tietoturvaloukkaus 40 Lähde: Tietosuojavaltuutetun toimisto, 2023, https://tietosuoja.fi/tietoturvaloukkaukset Tarkoitetaan henkilötietojen vahingossa tapahtuvaa tai lainvastaista… ▪ tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tultaan tietoiseksi tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos heille aiheutuu todennäköisesti korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.
41 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

More Related Content

PDF
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
PDF
Oppimisanalytiikka ja GDPR
Harto Pönkä
 
PDF
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
PDF
Tietosuoja etäopetuksessa
Harto Pönkä
 
PDF
Tietosuoja koulussa käytännössä
Harto Pönkä
 
PDF
Tietosuoja kansalaisopiston toiminnassa 17.9.
Harto Pönkä
 
PDF
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä
 
PDF
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Harto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Harto Pönkä
 
Oppimisanalytiikka ja GDPR
Harto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
Harto Pönkä
 
Tietosuoja etäopetuksessa
Harto Pönkä
 
Tietosuoja koulussa käytännössä
Harto Pönkä
 
Tietosuoja kansalaisopiston toiminnassa 17.9.
Harto Pönkä
 
Tietosuoja verkko- ja etäopetuksessa
Harto Pönkä
 
Oppimisanalytiikka, GDPR, tietosuoja ja etiikka
Harto Pönkä
 

Similar to Tietosuoja taiteen perusopetuksen oppilaitoksissa (20)

PDF
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
PDF
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä
 
PDF
Tietosuoja ja henkilötiedot etäopetuksessa
Harto Pönkä
 
PDF
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä
 
PDF
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä
 
PDF
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
PDF
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
PDF
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
PDF
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
PDF
Tietosuoja etätyössä
Harto Pönkä
 
PDF
2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen...
Harto Pönkä
 
PDF
Tietosuoja ja tekijänoikeudet opetuksessa
Harto Pönkä
 
PDF
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä
 
PDF
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
PDF
Somepalvelut musiikkiopiston opetuksessa
Harto Pönkä
 
PDF
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
PPTX
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
PDF
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
PDF
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
PDF
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Tietosuoja etäopetuksessa ja opetuksessa käytettävissä digilaitteissa
Harto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Harto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Harto Pönkä
 
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Harto Pönkä
 
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Tietosuoja etätyössä
Harto Pönkä
 
2. GDPR-päivä: profilointi, markkinointi, tietojärjestelmät ja somepalvelujen...
Harto Pönkä
 
Tietosuoja ja tekijänoikeudet opetuksessa
Harto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Harto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Harto Pönkä
 
Somepalvelut musiikkiopiston opetuksessa
Harto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Harto Pönkä
 
GDPR ja tietosuoja opetustoimessa
Harto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Harto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Harto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Harto Pönkä
 
Ad

More from Harto Pönkä (20)

PDF
Sovelluskirjasto.fi:n FRIA-arvioinnin tietomalli
Harto Pönkä
 
PDF
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 14.5.2025
Harto Pönkä
 
PDF
TikTok – miten lyhytvideot muuttavat uutismaisemaa?
Harto Pönkä
 
PDF
Tekoäly ja tietosuoja -webinaari 19.3.2025
Harto Pönkä
 
PDF
Sosiaalisen median katsaus 03/2025 + tekoäly
Harto Pönkä
 
PDF
Tekoälylukutaito ja tekoälyasetukseen liittyvät velvoitteet opetuksessa
Harto Pönkä
 
PDF
Tekoälynäkymiä ICT- ja media-alalla 12.12.2024
Harto Pönkä
 
PDF
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä
 
PDF
Google Workspace for Education sopimukset ja ongelma: Google on myös rekister...
Harto Pönkä
 
