MITÄ OPETTAJAN TULEE TIETÄÄ TIETOSUOJA-ASETUKSESTA? D I G I O P P I M I S E N A R E E N A 2 7. 1 1. 2 0 1 8 Henriikka Hannula, OTM linkedin.com/in/henriikkahannula/
TIETOSUOJAN TARKOITUKSENA ON SUOJATA IHMISTEN OIKEUKSIA, VAPAUKSIA JA OIKEUSTURVAA HENKILÖTIETOJEN KÄSITTELYSSÄ.
MIKÄ IHMEEN TIETOSUOJA-ASETUS? EU:n yleinen tietosuoja-asetus eli tuttavallisemmin GDPR (General Data Protection Regulation) tuli sovellettavaksi 25.5.2018. Tuli tarpeeseen, sillä edeltäjänsä henkilötietodirektiivi (1995) ja myös siihen perustunut kotimainen henkilötietolaki (1997) olivat auttamattomasti vanhentuneita Vaikka tietosuoja-asetus on jokaisessa EU-maassa suoraan sovellettavaa oikeutta, se sisältää hieman kansallista liikkumavaraa. Eduskunta hyväksyi äskettäin tietosuojalain, jolla täydennetään tietosuoja-asetusta Tietosuoja-asetusta ja tietosuojalakia sovelletaan aina rinnakkain Muutos ei ole huima aiempaan verrattuna. Samat perusperiaatteet ja lähtökohdat edelleen päteviä Tietosuoja-asetus menee kuitenkin askeleen pidemmälle
TIETOSUOJAN PERUSKÄSITTEET JA TOIMIJAT Henkilötieto on tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan henkilöön suoraan tai epäsuorasti. Käsitettä ei siis voida kiertää esimerkiksi nimimerkeillä tai opiskelijanumeroilla. Henkilötietojen käsittelyä ovat kaikki henkilötietoihin kohdistuvat toimenpiteet myös passiivinen säilyttäminen. Rekisteröity on henkilö, jota henkilötieto koskee, kuten oppilas tai opiskelija. Rekisterinpitäjä on se taho, joka määrää henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun tämän toimeksiannosta. Henkilötietojen käsittelijä voi olla esimerkiksi sähköisen oppimateriaalin palveluntarjoaja. Rekisterinpitäjän alaisuudessa työskentelevä henkilö ei ole henkilötietojen käsittelijä!
EKSTRADIA ITSENÄISEEN OPISKELUUN: MIKSI TIETOSUOJA-ASETUSTA EI SOVELLETA NAULAKOIHIN? Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, mutta tähän on poikkeuksia. Automaattiseen henkilötietojen käsittelyyn tietosuoja-asetusta sovelletaan aina. Manuaaliseen henkilötietojen käsittelyyn tietosuoja-asetusta sovelletaan vain silloin, kun syntyy rekisteri tai sen osa. Nimikoidut tavarat eivät muodosta rekisteriä edes vierekkäin (esim. lasten nimet naulakossa) Lista pelkistä nimistä ei ole rekisteri (esim. luokan oppilaiden nimet opettajan joulukortissa) Pino kolmannen luokan matematiikan kokeita voi olla rekisteri Viime viikon koepaperit pöydällä pinossa arviointia odottamassa» ei rekisteri Viime vuoden koepaperit mapissa oppilaiden nimien mukaan aakkosjärjestykseen järjestettyinä» on rekisteri Henkilökohtaiseen tarkoitukseen, kuten ystäväkirjan kokoamiseen, harjoitettavaan henkilötietojen käsittelyyn tietosuoja-asetusta ei sovelleta ollenkaan. Rekisterillä tarkoitetaan jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, kuten nimen tai maantieteellisen sijainnin avulla.
