SlideShare a Scribd company logo
1 of 87
Download to read offline
Tietosuoja
varhais-
kasvatuksessa
Harto Pönkä
25.4.2019
Kuva: PixabayKuva: Pixabay
EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa
tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan.
GDPR
Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
Arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
Arkaluontoisia tietoja saa käsitellä, jos…
• rekisteröity on antanut nimenomaisen suostumuksensa eikä mikään laki sitä estä
• käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten
oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla
• käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen
suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan
• käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan
liittyvän säätiön, yhdistyksen tai vastaavan toiminnan yhteydessä ja käsittely koskee
niiden jäseniä
• käsittely koskee henkilötietoja, jotka rekisteröity on saattanut julkisiksi
• käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• käsittely on tarpeen tärkeää yleistä etua koskevasta syystä lain nojalla;
• käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia
varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys-
tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai
sosiaalihuollon palvelujen ja järjestelmien hallintoa varten lain perusteella
• käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi jne. lain perusteella
• käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja
historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lain nojalla
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
• Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan
koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia.
– Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa.
– Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan.
• Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n
vaatimuksia.
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä
katsottu yksinään muodostavan henkilörekisteriä.
– Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan
muihin henkilörekistereihin.
– On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana
esityslistaa tai pöytäkirjaa.
Tavallisia poikkeuksia
Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017:
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-
kuntalain#henkilotiedot-ja-verkkotiedottaminen
Henkilötietojen käsittelyn lähtökohtia
• Vastuu GDPR:n mukaisen selosteen ja
informoinnin teosta on varhaiskasvatuksen
järjestämisestä vastaavalla taholla, joka on
rekisterinpitäjä.
– Kunnallinen vaka-järjestäjä
– Yksityinen vaka-järjestäjä
• Varhaiskasvatuksen järjestäjä voi määrätä
päiväkodin johdon huolehtimaan GDPR:n
vaatimusten käytännön toteuttamisesta.
• Vastuu henkilötietojen käsittelystä ja
rekisteröityjen informoinnista on lopulta
myös jokaisella työntekijällä.
GDPR:n määräykset – kenen vastuulla?
Vaka-
järjestäjä
Päiväkoti
Päiväkodin johto
Muu henkilöstö
Lapset ja
huoltajat
• Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde
tai työsuhde)
• Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn
nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa.
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
Lähde: Varhaiskasvatuslaki, https://www.finlex.fi/fi/laki/alkup/2018/20180540
Varhaiskasvatuksen järjestäminen perustuu varhaiskasvatuslakiin. Lisäksi on huomioitava
mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR.
Varhaiskasvatuksen lakiperuste
• Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• 1.1.2019 voimaan tulleen tietosuojalain mukaan yli
13-vuotias voi antaa itse suostumuksen
henkilötietojen käsittelylle tietoyhteiskunnan
palveluissa (esim. verkko-, some- ja mobiilipalvelut).
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Varhaiskasvatuksen
rekistereitä
Kunnan
varhaiskasvatuksen
asiakasrekisteri
Varhaiskasvatuksen tietovaranto Varda
(kunnat, OPH, AVI:t, Kela, muut viranomaiset)
Yksityisten
palveluntuottajien
rekisterit
Lapset
Huoltajat
Henkilöstö
Lapset
Huoltajat
Henkilöstö
Varhaiskasvatuslain 70 §:n
mukaiset tiedot
OPH:n oppijanumerorekisteri
• Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste)
– Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön
– Ei tarvitse julkaista, mutta saa jos haluaa 
– Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja
niihin liittyvät rekisteröityjen ryhmät/rekisterit
– Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä
– Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot
• Rekisteröityjen informointi (vrt. tietosuojaseloste)
– Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet
– Pidetään saatavilla / julkaistaan
• Henkilötietojen käsittelijän seloste käsittelytoimista
– Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin
GDPR:n mukaiset selosteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista
Rekisterinpitäjän seloste käsittelytoimista
• Yli 250 työntekijän organisaatio  seloste on pakollinen
• Alle 250 työntekijän organisaatio  seloste on tehtävä, jos henkilötietojen käsittely
ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos
käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja
• Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
• Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan,
rekisteröidyn oikeudet jne.
– Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ
• Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
• Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
– Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
– Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa.
Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on
annettava maksutta.
• Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan
linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille
• Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista
Informointi (tietosuojaseloste)
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi
Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018)
Tunne työhösi liittyvät
tietosuojaselosteet,
jotta osaat kertoa niistä!
Mäntsälän kunnan
varhaiskasvatuksen
tietosuojaseloste:
https://www.mantsala.fi/tied
ostot/palvelut/paivahoito/201
9/varhaiskasvatuksen_rekiste
riseloste_tammikuu2019.pdf
• Vardaan tallennetaan tai siirretään sähköisesti eli luovutetaan varhaiskasvatuslain 70
§:n mukaiset tiedot varhaiskasvatuksen järjestäjän omista rekistereistä
– Lapsesta: nimi, henkilötunnus, äidinkieli, kotikunta ja yhteystiedot sekä vaka-palveluihin liittyviä tietoja
• OPH:n oppijanumerorekisteristä siirretään ja yhdistetään lapseen liittyvät tiedot
– nimi, oppijanumero ja henkilötunnus tai muu vastaava yksilöintitieto, kansalaisuus, sukupuoli, äidinkieli ja
tarpeelliset yhteystiedot
• Varhaiskasvatuspalvelujen tuottajien tulee rekisterinpitäjinä informoida rekisteröityjä
Vardaan liittyvästä henkilötietojen käsittelystä
• Rekisteröidyillä ja näiden huoltajilla on normaalit GDPR:n mukaiset oikeudet mm.
tietojen tarkastamiseen ja oikaisemiseen
• Varda-palvelun tietosuojaseloste:
https://opintopolku.fi/wp/tietosuojaseloste/varda-palvelun-tietosuojaseloste/
Varhaiskasvatuksen tietovaranto Varda
Lisätietoa: CSC, https://confluence.csc.fi/display/OPHPALV/Varhaiskasvatuksen+tietovaranto
Mäntsälän kunnan Varda-
tietovarannon
tietosuojaseloste:
https://www.mantsala.fi/tied
ostot/palvelut/paivahoito/201
9/vaka_varda_rekisteriseloste
_tammikuu2019.pdf
• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
• Oikeus tietojen oikaisemiseen
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
• Oikeus käsittelyn rajoittamiseen mm. oikeusturvan vuoksi
tai jos rekisteröity kiistää tietojen oikeellisuuden
• Oikeus siirtää tiedot järjestelmästä toiseen, kun
oikeusperusteena on suostumus tai sopimus
• Vastustamisoikeus (kielto-oikeus), esim. suoramarkkinointi
• Oikeus kieltäytyä automatisoiduista päätöksistä ja
profiloinnista
Rekisteröidyn oikeudet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Mihin ja miten tietoja saa käyttää?
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
• Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.)
• Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.)
• Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.)
• Informointikäytännöt (12-14 art.)
• Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.)
– Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.)
– Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.)
• Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.)
– Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet
– Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille
– Sisäiset tarkastukset ja auditoinnit
• Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio
• Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi
• Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.)
• Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla)
• Yhteisrekisterinpitäjien vastuualueet (29 art.)
• Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.)
• Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku)
Rekisterinpitäjän osoitettavat asiat
Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä,
https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
Mitä henkilötietojen käsittelyssä
tulee huomioida?
Rekisterinpitäjä  tarkoitukset  tiedot
Tarkoitukset ja
keinot
Rekisteriin
kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot
Rekisterinpitäjän tulee
käsitellä vain tarkoituksiin
tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo)
Oikeus-
peruste
Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.
Asiakirjojen ja tietojen arkistointiaikoja
Varhaiskasvatussuunnitelmat ja varhaiskasvatuksessa syntyvät lasta
koskevat lausunnot ja arvioinnit liitteineen
Pysyvästi (päätös 2.1.2019 , aiemmin 10 v.)
Esiopetuksen ja oppivelvollisten luettelot, rekisterit, päätökset ja
vastaavat
Oppivelvollisuusaika + 10 v
Yksilölliset esiopetussuunnitelmat 10 v (muutos valmisteilla, jatkossa pysyvästi?)
Oppilaiden koulua ja luokkia koskevat luettelot tai rekisterit 50 v
Aineiden valintaa ja opetuksesta vapauttamista koskevat asiakirjat 10 v
Henkilökohtaisen opetuksen järjestämistä koskevat suunnitelmat,
HOJKS
10 v
Oppilasrekisterit Henkilötiedot ja arvosanat: pysyvästi
Muut tiedot: oppivelvollisuusaika + 10 v
Koekysymykset ja -vastaukset, esseet, muut lukuvuosi- ja
väliarviointeihin tarvittavat tiedot
Lukuvuosi
Lukuvuosi-, väli- ja jaksotodistukset liitteineen Oppivelvollisuusaika
Perusopetuksen ja lukion päättötodistukset, erotodistukset Säilytetään pysyvästi, mikäli arvosanatietoja ei
ole siirretty arviointirekisteriin, jolloin 50 v
Oppilaiden palkitsemiseen liittyvät rekisterit, luettelot palkintojen
saajista
Pysyvästi
Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf,
Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat
• Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita
Lähde: Varhaiskasvatuslaki,
https://www.finlex.fi/fi/laki/al
kup/2018/20180540
Salassapito
varhais-
kasvatuksessa
- Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia?
- Saako esikoululaisten nimiä näkyä opetustiloissa?
- Ovatko koulun oppilaiden nimet, luokka-asteet salassa pidettäviä?
Kysymys: saako lasten nimiä kertoa?
• Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen.
• Kuvien esittämiseen muuten kuin oppilasryhmän kesken tarvitaan suostumus.
• Tieto lapsen osallistumisesta päivähoitoon on julkinen (uusi varhaiskasvatuslaki).
• Tieto lapsen osallistumisesta esiopetukseen on julkinen.
• Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella
paljastu muulla perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.)
• Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan
päällä nähtäväksi ja jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa
kopiona, tulosteena tai sähköisesti vain sellaiselle, joka itsekin voisi tallettaa ja
käyttää samoja henkilötietoja. (JulkiL 16 §)
• Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei
ole oikeutta käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön)
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa,
https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
Henkilötietojen näkyminen toiminnassa
Opetuksen/varhaiskasvatuksen
järjestämiseen liittyvä toiminta tiloineen
(henkilötietojen käsittelyn tarkoituksen mukaisesti)
Saman opetus-
/lapsiryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: ok (laitelupa)
Kuvat ja videot: ok
Muut: lupa
Muille ryhmille
toiminnan yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk.
Kuvat ja videot: lupa
Muut: lupa
Ulkopuolisille
henkilöille ja tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat ja videot: lupa
Muut: lupa
Muille opettajille ja henkilöstölle
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut tarpeelliset/välttämättömät: ok
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
- Monella päiväkodilla/eskarilla on sijaisia varten ollut kansio, josta
löytyy esim. ryhmäjaot, mutta myös allergiat ja muuta tärkeää,
mutta salassa pidettävää.
- Voiko sijaiskansioissa olla enää henkilötietoja GDPR:n takia?
Kysymys: henkilötiedot sijaiskansiossa
• Oikeusperuste henkilötietojen käsittelylle on varhaiskasvatuksen järjestäminen.
Kaikki siihen liittyvät toimet ovat lähtökohtaisesti hyväksyttäviä.
• Lasten henkilötiedot tulee olla saatavilla vain niille, joiden työtehtäville ne ovat
tarpeellisia. Käytännössä koko henkilökunta on sellaisessa asemassa, että heillä voi
jossakin tilanteessa olla tarve saada lapsen henkilötietoja.
• Lapsen salassa pidettäviä tietoja (terveys, tukitoimet ym.) saa luovuttaa vain niille
henkilöille, joille ne ovat työtehtäviensä puolesta välttämättömiä.
• Sijaiskansiot ovat hyväksyttäviä ja ne voivat sisältää lapsen turvallisuuden kannalta
tarpeellisia terveystietoja. Samalla on huolehdittava siitä, etteivät tiedot päädy
ulkopuolisten käyttöön.
• Sijaiskansioihin kirjattavat tiedot ja anto sijaisten käyttöön on syytä ohjeistaa.
Soveltaen mm. OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa,
https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
Listan teko huoltajien toimesta:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Listan teko koulun/päiväkodin toimesta:
• Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään
ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille.
Tietojen anto koulun/päiväkodin rekisteristä:
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia, eli esimerkiksi puhelinnumero ei ole salainen.
– Rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tai turvakielto tulee merkitä rekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
• Henkilötietojen julkaisu netissä on niiden sähköistä luovuttamista kenen
tahansa käyttöön – älä tee ilman suostumusta!
• Pyydä huoltajan suostumus aina, kun julkaistaan alaikäisen henkilötietoja.
• Henkilötietoja ja lasta koskevia päätöksiä voidaan julkaista netissä vain
suostumuksella, vaikka tiedot olisivat periaatteessa julkisia.
• Tunnistamisen mahdollistava valokuva tai video on henkilötieto, jonka
julkaisuun tarvitaan suostumus.
Henkilötietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Henkilötietojen julkaisu netissä:
• Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille
yksityishenkilöiden henkilötietoja
• Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa esim. suojatussa extranetissä:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassa pidettäviä tietoja ja asiakirjoja
Yksityiset laitteet ja sosiaalisen median palvelut:
• Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä
• Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa
Henkilötiedot digitaalisessa viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
- Saako opettaja esitellä lasten testivastauksia kahvipöydässä
työtovereilleen?
- Vaarantuuko lasten tietosuoja, jos samalla arvioidaan lasten
ominaisuuksia ääneen?
Kysymys: kahvipöytäkeskustelut?
• Lapsen tuen tarvetta, tukitoimia ja niiden toteuttamista koskevat tiedot sekä
lapsen henkilökohtaisten ominaisuuksien arviointia koskevat tiedot ovat salassa
pidettäviä (varhaiskasvatuslaki 40 §).
• Lapsen varhaiskasvatuksesta vastaavilla henkilöillä ja tuen tarpeen,
tukitoimenpiteiden tai niiden toteuttamisen arviointiin osallistuvilla henkilöillä on
salassapitovelvollisuuden estämättä oikeus saada toisiltaan ja luovuttaa toisilleen
sekä varhaiskasvatuksen järjestäjälle ja tuottajalle sellaiset tiedot, jotka ovat
