Successfully reported this slideshow.
Your SlideShare is downloading. ×

Tietosuoja koulussa käytännössä

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 43 Ad

Tietosuoja koulussa käytännössä

Download to read offline

Webinaari Tampereen yliopiston Digiturva – Digitaalinen turvallisuus osana opetushenkilöstön digitaalista osaamista -koulutukseen osallistujille, 8.4.2022, Harto Pönkä

Webinaari Tampereen yliopiston Digiturva – Digitaalinen turvallisuus osana opetushenkilöstön digitaalista osaamista -koulutukseen osallistujille, 8.4.2022, Harto Pönkä

Advertisement
Advertisement

More Related Content

Slideshows for you (20)

Advertisement

More from Harto Pönkä (20)

Advertisement

Recently uploaded (20)

Tietosuoja koulussa käytännössä

  1. 1. Tietosuoja koulussa käytännössä 8.4.2022 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  2. 2. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 2
  3. 3. GDPR = EU:n yleinen tietosuoja-asetus
  4. 4. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn ▪ Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot ▪ Sähköpostit, tekstiviestit ▪ Viestintäsovellukset ▪ Verkkopalvelut, chatit ▪ Sosiaalisen median palvelut ▪ Digitaaliset arkistot ▪ Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin ▪ Tietojärjestelmät/tietokannat ▪ Yhteystietoluettelot ▪ Henkilötietojen kokoelmat ▪ Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 4
  5. 5. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen joko rekisterinpitäjän tai jonkun muun tahon toimesta.
  6. 6. Esimerkkejä käsiteltävistä henkilötiedoista 6 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tavanomainen Nimen paljastuminen (vähäinen) Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaus
  7. 7. Rekisteri 7 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  8. 8. 8 Jos käsittelet työssäsi henkilötietoja, ota selvää: 1. selosteet 2. ohjeistukset 3. tietosuojavastaava
  9. 9. Tietosuojaseloste = rekisteröidyn informointi 9 ▪ Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä rekisterinpitäjältä ▪ Yleensä: tietosuojaseloste tai vastaava ▪ Annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Tiedon on oltava ymmärrettävää ja helposti saatavilla. ▪ Rekisteröidyn pyynnöstä myös puheella ▪ Informointi pitäisi saada tilanteessa, jossa henkilötietoja kysytään tai luovutetaan. ▪ Jos henkilötiedot kerätään muuten kuin suoraan henkilöltä, tulee informointi saada viimeistään kuukauden kuluessa. Rekisterinpitäjä ja yhteystiedot Tietosuojavastaavan yhteystiedot Henkilötietojen käsittelyn tarkoitus Oikeusperuste, mahdollisen oikeutetun edun perusteet Käsiteltävät henkilötiedot Tietojen säilyttämisaika tai sen kriteerit Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät) Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin Oikeus tehdä valitus valvontaviranomaiselle Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi Mistä henkilötiedot on saatu, mahdollinen julkinen lähde Käytetäänkö automaattista päätöksentekoa tai profilointia Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
  10. 10. Henkilötietojen käsittely opetuksessa
  11. 11. “ En tiedä täysin, miten pitäis toimia tietyissä asioissa, kun ei oo annettu ohjeita ja kukaan ei tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan, joilla nyt silleen on se vastuu jakaa tätä tietoo. Must tuntuu, et kaikki on vähä ottanu tän huumorilla tai vitsillä tai et ei oteta niin tosissaan, milloin rikotaankin mitä oikeutta tai niin. 11 Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma, https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
  12. 12. Opiskelijarekisteri Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. ▪ Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta. 12
  13. 13. Suostumus henkilötietojen käsittelyn perusteena 13 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus) sekä tarvittaessa sovellusten asentamiseen. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  14. 14. Huolehdi oppijoiden tietosuojasta 14 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan tietosuoja opetuksessa käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
  15. 15. Tietosuojalaki 35 §: vaitiolovelvollisuus 15 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  16. 16. Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok (laitelupa) Kuvat/videot: ok Muut hlötiedot: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk. (laitelupa) Kuvat/videot: lupa Muut hlötiedot: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat/videot: lupa Muut hlötiedot: lupa Muille opettajille ja henkilöstölle tarvittaessa Koko nimi: ok Koulun email ja puh.nrot: ok Muut tarpeelliset/välttämättömät: ok Henkilötiedot opetuksen tiloissa ja tilanteissa Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. 16 Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
  17. 17. Oppijoiden henkilötietojen luovuttaminen ja julkaisu 17 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset
  18. 18. Valokuvat ja videot 18 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää lupa. ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  19. 19. Kysymys: kuvat, videot ja etätilanteiden tallenteet 19 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  20. 20. Julkaisuluvan malli päiväkodeille ja kouluille 20 ▪ Tämä julkaisulupa on vapaasti käytettävissä. ▪ Saatavina Google Drivessa: https://docs.google.com/do cument/d/1ObAtxeYjtp9KRe gV0s0jI2L- pfueGWVmbmv4paertSk/edi t?usp=sharing ▪ PDF-versio: https://drive.google.com/fil e/d/1iHgvNR-VZq_- 4cIUuh4NR2FFz3PVa5g3/vie w?usp=sharing
  21. 21. Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 21
  22. 22. Henkilötiedot digialustoilla 22
  23. 23. Työnantajan laitteet ja ohjelmat 23 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.
  24. 24. Tietosuoja viestinnässä 24 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijauksia on tavallista enemmän liikenteessä. → Ohjeet, miten varmistaa viestien aitous?
  25. 25. Tietosuoja etäyhteyssovelluksissa 25 ▪ Käytä vain oppilaitoksen sallimia sovelluksia. ▪ Toimita kutsu henkilökohtaisesti opiskelijoille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta. ▪ Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
  26. 26. Älä jaa kuvaa etäkokouksen osoitteesta somessa! Kuva: Daniel Veerlan, https://twitter.com/danielverlaan/status/1329799677827551233 Lisää tapauksesta: BBC, 21.11.2020, https://www.bbc.com/news/world-europe-55027641 26
  27. 27. Oppijoiden henkilötiedot verkkopalveluissa 27 Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset! Opetuksen järjestäjän hallinnoimat asiointikanavat (esim. Wilma) Opetuksen järjestäjän hallinnoimat viestintä- ja oppimisalustat (esim. 0365, Teams, G Suite, Moodle) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot eivät näy julkisesti (esim. Quizlet) Ulkopuolinen sovellus tai verkkopalvelu, jossa tiedot näkyvät julkisesti (esim. Padlet) Opetuksen järjestäjän hallinnoimat käyttäjätunnukset Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Ylläpitäjien luomat tunnukset, kertakirj. tai vahva tunnistautuminen Opettajien luomat tunnukset esim. nimimerkki tai etunimi Opettajan luomat anonyymit tunnukset tai ei tunnuksia Saavatko oppijat rekisteröityä palveluun itse koulussa? Ok Ok Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Ok, alle 13-vuotiaat tarvitsevat huoltajan suostumuksen Käyttö opetuksen aktivointiin, materiaalien jakoon ym. Ok Ok Ok Ok Oppijoiden tekemät tehtävien palautukset ja esim. kuvat Ok Ok Ok Ei ilman suostumusta Tavall. henkilötietojen tallennus (esim. spostiosoite tai puh.nro) Ok Ok Ei ilman suostumusta Ei Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei Sanalliset arvioinnit, soveltuvuustestit ym. Ok Ei Ei Ei Muut salassa pidettävät tiedot (esim. terveys ja erityinen tuki) Ok Ei Ei Ei
  28. 28. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa 28 ▪ Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettuja pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. ▪ Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä. Vastuu käytöstä on tällöin rekisterinpitäjällä. ▪ Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella. ▪ Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. ▪ Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle, jotta tietoja antavat henkilöt voivat tutustua siihen. ▪ Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä oppijoiden henkilötietojen käsittelyssä. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 • Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? • Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
  29. 29. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin ▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella. ▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja tallennuksessa. ▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns. Schrems II –päätös). ▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja. ▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa. ▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi. Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf 29
  30. 30. Opiskelijatiedot somepalveluissa 30 ▪ Noudata aina rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia! ▪ Pyydä tarvittaessa suostumukset ja muista oppijoiden ja huoltajien informointi, jos somepalveluun tallentuu henkilötietoja. ▪ Tarkista palvelun käyttöehdot eli sopimus: ▪ Onko palvelu EU:ssa vai sen ulkopuolella? ▪ Onko palvelussa ikärajaa? ▪ Mitä henkilötietoja vaaditaan käyttäjiltä? ▪ Onko sopimusta henkilötietojen käsittelystä organisaatioille? ▪ Mitä oikeuksia palvelu saa sisältöihin? ▪ Jälkihoito: henkilötietojen ja viestien poisto.