PDF
Some, valetieto ja tekoäly haastavat lukutaidon
Harto Pönkä
 
PDF
Tekoäly- ja feikkisisällöt vs. tiedon huoltovarmuus
Harto Pönkä
 
PDF
Digiopastaminen - silta digikuilun yli? 8.11.2024
Harto Pönkä
 
PDF
Tarkkana somessa! - Algoritmit, disinformaatio, tekoäly
Harto Pönkä
 
PDF
Tekoälylukutaito ja vaikuttajan vastuu 3.9.
Harto Pönkä
 
PDF
Trendikatsaus: oppiminen ja opettaminen digitaalisissa ympäristöissä
Harto Pönkä
 
PDF
Nuorten ruutuaika räjähti – kiitos TikTokin?
Harto Pönkä
 
PDF
Tietosuoja ja informaatioturvallisuus Euroopassa
Harto Pönkä
 
PDF
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Harto Pönkä
 
PDF
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
PDF
Mitä kirjastoissa on hyvä tietää TikTokista?
Harto Pönkä
 
Sovelluskirjasto.fi:n FRIA-arvioinnin tietomalli
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta 14.5.2025
Harto Pönkä
 
TikTok – miten lyhytvideot muuttavat uutismaisemaa?
Harto Pönkä
 
Tekoäly ja tietosuoja -webinaari 19.3.2025
Harto Pönkä
 
Sosiaalisen median katsaus 03/2025 + tekoäly
Harto Pönkä
 
Tekoälylukutaito ja tekoälyasetukseen liittyvät velvoitteet opetuksessa
Harto Pönkä
 
Tekoälynäkymiä ICT- ja media-alalla 12.12.2024
Harto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Harto Pönkä
 
Google Workspace for Education sopimukset ja ongelma: Google on myös rekister...
Harto Pönkä
 
Some, valetieto ja tekoäly haastavat lukutaidon
Harto Pönkä
 
Tekoäly- ja feikkisisällöt vs. tiedon huoltovarmuus
Harto Pönkä
 
Digiopastaminen - silta digikuilun yli? 8.11.2024
Harto Pönkä
 
Tarkkana somessa! - Algoritmit, disinformaatio, tekoäly
Harto Pönkä
 
Tekoälylukutaito ja vaikuttajan vastuu 3.9.
Harto Pönkä
 
Trendikatsaus: oppiminen ja opettaminen digitaalisissa ympäristöissä
Harto Pönkä
 
Nuorten ruutuaika räjähti – kiitos TikTokin?
Harto Pönkä
 
Tietosuoja ja informaatioturvallisuus Euroopassa
Harto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Harto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Harto Pönkä
 