varhaiskasvatuksen järjestämisen, tuottamisen ja tuen arvioinnin kannalta
välttämättömiä (varhaiskasvatuslaki 41 §).
• Myös mm. terveystiedot sekä tiedot kokeista ja psykologisista testeistä ovat
salassa pidettäviä.
• Varhaiskasvatuksen järjestäjän on syytä ohjeistaa henkilöstöä salassa pidettävien
ja arkaluontoisten tietojen käsittelystä ja säilyttämisestä.
- Saako päiväkodissa olla esillä kuvia henkilökunnasta, joissa on
myös heidän etunimensä?
- Mitä tietoja koulun tai päiväkodin henkilöstöstä voi julkaista?
- Saako oppilas kuvata opettajaa tunnilla?
Kysymys: mitä saa kertoa työntekijöistä?
• Opettaja toimii työroolissaan julkisesti. Tiedot oppilaitoksen henkilöstön nimistä,
asemasta, työtehtävistä ja yhteystiedoista ovat julkisia.
• Opettajan muita henkilötietoja kuten kuvia ja yksityisiä osoite- ja yhteystietoja ei
saa julkaista ilman hänen suostumustaan.
• Samoin kuin oppilaiden myös henkilöstön ja näiden perheenjäsenten
henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyvät tiedot ovat
salassapidettäviä (perusopetuslaki).
• Tietoa työntekijän sairaslomasta ei saa kertoa ilman henkilön suostumusta.
• Oppilas saa ottaa valokuvan tai videon oppitunnilla, jos opettaja on antanut siihen
luvan. Opetukseen liittymätön kuvaaminen ja videoiminen voidaan
järjestyssäännöissä kieltää opetusta ja oppimista häiritsevänä.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa,
https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
Taiteellinen,
kirjallinen,
akateeminen tai
journalistinen sisältö
Julkinen
henkilötieto
Ei-julkinen
henkilötieto (esim.
turvakielto,
salainen puh.nro)
Arkaluonteiset
henkilötiedot/
erityiset
henkilötietoryhmät
Salassapidettävät
tiedot ja
asiakirjat
Suullisesti tai
paikanpäällä
näytettynä
Kyllä Kyllä Ei Ei Ei
Sähköisesti,
kopiona tai
tulosteena
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Suojattuna
sähköisesti
(sähköposti tai
verkkopalvelun
yksityisviesti)
Kyllä Kyllä, jos saajalla
on oikeus käsitellä
henkilötietoja
Ei Ei Ei
Julkisesti
(netti, some tai
ilmoitustaulu)
Kyllä Ei.
Mahdollista
tapauskohtaisesti
tiedottamisessa,
esityslistoissa ja
pöytäkirjoissa.
Ei Ei Ei
Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn
suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää.
Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017,
https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
Kuvaaminen ja kuvausluvat
- Saako varhaiskasvatuksen tai opetuksen tilanteissa ottaa
valokuvia ja videoita sekä esittää niitä opetustilanteessa?
- Saako varhaiskasvatus- tai opetusryhmän sisällä esittää oppilaiden
tekemiä tuotoksia muille?
Kysymys: kuvaaminen ryhmän kesken
• Varhaiskasvatus- ja opetustilanteessa voidaan ottaa valo- ja videokuvia sekä
näyttää niitä pedagogisessa tarkoituksessa saman ryhmän kesken.
• Oppilaiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia
voidaan myös valo- ja videokuvata opetustarkoituksessa.
• Kuvia ja videoita voidaan tallentaa esimerkiksi lapsen henkilökohtaiseen
portfolioon tai kasvun kansioon. Tällöin täytyy huolehtia, että tallenteiden
säilytys ja käyttö täyttävät henkilötietojen käsittelyn vaatimukset.
• Mikäli oppilaasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää
julkisesti esim. vanhempainillassa, julkisessa tilassa tai netissä, tulee siihen
pyytää lupa oppilaalta ja hänen huoltajaltaan.
• Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä
tehdä ohjeistus henkilöstölle sekä informoida huoltajia.
- Saako koulun/päiväkodin tapahtumissa ottaa kuvia ja videoita
esimerkiksi nettisivuilla julkaistavaksi?
- Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
- Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
Kysymys: tapahtumissa kuvaaminen
• Koulun/päiväkodin tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on
lähtökohtaisesti sallittua.
• Jos kuvaaminen tapahtuu koulun/päiväkodin toimesta, tulee kuvien julkaisulle
pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta.
• Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen
tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten.
• Koulu/päiväkoti ei ole vastuussa tapahtuman vierailijoiden tekemästä
kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää.
• Kuvien julkaisusta säädetään laissa. Esimerkiksi yksityiselämää loukkaavia kuvia
ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien
julkaisu toimitukselliseen tarkoitukseen on ok.
Lähde: Savonlinnan kaupunki,
https://www.savonlinna.fi/filebank/11763-
Lapsen_kuvauslupa_varhaiskasvatuksessa.docx
Kaiken kattava
kuvauslupa
Lähde: Oulun kaupunki,
https://www.ouka.fi/documents/112792/1
31455/Perustietolomake+-
+uusittu+2018.pdf/aa3ea99d-a026-4d00-
b9ef-29eca0f9fc74
Rajattu
kuvauslupa
Lähde: Mediakasvatusseura,
https://mediakasvatus.com/materiaali/kuvauslupa/
Tekijänoikeus-,
kuvaus- ja
henkilötietojen
julkaisulupa
Ulkopuoliset henkilötietojen käsittelijät
Tietojen anto ulkopuoliselle taholle?
Henkilötietojen käsittely toisen lukuun
Henkilötietojen käsittelijä
käyttää luovutettuja tietoja
sovittuun tarkoitukseen
Rekisterinpitäjä
luovuttaa henkilötietoja
tiettyä tarkoitusta varten
Seloste käsittelytoimista ja
rekisteröidyn informointi
(13 ja 30 artiklat)
Seloste rekisterinpitäjän lukuun
suoritettavista käsittelytoimista
(30 artikla)
Sopimus ja ohjeet
henkilötietojen käsittelystä
(28 artikla)
Rekisteröity Valvontaviranomainen
• Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
Miten GDPR toteutuu Wilmassa?
• Vastuu Primuksen ja Wilman tiedoista on opetuksen järjestäjällä
• GDPR-informointia ei ole viety Wilman toimintoihin
• Wilman tukisivuston ohjeistukset ovat osin vanhentuneita
• Wilmassa ei ole toimintoa tietojen tarkistukseen tai siirtoon
• Toistaiseksi on epäselvää, pitääkö Wilma-viestit toimittaa pyynnöstä
Verkkopalvelujen tietosuoja ja käyttöehdot
Organisaatioiden käyttöön
tehdyissä pilvipalveluissa
organisaatio on yleensä
rekisterinpitäjä käyttäjilleen ja
palvelun ylläpitäjä
henkilötietojen käsittelijä.
Kuva: Pixabay
Verkkopalvelujen kolme tyyppiä
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava ja siitä
vastaava organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät organisaation omassa hallinnassa
Henkilötietoja päätyy
ulkopuoliselle rekisterinpitäjälle
Palvelua käyttävä
organisaatio
- Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille
tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä.
– Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU-
komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa
Ulkopuoliset verkkopalvelut opetuksessa?
Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018)
Tunne ulkopuolisten
verkkopalvelujen
käyttöehdot ja
yksityisyyskäytännöt!
Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä
tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi
mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi
ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee
ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille
ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen
siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
– Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-
tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja
sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita
huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut
WhatsApp
vahva salaus automaattisesti
Facebook Messenger
salaus pitää kytkeä päälle
Skype
salattu, mutta viestejä on
periaatteessa mahdollista seurata
Pikaviestit ja ryhmäkeskustelut
Pikaviestipalvelujen tietosuoja
Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
WhatsApp Business -sovellus
• Android-versio tammikuussa 2018,
iOS-versio huhtikuussa 2019
• Asennettu yli 50 miljoonaa kertaa
• Kuten WhatsApp-sovellus, mutta voi
luoda profiilin
yritykselle/organisaatiolle
• Sisältää GDPR:n mukaisen sopimuksen
henkilötietojen käsittelystä
• Keskustelun aloitus linkin kautta
• Automaattiset aloitusviestit,
pikavastaukset, tilastot
• Android:
https://play.google.com/store/apps/details?id=com.wh
atsapp.w4b
• iOS: https://itunes.apple.com/app/whatsapp-
business/id1386412985?mt=8
WhatsAppin käyttö alle
16-vuotiailla
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
