Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa

132 views

Published on

Euroopan unionin yleinen tietosuoja-asetus (GDPR) astui voimaan keväällä 2016 ja sitä sovelletaan 25. päivästä toukokuuta 2018 alkaen

Published in: Education
  • Be the first to comment

  • Be the first to like this

eAMK webinaari: Tietosuoja-asetus digitalisoituvissa korkeakouluissa

  1. 1. Tietosuoja-asetus digitalisoituvissa korkeakouluissa 5.6.2018
  2. 2. EU:n tietosuojauudistus • EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi 25.5.2018 – yhdenmukaistaa ja ajantasaistaa jäsenvaltioiden tietosuojakehyksen – ihmiskeskeinen: tavoitteena parantaa yksilön oikeuksia, vapauksia ja oikeusturvaa henkilötietojen käsittelyssä • Sovelletaan kaikissa jäsenvaltioissa sellaisenaan • Tietosuoja-asetus jättää hieman kansallista liikkumavaraa, jonka käytöstä ehdotettu säädettäväksi kansallinen tietosuojalaki – koska tietosuojalakia ei ole vielä hyväksytty, sovelletaan tällä hetkellä tietosuoja-asetusta sekä vanhaa henkilötietolakia niiltä osin, kuin se ei ole ristiriidassa tietosuoja-asetuksen kanssa (”limbo”) – henkilötietolaki kumoutuu, kun tietosuojalaki astuu voimaan – tärkeitä säännöksiä myös ammattikorkeakoulujen näkökulmasta! 2
  3. 3. Yleistä tietosuojasta • Tietosuojan tarkoituksena suojata ihmisten oikeuksia, vapauksia ja oikeusturvaa henkilötietojen käsittelyssä – vrt. tietoturva, joka turvaa tietojen eheyttä ja luottamuksellisuutta • Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn – henkilötieto = tunnistettuun tai tunnistettavissa olevaan henkilöön suoraan tai epäsuorasti yhdistettävissä oleva tieto – käsittely = kaikki toimenpiteet, joiden kohteena henkilötiedot • Kolme perustoimijaa – rekisteröity = henkilö, jota tiedot koskevat – rekisterinpitäjä = taho, joka vastaa henkilötietojen käsittelystä ja määrittää sen tarkoitukset ja keinot – henkilötietojen käsittelijä = taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 3
  4. 4. Tietosuoja-asetus pähkinänkuoressa • Rekisteröidyille laajempia oikeuksia, ja rekisterinpitäjille velvollisuuksia • Rekisterinpitäjä arvioi käsittelyn lainmukaisuuden ja ohjeistaa palveluksessaan olevia henkilöitä • Rekisterinpitäjän on oltava kokonaisvaltaisesti ja tosiasiallisesti kartalla harjoittamastaan henkilötietojen käsittelystä • Kaikessa henkilötietojen käsittelyssä noudatettava tietosuojaperiaatteita – lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus • Jos henkilötietolakia on noudatettu, tietosuoja-asetus toi mukanaan hyvin vähän mitään täysin uutta tai mullistavaa – samat lähtökohdat ja perusperiaatteet edelleen päteviä 4
  5. 5. Miten tietosuoja-asetus esimerkiksi näkyy ammattikorkeakoulujen arjessa? (1/2) • Rekisterinpitäjä (esim. ammattikorkeakouluosakeyhtiö) vastaa siitä, että henkilöstöä on ohjeistettu riittävästi – osa asianmukaisia hallinnollisia suojatoimia sekä osoitusvelvollisuuden toteuttamista • Henkilötietoja ei saa käsitellä, luovuttaa tai julkaista ilman asianmukaisia perusteita tai rekisteröidyn informointia – perusteiden olemassaolon oltava osoitettavissa • Henkilötietoja ei voi käsitellä alkuperäisen käyttötarkoituksen kanssa ”yhteensopimattomiin” tarkoituksiin – rekisteröidyn näkökulmasta yllätykselliset tai kohtuuttomat tarkoitukset – poikkeuksena tilastointi, tutkimus ja arkistointi sekä tarkoitukset, joihin hankittu pätevä suostumus 5