Ad

Tietosuoja taiteen perusopetuksen oppilaitoksissa

  • 2. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
  • 3. Esimerkkejä käsiteltävistä henkilötiedoista 3 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, markkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tunnistetieto/ pseudonymisoitu tunniste Voidaan ehkä käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Etninen tausta, poliittiset mielipiteet, vakaumus, ammattiliiton jäsenyys, terveystiedot, seks.suuntautuminen, geneet. ja biometr. tunnisteet Erityinen henkilötieto (GDPR) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto (julkisuuslaki) Käyttö syrjintään, häirintään ja yksityiselämän loukkaamiseen
  • 4. Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta tai henkilötunnusta ja nimeä ei saa yksinään käyttää rekisteröidyn tunnistamiseen. 4 Tietosuojalaki, 29 §, https://www.finlex.fi/fi/laki/ajantasa/2018/20181050 Kuva: Poliisi, https://poliisi.fi/henkilokortti 010195-112X
  • 5. Rekisteri 5 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 6. Henkilötietojen käyttäjät ▪ ”Rekisteröity” on tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka tietoja käsitellään. ▪ ”Rekisterinpitäjä” on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos monta tahoa tekee yhdessä kyseisen päätöksen, he ovat ”yhteisrekisterinpitäjiä”. ▪ ”Henkilötietojen käsittelijä” on luonnollinen henkilö tai oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Perusteena tulee olla sopimus henkilötietojen käsittelystä. ▪ ”Kolmas osapuoli” on taho, joka ei ole jokin edellä mainituista, ja jolla ei ole oikeutta käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena. ▪ ”Vastaanottaja” on luonnollinen henkilö tai oikeushenkilö, jolle henkilötietoja luovutetaan. 6 Lähde: Euroopan unionin perusoikeusvirasto ja Euroopan neuvosto, 2021, Käsikirja Euroopan tietosuojaoikeudesta, vuoden 2018 painos, https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_fi.pdf
  • 7. Opiskelijarekisteri Lähteenä mm. OPH:n tietosuojaopas, 2018 Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota esimerkiksi vapaaehtoisia lisäpalveluita. ▪ Oppilaalle tulee olla tarjolla aito vaihtoehto, joka ei edellytä suostumuksen antoa. ▪ Suostumuksen kriteerit on täytettävä, mm. informointi henkilötietojen käsittelystä. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. 7
  • 8. Sama tiedot ja tarkoitus = sama rekisteri 8 Opetuksen järjestäminen + yhteensopivat käyttötarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön. Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot
  • 9. Suostumus suoritustietojen tallentamiselle KOSKI-tietovarantoon 9 ▪ Taiteen perusopetuksen koulutuksen järjestäjät ovat voineet päättää oppijoiden tietojen tallentamisesta KOSKI-palveluun 1.1.2023 alkaen. ▪ Vapaatavoitteisen vapaan sivistystyön koulutuksen, vapaan sivistystyön osaamismerkkien ja taiteen perusopetuksen opiskeluoikeus- ja suoritustietojen tallentaminen KOSKI-tietovarantoon perustuu aina oppijan antamaan suostumukseen. ▪ Koulutuksen järjestäjä on sekä järjestämänsä, että hankkimansa taiteen perusopetuksen osalta KOSKI-tietovarantoon tallennettujen tietojen yhteisrekisterinpitäjä OPH:n kanssa. ▪ Koulutuksen järjestäjä vastaa tallennettavan tiedon oikeellisuudesta sekä rekisteröidyn oikeudesta tietojen oikaisemiseen. Lähteet: OPH, Koski-palvelu, https://www.oph.fi/fi/palvelumme/koski-palvelu, Oulujoki-opiston suostumusdokumentti: https://www.suomi.fi/palvelut/lomake/suostumus-taiteen-perusopetuksen-suoritustietojen-tallentamiseen-koski-tietovarantoon- muhoksen-kunta/20a5eeef-3cb2-4f41-9ee4-6f2cb17a287c (haettu 19.9.2024)
  • 10. Suostumus henkilötietojen käsittelyn perusteena 10 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus) sekä tarvittaessa sovellusten asentamiseen. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 11. Oppijoiden henkilötietojen käsittelystä tulee informoida selkeästi Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf 11 Pääsy omiin henkilötietoihin Tietojen oikaisu Tietojen poisto Käsittelyn rajoittaminen Käsittelyn vastustaminen Tietojen siirto toiseen järj. Automaattinen päätöksenteko Oikeus valittaa valvonta- viranomaiselle Käsittelyn oikeusperuste Tietojen säilytysaika Käsiteltävät henkilötiedot Henkilötietojen käsittelijät Tietojen siirto kolmansiin maihin Tietosuojavastaavan yhteystiedot Rekisterinpitäjä ja yhteystiedot