GDPR vs. viestintäsalaisuus?
• Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin
• Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä
• On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat
työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa
• Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset
rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
Tiedotus
(kirjallinen,
taiteellinen,
akateeminen ja
journalistinen sisältö)
Yhteydenpito
rekisteröityihin
Henkilötietojen
säilytys
Rekisteröityjen
sähköinen asiointi
Organisaation omat
verkkopalvelut
(kotisivut, intra)
Ok Ok, jos käyttöoikeudet
ovat oikein.
Ok, jos
käyttöoikeudet ovat
oikein.
Ok, jos
käyttöoikeudet
ovat oikein.
Orgranisaation
hallinnoimat
verkkopalvelut
(pilvipalvelut ja muut
sopimuspalvelut)
Ok Ok, jos käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet ovat
oikein ja on sopimus
henkilötietojen
käsittelystä.
Ok, jos
käyttöoikeudet
ovat oikein ja on
sopimus
henkilötietojen
käsittelystä.
Organisaation
hallinnoimat profiilit
julkisissa
somepalveluissa
Ok Ok, jos käyttöoikeudet
ovat oikein, ohjeistus
on kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Työntekijöiden
henkilökohtaiset
profiilit julkisissa
somepalveluissa
Ok Ok, jos ohjeistus on
kunnossa ja
rekisteröidyltä on
suostumus.
Ei.
Viestien osalta
tilanne on epäselvä.
Ei
Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja
yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen).
Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta
verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
Pitääkö Facebook-ryhmästä tehdä rekisteriseloste?
Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
• Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa
yhteisrekisterinpitäjäksi Facebookin kanssa.
• Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos-
ja analytiikkatyökalujen yhteydessä.
• Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat
voimaan 28.9.2018.
– Katso ”Sivun kävijätietojen hallinnoija -lisäys”:
https://www.facebook.com/legal/terms/page_controller_addendum#
• Käytännön toimenpiteet:
– Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste.
Ilmoita sivun tiedoissa siitä vastaava organisaatio.
– Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
– Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä
ne viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-sivun ylläpitäjän asema
• Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin.
– Useita somepalveluita voi käyttää ilman henkilötietojen antamista.
– Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin
verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite.
• Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli.
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt
(privacy policy).
• Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim.
MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin.
• Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa.
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin.
Somepalvelut ja tietosuoja
Riskien arviointi ja vastuu tietosuojasta
Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja
käsittelyn tarkoituksista
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä
4. Suunnitellut
toimenpiteet riskeihin
puuttumiseksi sekä sen
osoittamiseksi, että
tietosuoja-asetusta on
noudatettu.
(GDPR:n 35 artiklan 7 kohta ja
johdanto-osan 84 ja 90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa
_koskevasta_vaikutustenarvioinnista.pdf
Hallinto ja
toimintakulttuuri
•Tietosuoja ja sen
läpinäkyvyys on
keskeinen osa
toimintaperiaatteita
•Tietoturvapolitiikka ja
sen käytännöt on
määritelty
•Seloste käsittelytoimista
ja informointi
rekisteröidyille tehty
•Rekisteröityjen
pyyntöihin on
varauduttu
Henkilöstön
toimintamallit
•Henkilöstön roolit ja
vastuut on määritelty
•Salassapitovelvollisuus
•Koulutukset ja uusien
työntekijöiden
perehdytys
•Työsuhteiden
päättymiselle on
toimintamalli
•Tietoturvaloukkausten
raportointiin on
toimintamalli
Henkilötietojen käyttö
ja hallinta
•Henkilötietojen
käsittelylle on selvät
ohjeistukset
•Suostumukset ja kiellot
huomioitu toiminnassa
•Tietosuoja on huomioitu
mm. netin, sähköpostin
ja somen käyttöohjeissa
•Rekisteröidyt voivat
hallita itse tietojaan
•Tietojen tuhoaminen
tehdään turvallisesti
Tilojen valvonta
•Tiloihin pääsy on
valvottua ja avaimista
pidetään kirjaa
•Ulkopuolisten pääsy
henkilöstön työpisteisiin
on estetty
•Mahdollisesta
kameravalvonnasta on
rekisteri ja siitä
ilmoitetaan
•Tarvittaessa tilojen
turvaluokitukset
Rekisteröityjen
tunnistaminen
•Rekisteröidyt
tunnistetaan, kun tietoja
kerätään
•Rekisteröidyt
tunnistetaan, kun he
käyttävät oikeuksiaan
•Asiointi tapahtuu
ennalta nimettyjen
henkilöiden kanssa
Käyttäjätunnukset ja
oikeudet
•Henkilökohtaiset
käyttäjätunnukset
•Roolien mukaiset
käyttöoikeudet ja niiden
tarkistaminen
työtehtävien
muuttuessa
•Salasanoille ja
vastaaville on
laatuvaatimukset
•Järjestelmien
oletussalasanat on
vaihdettu
Ulkopuoliset toimijat
•Ulkopuolisista
toimijoista pidetään
kirjaa
•Sopimus ja ohjeet
henkilötietojen
käsittelystä
•Ulkopuolisten
palveluntarjoajien
vastuut on määritelty
•Ulkopuoliset toimijat
tuntevat
rekisterinpitäjän
toimintamallit ja ohjeet
Laitteet ja
tallennusvälineet
•Tietokoneista ja
mobiililaitteista
pidetään kirjaa
•Tietoturva- ja muut
päivitykset kunnossa
•Virustorjunnasta ja
palomuureista on
huolehdittu
•Siirrettävien
tallennusvälineiden
(muistitikut, ym.) ja
henkilökohtaisten
laitteiden käytöstä on
tehty ohjeistus
Palvelimet ja
verkkoyhteydet
•Palvelintiloissa on
pääsynvalvonta
•Langattomien verkkojen
liikenne on salattu
•Erilliset vierasverkot
•Palvelimien
ohjelmistopäivitykset
kunnossa
•Palvelimien
varmuuskopiointi on
kunnossa
•Palvelinohjelmistojen
lokitiedot on suojattu
Pilvipalvelut
•Pilvipalvelujen käyttö
henkilötietojen
käsittelyssä on
ohjeistettu
•Informointi ja
suostumukset kunnossa
•Sopimuksissa on
määritelty palvelutaso ja
palveluntarjoajan
vastuut
•Palveluntarjoajat ovat
sitoutuneet
noudattamaan GDPR:n
vaatimuksia
Tekniset ja organisatoriset suojatoimet
• Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Havainto
Rekisterinpitäjä havaitsee tai saa
tietoonsa tietoturvaloukkauksen.
Dokumentointi
Kaikki tietoturvaloukkaukset, niiden
vaikutukset ja korjaavat toimet
dokumentoidaan.
Riskiarvio
Aiheuttaako
tietoturvaloukkaus
todennäköisesti
riskin henkilöiden
oikeuksille ja
vapauksille?
Ei
Ilmoituksia ei
edellytetä
Kyllä
Ilmoitus valvontaviranomaiselle
Yleensä ilmoitus tehdään
rekisterinpitäjän päätoimipaikan
maan valvontaviranomaiselle.
Ilmoitus rekisteröidyille
Ilmoitetaan kohteena oleville henkilöille ja annetaan
tarvittaessa ohjeita, miten he voivat suojautua seurauksilta.
Ilmoitusvelvollisuus
tietoturva-
loukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat
asetuksen (EU) 2016/679 mukaisesta
henkilötietojen tietoturvaloukkauksen
ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/
Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46
-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittami
nen+fi.pdf
Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.
Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen
Opastettu reitti
Tutkimaton polku
• Organisaatiossa olevat rekisterit/käsiteltävät henkilötiedot, seloste
käsittelytoimista ja informointi rekisteröidyille
• Rekisteröityjen tärkeimmät oikeudet
• Henkilötietojen turvallinen säilytys, tietoturva
• Eri työtehtäviin sisältyvä henkilötietojen käsittely
• Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet
• Henkilötietojen käsittelyn seuranta- ja valvontatavat (merkinnät
käsittelytoimista, tietojärjestelmin lokit)
• Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen
toimintamalli
• Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee
ulkopuolinen taho
• Salassapito
• Ongelmista ja tietovuodoista ilmoittaminen
• Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava
Mitä asioita kannattaa ohjeistaa?
Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Keskustelu
&
kysymykset
Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätHarto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaHarto Pönkä
 