  6. 6. Miten tietosuoja-asetus esimerkiksi näkyy ammattikorkeakoulujen arjessa? (2/2) • Henkilötiedot tulee suojata ulkopuolisilta – ulkopuolisena pidetään myös muita opiskelijoita sekä sellaista henkilöstöä, joka ei tarvitse tietoja työtehtävissään • Toimittava asetuksen mukaisesti tilanteissa, joissa rekisteröity haluaa käyttää tietosuoja-asetuksen mukaisia oikeuksiaan – oikeuksien käyttämisen oltava maksutonta, helppoa ja viivytyksetöntä • Läpinäkyvyys ja avoimuus – seloste käsittelytoimista ja rekisteröidyn informointi (tietosuojailmoitus) • Henkilötietojen käsittelyyn liittyvät riskit kartoitettava – käsittelyn turvallisuus on suhteutettava tällaisiin riskeihin • Huomioitava sähköisiä palveluita käytettäessä (ks. dia 8) 6
  7. 7. Toistaiseksi haasteellisia seikkoja ammattikorkeakoulujen tietosuojan kannalta? • Ammattikorkeakoulujen viranomaisasema – ovatko viranomaisia vai eivät: merkittäviä heijastusvaikutuksia • toisaalta tietosuoja-asetus rajoittaa viranomaisten käytettävissä olevia henkilötietojen käsittelyn oikeusperusteita… • … mutta toisaalta ei-viranomaisille voidaan määrätä hallinnollisia seuraamusmaksuja tietosuoja-asetuksen rikkomisesta! – tietosuojalakia koskevan HE:n perusteella eivät olisi → sanktiomahdollisuus → eriävä asema yliopistoihin nähden (voi vielä muuttua) • Oppimisanalytiikka – millainen oppimisanalytiikan käyttö on sallittua ja millä reunaehdoilla? • milloin tarvitaan suostumus, miten tarkkaan rekisteröityä on informoitava (esim. algoritmit), yhdenvertaisuus jne. 7
  8. 8. Sähköiset palvelut • Henkilötietojen käsittelijän suorittamasta käsittelystä on oltava olemassa sopimus tai muu oikeudellinen asiakirja – sopimuksen täytettävä tietyt muodolliset ja sisällölliset vaatimukset • Rekisterinpitäjä voi käyttää henkilötietojen käsittelijää toteuttamaan ainoastaan sellaisia toimenpiteitä, joihin sillä itsellään olisi oikeus – ei voida poiketa sopimusperustaisesti – palveluntarjoajan intressejä voidaan pyrkiä toteuttamaan anonyymilla datalla • Sähköisessä ympäristössä kertyvien uudenlaisten tai aiempaa laajempien henkilötietojen tarpeellisuus pystyttävä perustelemaan • Rekisterinpitäjä vastaa siitä, että käsittelylle on olemassa lainmukainen peruste ja hankkii tarvittaessa suostumuksen – rekisterinpitäjän oikeutettu etu voi joissain tapauksissa riittää (olettaen, että ammattikorkeakouluja ei pidetä viranomaisina) 8
  9. 9. Mitä nyt? 1) Tietosuoja-asetuksen noudattamisessa ei ole kyse yhteen päivään sidotusta ihmeestä, vaan jatkuvasta ja vähitellen arkipäiväistyvästä prosessista. 2) Kukaan ei voi oikeuskäytännön puuttuessa vielä tietää, miten tietosuoja-asetusta tullaan tulkitsemaan ja soveltamaan käytännössä. 3) Valvontaviranomaiset puuttuvat mahdollisiin virhearviointeihin ensisijaisesti ohjeistuksella, sitten kielloilla ja vasta viimesijaisesti rangaistuksilla. 4) Seuraa tietosuojalain (HE 9/2018) tilannetta! 9
  10. 10. Kiitos! Lisäkysymyksiä? Ota yhteyttä henriikka.hannula@minedu.fi. 10

×