Tietosuoja oppilaitoksen hallinnossa

Tietosuoja
oppilaitoksen
hallinnossa
Harto Pönkä
27.2.2020

EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.
GDPR

Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.

Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Kuvassa on ns. tavallisia henkilötietoja.
Huom. Jos IP-osoite ei mahdollista henkilön tunnistamista, se ei ole henkilötieto.

Henkilötunnus
• Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos
käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä:
– 1) laissa säädetyn tehtävän suorittamiseksi;
– 2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi;
– tai 3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
• Henkilötunnusta ei ole tarkoitettu tunnistamiseen vaan
yksilöimiseen, sillä se voi olla ulkopuolisten saatavissa.
– Henkilötunnuksen kysyminen ei ole luotettava tapa selvittää esim. puhelimessa tai
internetissä asioivan henkilöllisyyttä.
– Henkilötunnusta saa kysyä yhtenä tietona muiden joukossa.
– Henkilötunnusta ei pidä käyttää salasanana.
• Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin.
Lähteet: Tietosuojalaki 29 §, https://www.finlex.fi/fi/laki/ajantasa/2018/20181050,
Tietosuojavaltuutetun toimisto, Usein kysyttyä henkilötunnuksesta, https://tietosuoja.fi/usein-kysyttya-henkilotunnus (26.2.2020)

Arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1

Arkaluontoisia tietoja saa käsitellä, jos…
• rekisteröity on antanut nimenomaisen suostumuksensa eikä mikään laki sitä estä
• käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten
oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla
• käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen
suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan
• käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan
liittyvän säätiön, yhdistyksen tai vastaavan toiminnan yhteydessä ja käsittely koskee
niiden jäseniä
• käsittely koskee henkilötietoja, jotka rekisteröity on saattanut julkisiksi
• käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• käsittely on tarpeen tärkeää yleistä etua koskevasta syystä lain nojalla;
• käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia
varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys-
tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai
sosiaalihuollon palvelujen ja järjestelmien hallintoa varten lain perusteella
• käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi jne. lain perusteella
• käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja
historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lain nojalla
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,

Lähde: Laki
ammatillisesta koulutuksesta,
https://www.finlex.fi/fi/laki/alkup/2017/20170531
Arkaluonteisten
tietojen käsittely
ammatillisessa
koulutuksessa 1/2

Lähde: Laki
ammatillisesta koulutuksesta,
https://www.finlex.fi/fi/laki/alkup/2017/20170531
Arkaluonteisten
tietojen käsittely
ammatillisessa
koulutuksessa 2/2

4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

Kysymys: milloin kyse henkilörekisteristä?
- Milloin ”muu rekisteri” muuttuu henkilötietorekisteriksi?
• Läppäri 233
• Varattu klo 10-14
• Käyttö: opiskelu
• Haettu klo: 9:50
• Palautettu klo 14:00
• Varaaja ID: 20231
• Läppäri 112
• Läppäri 159
• Läppäri 217
• Läppäri 233
• Läppäri 288
• Läppäri 289
• Läppäri 302
• Läppäri 312
• 20111: Essi Esimerkki
• 19547: Matti Mainio
• 31313: Aku Ankka
• 20231: Jaska Jokunen
• 45990: Maija Mallikas
• 21331: Joku Vaan
A B C
Sisältää henkilötietoja = muodostavat yhdessä rekisterinEi sisällä henkilötietoja

• Opiskelijahallinto-rekisteri Primus
– Primus, Kurre, Wilma
– Hakijarekisteri, opiskelijarekisteri (sis. huoltajatiedot), opettajarekisteri,
henkilökuntarekisteri ja työpaikkaohjaajien, -yhteyshenkilöiden ja arvioijien rekisteri
• Rasekon henkilöstöhallinto‐rekisteri (Populus)
– Palkkausjärjestelmän rekisteri, luottamustoimipalkkiojärjestelmän rekisteri
henkilöstöhallinnan rekisteri, vakanssirekisteri (virat), status-järjestelmä
• Tietoverkon käyttäjähakemisto
– Office365 (opiskelijat+henkilökunta), Webropol (opiskelijat+henkilökunta), ESMI
(opiskelijoiden kulunvalvonta), SafeQ -turvatulostus (opiskelijat+henkilökunta)
• Ceepos-kassajärjestelmä rekisteri
• RasekoNews -uutiskirjeen osoiterekisteri
• Rasekon tarjousten käsittely ja sopimusten hallinta
• Rasekon tallentavan kameravalvontajärjestelmän rekisteri
• Rasekon erityisruokavaliot rekisteri
• Webropol-kyselyjärjestelmä
• Apurahojen hakemista ja myöntämistä koskeva rekisteri
Rasekon rekistereitä
Lähde: Raseko.fi-sivusto, 25.2.2020

Kuvakaappaus, lähde:
https://www.raseko.fi/wp-
content/uploads/2018/09/Rekisteriseloste_o
piskelijahallintorekisteri.pdf (25.2.2020)
Rasekon
opiskelijahallinto-
rekisterin rekisteri-
ja tietosuojaseloste

• Opetuksen järjestäminen
• Opiskelijavalinnat ja muut opintoihin liittyvät valinnat
• Oppilashuolto ja erityisen tuen tarve
• Paikallaolot, suoritukset, testit, arviointi
• Opiskeluun liittyvä yhteydenpito (puhelin, sähköposti, some)
• Opiskeluun liittyvät järjestelmien käyttäjätunnukset
• Oppimisanalytiikka ja oppimisen tukeminen tietojärjestelmissä
• Kuvaus- ja tekijänoikeusluvat
• Harjoitteluihin ja vierailuihin liittyvät tiedot
• Kulunvalvonta koulutustiloissa
• Yhteydenpito huoltajiin
• Markkinointi, jos siihen on saatu suostumus
Opiskelijarekisterin käyttötarkoituksia