  31. 31. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 31 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  32. 32. WhatsApp opetuksessa • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Ohjeet, mihin WhatsAppia saa käyttää. Esim. ei henkilötietoja WA:han. • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/terms-of-service-eea OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien sekä videoinnin käyttö opetuksessa, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen- median-palveluiden-ja-digitaalisten-pelien-seka-videoinnin-
  33. 33. Rekisterinpitäjän tehtävät WhatsAppia käytettäessä ▪ Kuvaus suunnitellusta henkilötietojen käsittelystä (tarkoitus, käsiteltävät tiedot jne.) ▪ WhatsApp Business -sovelluksen käyttö kuluttaja-WhatsAppin sijasta silloin, kun kyse on rekisterinpitäjän toiminnasta. WhatsApp Businessiin sisältyy valmis sopimus henkilötietojen käsittelystä, joka tulee arvioida ennen päätöstä sovelluksen käytöstä. ▪ Riskiarvio WhatsAppin käytöstä kyseiseen tarkoitukseen ▪ Tarvittaessa GDPR:n mukainen vaikutustenarviointi, mikäli riskit arvioidaan suuriksi. Vaikutustenarviointi tulee tehdä erityisesti mm. käytettäessä uutta teknologiaa tai sovellettaessa teknisiä ratkaisuja uudella tavalla. ▪ Riskejä vastaavien suojatoimien toteuttaminen (esim. ohjeistukset, työpuhelimen käyttö, valvonta/moderointi, tietojen poisto jne.) ▪ Siirtoperusteen päättäminen tietojen siirrolle EU:sta Yhdysvaltoihin (käytännössä joko henkilötietojen käsittelysopimuksen mukaisesti tai rekisteröityjen suostumus) ▪ Rekisteröityjen informointi henkilötietojen käsittelystä ▪ Tarvittaessa suostumusten pyyntö käsittelylle rekisteröidyiltä. Lisätietoa TSV:n päätöksestä WhatsAppin käyttöön liirtyen: https://harto.wordpress.com/2021/12/15/tietosuojavaltuutetun-whatsapp-paatoksen-merkitys-kaytannossa/
  34. 34. Milloin ja mihin etä- ja verkko-opetuksessa tarvitaan suostumus? ▪ Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä). ⬞ → Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa. ▪ Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle. ⬞ → Suostumus henkilötietojen siirrolle ko. palveluun ja maahan. ▪ Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia. ⬞ → Suostumus henkilötietojen tai tuotosten julkaisulle. ▪ Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen, jotka eivät ole välttämättömiä opetuksen kannalta. ⬞ → Suostumus henkilötietojen käytön perusteena ko. palveluille. ▪ Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä. ⬞ → Suostumus automaattiselle päätöksenteolle. 34
  35. 35. Tunnista tietoturvariskit ja -loukkaukset
  36. 36. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi 36 ▪ Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille. ▪ GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla). ▪ Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin. ▪ Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa. ▪ Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa. ▪ Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate). ▪ Monet kunnat käyttävät Microsoft Teams -sovellusta mm. varhaiskasvatus-, kehitys- ja arviointikeskusteluihin sekä terveydenhuollossa potilaiden etävastaanottoon. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi • Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta? • Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
  37. 37. Tietoturvaloukkaus 37 Tietoturvaloukkauksella tarkoitetaan henkilötietojen… ▪ vahingossa tapahtuvaa tai lainvastaista tuhoamista ▪ häviämistä ▪ muuttamista ▪ luvatonta luovuttamista tai pääsyä tietoihin Rekisterinpitäjällä on velvollisuus ilmoittaa 72 tunnin kuluessa tietoturvaloukkauksesta tietosuojaviranomaiselle ja rekisteröidylle, jos siitä aiheutuu korkea riski.
  38. 38. Esimerkkejä tietosuojaloukkauksista 38 Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  39. 39. Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin kuten lähetettyihin laskuihin. ▪ Murretuilla tunnuksilla voidaan lähettää esim. ”korjattuja” huijauslaskuja. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 39
  40. 40. Selain selaimessa –huijaussivu ▪ Huijari houkuttelee kävijän verkkopalveluun, jossa voi kirjautua sisään käyttäen esim. Facebook- tunnusta ▪ Aukeava Facebook-kirjatumissivu onkin huijarin tekemä ”kuvakaappaus” oikeasta Facebookin sivusta, mukaan lukien siinä näkyvä selaimen osoiterivi. ▪ Jos kävijä antaa sivulle tunnuksensa ja salasanansa, ne päätyvät huijarille. ▪ Helpoin tapa todeta tämä huijaukseksi: klikkaa osoiteriviä ja kokeile toimiiko se oikein. Lisää aiheesta: https://www.is.fi/digitoday/tietoturva/art-2000008698981.html Alkuperäinen lähde ja kuva: https://mrd0x.com/browser-in-the-browser-phishing-attack/ 40
  41. 41. Huijaus- ja tietojenkalasteluviestit 41 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  42. 42. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. Anna ohjeita, miten välttää ikäviä seurauksia. 42
  43. 43. 43 Kysymyksiä tai kommentteja? Yhteystiedot Harto Pönkä 0400500315 @hponka harto.ponka@innowise.fi https://www.innowise.fi/ Kiitos!

×