Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet ammatillisen koulutuksen asiantuntija Riikka Reina, AMKE ry riikka.reina@amke.fi
Turvallisuuden kokonaisuus Arjen turvallisuus Oppilaitosturvallisuuden osat ja vaatimukset Elinkeinoelämän Keskusliiton EKn Yritysturvallisuuden kehä muokattuna oppilaitosturvallisuuden tarpeisiin Lähde: EK, 2016 Muokkaus: TURVIS-verkosto 2017
Tietoturva on olennainen osa turvallisuutta Tietoturvallisuuden osa-alueet organisaation ja käyttäjien näkökulmasta: hallinnollinen ja organisatorinen tietoturvallisuus henkilöstöturvallisuus fyysinen turvallisuus tietoliikenneturvallisuus laitteistoturvallisuus ohjelmistoturvallisuus tietoaineistoturvallisuus käyttöturvallisuus
Nykyiset lait tietosuojan osalta Laki viranomaisen toiminnan julkisuudesta 621/1999 Arkistolaki 831/1994 Hallintolaki 434/2003 Asetus viranomaisen toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta, 1030/1999 julkisuusasetus Henkilötietolaki 523/1999 GDPR ei siis ole tietohallinnon asia, vaan koskee kaikki toimijoita
Vastuu ja toimivalta laissa ja käytännössä Johtaja/Rehtori Toimipisteen johtaja Koulutusjohtaja ja päällikkö Opettaja Oppilashuollon henkilöstö Erityisvastuulliset Muu henkilöstö Työpaikalla tapahtuvan oppimisen henkilöt
Tietosuoja-asetus (GDPR) Tietosuoja-asetus on suoraan kaikissa EU-maissa noudatettava asetus, jossa määrätään muun muassa henkilötietojen keräämisestä, tallentamisesta ja käytöstä. Asetus on suoraan velvoittavaa eli sitä ei tarvitse saattaa voimaan kansallisella lainsäädännöllä. Asetus on tullut voimaan keväällä 2016. Nyt on meneillään kahden vuoden siirtymäaika ja tietosuoja-asutusta aletaan soveltaa 25.5.2018 lähtien siirtymäajan päätyttyä. Asetus koskee viranomaisia, säätiöitä, yrityksiä ja muita yhteisöjä, mikäli ne käsittelevät henkilötietoja. Asetus koskee kaikkia ammatillisen koulutuksen järjestäjiä
Henkilötieto on Yksinkertaistaen henkilötieto on tieto tai merkintä, joka koskee luonnollista henkilöä (ihmistä) taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavat, ja jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Nykyinen henkilötietolaki kumotaan ja tilalle tulee tietosuojalaki vielä kevään aikana. Laki tarkentaa voimaantulevaa asetusta, ei muuta.
Henkilötietojen käsittely oppilaitoksessa Mitä henkilötietoja - kerätään - säilytetään - luovutetaan - tuhotaan sekä millä perusteella suoritetaan edellä lueteltuja käsittelytoiminpiteitä. Lisäksi tulee selvittää muun muassa missä tiedot ovat ja onko huolehdittu muun muassa tietoturvasta ja siitä, että vain ne henkilöt käsittelevät henkilötietoja, joilla on oikeus käsittelyyn. Nyt toimintaa on ohjeistettu henkilötieto-, julkisuus ja arkistolaissa. Mikäli toimintaohjeet vastaavat näitä lakeja, ollaan jo pitkällä.
Osoittamisvelvollisuus Pelkkä lain noudattaminen ei riitä, vaan organisaation tulee osoittaa, että se noudattaa asetusta. Osoittamisvelvollisuus tällä tasolla on uutta. Dokumentaatio. Tietosuojaselosteet ajantasalle. Henkilötietojen käsittelyä koskeva ohjeistus kannattaa läpikäydä viimeistään nyt.
Tiedon käsittely Käyttäjiltä tulee olla suostumus henkilötietojen keräämiseen. Tähän vaaditaan rekisteröidyn henkilön vapaaehtoinen ja tietoinen suostumus. Käyttäjällä on oikeus nähdä mitä tietoa hänestä on kerätty. Tietosuoja-asetuksen mukaan henkilöillä on oikeus saada pääsy omiin henkilötietoihinsa. Organisaation on henkilön pyytäessä osoitettava käsitelläänkö häntä koskevia henkilötietoja, sekä toimitettava dokumentaatio kaikista henkilötiedoista. Henkilötietojen käsittelyssä paljon jo voimassa olevaa. Lapsina kohdeltavien henkilöiden ikäraja tarkentuu kevään aikana. Seuraa asiaa!
