EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679 9.11.2017 Ammattikorkeakoulujen opintoasiainpäivät, Vaasa Lakimies Anna Johansson, Aalto-yliopisto
Keskeisiä henkilötietojen käsittelyä ohjaavia lakeja opintoasioissa NYT Ammattikorkeakoululaki: toiminnan perusta 21 toiminnan julkisuuteen sovelletaan julkisuuslakia kuten viranomaisen toimintaan 40 arkaluonteisten tietojen käsittely Julkisuuslaki (JulkL): asiakirjojen julkisuus/salassapito 3 avoimuuden ja hyvän tiedonhallintatavan toteuttaminen 16.3 henkilötietojen luovuttaminen viranomaisen henkilörekisteristä- > henkilötietolainsäädäntö 29 teknisen käyttöyhteyden avaaminen viranomaisen henkilörekisterin tietoihin Henkilötietolaki (HetiL): henkilötietojen käsittely 2
Yleinen tietosuoja-asetus Sovelletaan 25.5.2018 alkaen, suoraan sovellettavaa oikeutta ei edellytä kansallista lakia Keskeistä: Rekisteröidyn oikeudet laajenevat ja oikeussuojakeinot paranevat Rekisterinpitäjän velvollisuudet kasvavat ja lainvastaisen henkilötietojen käsittelyn seuraamukset ankaroituvat Uutuuksia rekisterinpitäjälle: Tietosuojavastaava (aiemmin vain SOTE, nyt laajasti) Tietoturvaloukkauksista raportointi (valvontaviranomainen ja rekisteröity) Hallinnolliset sanktiot (ei vielä tietoa, koskeeko julkishallinnon elimiä) 3
Sisäänrakennettu ja oletusarvoinen tietosuoja Rekisterinpitäjän (korkeakoulu) on toteutettava -asianmukaiset tekniset ja organisatoriset toimenpiteet ja tarvittavat suojatoimet, jotta käsittely vastaisi asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin -asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja Toimenpiteet suunnitellaan riskiperusteisesti -huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski 4
Rekisterinpitäjän osoitusvelvollisuus Rekisterinpitäjä (korkeakoulu) osoittaa, miten se käytännössä ottaa huomioon tietosuojaperiaatteet henkilötietojen käsittelyssä - Käsittelyn lainmukaisuus (henkilötietojen käsittelyn oikeusperusteet), kohtuullisuus ja läpinäkyvyys OPISKELIJATIEDOT: pääasiallinen oikeusperuste: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi - Käyttötarkoitussidonnaisuus - Tietojen minimointi ja säilytyksen rajoittaminen OPISKELIJATIEDOT: keskeisten tietojen säilytys tietovarannossa pysyvästi, korkeakoulu säilyy rekisterinpitäjänä - Tietojen täsmällisyys - Tietojen eheys ja luottamuksellisuus 5
Rekisteröidyn oikeudet - Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä - Rekisteröidyn oikeus saada pääsy tietoihinsa - Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi OPISKELIJATIEDOT: oikeus tulla unohdetuksi ei koske käsittelyä, joka on tarpeen lakisääteisen tehtävän hoitamiseksi - Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta - Oikeus siirtää tiedot järjestelmästä toiseen OPISKELIJATIEDOT: ei koske käsittelyä, joka on tarpeen lakisääteisen tehtävän hoitamiseksi - Vastustamisoikeus OPISKELIJATIEDOT: Oikeus vastustaa tietojen käsittelyä suoramarkkinointiin (Huom! Julkisuuslaki) 6
Näkökulma: mitä toimia opintoasioissa tyypillisesti tarvitaan asetukseen valmistautumisessa->kaikki ei uutta 1) Henkilötietojen käsittelyprosessien suunnittelu ja kuvaus huomioiden henkilötietojen käsittelyn elinkaari ->liittyy myös tekniset vaatimukset järjestelmiltä ja tietoturva 2) Vastuuroolien kuvaus huomioiden uudet velvoitteet kuten tietosuojarikkomuksista raportointi 3) Koulutus ja ohjeistus henkilöille, jotka henkilötietoja työtehtävissään käsittelevät 4) Opiskelijoiden informointi ymmärrettävällä tavalla heidän henkilötietojensa käsittelystä Dokumentoidaan toimenpiteet 7
Kansallisia säädösmuutoksia Kansallisen lainsäädännön tarkistaminen, OM-hanke, syksy 2017 TATTI-ryhmä Henkilötietolain kumoaminen, tietosuoja-asetusta täydentävä Tietosuojalaki - Tietosuojaviranomaista koskevan sääntelyn tarkistus - Asetuksen tarjoama kansallisen liikkumavaran hyödyntämistarve->esim. henkilötietojen käsittely tieteellisessä tutkimuksessa; hallinnollisten sakkojen määrääminen julkishallinnon elimille; julkisuusperiaatteen ja tietosuojan yhteensovittaminen(?) Huom! Useassa lakivalmistelussa tietosuoja-asetus huomioidaan, esim. Tiedonhallintalaki, VM-hanke, syksy 2017: Julkisen hallinnon tiedonhallinta ja tietoturva, tietojen luovuttaminen ja rekistereiden hyödyntäminen, salassapito, korvaa mm. arkistolain Opiskelijatietojen kannalta merkittävä on ns. KOSKI-laki Hallituksen esitys eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä Korvaa mm. lain opiskelijavalintarekisteristä, korkeakoulujen valtakunnallisesta tietovarannosta ja ylioppilastutkintorekisteristä (18.12.1998/1058) 8
Valmisteluorganisaatiota ja -verkostoja Yliopistojen ja ammattikorkeakoulujen välinen yhteistyö, CSC.. KOOTuki-ryhmä Ammattikorkeakoulujen opintoasiainpäälliköiden yhteistyöverkosto AAPA - Ammattikorkeakoulujen tietohallintojohtajien yhteistyöverkosto OHA-forum - Yliopistojen opintohallintojohtajien yhteistyöverkosto FUCIO - yliopistojen tietohallintojohtajien yhteistyöverkosto Opetushallitus Korkeakoulujen tietosuojavastaavat lista Alakohtaisia kansallisia yhteistyöryhmiä: O2 opetuksen alueella -tehtävänä mm. korkeakoulujen opintotietojen tietosuojakäytännesääntöjen päivitys (alustava kartoitus: Anna Johansson/Aalto, Laura Karppinen/HY ja Jukka Tuomela/TAY) Huom! Ei välttämättä tietosuoja-asetuksen mukaiset käytännesäännöt vaan ohjeet jatkossa Nykyiset henkilötietolain mukaiset käytännesäännöt löytyvät: https://wiki.eduuni.fi/display/csckootuki/korkeakoulujen+opintotietojen+tieto suojan+kaytannesaannot 9