What's hot (20)

Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävätTietosuojavastaavan nimittäminen ja tehtävät
Tietosuojavastaavan nimittäminen ja tehtävät
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Tietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussaTietosuoja ja digitaalinen turvallisuus koulussa
Tietosuoja ja digitaalinen turvallisuus koulussa
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Tietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteellaTietosuoja perusopetuksessa ja toisella asteella
Tietosuoja perusopetuksessa ja toisella asteella
 

Similar to Tietosuoja varhaiskasvatuksessa

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHarto Pönkä
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleHarto Pönkä
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaHarto Pönkä
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteetHarto Pönkä
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHarto Pönkä
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleHarto Pönkä
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Harto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 

Similar to Tietosuoja varhaiskasvatuksessa (20)

Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Henkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessaHenkilötiedot, tietosuoja ja GDPR opetuksessa
Henkilötiedot, tietosuoja ja GDPR opetuksessa
 
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalleEU:n yleinen tietoturva-asetus opetushenkilökunnalle
EU:n yleinen tietoturva-asetus opetushenkilökunnalle
 
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmastaEU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
EU:n yleinen tietosuoja-asetus nuorisotyön näkökulmasta
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
EU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussaEU:n yleinen tietosuoja-asetus koulussa
EU:n yleinen tietosuoja-asetus koulussa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
EU:n yleisen tietosuoja-asetuksen perusteet
EU:n  yleisen tietosuoja-asetuksen perusteetEU:n  yleisen tietosuoja-asetuksen perusteet
EU:n yleisen tietosuoja-asetuksen perusteet
 
Henkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessaHenkilötiedot ja tietosuoja opetuksessa
Henkilötiedot ja tietosuoja opetuksessa
 
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussaTietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
Tietosuoja ja henkilötiedot varhaiskasvatuksessa ja koulussa
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölleTietosuojaa opiskelijahallinnon henkilöstölle
Tietosuojaa opiskelijahallinnon henkilöstölle
 
EU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessaEU:n yleinen tietosuoja-asetus opetuksessa
EU:n yleinen tietosuoja-asetus opetuksessa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)Henkilötiedot ja tietosuoja (GDPR)
Henkilötiedot ja tietosuoja (GDPR)
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 

More from Harto Pönkä

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 

More from Harto Pönkä (20)

Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?Opetuksen tietosuoja - mikä muuttui?
Opetuksen tietosuoja - mikä muuttui?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 