- Muodostaako opiskelijavalintaa varten luotu valintakokeiden
tulostiedosto erillisen rekisterin, kun hakijoiden henkilötiedot on
noudettu Opintopolusta?
- Muodostaako opiskelijoista luotu tiedosto (op-määrä,
valmistunut/keskeyttänyt jne.) oman rekisterin, kun tiedot on
haettu oppilaitoksen opiskelijahallintajärjestelmästä?
Kysymys: opiskelijavalinnan rekisterit
• Opintopolun opiskelijavalintarekisteri on Opetushallituksen rekisteri, josta
tietoja luovutetaan toiselle asteelle ja korkeakouluille.
– Tietosuojaseloste: https://opintopolku.fi/wp/tietosuojaseloste/opintopolun-
opiskelijavalintarekisterin-tietosuojaseloste/
• Tietojen luovutuksessa tiedot siirtyvät uudelle rekisterinpitäjälle eli tulevat
osaksi tämän pitämää henkilötietorekisteriä. Kyse on siis ”uudesta” rekisteristä.
– Poikkeuksia tästä ovat tilanteet, joissa kyse on yhteisrekisterinpitäjien välisestä tiedonsiirrosta,
tai henkilötietojen käsittelystä rekisterinpitäjän lukuun. Opintopolun tapauksessa näin ei ole.
• Käytännössä tiedot tulevat osaksi oppilaitoksen omaa opiskelijarekisteriä.
• Oppilaitoksen tulee huolehtia rekisterinpitäjän velvollisuuksista kuten
rekisteriselosteen laadinnasta ja rekisteröityjen informoinnista.

- Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun
edustaja ja harjoittelupaikan ohjaaja.
- Miten harjoittelusopimuksia tulisi säilyttää/käsitellä?
- Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota
hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille,
onko kyseessä erillinen rekisteri?
Kysymys: harjoittelusopimukset
• Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain
alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin).
• Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan.
• Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole
henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi
harjoittelupaikkojen yhteyshenkilöiden tietoja.
• Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi
hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa
erikseen markkinoinnissa käytettävät yhteystiedot.

Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
Seloste käsittelytoimista ja rek. ryhmät
• Yli 250 työntekijän organisaatio  seloste on pakollinen
• Alle 250 työntekijän organisaatio  seloste on tehtävä, jos
• henkilötietojen käsittely ei ole satunnaista
• toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille
• tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
• Selosteen ei ole pakko olla taulukko (kyseessä Tietosuojavaltuutetun malli)
GDPR ohjaa käsittelemään
rekisteröityjä ryhminä eri
käsittelytarkoitusten mukaan, ei
erillisinä rekistereinä.

Henkilötietojen käsittelyn lähtökohtia

4 artikla
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai
henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,
säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista
siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai
yhdistämistä, rajoittamista, poistamista tai tuhoamista,
Henkilötietojen käsittely

• Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan
koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia.
– Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa.
– Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan.
• Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n
vaatimuksia.
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä
katsottu yksinään muodostavan henkilörekisteriä.
– Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan
muihin henkilörekistereihin.
– On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana
esityslistaa tai pöytäkirjaa.
Tavallisia poikkeuksia
Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-
kuntalain#henkilotiedot-ja-verkkotiedottaminen

• Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde
tai työsuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa.
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu

• Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• 1.1.2019 voimaan tulleen tietosuojalain mukaan yli
13-vuotias voi antaa itse suostumuksen
henkilötietojen käsittelylle tietoyhteiskunnan
palveluissa (esim. verkko-, some- ja mobiilipalvelut).
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

• Rekisterinpitäjä arvioi itse, mitä henkilötietojen käsittelyn
oikeusperustetta tiettyihin käsittelytoimiin sovelletaan.
• Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä
julkisen tehtävän hoitaminen tai lakisääteiset velvoitteet.
• Rekisterinpitäjän oikeutettu etu ei tule kyseeseen oikeusperusteena
silloin, kun rekisterinpitäjänä toimii viranomainen.
• Suostumus ei lähtökohtaisesti ole pätevä peruste silloin, kun
rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämän
vuoksi suostumus ei yleensä käy käsittelyn oikeusperusteeksi
oppilaitoksessa.
• Suostumus voi olla oikeusperusteena silloin, kun halutaan tarjota
jonkinlaisia lisäpalveluita esim. vapaa-ajan käyttöön. Näiden ei tulisi
liittyä opetuksen järjestämiseen.
• Suostumusta ei voida pitää vapaaehtoisena, jos rekisteröidyllä ei ole
valinnan mahdollisuutta ja jos hän ei voi myöhemmin peruuttaa sitä
ilman, että siitä aiheutuu hänelle haittaa.
Oikeusperusteet oppilaitoksissa
Lähde: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu

• Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.)
• Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.)
• Informointikäytännöt (12-14 art.)
• Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.)
– Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.)
– Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.)
• Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.)
– Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet
– Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
– Sisäiset tarkastukset ja auditoinnit
• Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio
• Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi
• Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.)
• Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla)
• Yhteisrekisterinpitäjien vastuualueet (29 art.)
• Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.)
• Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku)
Rekisterinpitäjän osoitettavat asiat
Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä,
https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)

• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2

• Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti ja tiedot on saatu rekisteröidyltä itseltään.
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2

• Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan,
rekisteröidyn oikeudet jne.
– Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ
• Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
• Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
– Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
– Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa.
Rekisteröidyn pyynnöstä voidaan informoida myös puheella.
• Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan
linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille
• Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen
lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten
informointi on toteutettu.
Informointi (tietosuojaseloste)
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi

Mihin ja miten tietoja saa käyttää?

• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,

Ammatil. koulutuksen arkistointiaikoja 1/2
Yhteisvalinnan opiskelijaluettelot ja arviointilistat yhteisvalintaviranomaiselle 5 vuotta
Opiskelijarekisteri (sisältää mm. opiskelijanumeron, opiskelijan nimen,
henkilötunnuksen, osoitteen, puhelinnumeron, sukupuolen, siviilisäädyn,
pohjakoulutuksen, kotikunnan, kansalaisuuden, koulutusohjelman,
läsnäolotiedot, suoritut opintojaksot ja -kokonaisuudet sekä niiden arvioinnit)
Henkilötiedot ja lukuvuosittaiset
arvostelutiedot säilytetään pysyvästi / 50 v
Opiskelijakortit ja -luettelot (eivät sisällä arvosteluja) Oma tarve
Opettajien opiskelijakohtaiset arvostelutiedot:
Arviointilomakkeet/-listat/-muistiot, opetuspäiväkirjat
Säilytetään pysyvästi, mikäli tietoja ei ole
siirretty opiskelija-/arvostelukortille
Ilmoittautumislomakkeet/-listat opintojaksoille Opiskeluaika + oma tarve
Tentteihin ilmoittautumislomakkeet,
koetehtävät ja –vastaukset
Lukuvuosi + oma tarve
Erilaiset opiskelijaa koskevat arvioinnit,
lausunnot, suositukset, todistukset tai vastaavat asiakirjat
Opiskeluaika + oma tarve
Tutkintotodistukset ja niiden liitteet,
erotodistukset
Säilytetään pysyvästi, mikäli tietoja ei ole
tallennettu opintorekisteriin / 50 v
Opiskelijoiden henkilökohtaiset opiskelusuunnitelmat opiskeluaika (HOPS),
opiskelijan henkilökohtaisen ohjauksen asiakirjat
Opiskeluaika
Henkilökohtaisen opetuksen järjestämistä koskevat suunnitelmat (HOJKS) Opiskeluaika + 10 v
Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf,
Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat

Ammatil. koulutuksen arkistointiaikoja 2/2
Ylioppilastutkintolautakunnalle lähetettävät osallistuja- ja
arvosanaluetteloiden toisteet
2 vuotta
Tilaus- ja sopimuskoulutusten osallistumistodistukset 2 vuotta
Tilaus- ja sopimuskoulutusten opintosuoritus-
/kurssiarvosanarekisterit/kortit/luettelot
Säilytetään pysyvästi
Tilaus- ja sopimuskoulutusten opintosuoritus-/kurssitodistukset Pätevöittävät kurssitodistukset 50 v,
muut kurssitodistukset 20 v
Työvoimakoulutusten opiskelijalistat, valintalistat, henkilötietolomakkeet 10 vuotta viimeisestä maksatuksesta
Työvoimakoulutusten tutkintotodistukset/päättötodistukset,
valmistuvien opintosuoritusotteet
Pätevöittävät kurssitodistukset 50 v,
muut kurssitodistukset 20 v
Oppisopimuskoulutusten opintosuoritus/-arvostelukortti (arvosanoja sisältävä),
tutkintotodistusjäljennökset
Säilytetään pysyvästi
Oppisopimuskoulutusten opiskelijaluettelot tutkintomaksua varten Voimassaoloaika + oma tarve
Työssä oppiminen ja työharjoittelu harjoittelutodistukset Opiskeluaika + oma tarve
Henkilökohtaiset näyttösuunnitelmat, näyttöön ilmoittautumislistat,
suorituslistat, näyttöaineistot (näyttökoesuoritukset)
Opiskeluaika + oma tarve
Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf,
Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat

Mitä henkilötietojen käsittelyssä
tulee huomioida?

Rekisterinpitäjä  tarkoitukset  tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste

Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
ilman suostumusta
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

• Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja
käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on
kyse uudesta rekisteristä.
• Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen
tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri.
• Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta
käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri.
– Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin
• Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja
vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri.
– Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä
• Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai
tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista
muodostua uusi rekisteri.
– Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille.
– Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida.
Milloin voi muodostua uusi rekisteri?

• Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita

Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621

Lähde: Laki viranomaisten toiminnan julkisuudesta,
https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
Salassa pidettäviä
asiakirjoja saa luovuttaa
vain lain perusteella tai
henkilön suostumuksella

Vaitiolovelvollisuus henkilötiedoista
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta esim. sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38

Henkilötiedot yli 15-v. opetuksessa
Opetuksen järjestämiseen
liittyvä toiminta tiloineen
(henkilötietojen käsittelyn tarkoituksen mukaisesti)
Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: opisk.lupa
Kuvat/videot: ok
Muut: lupa
Muille ryhmille
opetuksen yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut: lupa
Ulkopuolisille
henkilöille ja tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut: lupa
Muille opettajille ja henkilöstölle
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut tarpeelliset/välttämättömät: ok
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.

- Saako opettaja esitellä opettajainhuoneessa oppilaiden
koevastauksia kahvipöydässä työtovereilleen?
- Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä
tilanteessa, jos samalla arvioidaan oppilaita ääneen?
Kysymys: kahvipöytäkeskustelut?
• Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot
oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §).
• Myös mm. tiedot erityisen tuen tarpeesta, psykologisista testeistä ja
soveltuvuuskokeista ovat salassa pidettäviä.
• Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei
silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta.
• Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten
oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä.
• Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla
viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot
oppilashuollon henkilöstöltä. Viimeksi mainitut päättävät annettavista tiedoista.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa,
https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf

• Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella
tai jos siitä on nimenomaisesti säädetty.
• Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä
tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §).
– Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa.
– Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
• Suostumus on käytännössä esimerkiksi:
– Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja
tullaan julkaisemaan
– Julkaisuluvat esimerkiksi kuviin ja videoihin
– Suostumus haku-/ilmoittautumislomakkeessa
– Muilla tavoin kysytyt ja saadut suostumukset
• Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista.
– Kuvan julkaisusta on syytä sopia erikseen.
Henkilötietojen julkaisu netissä
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet

Henkilötietorekisteriä saa käyttää vain alkuperäisiin tarkoituksiin.
Vaikka tiedot olisivat julkisuuslain perusteella julkisia, organisaation työntekijät saavat
käyttää rekisteriä vain tehtäviinsä liittyviin tarkoituksiin annettujen ohjeiden mukaan.
Kuvan lähde ja lisätietoa: http://teresammallahti.puheenvuoro.uusisuomi.fi/274944-kun-henkilokohtaisista-tiedoista-tehdaan-ammuksia-some-riitelyyn
Tampereen yliopiston professori
käytti opiskelijarekisteristä
saatavia tietoja someväittelyssä...
 Yliopisto puuttui asiaan.