KUKA ON VASTUUSSA OPPILAITOKSEN TIETOSUOJASTA? Rekisterinpitäjä on vastuussa henkilötietojen käsittelyn lainmukaisuudesta sekä sen osoittamisesta. Oppilaitoksissa rekisterinpitäjä on opetuksen tai koulutuksen järjestäjä taikka muu oppilaitoksen ylläpitäjä. Kunnallisissa oppilaitoksissa rekisterinpitäjä on opetustoimen hallinnosta vastaava toimielin Jos opetuksen tai koulutuksen järjestäminen perustuu viranomaisen myöntämään lupaan, rekisterinpitäjä on se taho, jolle lupa on myönnetty Rekisterinpitäjä voi olla myös oppilaitos itse, kuten yliopisto On rekisterinpitäjän tehtävä huolehtia siitä, että opetushenkilöstö on saanut riittävät ohjeet henkilötietojen käsittelystä. Käytännössä henkilötietojen käsittelyä koskeva arjen päätöksenteko on usein delegoitu suoraan oppilaitoksen johdolle ja muulle henkilöstölle, mutta rekisterinpitäjän vastuita ei silti voi ulkoistaa
MILLAINEN ON OPETUSHENKILÖSTÖN VASTUU? Opetushenkilön tehtävänä on noudattaa rekisterinpitäjän antamia ohjeita. Lisäksi heidän tulee tunnistaa tietoturvaloukkaukset ja ilmoittaa niistä eteenpäin. Jos opettaja toimii vastoin rekisterinpitäjän ohjeita, hän ottaa merkittävän riskin. Omavaltaisesti henkilötietojen käsittelyn tarkoitukset tai keinot määräävää henkilöä voidaan pitää rekisterinpitäjänä Pahimmassa tapauksessa voidaan tuomita tietosuojarikoksesta (edellyttää tahallisuutta tai törkeää huolimattomuutta) Tietoturvaloukkaus on tapahtuma, jonka seurauksena henkilötietojen turvallisuus vaarantuu. Tästä on kyse silloin, kun tiedot vahingossa tai lainvastaisesti tuhoutuvat, häviävät tai muuttuvat sekä silloin, kun joku on päässyt tietoihin luvattomasti käsiksi tai niitä on luovutettu virheellisesti. Esimerkiksi henkilötietoja sisältävän muistitikun hukkaaminen, todistusten jakaminen väärille oppilaille tai virus opettajan tietokoneella ovat tietoturvaloukkauksia.
TIETOSUOJAN HUOMIOIMINEN OPETUSHENKILÖSTÖN ARJESSA Älä pelkää tietosuoja-asetusta. Sitä ei tarvitse osata ulkoa, vaan perusasioiden (ks. seuraavat diat) hallitseminen riittää Jos jokin asia epäilyttää, kysy rohkeasti neuvoa rekisterinpitäjän edustajalta, tietosuojavastaavalta, oppilaitoksen johdolta tai tietosuojavaltuutetun toimistosta Tunnista toimenkuvaasi liittyvä henkilötietojen käsittely. Kartoita hallussasi olevat henkilötiedot ja varmista, että pystyt hallitsemaan niitä. Saatat jossain vaiheessa joutua esittämään ne esimerkiksi tietosuojavaltuutetun selvityspyynnöstä tai rekisteröidyn tarkastuspyynnöstä johtuen Henkilötietoja ei tule säilyttää missä ja miten sattuu
TIETOSUOJAN ABC I: TIETOSUOJAPERIAATTEET Periaate Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus Sama suomeksi Varmista, että henkilötietojen kerääminen ja käsittely on opetuksen järjestämisen näkökulmasta perusteltua. Älä kerää henkilötietoja odottamattomalla tavalla. Kerro henkilötietojen käsittelystä rekisteröityjen ikään nähden sopivalla tavalla. Jos henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen, älä käytä tai luovuta niitä mihinkään muuhun. Kerää ja käsittele vain olennaisia henkilötietoja, jotka ovat oikeasti tarpeellisia opetuksen järjestämiseksi. Varmista, että henkilötiedot pitävät paikkansa ja ovat ajan tasalla. Jos henkilötiedot eivät ole enää tarpeellisia eikä laki velvoita säästämään niitä, ne pitää hävittää. Pidä huolta henkilötietojen asianmukaisesta turvallisuudesta ja luottamuksellisuudesta sekä fyysisessä että sähköisessä ympäristössä.