Tietosuoja varhaiskasvatuksessa

  • 2. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta pitää huolehtia kaikissa tilanteissa, joissa henkilötietoja käsitellään. Ja se pitää pystyä osoittamaan. GDPR
  • 3. Kuva: Matthew Henry @ Unsplash Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen (tunnistettavuus). Tietoturvalla suojataan henkilö- ja muitakin tietoja laittomalta käytöltä. Suojaustoimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
  • 4. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Huom: IP-osoite ei yksinään mahdollista tunnistamista, jolloin se ei ole henkilötieto.
  • 5. Arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on pääasiassa kielletty ilman suostumusta tai laista tulevaa perustetta. • rotu tai etninen alkuperä • poliittiset mielipiteet • uskonnollinen tai filosofinen vakaumus • ammattiliiton jäsenyys • terveyttä koskevat tiedot • seksuaalinen suuntautuminen tai käyttäytyminen • geneettiset ja biometriset tiedot henkilön tunnistamista varten Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  • 6. Arkaluontoisia tietoja saa käsitellä, jos… • rekisteröity on antanut nimenomaisen suostumuksensa eikä mikään laki sitä estä • käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan • käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai vastaavan toiminnan yhteydessä ja käsittely koskee niiden jäseniä • käsittely koskee henkilötietoja, jotka rekisteröity on saattanut julkisiksi • käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi • käsittely on tarpeen tärkeää yleistä etua koskevasta syystä lain nojalla; • käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten lain perusteella • käsittely on tarpeen kansanterveyteen liittyvän yleisen edun vuoksi jne. lain perusteella • käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lain nojalla Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, artikla 9, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e2034-1-1
  • 7. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
  • 8. 4 artikla 6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu, Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN Rekisteri ja rekisterinpitäjä 7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
  • 9.
  • 10. • Yksityisen henkilön yksinomaan henkilökohtaiseen tai kotitalouttaan koskevaan toimintaan ei sovelleta GDPR:n vaatimuksia. – Epäselvää on, voiko tämä koskea myös henkilötietojen julkaisua verkossa. – Yksityishenkilöt voivat muodostaa ja jakaa keskenään esim. yhteystietolistan. • Henkilötietojen käsittelyyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta useimpia GDPR:n vaatimuksia. • Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole yleensä katsottu yksinään muodostavan henkilörekisteriä. – Tavallisesti esityslistojen ja pöytäkirjojen sisältämät henkilötiedot sisältyvät jo kunnan muihin henkilörekistereihin. – On arvioitava tapauskohtaisesti, mitä henkilötietoja voidaan julkaista verkossa osana esityslistaa tai pöytäkirjaa. Tavallisia poikkeuksia Lähteet: Tietosuojalaki, https://www.finlex.fi/fi/laki/alkup/2018/20181050 ja Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus- kuntalain#henkilotiedot-ja-verkkotiedottaminen
  • 12. • Vastuu GDPR:n mukaisen selosteen ja informoinnin teosta on varhaiskasvatuksen järjestämisestä vastaavalla taholla, joka on rekisterinpitäjä. – Kunnallinen vaka-järjestäjä – Yksityinen vaka-järjestäjä • Varhaiskasvatuksen järjestäjä voi määrätä päiväkodin johdon huolehtimaan GDPR:n vaatimusten käytännön toteuttamisesta. • Vastuu henkilötietojen käsittelystä ja rekisteröityjen informoinnista on lopulta myös jokaisella työntekijällä. GDPR:n määräykset – kenen vastuulla? Vaka- järjestäjä Päiväkoti Päiväkodin johto Muu henkilöstö Lapset ja huoltajat
  • 13. • Henkilötietojen käsittely voi perustua: – Henkilön suostumukseen – Sopimukseen, jossa rekisteröity on osapuolena – Rekisterinpitäjän lakisääteiseen velvoitteeseen – Elintärkeiden etujen suojaamiseen (esim. hätätilanne) – Julkisen tehtävän hoitamiseen tai yleiseen etuun – Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai työsuhde) • Arkaluonteisia henkilötietoja saa käsitellä vain rekisteröidyn nimenomaisella suostumuksella ja tietyissä poikkeustapauksissa. • Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia, – tieteellisiä tai historiallisia tutkimustarkoituksia – tai tilastollisia tarkoituksia varten Oikeusperusteet Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet, http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu
  • 14. Lähde: Varhaiskasvatuslaki, https://www.finlex.fi/fi/laki/alkup/2018/20180540 Varhaiskasvatuksen järjestäminen perustuu varhaiskasvatuslakiin. Lisäksi on huomioitava mm. julkisuuslaki, hallintolaki, tietosuojalaki ja tietenkin GDPR. Varhaiskasvatuksen lakiperuste
  • 15. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen • Suostumusta ei voi antaa: – Vaikenemalla – Valmiiksi rastitetulla ruudulla – Jättämättä jotakin tekemättä • Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo • 1.1.2019 voimaan tulleen tietosuojalain mukaan yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut). Suostumuksen antaminen Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 16. Varhaiskasvatuksen rekistereitä Kunnan varhaiskasvatuksen asiakasrekisteri Varhaiskasvatuksen tietovaranto Varda (kunnat, OPH, AVI:t, Kela, muut viranomaiset) Yksityisten palveluntuottajien rekisterit Lapset Huoltajat Henkilöstö Lapset Huoltajat Henkilöstö Varhaiskasvatuslain 70 §:n mukaiset tiedot OPH:n oppijanumerorekisteri
  • 17. • Rekisterinpitäjän seloste käsittelytoimista (vrt. rekisteriseloste) – Seloste henkilötietojen käsittelystä on organisaation omaan käyttöön – Ei tarvitse julkaista, mutta saa jos haluaa  – Yksi seloste riittää kunhan se sisältää kaikki henkilötietojen käsittelyn tarkoitukset ja niihin liittyvät rekisteröityjen ryhmät/rekisterit – Keskeinen osa GDPR:n osoitusvelvollisuuden täyttämistä – Laatimismuoto vapaa kunhan sisältää tarvittavat tiedot • Rekisteröityjen informointi (vrt. tietosuojaseloste) – Kuten rekisterinpitäjän seloste, mutta sisältää myös rekisteröityjen oikeudet – Pidetään saatavilla / julkaistaan • Henkilötietojen käsittelijän seloste käsittelytoimista – Kuvaus rekisteröityjen ryhmistä ja käsittelytoimista rekisterinpitäjittäin GDPR:n mukaiset selosteet Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista
  • 18. Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/rekisterinpitajan-seloste-kasittelytoimista Rekisterinpitäjän seloste käsittelytoimista • Yli 250 työntekijän organisaatio  seloste on pakollinen • Alle 250 työntekijän organisaatio  seloste on tehtävä, jos henkilötietojen käsittely ei ole satunnaista, toiminta aiheuttaa todennäköisesti riskejä rekisteröidyille tai jos käsitellään rikoksiin tai rikkomuksiin liittyviä henkilötietoja • Selosteen ei ole pakko olla taulukko – kyseessä on Tietosuojavaltuutetun malli