Taiteellinen,
kirjallinen,
akateeminen tai
journalistinen sisältö,
jossa on henkilötietoja
Julkinen
henkilötieto
Ei-julkinen
henkilötieto (esim.
turvakielto,
salainen puh.nro)
Arkaluonteiset
henkilötiedot/
erityiset
henkilötietoryhmät
Salassapidettävät
tiedot ja
asiakirjat
Suullisesti tai
paikanpäällä
näytettynä
Kyllä Kyllä Ei Ei Ei
Sähköisesti,
kopiona tai
tulosteena
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Suojattuna
sähköisesti
(sähköposti tai
verkkopalvelun
yksityisviesti)
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Julkisesti
(netti, some tai
ilmoitustaulu)
Kyllä Ei.
Mahdollista
tapauskohtaisesti
tiedottamisessa,
esityslistoissa ja
pöytäkirjoissa.
Ei Ei Ei
Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn
suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää.
Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017,
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain

Työntekijöiden henkilötiedot

• Yksityisyyden suojaan kuuluu työnhakijan, työntekijän ja virkamiehen oikeus
tietää ja päättää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus
tulla arvioiduksi oikeiden ja korkeatasoisten henkilötietojen perusteella.
• Työnantaja on yleisen tietosuoja-asetuksen mukaisesti rekisterinpitäjä
henkilöstölleen.
• Työelämän tietosuojalaki (laki yksityisyyden suojasta työelämässä 759/2004)
– Lakia sovelletaan työnantajan ja työntekijän väliseen suhteeseen sekä soveltuvin osin
työnhakijaan.
– Lakia sovelletaan virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa
julkisoikeudellisessa palvelussuhteessa olevaan, oppisopimussuhteiseen, kotitaloustyöntekijän
työsuhteeseen, merimieheen.
– Ei sovelleta toimitusjohtajaan (tj:n asemasta säädetään osakeyhtiölaissa, TSV 22.11.2006)
– Laki oltava nähtävillä työpaikalla (23 §)
• Työnantajan huomioitava lisäksi mm.
– Tietosuojalaki (1050/2018)
– Laki sähköisen viestinnän palveluista (917/2014)
– Julkisuuslaki (621/1999)
– YT-laki (laki yhteistoiminnasta yrityksissä 334/2007)
Henkilöstörekisterit
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

• Henkilötietojen käsittely työpaikalla
• Työhönotossa ja työsuhteen aikana kerättävät henkilötiedot
• Luottotiedot ja turvallisuusselvitysmenettelyt
• Terveydentilatietojen käsittely
• Työtehtävät, joissa mahdollisesti tehdään huumausainetesti + päihdeohjelma
• Henkilö- ja soveltuvuusarvioinnin tekemisen toteutus
• Teknisen valvonnan käyttö, mm. kameravalvonta, kulunvalvonta,
työaikavalvonta, tietojen käsittelyn kirjautumisjärjestelmät, puhelimen käyttö,
paikantaminen
• Sähköpostin ja tietoverkkojen käyttö
• Internetin käyttö
• YT-laki 4 luku: https://www.finlex.fi/fi/laki/ajantasa/2007/20070334#L4
• YT-menettelyn ulkopuolelle jäävissä organisaatioissa noudatetaan
työsopimuslain kuulemismenettelyä (asiasta riippuen alle 20 tai 30 työntekijää).
Yhteistoimintamenettelyssä käsit. asiat

- Saako oppilaitoksessa olla esillä kuvia henkilökunnasta, joissa on
myös heidän etunimensä?
- Mitä tietoja henkilöstöstä voi julkaista netissä?
- Saako opiskelija kuvata opettajaa tunnilla?
Kysymys: mitä saa kertoa työntekijöistä?
• Opettaja toimii työroolissaan julkisesti. Tiedot oppilaitoksen henkilöstön nimistä,
asemasta, työtehtävistä ja yhteystiedoista ovat julkisia.
• Opettajan muita henkilötietoja kuten kuvia ja yksityisiä osoite- ja yhteystietoja ei
saa julkaista ilman hänen suostumustaan.
• Samoin kuin opiskelijoiden myös henkilöstön arkaluonteisia ja salassa pidettäviä
tietoja (esim. terveys) ei saa julkaista ilman heidän lupaansa.
• Tietoa työntekijän sairaslomasta ei saa kertoa ilman henkilön suostumusta.
• Opiskelija saa ottaa valokuvan tai videon oppitunnilla, jos opettaja on antanut
siihen luvan. Opetukseen liittymätön kuvaaminen ja videoiminen voidaan
järjestyssäännöissä kieltää opetusta ja oppimista häiritsevänä.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa,
https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf

- Saako työnantaja laittaa työpaikalle näkyville listauksen, josta
käyvät ilmi eniten poissa olleiden työntekijöiden nimet?
- Entä listan työntekijöistä tehtyjen valitusten määristä?
Kysymys: sairauspoissaolot ja valitukset
• Työnantaja saa käsitellä työntekijän terveydentilatietoja, jos käsittely on
tarpeen sairausajan palkan tai terveydentilaan liittyvien etuuksien
suorittamiseksi tai sen selvittämiseksi, onko poissaoloon perusteltu syy.
• Terveydentilatietojen käsittely on sallittua myös, jos työntekijä nimenomaan
haluaa, että hänen työkykyisyyttään selvitetään niiden perusteella.
• Työnantajan tulee säilyttää terveydentilatietoja sisältävät asiakirjat erillään
työntekijän muista henkilötiedoista. Terveystietoja käsittelevät työntekijät ovat
vaitiolovelvollisia.
• Työntekijöiden sairauspoissaolotietojen tai valitusten laittaminen esille voi olla
vaitiolovelvollisuuden vastaista sekä loukata työntekijän yksityisyyden suojaa.
• Käytännössä työpaikalla voi olla tarpeen tiedottaa esimerkiksi valituksista
yleisesti tilastollisena tietona. Tiedot tulee julkaista niin, ettei yksittäisiä
työntekijöitä voida päätellä niistä.
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama

• Tarpeelliset tiedot liittyvät hakijan kelpoisuuteen ja sopivuuteen työtehtäviin
sekä työntekijän työtehtäviin ja työsuhteeseen.
• Työnhakulomakkeissa ja haastatteluissa ei tulisi kysyä yksityiskohtaisia
terveydentilaan liittyviä tietoja, vaan kysymykset tulee perustua työtehtäviin.
– EI: ” Onko sinulla jokin vakava sairaus?”
– OK: ”Onko terveydentilassanne jotakin, joka rajoittaa hakemanne työtehtävän hoitamista?”
• Suunnittele etukäteen, mitä tietoja on tarpeen kerätä ja laadi tietosuoja-
asetuksen mukainen seloste henkilötietojen käsittelystä.
• Älä kerää työhön liittymättömiä henkilötietoja työntekijöistä, vaikka niitä tulisi
esiin työpaikalla (kehityskeskustelut, poissaolot, lomavuorot jne.).
Työnhakijat ja tarpeellisuusvaatimus
Lähteet: Työelämän tietosuojalaki 3 §, https://www.finlex.fi/fi/laki/ajantasa/2004/20040759#L2P3,
Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,

- Saako työnhakijoiden tai työntekijöiden taustoja selvittää
Internetin hakukoneiden kuten Googlen avulla?
- Saako sopivia työntekijöitä hakea sosiaalisen median palveluista
kuten LinkedInistä?
Kysymys: saako työnhakijaa googlata?
• Työnantajan on kerättävä työntekijää/työnhakijaa koskevat henkilötiedot
ensisijaisesti häneltä itseltään.
• Hakijan taustojen ”googlettaminen” ei ole kiellettyä, mutta jos tietoja tallennetaan
ja käytetään päätöksenteossa, tulee saada suostumus työnhakijalta.
– Ilman suostumusta vain, mikäli se on tarpeellisuusvaatimuksen kannalta perusteltua ja on selvä syy
luotettavuuden selvittämiseen (Tietosuojavaltuutetun toimisto: Työelämän tietosuojan käsikirja).
• Hakijalta voidaan työnhakulomakkeella pyytää suostumus häntä koskevien
tarpeellisten tietojen hakuun hakukoneiden ja somepalvelujen avulla.
• Verkosta löytyneiden tietojen oikeellisuus on syytä varmistaa hakijalta. Hänellä on
myös oikeus tarkistaa itseään koskevat tiedot.
• Työnantaja voi etsiä mahdollisesti sopivia työntekijöitä siihen soveltuvista verkko-
ja somepalveluista kuten LinkedInistä.
• Jos työnhakijoiden tietoja kerätään netistä tai saadaan toiselta rekisterinpitäjältä,
tulee henkilötietojen käsittelyn informointi tehdä hakijoille kuukauden kuluessa.

Kuvakaappaus: Iltalehti, 22.7.2019,
https://www.iltalehti.fi/politiikka/a/92318724-0883-4f5f-bb76-
16b104acd646
Case: miten tarkistaa
työnhakijan antamien
tietojen oikeellisuus?
• GDPR ja työelämän tietosuojalaki
lähtevät rekisteröidyn oikeudesta
tarkistaa ja korjata tietojaan.
– Jos rekisteröity kiistää tietojen oikeellisuuden,
tulee tietojen käyttöä rajoittaa kunnes ne on
varmistettu (GDPR 18 a).
• GDPR:n tietosuojaperiaatteiden mukaan
rekisterinpitäjän tulee varmistaa tietojen
täsmällisyys.
• Rekisterinpitäjä voi pyytää rekisteröityä
todistamaan tietojen oikeellisuus.
• Verkosta löytyvät tiedot voivat olla
virheellisiä, joten ne sopivat huonosti
tietojen varmistamiseen.
• Työnantaja voi pyytää työnhakijaa
koskevia tietoja tämän suostumuksella
mm. viranomaisten rekistereistä (esim.
opintosuoritukset ovat julkisia tietoja).

Valokuvat ja videot
• Tunnistettavan henkilökuvan
julkaisuun on syytä pyytää lupa.
• Jokaisen on katsottu omistavan
persoonansa ns. kaupalliset
oikeudet.
• Kuvan julkaisun voi estää esim.
kotirauha, yksityisyyden suoja
tai kuvassa näkyvän teoksen
tekijänoikeudet.
• Jonkun muun julkaiseman kuvan
levittäminen voi olla kiellettyä
esim. tekijänoikeuksien tai sen
loukkaavuuden takia.
• Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja
kuvia ei saa levittää.

- Saako opetustilanteissa ottaa valokuvia ja videoita sekä esittää
niitä opetusryhmän kesken?
- Saako opetusryhmän sisällä esittää opiskelijoiden tuotoksia?
- Tarvitaanko opiskelijoilta suostumus, jos he itse julkaisevat
tuotoksiaan opetuksen yhteydessä?
Kysymys: kuvat ja tuotokset opetuksessa
• Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä
pedagogisessa tarkoituksessa saman opetusryhmän kesken.
• Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken.
Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa.
• Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai
oppimisalustoille. Tällöin täytyy huolehtia tietosuojasta asianmukaisesti.
• Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan
esittää julkisesti, tulee siihen pyytää suostumus.
• Jos täysi-ikäinen opiskelija itse julkaisee kuvansa tai tuotoksensa/teoksensa
opetuksen yhteydessä, ei opetuksen järjestäjä tarvitse siihen suostumusta.
• Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä
tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille.

- Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita
esimerkiksi nettisivuilla julkaistavaksi?
- Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
- Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
Kysymys: tapahtumissa kuvaaminen
• Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on
lähtökohtaisesti sallittua.
• Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää
suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole
opetuksen järjestämiseen liittyvää henkilötietojen käsittelyä.
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten.
• Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta
tai kuvien julkaisusta, eikä sillä ole oikeutta kieltää sitä.
• Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa
julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien
julkaisu journalistisessa tarkoituksessa esim. paikallislehdessä on sallittua.

