Euroopan unionin yleinen tietosuoja-asetus (GDPR) astui voimaan keväällä 2016 ja sitä sovelletaan 25. päivästä toukokuuta 2018 alkaen

1. Tietosuoja-asetus digitalisoituvissa
korkeakouluissa
5.6.2018

2. EU:n tietosuojauudistus
• EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018
– yhdenmukaistaa ja ajantasaistaa jäsenvaltioiden tietosuojakehyksen
– ihmiskeskeinen: tavoitteena parantaa yksilön oikeuksia, vapauksia ja
oikeusturvaa henkilötietojen käsittelyssä
• Sovelletaan kaikissa jäsenvaltioissa sellaisenaan
• Tietosuoja-asetus jättää hieman kansallista liikkumavaraa, jonka
käytöstä ehdotettu säädettäväksi kansallinen tietosuojalaki
– koska tietosuojalakia ei ole vielä hyväksytty, sovelletaan tällä hetkellä
tietosuoja-asetusta sekä vanhaa henkilötietolakia niiltä osin, kuin se ei ole
ristiriidassa tietosuoja-asetuksen kanssa (”limbo”)
– henkilötietolaki kumoutuu, kun tietosuojalaki astuu voimaan
– tärkeitä säännöksiä myös ammattikorkeakoulujen näkökulmasta!
2

3. Yleistä tietosuojasta
• Tietosuojan tarkoituksena suojata ihmisten oikeuksia, vapauksia ja
oikeusturvaa henkilötietojen käsittelyssä
– vrt. tietoturva, joka turvaa tietojen eheyttä ja luottamuksellisuutta
• Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn
– henkilötieto = tunnistettuun tai tunnistettavissa olevaan henkilöön suoraan
tai epäsuorasti yhdistettävissä oleva tieto
– käsittely = kaikki toimenpiteet, joiden kohteena henkilötiedot
• Kolme perustoimijaa
– rekisteröity = henkilö, jota tiedot koskevat
– rekisterinpitäjä = taho, joka vastaa henkilötietojen käsittelystä ja määrittää
sen tarkoitukset ja keinot
– henkilötietojen käsittelijä = taho, joka käsittelee henkilötietoja
rekisterinpitäjän lukuun
3

4. Tietosuoja-asetus pähkinänkuoressa
• Rekisteröidyille laajempia oikeuksia, ja rekisterinpitäjille velvollisuuksia
• Rekisterinpitäjä arvioi käsittelyn lainmukaisuuden ja ohjeistaa
palveluksessaan olevia henkilöitä
• Rekisterinpitäjän on oltava kokonaisvaltaisesti ja tosiasiallisesti kartalla
harjoittamastaan henkilötietojen käsittelystä
• Kaikessa henkilötietojen käsittelyssä noudatettava tietosuojaperiaatteita
– lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus,
tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja
luottamuksellisuus
• Jos henkilötietolakia on noudatettu, tietosuoja-asetus toi mukanaan
hyvin vähän mitään täysin uutta tai mullistavaa
– samat lähtökohdat ja perusperiaatteet edelleen päteviä
4

5. Miten tietosuoja-asetus esimerkiksi näkyy
ammattikorkeakoulujen arjessa? (1/2)
• Rekisterinpitäjä (esim. ammattikorkeakouluosakeyhtiö) vastaa siitä,
että henkilöstöä on ohjeistettu riittävästi
– osa asianmukaisia hallinnollisia suojatoimia sekä osoitusvelvollisuuden
toteuttamista
• Henkilötietoja ei saa käsitellä, luovuttaa tai julkaista ilman
asianmukaisia perusteita tai rekisteröidyn informointia
– perusteiden olemassaolon oltava osoitettavissa
• Henkilötietoja ei voi käsitellä alkuperäisen käyttötarkoituksen kanssa
”yhteensopimattomiin” tarkoituksiin
– rekisteröidyn näkökulmasta yllätykselliset tai kohtuuttomat tarkoitukset
– poikkeuksena tilastointi, tutkimus ja arkistointi sekä tarkoitukset, joihin
hankittu pätevä suostumus
5