TIETOSUOJAN ABC II: TUNNISTA RISKIT Tietosuoja-asetus korostaa riskiperusteista lähestymistapaa tarvittavat suojatoimenpiteet arvioidaan tapauskohtaisesti. Voisiko henkilötietojen paljastuminen johtaa esimerkiksi identiteettivarkauteen tai koulukiusaamiseen? Kaikki tiedot eivät ole henkilötietoja, eivätkä kaikki henkilötiedot ole samanarvoisia. Tiedot, joita ei voida yhdistää henkilöön, eivät ole henkilötietoja (tilastot, keskiarvot, anonyymi tieto) Erityisiin henkilötietoryhmiin kuuluvat tiedot edellyttävät erityistä suojelua, eikä niitä saa käsitellä kuin tietyissä tilanteissa Erityisiin henkilötietoryhmiin kuuluvat tiedot, joista käy ilmi rotu, etninen alkuperä, uskonnollinen tai filosofinen vakaumus taikka ammattiliittoon kuuluminen sekä tiedot, jotka koskevat seksuaalista käyttäytymistä ja suuntautumista, terveydentilaa tai poliittisia mielipiteitä. Myös geneettiset ja biometriset tiedot kuuluvat erityisiin henkilötietoryhmiin.
TIETOSUOJAN ABC III: REKISTERÖIDYN OIKEUDET Opetushenkilöstön roolina on avustaa rekisteröidyn oikeuksien toteuttamisessa. Rekisteröidyn oikeuksien käyttämistä koskevat pyynnöt tulee tunnistaa ja ohjata eteenpäin opettajan ei tarvitse arvioida, onko pyyntö pätevä vai ei Opettajan tulee silti varautua esittämään hallussaan olevat tiettyä rekisteröityä koskevat henkilötiedot Oppilas tai opiskelija voi tietosuoja-asetuksen nojalla aina vaatia Omien henkilötietojensa näkemistä tai vahvistusta siitä, että häntä koskevia tietoja ei käsitellä Tietoja siitä, miksi hänen henkilötietojaan käsitellään, mistä ne ovat peräisin ja mitä niillä tehdään Itseään koskevien virheellisten, epätarkkojen tai vanhentuneiden henkilötietojen oikaisemista Jos henkilötietojen käsittelystä on säädetty laissa, rekisteröity ei voi vaatia tietojen poistamista tai henkilötietojensa käsittelyn lopettamista. Esimerkiksi arvosana- ja läsnäolotiedot ovat tästä syystä turvassa poistamisvaatimuksilta Jos henkilötietojen käsittely ainoastaan tukee opetuksen järjestämistä, rekisteröity voi kuitenkin tietyissä tapauksissa vastustaa käsittelyä
MUISTA AINAKIN NÄMÄ Älä hanki henkilötietoja sopimattomalla tavalla. Älä luovuta henkilötietoja tarkoituksiin, jotka eivät liity opetuksen järjestämiseen tai tahoille, joille tiedot eivät kuulu. Ole erityisen tarkka sähköisten työvälineiden kanssa. Varmista sähköisten palveluiden soveltuvuus oppilaitoksen johdolta tai rekisterinpitäjältä Jos jokin sähköinen palvelu on jatkuvasti iltapäivälehtien lööpeissä, se ei kuulu opetuskäyttöön Näin on tehty aina ennenkin tai opetus on tärkeämpää kuin joku asetus eivät ole hyväksyttäviä argumentteja tietosuoja-asioiden laiminlyömiseen!
TIETOSUOJA-ASETUS EI OLE MIKÄÄN KURKKUDIREKTIIVI. SE EI KIELLÄ NAULAKOIDEN NIMIKOIMISTA TAI EDELLYTÄ JÄRJESTÄJÄLIS TOJEN SÄILYTTÄMISTÄ KASSAKAAPISSA.
KIITOS! Tietosuoja-asetuksen noudattaminen on jatkuva prosessi, ei kertarykäisy. Ota yhteyttä! henriikka.hannula@agendium.com linkedin.com/in/henriikkahannula puh. 050 527 9898 Oppilaitoksen tietosuoja-asiat kuntoon osoitteessa tietosuojamalli.fi.