  • 19. • Mitä tietoja käsitellään ja mihin tarkoituksiin, säilytysaika, kenelle luovutetaan, rekisteröidyn oikeudet jne. – Taulukko annettavista tiedoista: https://bit.ly/2NgtlqQ • Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä viimeistään kuukauden kuluessa. • Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi: – Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla. – Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia. • Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa. Rekisteröidyn pyynnöstä voidaan informoida myös puheella. Tiedot on annettava maksutta. • Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan linkittää eri viestintäkanaviin ja esimerkiksi ilmoittautumislomakkeille • Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen lukemista Informointi (tietosuojaseloste) Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja https://tietosuoja.fi/rekisteroidyn-informointi
  • 20. Oulun kaupungin tietosuojasivusto: https://www.ouka.fi/tietosuoja (17.9.2018) Tunne työhösi liittyvät tietosuojaselosteet, jotta osaat kertoa niistä!
  • 22. • Vardaan tallennetaan tai siirretään sähköisesti eli luovutetaan varhaiskasvatuslain 70 §:n mukaiset tiedot varhaiskasvatuksen järjestäjän omista rekistereistä – Lapsesta: nimi, henkilötunnus, äidinkieli, kotikunta ja yhteystiedot sekä vaka-palveluihin liittyviä tietoja • OPH:n oppijanumerorekisteristä siirretään ja yhdistetään lapseen liittyvät tiedot – nimi, oppijanumero ja henkilötunnus tai muu vastaava yksilöintitieto, kansalaisuus, sukupuoli, äidinkieli ja tarpeelliset yhteystiedot • Varhaiskasvatuspalvelujen tuottajien tulee rekisterinpitäjinä informoida rekisteröityjä Vardaan liittyvästä henkilötietojen käsittelystä • Rekisteröidyillä ja näiden huoltajilla on normaalit GDPR:n mukaiset oikeudet mm. tietojen tarkastamiseen ja oikaisemiseen • Varda-palvelun tietosuojaseloste: https://opintopolku.fi/wp/tietosuojaseloste/varda-palvelun-tietosuojaseloste/ Varhaiskasvatuksen tietovaranto Varda Lisätietoa: CSC, https://confluence.csc.fi/display/OPHPALV/Varhaiskasvatuksen+tietovaranto
  • 24. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus) • Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) • Oikeus tietojen oikaisemiseen • Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi • Oikeus käsittelyn rajoittamiseen mm. oikeusturvan vuoksi tai jos rekisteröity kiistää tietojen oikeellisuuden • Oikeus siirtää tiedot järjestelmästä toiseen, kun oikeusperusteena on suostumus tai sopimus • Vastustamisoikeus (kielto-oikeus), esim. suoramarkkinointi • Oikeus kieltäytyä automatisoiduista päätöksistä ja profiloinnista Rekisteröidyn oikeudet Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 25. Mihin ja miten tietoja saa käyttää?
  • 26. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys • Käyttötarkoitussidonnaisuus – Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin – Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua • Tietojen minimointi – Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja • Tietojen täsmällisyys – Tietojen päivittäminen, tarkistaminen, virheiden korjaus • Tietojen säilytyksen rajoittaminen – Tietoja säilytetään vain tarvittavan ajan • Tietojen eheys ja luottamuksellisuus – Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi • Rekisterinpitäjän osoitusvelvollisuus Tietosuojaperiaatteet Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 27. • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus (30 art.) • Tietosuojaperiaatteiden sisäänrakennettu toteutuminen omassa toiminnassa (5 art. + 25 art.) • Mahdolliset tietosuojaa koskevat laajemmat toimintaperiaatteet (24.2 art.) • Informointikäytännöt (12-14 art.) • Käsittelyn oikeusperustetta koskevat arviot (6‒10 art.) – Jos käsitellään suostumuksen perusteella, suostumuksen dokumentaatio (7 art. + 8 art.) – Jos käsitellään rekisterinpitäjän tai sivullisen oikeutetun edunperusteella, tasapainotesti (6.1.f art.) • Muut sisäiset ja ulkoiset ohjeistukset (12, 13, 14, 24, 25, 28, 29, 32 art.) – Riskiarvioita koskeva dokumentaatio sekä toteutetut tekniset ja organisatoriset suojatoimenpiteet – Ohjeet henkilötietoja käsitteleville työntekijöille ja henkilötietojen käsittelijöille – Sisäiset tarkastukset ja auditoinnit • Vaikutustenarviointeja (35 art.)ja ennakkokuulemista (36 art.) koskeva dokumentaatio • Henkilötietojen tietoturvaloukkausten dokumentointi (33 + 34 art.) ja tätä koskeva prosessi • Tietosuojavastaavan asemaan ja tehtäviin liittyvä dokumentaatio (37-39 art.) • Henkilötietojen käsittelyyn liittyvät sopimukset (28 artikla) • Yhteisrekisterinpitäjien vastuualueet (29 art.) • Mahdollinen johtavan valvontaviranomaisen määrittämistä koskeva dokumentaatio (56 art.) • Henkilötietojen siirtoa kolmansiin maihin koskeva dokumentaatio (5 luku) Rekisterinpitäjän osoitettavat asiat Lähde: Tietosuojavaltuutetun toimisto, Osoita noudattavasi tietosuojasäännöksiä, https://tietosuoja.fi/osoitusvelvollisuus (13.3.2019)
  • 29. Rekisterinpitäjä  tarkoitukset  tiedot Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot Rekisterinpitäjän tulee käsitellä vain tarkoituksiin tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo) Oikeus- peruste
  • 30. Käyttötarkoitussidonnaisuus Alkuperäiseen yhteensopivat muut tarkoitukset, joita voi kohtuudella odottaa Yleisen edun mukaiset arkistointitarkoitukset, tieteelliset tai historialliset tutkimustarkoitukset tai tilastolliset tarkoitukset Muut tarkoitukset OK EI Muut tarkoitukset, joihin on saatu suostumus OK OK Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset
  • 31. Samat tiedot ja tarkoitus = sama rekisteri Rekisteriin kerätyt henkilötiedot Alkuperäiset tarkoitukset Rekisteri ei tarkoita vain yhtä tietojärjestelmää tai tietojen säilytyspaikkaa. Rekisteri voi olla hajautettu ja siitä voidaan ottaa osia käyttöön.
  • 32. Asiakirjojen ja tietojen arkistointiaikoja Varhaiskasvatussuunnitelmat ja varhaiskasvatuksessa syntyvät lasta koskevat lausunnot ja arvioinnit liitteineen Pysyvästi (päätös 2.1.2019 , aiemmin 10 v.) Esiopetuksen ja oppivelvollisten luettelot, rekisterit, päätökset ja vastaavat Oppivelvollisuusaika + 10 v Yksilölliset esiopetussuunnitelmat 10 v (muutos valmisteilla, jatkossa pysyvästi?) Oppilaiden koulua ja luokkia koskevat luettelot tai rekisterit 50 v Aineiden valintaa ja opetuksesta vapauttamista koskevat asiakirjat 10 v Henkilökohtaisen opetuksen järjestämistä koskevat suunnitelmat, HOJKS 10 v Oppilasrekisterit Henkilötiedot ja arvosanat: pysyvästi Muut tiedot: oppivelvollisuusaika + 10 v Koekysymykset ja -vastaukset, esseet, muut lukuvuosi- ja väliarviointeihin tarvittavat tiedot Lukuvuosi Lukuvuosi-, väli- ja jaksotodistukset liitteineen Oppivelvollisuusaika Perusopetuksen ja lukion päättötodistukset, erotodistukset Säilytetään pysyvästi, mikäli arvosanatietoja ei ole siirretty arviointirekisteriin, jolloin 50 v Oppilaiden palkitsemiseen liittyvät rekisterit, luettelot palkintojen saajista Pysyvästi Lähteet: Kuntaliitto, 2010, http://shop.kunnat.net/download.php?filename=uploads/p20100317121323115.pdf, Arkistolaitos, 2003, http://www.arkisto.fi/fi/saeilytettaevaet-kunnalliset-opetustoimen-asiakirjat