6. Miten tietosuoja-asetus esimerkiksi näkyy
ammattikorkeakoulujen arjessa? (2/2)
• Henkilötiedot tulee suojata ulkopuolisilta
– ulkopuolisena pidetään myös muita opiskelijoita sekä sellaista
henkilöstöä, joka ei tarvitse tietoja työtehtävissään
• Toimittava asetuksen mukaisesti tilanteissa, joissa rekisteröity haluaa
käyttää tietosuoja-asetuksen mukaisia oikeuksiaan
– oikeuksien käyttämisen oltava maksutonta, helppoa ja viivytyksetöntä
• Läpinäkyvyys ja avoimuus
– seloste käsittelytoimista ja rekisteröidyn informointi (tietosuojailmoitus)
• Henkilötietojen käsittelyyn liittyvät riskit kartoitettava
– käsittelyn turvallisuus on suhteutettava tällaisiin riskeihin
• Huomioitava sähköisiä palveluita käytettäessä (ks. dia 8)
6

7. Toistaiseksi haasteellisia seikkoja
ammattikorkeakoulujen tietosuojan kannalta?
• Ammattikorkeakoulujen viranomaisasema
– ovatko viranomaisia vai eivät: merkittäviä heijastusvaikutuksia
• toisaalta tietosuoja-asetus rajoittaa viranomaisten käytettävissä olevia
henkilötietojen käsittelyn oikeusperusteita…
• … mutta toisaalta ei-viranomaisille voidaan määrätä hallinnollisia
seuraamusmaksuja tietosuoja-asetuksen rikkomisesta!
– tietosuojalakia koskevan HE:n perusteella eivät olisi → sanktiomahdollisuus
→ eriävä asema yliopistoihin nähden (voi vielä muuttua)
• Oppimisanalytiikka
– millainen oppimisanalytiikan käyttö on sallittua ja millä reunaehdoilla?
• milloin tarvitaan suostumus, miten tarkkaan rekisteröityä on informoitava
(esim. algoritmit), yhdenvertaisuus jne.
7

8. Sähköiset palvelut
• Henkilötietojen käsittelijän suorittamasta käsittelystä on oltava
olemassa sopimus tai muu oikeudellinen asiakirja
– sopimuksen täytettävä tietyt muodolliset ja sisällölliset vaatimukset
• Rekisterinpitäjä voi käyttää henkilötietojen käsittelijää toteuttamaan
ainoastaan sellaisia toimenpiteitä, joihin sillä itsellään olisi oikeus
– ei voida poiketa sopimusperustaisesti
– palveluntarjoajan intressejä voidaan pyrkiä toteuttamaan anonyymilla
datalla
• Sähköisessä ympäristössä kertyvien uudenlaisten tai aiempaa
laajempien henkilötietojen tarpeellisuus pystyttävä perustelemaan
• Rekisterinpitäjä vastaa siitä, että käsittelylle on olemassa
lainmukainen peruste ja hankkii tarvittaessa suostumuksen
– rekisterinpitäjän oikeutettu etu voi joissain tapauksissa riittää (olettaen,
että ammattikorkeakouluja ei pidetä viranomaisina)
8

9. Mitä nyt?
1) Tietosuoja-asetuksen noudattamisessa ei ole kyse yhteen päivään
sidotusta ihmeestä, vaan jatkuvasta ja vähitellen arkipäiväistyvästä
prosessista.
2) Kukaan ei voi oikeuskäytännön puuttuessa vielä tietää, miten
tietosuoja-asetusta tullaan tulkitsemaan ja soveltamaan
käytännössä.
3) Valvontaviranomaiset puuttuvat mahdollisiin virhearviointeihin
ensisijaisesti ohjeistuksella, sitten kielloilla ja vasta viimesijaisesti
rangaistuksilla.
4) Seuraa tietosuojalain (HE 9/2018) tilannetta!
9

10. Kiitos!
Lisäkysymyksiä? Ota yhteyttä henriikka.hannula@minedu.fi.
10