  • 12. GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä 12 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 14. Työnantajan laitteet ja ohjelmat 14 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Virka-/työtunnuksella ei kirjauduta työn ulkopuolisiin verkkopalveluihin (esim. Microsoft-käyttäjätunnus). ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelut hoidetaan sivullisilta suojassa.
  • 15. Tietosuojalaki 35 §: vaitiolovelvollisuus 15 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 16. Huolehdi oppijoiden tietosuojasta 16 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan rekisterinpitäjän linjaukset käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
  • 17. Tietosuoja sähköposteissa 17 ▪ Normaalissa sähköpostissa voi lähettää: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset sähköpostilaatikot, tietoturva kunnossa ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Älä tee massalähetyksiä niin, että vastaanottajat näkevät toistensa osoitteet. ▪ Tarvittaessa piilokopio-toiminto (BCC).
  • 18. Oppijoiden henkilötietojen julkaisu 18 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn (tai alaikäisen huoltajan) suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat lain mukaan ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tai vastaavan hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin saadut suostumukset (suullinen lupa riittää, kunhan se merkitään ylös)
  • 20. Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok/alle 15-v. laitelupa Kuvat/videot: ok Muut hlötiedot: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk./laitelupa Kuvat/videot: lupa Muut hlötiedot: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat/videot: lupa Muut hlötiedot: lupa Muille opettajille ja henkilöstölle tarvittaessa Koko nimi: ok Koulun email ja puh.nrot: ok Muut välttämättömät tiedot: ok Henkilötiedot opetuksen tiloissa ja tilanteissa Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Salaisia puhelinnumeroita ei tule koskaan jakaa tai laittaa esille. 20 Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
  • 21. Kysymys: koevastaukset ja muut salassa pidettävät tiedot 21 ▪ Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja. ▪ Oppilaiden koesuoritukset, niiden arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §). Sama koskee erityisen tuen tarvetta, psykologisia testejä ja soveltuvuuskokeita. ▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä. ▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta. ▪ Perusopetuslain ja lukiolain mukaan oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat päättävät annettavista tiedoista. ▪ Salassapitovelvollisuus ei estä opetuksen järjestämisestä vastaavia ja opetushenkilöstöä ilmoittamasta henkeen tai terveyteen kohdistuvasta uhasta välttämättömiä tietoja poliisille. ▪ Salassa pidettäviä tietoja voidaan antaa myös asianosaisen (tai alaikäisen huoltajan) suostumuksella. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf • Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia kahvipöydässä työtovereilleen? • Vaarantuuko oppilaiden tietosuoja, jos samalla arvioidaan oppilaita ääneen?
  • 22. Kysymys: oppilaan teoksen asettaminen esille 22 ▪ Oppilaan koko nimi voi olla työssä esillä luokan seinällä, jos luokka on pelkästään opetuksen käytössä. Tämä on normaalia opetukseen liittyvää toimintaa. ▪ Kysymyksessä on kuitenkin tietosuojaa enemmän kyse tekijänoikeuksista. ▪ Tekijänoikeuksien kannalta nimen tulee olla esillä teoksessa. Kyse on tekijän ns. isyysoikeudesta. ▪ Oppilas voi itse päättää, miten hän merkitsee nimensä tekemäänsä työhön. ▪ Jos oppilaan työ laitetaan esille julkiseen tilaan tai nettiin, kyse on oppilaan teoksen esittämisestä julkisesti. Tähän tarvitaan oppilaan oma ja alaikäisen tapauksessa lisäksi huoltajan lupa (julkaisulupa). ▪ Jos työ asetetaan julkisesti nähtävästi, myös muut tahot saattavat valokuvata sitä tai jakaa eteenpäin. • Voiko oppilaan työssä (piirros, valokuva tms.) olla hänen etunimensä esillä, kun työ laitetaan luokan seinälle? • Tarvitaanko etunimen käyttöön tällaisessa tapauksessa vanhempien lupa, vai riittääkö, että oppilas on itse halukas laittamaan työnsä esille nimensä kanssa?
  • 23. Henkilöä esittävä valokuva tai video on henkilötieto ja tunnistetieto ▪ Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta vai ei. ▪ Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen ▪ Tunnistamisen voi estää se, että henkilön kasvot eivät näy tai kuva on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. ▪ Henkilön kasvot voi sumentaa tai peittää eli ”anonymisoida” kuvan. ▪ Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 23 Kuva: Pixabay