• Sopimuksen tekeminen vaatii lain mukaan 18 vuoden ikää
(oikeustoimikelpoisuus). Alaikäiset tarvitsevat huoltajan luvan.
• Mobiililaitteiden käyttöön opetuksessa tarvitaan huoltajan lupa alle
15-vuotiailta (OPH:n ohjeistus).
• Jos henkilötietojen käsittelyyn tarvitaan suostumus (esim. oppilaan
tietojen julkaisu verkossa), se tulee saada alaikäisen huoltajalta.
• Suostumuksen henkilötietojen käsittelyyn some- ja verkkopalveluissa
voi antaa itse yli 13-vuotias. Alaikäiset voivat myös hyväksyä ikätasolle
tavanomaisia ja merkitykseltään vähäisiä sopimuksia/käyttöehtoja.
• Huoltaja voi hyväksyä somepalvelun käyttöehdot lapsen puolesta ja
antaa sen lapsen käyttöön, mikäli ehdoissa ei kielletä tällaista.
• Suostumus tulee dokumentoida. Kun suostumus on kirjattu
oppilaitoksen rekisteriin, lupalappuja ei tarvitse säilyttää.
• Suostumukset on hyvä tarkistaa vuosittain.
Ikä ja huoltajilta pyydettävät luvat
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/julkaisut/2017/tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuksista_ja_velvollisuuksista_koulussa

Lähde: Mediakasvatusseura,
https://mediakasvatus.com/materiaali/kuvauslupa/
Tekijänoikeus-,
kuvaus- ja
henkilötietojen
julkaisulupa

Tietosuoja sähköisessä viestinnässä

Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Valintatulokset, koearvosanat
• Henkilötunnus, jos rekisteröity on hyväksynyt tämän
• Arkaluontoiset tiedot, jos rekisteröity on pyytänyt niitä
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa, esim. suojatussa intra-/extranetissä:
• Arkaluontoiset henkilötiedot
• Lain mukaan salassa pidettävät tiedot ja asiakirjat
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot ja tulokset psykologisesta testistä tai soveltuvuuskokeesta
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Pikaviestipalvelut työasioissa: noudata työnantajan ohjeistusta.
Opiskelijatiedot sähköisessä viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html,
Tietosuojavaltuutetun päätös 21.11.2019, https://finlex.fi/fi/viranomaiset/tsv/2019/20190483

• Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
• Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat
luottamuksellisen viestinnän piiriin.
– Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
– Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
• Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän
palveluista, 136 §):
– Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim.
kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä.
– Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
– Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
• Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka
oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon..
Viestinnän luottamuksellisuus

GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin
• Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä
• On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat
työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa
• Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset
rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä

• Julkisuuslain 5 §:n mukaan viranomaisen asiakirjana pidetään myös
tälle toimitettua asiakirjaa ja viestiä.
• KHO:n ennakkopäätöksen mukaan: ”Wilma-järjestelmän kautta
saapuneet ja lähetetyt viestit ovat pääsääntöisesti viranomaisen
asiakirjoja, joihin sovelletaan julkisuuslakia”.
• MUTTA tästä ei seuraa, että kuka vain voisi pyytää viranomaisen ja
kansalaisen välisiä viestejä. Samaan aikaan on huomioitava:
– Asiakirjapyyntö pitää yksilöidä riittävän tarkasti (esim. ajankohta ja asia)
– Viestien mahdollisesti sisältämät salassa pidettävät tiedot (JulkL 24 §).
• Näitä ovat mm. tiedot terveydentilasta, henkilökohtaisista oloista, oppilashuollosta ja henkilökohtaisten
ominaisuuksien sanallisesta arvioinnista, salaisesta puhelinnumerosta ja yhteystiedoista, jos henkilö on
pyytänyt salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä tulevan uhatuksi.
– Laissa säädetyt vaitiolovelvollisuudet.
• Perusopetuslain 40 §:n mukaan opetuksen järjestämisestä vastaavat, rehtori ja opettajat,
kouluterveydenhuollon ja oppilashuollon edustajat eivät saa sivullisille ilmaista, mitä he ovat saaneet tietää
oppilaiden, henkilöstön tai heidän perheenjäsenten henkilökohtaisista oloista ja taloudellisesta asemasta.
• Tietosuojalain 35 §:n mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on
saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta
taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä
käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.
Viestit viranomaisen asiakirjoina (Wilma)
Lähteet: Julkisuuslaki, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621,
KHO:n päätös 4242/2016, https://www.kho.fi/fi/index/paatoksia/muitapaatoksia/muupaatos/1475735437486.html

• Sähköinen suoramarkkinointi: suostumus (opt-in)
– Sähköinen suoramarkkinointi esim. sähköpostit, tekstiviestit ym.
– Suostumuksen pitää olla selvä etukäteen. Mahdollisuus kieltoon ei riitä.
– Kerro rekisteröidylle vähintään tietosuojaselosteessa, jos
• markkinoinnissa käytetään automaattista profilointia
• tietoja luovutetaan muille tahoille (esim. Facebook tai Google)
• Perinteinen suoramarkkinointi: rekisterinpitäjän oikeutettu etu
– Perinteinen suoramarkkinointi puhelimitse ja postitse
– B2B-markkinointi esim. yritysten yhteyshenkilöille
– Jos epäilet oikeutetun edun riittävyyttä, pyydä suostumus.
• Tiedotus: opetuksessa käytetty henkilötietojen oikeusperuste
– Opiskeluun liittyvä viestintä: voit tiedottaa opiskelijoille opiskeluun liittyvistä
asioista ja esimerkiksi tulevista kursseista, jotka liittyvät heidän koulutukseensa.
• Mainitse markkinointiviestien yhteydessä, miten markkinoinnista voi
kieltäytyä ja mistä tietosuojaseloste on luettavissa.
• Jos mahdollista, tee toimintoja, joilla rekisteröidyt voivat itse hallita, millaista
markkinointia he saavat.
Koulutusten markkinointi ja GDPR

Käytätkö profilointia markkinoinnissa?
Facebookiin viedyt
asiakastiedostot
Nimi, sähköposti, puhelinnumero,
syntymäaika, kaupunki, laitetunniste ym.
Rekisteriin kerätyt
henkilötiedot /
tietojärjestelmät
Googleen viedyt
asiakasluettelot
Nimi, sähköposti, puhelinnumero,
postinumero, laitetunniste ym.
Manuaalinen
kohdentaminen
Esimerkiksi sähköpostimarkkinointi
manuaalisesti valituille kohderyhmille
Markkinoinnissa käytetään profilointia ja autom. päätöksiä Ei profilointia

Ulkopuoliset henkilötietojen käsittelijät

Tietojen anto ulkopuoliselle taholle?

• Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja luovutetaan.
– Luonnollinen henkilö, yritys, yhdistys, viranomainen, virasto tms.
– Yhteisrekisterinpitäjät ja henkilötietojen käsittelijät
– Kuvaa rekisteriselosteessa esim. vastaanottajien tyyppi (esim. mitä käsittelytoimia
tekee), toimiala, sektori sekä sijainti.
• Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle.
• Lakeihin perustuvaa tietojen luovutusta viranomaisille (esim. tilastot)
ei tarvitse kuvata rekisteriselosteessa.
• Kerro selosteessa, jos tietoja siirretään EU:n ulkopuolelle tai
kansainväliselle järjestölle. Selosteessa tulee kertoa, mihin tietosuoja-
asetuksen kohtaan siirto perustuu:
– EU-komission hyväksymät maat: Andorra, Argentiina, Kanada (yritykset), Färsaaret,
Guernsey, Israel, Mansaari, Japani, Jersey, Uusi-Seelanti, Sveitsi, Uruguay, Yhdysvallat
(Privacy shield-järjestely)
– Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46)
– Yritystä koskevat sitovat säännöt (artikla 47)
– Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49)
Henkilötietojen luovuttaminen
Lähde: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html

4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Henkilötietojen käsittelijä

Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Seloste käsittelytoimista ja
rekisteröidyn informointi
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen

• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,

Tietosuoja sosiaalisessa mediassa

Jane Hart, Top tools for learning, 200 somepalvelua:
https://www.toptools4learning.com/
Harto Pönkä, Open somekirja, 82 somepalvelua:
https://www.docendo.fi/open-somekirja-harto-ponka.html

• Tietosuojalain mukaan Suomessa 13-vuotias voi antaa itse
suostumuksen henkilötietojen käsittelyyn tietoyhteiskunnan palveluissa.
– Somepalvelut vaativat joko käyttäjän syntymäajan tai ilmoittavat
käyttöehtojen hyväksymiseen vaadittavan iän.
– Jotkin palvelut kertovat poistavansa liian nuorten käyttäjätunnukset, mutta
eivät silti pyri varmistamaan käyttäjien ikiä.
• Tavallisesti tunnuksiin liitetään sähköpostiosoite ja/tai puhelinnumero.
• GDPR ei edellytä, että somepalvelut pyytäisivät käyttäjien todelliset
nimet. Esimerkiksi Twitter ja Google eivät vaadi oikeaa nimeä, mutta
Facebook vaatii ”nimen, jota käytät elämässäsi”.
• Somepalveluissa on eroja, kielletäänkö tunnuksen anto jonkun muun
käyttöön. Esimerkiksi Facebook kieltää tämän.
• Useat somepalvelut ovat tehneet organisaatioiden käyttöä varten
valmiin sopimuksen henkilötietojen käsittelystä.
• Useat somepalvelut kuten Facebook ja LinkedIn mahdollistavat
organisaatioiden tietosuojaselosteiden linkittämisen niiden profiileihin
sekä ns. liidien keräyslomakkeille.
Miten GDPR vaikutti somepalveluihin?

Erota oma ja ulkopuolinen rekisteri
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
somepalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Henkilötietoja ei saa luovuttaa
toiselle rekisterinpitäjälle, jos siitä
ei ole kerrottu alun perin
rekisteröidylle tai saatu siihen
suostumusta.
Jos henkilötietoja kerätään
organisaation rekisteriin
somepalvelun kautta, tulee
siihen olla oikeusperuste sekä
huolehtia rekisterinpitäjän
informointivelvollisuudesta.
Somepalvelua voidaan käyttää
viestintään rekisteröityjen
kanssa myös silloin, kun aloite
siihen tulee heiltä. Tämä on
syytä huomioida selosteessa.

Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
KÄYTTÄJÄT & DATA
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio

• Tietosuojavaltuutettu katsoi v. 2017 henkilötietolain perusteella,
että erillistä suostumusta pilvipalvelujen opetuskäyttöön ei tarvita.
• Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä, ja voivat
sen perusteella käsitellä tarpeellisia henkilötietoja.
• Opetuksen järjestäjä päättää, millaisia laitteita, työvälineitä ja
oppimateriaaleja käytetään, ml. digitaalisia oppimisympäristöjä
• Henkilötiedot tulee suojata asiattomalta pääsyltä ja käsittelyn
lainmukaisuutta tulee myös valvoa.
• Ulkopuolisten palvelujen käytöstä tulee olla sopimus
rekisterinpitäjän ja palveluntarjoajan välillä niin, että rekisterinpitäjä
vastaa henkilötietojen käsittelystä (nyk. sopimus henkilötietojen
käsittelystä).
• Tietoja voidaan siirtää EU:n ulkopuolelle Privacy shield -järjestelyllä.
• Opetuksen järjestäjän tulee laatia säännöt, minkälainen TVT:n käyttö
on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa.
Pilvipalvelut opetuksessa
Lähde: Tietosuojavaltuutetun päätös 28.2.2017, https://finlex.fi/fi/viranomaiset/tsv/2017/20170242

- Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-
järjestelmän ja EU-komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa

Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)
Tunne ulkopuolisten
verkkopalvelujen
käyttöehdot ja
yksityisyyskäytännöt!

Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Onko palvelussa ikärajaa tai suositeltua ikää?
• Mitä henkilötietoja vaaditaan rekisteröitymisessä?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Voiko palvelua käyttää opetuksessa ilman, että siihen
tallennetaan opiskelijoiden henkilötietoja?
• Onko palvelussa organisaatioille tarkoitettu sopimus
henkilötietojen käsittelystä?
• Voidaanko tietoja luovuttaa muille tai käyttää markkinointiin?
• Mitä oikeuksia palvelu saa tallennettuihin sisältöihin kuten
teksteihin ja kuviin? Voidaanko niitä käyttää muualla?
• Mitä sisällöille ja henkilötiedoille tapahtuu, kun palvelun käyttö
lopetetaan?
Palvelun käyttöehdot = sopimus

• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut

WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestit ja ryhmäkeskustelut

• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin.
– Useita somepalveluita voi käyttää ilman henkilötietojen antamista.
– Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin
verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite.
• Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli.
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt
(privacy policy).
• Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim.
MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin.
• Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa.
– Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään (esim.
Facebook), mikäli se ei ole ollut edellytyksenä työtehtävän hoitamiselle.
• Somepalvelujen työkäyttöön on suositeltavaa olla työpuhelin.
Somepalvelut ja tietosuoja

WhatsAppin käyttö
työhön liittyvässä viestinnässä
• WhatsAppin kuluttajaversion käyttöehdot sallivat
ainoastaan palvelun henkilökohtaisen käytön.
• Henkilökohtainen käyttö tarkoittaa, että käyttäjätunnus
on sen rekisteröineen käyttäjän käytössä.
• Käyttöehdot eivät kiellä WhatsAppin käyttöä
henkilökohtaiseen työhön liittyvään viestintään.
• Työnantajan on syytä ohjeistaa, saako WhatsAppia
käyttää työssä, ja miten se tulee tehdä.
• WhatsAppin käyttö on tarvittaessa huomioitava
organisaation henkilötietojen käsittelyssä, esim.
mainittava tietosuojaselosteessa tai pyydettävät
suostumukset asiakkaiden kanssa viestintään.
• Työnantajalla ei ole oikeutta lukea työntekijän
WhatsApp-viestejä edes poikkeustapauksessa.
• WhatsAppia ei saa käyttää esim. spämmäämiseen,
automatisoituun viestintään tai luvattomaan
yhteystietojen keräämiseen.
• Yritys-/organisaatioprofiilin luominen on mahdollista
WhatsApp Business -sovelluksessa.
• Automatisoitua viestintää ja chatbotteja varten on
WhatsApp Business API -rajapinta.
WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/
WhatsAppin vastuullinen käyttö:
https://faq.whatsapp.com/en/android/26000240/?category=5245250

WhatsApp Business -sovellus
• Android-versio tammikuussa 2018,
iOS-versio huhtikuussa 2019
• Asennettu yli 50 miljoonaa kertaa
• Kuten WhatsApp-sovellus, mutta voi
luoda profiilin
yritykselle/organisaatiolle
• Sisältää GDPR:n mukaisen sopimuksen
henkilötietojen käsittelystä
• Keskustelun aloitus linkin kautta
• Automaattiset aloitusviestit,
pikavastaukset, tilastot
• Android:
https://play.google.com/store/apps/details?id=com.wh
atsapp.w4b
• iOS: https://itunes.apple.com/app/whatsapp-
business/id1386412985?mt=8

Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
säilytys
Rekisteröityjen
sähköinen asiointi
Organisaation omat
verkkopalvelut
(kotisivut, intra)
Ok Ok, jos käyttöoikeudet
ovat oikein.
Ok, jos
käyttöoikeudet ovat
oikein.
Ok, jos
käyttöoikeudet
ovat oikein.
Organisaation
hallinnoimat
verkkopalvelut
(pilvipalvelut ja muut
sopimuspalvelut)
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet ovat
oikein ja on sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Organisaation
hallinnoimat profiilit
julkisissa
somepalveluissa
ovat oikein, ohjeistus
on kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Työntekijöiden
henkilökohtaiset
profiilit julkisissa
somepalveluissa
Ok Ok, jos ohjeistus on
kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja
yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen tai aloitteeseen.
Rekisterinpitäjän tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta
verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.

Pitääkö Facebook-ryhmästä tehdä rekisteriseloste?
Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)

• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema

• Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update

Tietosuojan tarkistuslista
1. Organisaation rekisterit ja niiden selosteet
2. Henkilötietojen käsittely eri työtehtävissä
• Käsittelytarkoitukset ja oikeusperusteet
• Salassa pidettävät tiedot ja asiakirjat
3. Henkilötietojen turvallinen säilytys
4. Mitkä ovat organisaation omassa
hallinnassa olevia tietojärjestelmiä ja
pilvipalveluita?
5. Miten tietosuojasta huolehditaan
ulkopuolisissa pilvipalveluissa?
6. Saako työssä käyttää ulkopuolisia
sovelluksia kuten WhatsAppia tai
Facebookia, ja mitä on huomioitava?
7. Saako työssä käyttää henkilökohtaisia
laitteita, ja mitä silloin on huomioitava?
8. Uusien rekistereiden teossa huomioitavat
asiat ja yhteinen toimintamalli
9. Ongelmista ilmoittaminen, mahdollinen
tietosuojavastaava

Tietosuojasta huolehditaan,
jotta jokainen tietää, mitä
tietoja hänestä kerätään ja
miten niitä voidaan käyttää.

Vinkki: Julkisuus ja tiedonhallinta opetustoimessa, 2018
https://www.oph.fi/julkaisut/2018/julkisuus_ja_tiedonhallinta_opetustoimessa

Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!

Tietosuoja oppilaitoksen hallinnossa

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Tietosuoja oppilaitoksen hallinnossa

Similar to Tietosuoja oppilaitoksen hallinnossa (20)

More from Harto Pönkä

More from Harto Pönkä (20)

Tietosuoja oppilaitoksen hallinnossa