Oikeus tulla unohdetuksi Tarkoittaa rekisteröidyn oikeutta pyytää organisaatiota poistamaan hänestä kerättyä vanhentunutta tietoa. Henkilö pystyy myös poistamaan suostumuksensa siitä, että on antanut luvan henkilötietojensa keräämiselle. On jo tällä hetkellä voimassa nykylain mukaan, mutta asetuksen jälkeen pyynnöt yleistynevät. Tärkeää huomata, että ammatillisen koulutuksen lainsäädännöstä seuraa tilanteita, jolloin tietojen poistaminen ei ole mahdollista! Nämä erityistapaukset on tunnistettava.
Palveluita tai järjestelmiä toimittavat mukaan Ulkoistettu henkilötietojen käsittely (opiskelijahallintajärjestelmät) vaativat kirjallisen sopimuksen. Sopimuksen sisällöstä asetuksessa tarkemmat ohjeet. Mahdollisten uusien henkilötietoja käsittelevien järjestelmien tai palveluiden hankkimisessa asetuksen vaatimukset jo hankintavaiheessa huomioon.
Tietoturvan loukkauksista ilmoitus Organisaatioilla on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Ilmoitus on tehtävä ilman aiheetonta viivytystä ja viranomaiselle 72 tunnin kuluttua loukkauksen havaitsemisesta. Tietosuojavastaava vastaa ilmoituksen tekemisestä.
Tietosuojavastaava on pakollinen Ammatillisen koulutuksen järjestäjällä tulee olla tietosuojavastaava, joka: - varmistaa asetuksen noudattamisen organisaatiossa ja - opastaa henkilökunnan asetuksen mukaiseen henkilötietojen käsittelyyn sekä dokumentointitarpeisiin. AMKEn jäsenet voivat ilmoittaa tietosuojavastaavan toimisto@amke.fi
Tietosuojavastaavan tehtävä ja asema Tehtävien laajuus sovitaan erikseen sopimuksessa ja tehtäväkuvauksessa Lähtökohtaisesti tietosuojavastaavan tehtävänä on organisaation erityisasiantuntijana auttaa rekisterinpitäjän velvollisuuksien toteuttamisessa Päätökset tekee hallinnollinen johto Hallinnollinen johto ei voi ulkoistaa rekisteripidon vastuita tietosuojavastaavalle Tietosuojavastaavan tehtävän voi ulkoistaa tai hankkia yhdessä
Rekisterinpitäjän sanktiot kovia Suomessa uusi väline. Aiemmin Suomessa tietosuojavaltuutettu on toiminut valistajana, ohjeistajana ennen sakkoja. Uutta tietosuojaasetuksen valvonnasta vastaavan viranomaisen roolia haetaan suhteessa sanktioihin. Sanktiot ovat kaikissa tapauksissa kovia, yleensä liikevaihtoperusteisia, esim n. 2-4 % liikevaihdosta. Sanktioiden tarkka määrä tarkentuu kevään aikana
Tietosuojan tsekkauskysymykset Kuka vastaa tietosuojasta organisaatiossanne? Onko tietosuojariskit arvioitu ja hallinnassa? Miten käytännössä hoidetaan asiakkaan vaatimukset omien tietojensa käsittelystä? Kuka hoitaa? Tuntevatko henkilötietojen käsittelijät omat velvollisuutensa?
Keinot: nykytila riskit - tietotilinpäätös Nykytila (hyviä kysymyksiä ja malleja) https://opitietosuojaa.fi/index.php/fi/extrat/blogi/109-nait-teet-tietosuojannykytila-analyysin Riskienkartoitus (hyvä malli) https://www.vahtiohje.fi/c/document_library/get_file?uuid=d1bcc4b1-789e- 4ce1-a44a-e591a60985b5&groupId=10128 Tietotilinpäätös (hyvä malli) http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietos uojavaltuutetuntoimisto/oppaat/6jfpznvch/laadi_tietotilinpaatos.pdf
Palveluita on saatavilla älä ostaa sikaa säkissä Yritykset ovat huomanneet markkinaraon. Erittäin paljon palveluita ja koulutusta tarjolla - valitse harkiten. Katso, että palvelun tarjoajalla on tuntuma ammatillisen koulutuksen toimialaan. Valitse vain sellaista, johon on tarve. Paljon ilmaista tietoa saatavilla (esim. Kauppakamari). Vastuuta tietosuojasta et voi ulkoistaa. AMKE kokoaa tietosuojavastaavat yhteen vaihtamaan ajatuksia 1.2.2018
Hyödyllisiä linkkejä https://www.privacy-regulation.eu/fi/index.htm http://vm.fi/vahti-eu-tietosuojan-kokonaisuudistus-seminaari http://vm.fi/juhta-vahti-yhteishankkeiden-materiaalit http://www.tietosuoja.fi/fi/ http://www.tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/01/uusio pasauttaarekisterinpitajiaeuntietosuojaasetukseenvalmistautumisessa.html