  • 24. Valokuvat ja videot 24 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää suostumus (julkaisulupa). ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 25. Kysymys: kuvat, videot ja etätilanteiden tallenteet 25 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  • 26. Kysymys: tapahtumissa kuvaaminen 26 ▪ Oppilaitoksen tapahtuma on julkinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. ▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta kieltää sitä. ▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta (ja alaikäisten huoltajilta), sillä se ei ole opetuksen järjestämiseen liittyvää toimintaa. ▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. Eli kuvia ei tallenneta rekisteriin. ▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim. paikallislehdessä on sallittua. • Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? • Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? • Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
  • 27. Julkaisuluvan malli päiväkodeille ja kouluille 27 ▪ Tämä julkaisulupa on vapaasti käytettävissä. ▪ Saatavina Google Drivessa: https://docs.google.com/document/d/1ObAtxeY jtp9KRegV0s0jI2L- pfueGWVmbmv4paertSk/edit?usp=sharing ▪ PDF-versio: https://drive.google.com/file/d/1iHgvNR-VZq_- 4cIUuh4NR2FFz3PVa5g3/view?usp=sharing
  • 28. Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 28
  • 29. Tietosuojan huomiointi opetuksen digialustoilla 29
  • 30. Tietosuoja etäyhteyssovelluksissa 30 ▪ Käytä vain oppilaitoksen sallimia sovelluksia. ▪ Toimita kutsu henkilökohtaisesti opiskelijoille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta. ▪ Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Jos teit tallenteen, huolehdi sen tietosuojasta.
  • 31. Pilvipalvelut henkilötietoja sisältävien tiedostojen käytössä ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 31
  • 32. Harkitse ennen kuin jaat! 32 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
  • 34. Mitä sovelluksia ja verkkopalveluita opetuksessa voi käyttää? Opetuksen järjestäjän hallinnoimat sovellukset ▪ Opetuksen järjestäjä on tehnyt päätöksen sovelluksen käytöstä. ▪ Opetuksen järjestäjä toimii rekisterinpitäjänä. ▪ Palveluntarjoajan kanssa on voimassa sopimus henkilötietojen käsittelystä. ▪ Opetuksen järjestäjä luo/antaa tunnukset. → Voi käyttää opetuksessa Sovellus, johon voi kirjautua koulun edu-tunnuksella* ▪ Selvitä, onko tehty sopimus henkilötietojen käsittelystä tai voidaanko se tehdä. → Jos kyllä, oppilaat voivat käyttää palvelua opetuksessa edu-tunnuksilla. ▪ Jos sopimusta ei ole, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Edu-tunnus = koulun hallinnoima opiskelijan käyttäjätunnus. Muu ulkopuolinen sovellus tai verkkopalvelu ▪ Selvitä, voiko sovellusta käyttää ilman tunnuksia ja henkilötietojen antoa. → Voi käyttää opetuksessa ▪ Jos rekisteröityminen vaaditaan, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Jos sovellus on jo valmiiksi oppilaiden omissa laitteissa. → Alle 15-v: laitelupa huoltajalta → Yli 15-v: opiskelijan luvalla 34
  • 35. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 35 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 36. WhatsApp opetuksessa? • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median- palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
  • 38. Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin. ▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 38
  • 39. Ohjeista tietosuojarikkomuksiin reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse. Ensikäden havainnoista on hyötyä jatkotutkinnalle. Rekisterinpitäjä yhdessä tietosuojavastaavan kanssa: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Yhteiskunnan kannalta kriittisten organisaatioiden ilmoituslomake: https://eservices.traficom.fi/dataservices/forms/NISlomake.aspx ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 39
  • 40. Henkilötietojen tietoturvaloukkaus 40 Lähde: Tietosuojavaltuutetun toimisto, 2023, https://tietosuoja.fi/tietoturvaloukkaukset Tarkoitetaan henkilötietojen vahingossa tapahtuvaa tai lainvastaista… ▪ tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tultaan tietoiseksi tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos heille aiheutuu todennäköisesti korkea riski. Henkilötietojen käsittelijän on ilmoitettava loukkauksesta rekisterinpitäjälle viipymättä.