  • 33. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa. • Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä henkilötietoja, jotka liittyvät hänen työtehtäviinsä. • Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä. • Henkilötietoja ei julkaista tai luovuteta ilman, että rekisteröidyltä on siihen suostumus. • Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim. valvotaan tiloja ja laitteita sekä lukitaan ovet. • Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta (lokit). • Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta, koulutuksesta ja vaitiolovelvollisuudesta työntekijöille. Henkilötietojen käsittelyn perusteita
  • 35. - Saako päiväkodin naulakossa olla oppilaiden nimiä? Entä kuvia? - Saako esikoululaisten nimiä näkyä opetustiloissa? - Ovatko koulun oppilaiden nimet, luokka-asteet salassa pidettäviä? Kysymys: saako lasten nimiä kertoa? • Etunimi ei yleensä yksinään riitä henkilön tunnistamiseen. • Kuvien esittämiseen muuten kuin oppilasryhmän kesken tarvitaan suostumus. • Tieto lapsen osallistumisesta päivähoitoon on julkinen (uusi varhaiskasvatuslaki). • Tieto lapsen osallistumisesta esiopetukseen on julkinen. • Tieto siitä, että henkilö on koulun oppilas, on julkinen ellei tiedon antamisella paljastu muulla perusteella salassa pidettävä seikka (sairaus, vammaisuus tms.) • Jos henkilötiedot ovat julkisia, niitä voidaan antaa pyytäjälle suullisesti ja paikan päällä nähtäväksi ja jäljennettäväksi. Sen sijaan henkilötietoja saa luovuttaa kopiona, tulosteena tai sähköisesti vain sellaiselle, joka itsekin voisi tallettaa ja käyttää samoja henkilötietoja. (JulkiL 16 §) • Oppilaiden henkilötietoja ei saa ilman suostumusta antaa sellaiselle taholle, jolla ei ole oikeutta käsitellä kyseisiä tietoja (esim. yritysten markkinointikäyttöön) Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 36. Henkilötietojen näkyminen toiminnassa Opetuksen/varhaiskasvatuksen järjestämiseen liittyvä toiminta tiloineen (henkilötietojen käsittelyn tarkoituksen mukaisesti) Saman opetus- /lapsiryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok (laitelupa) Kuvat ja videot: ok Muut: lupa Muille ryhmille toiminnan yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat ja videot: lupa Muut: lupa Muille opettajille ja henkilöstölle Koko nimi: ok Koulun email ja puh.nrot: ok Muut tarpeelliset/välttämättömät: ok Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
  • 37. - Monella päiväkodilla/eskarilla on sijaisia varten ollut kansio, josta löytyy esim. ryhmäjaot, mutta myös allergiat ja muuta tärkeää, mutta salassa pidettävää. - Voiko sijaiskansioissa olla enää henkilötietoja GDPR:n takia? Kysymys: henkilötiedot sijaiskansiossa • Oikeusperuste henkilötietojen käsittelylle on varhaiskasvatuksen järjestäminen. Kaikki siihen liittyvät toimet ovat lähtökohtaisesti hyväksyttäviä. • Lasten henkilötiedot tulee olla saatavilla vain niille, joiden työtehtäville ne ovat tarpeellisia. Käytännössä koko henkilökunta on sellaisessa asemassa, että heillä voi jossakin tilanteessa olla tarve saada lapsen henkilötietoja. • Lapsen salassa pidettäviä tietoja (terveys, tukitoimet ym.) saa luovuttaa vain niille henkilöille, joille ne ovat työtehtäviensä puolesta välttämättömiä. • Sijaiskansiot ovat hyväksyttäviä ja ne voivat sisältää lapsen turvallisuuden kannalta tarpeellisia terveystietoja. Samalla on huolehdittava siitä, etteivät tiedot päädy ulkopuolisten käyttöön. • Sijaiskansioihin kirjattavat tiedot ja anto sijaisten käyttöön on syytä ohjeistaa. Soveltaen mm. OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 38. Listan teko huoltajien toimesta: • Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa. Listan teko koulun/päiväkodin toimesta: • Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille. Tietojen anto koulun/päiväkodin rekisteristä: • Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia, eli esimerkiksi puhelinnumero ei ole salainen. – Rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille. • Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tai turvakielto tulee merkitä rekisteriin. Yhteystietojen jakaminen koteihin Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 39. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
  • 40. • Henkilötietojen julkaisu netissä on niiden sähköistä luovuttamista kenen tahansa käyttöön – älä tee ilman suostumusta! • Pyydä huoltajan suostumus aina, kun julkaistaan alaikäisen henkilötietoja. • Henkilötietoja ja lasta koskevia päätöksiä voidaan julkaista netissä vain suostumuksella, vaikka tiedot olisivat periaatteessa julkisia. • Tunnistamisen mahdollistava valokuva tai video on henkilötieto, jonka julkaisuun tarvitaan suostumus. Henkilötietojen julkaisu netissä Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 41. Henkilötietojen julkaisu netissä: • Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille yksityishenkilöiden henkilötietoja • Työntekijöiden työhön liittyvät henkilötiedot voi yleensä julkaista Voi lähettää normaalissa sähköpostissa: • Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.) • Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa Lähetä suojatussa sähköpostissa tai muussa turvallisessa viestintäkanavassa esim. suojatussa extranetissä: • Arkaluontoisia henkilötietoja • Lain mukaan salassa pidettäviä tietoja ja asiakirjoja Yksityiset laitteet ja sosiaalisen median palvelut: • Tee linjaus, saako yksityisiä laitteita ja sometunnuksia käyttää työssä • Ohjeista somepalvelujen käyttö työhön liittyvässä yhteydenpidossa Henkilötiedot digitaalisessa viestinnässä Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
  • 42. - Saako opettaja esitellä lasten testivastauksia kahvipöydässä työtovereilleen? - Vaarantuuko lasten tietosuoja, jos samalla arvioidaan lasten ominaisuuksia ääneen? Kysymys: kahvipöytäkeskustelut? • Lapsen tuen tarvetta, tukitoimia ja niiden toteuttamista koskevat tiedot sekä lapsen henkilökohtaisten ominaisuuksien arviointia koskevat tiedot ovat salassa pidettäviä (varhaiskasvatuslaki 40 §). • Lapsen varhaiskasvatuksesta vastaavilla henkilöillä ja tuen tarpeen, tukitoimenpiteiden tai niiden toteuttamisen arviointiin osallistuvilla henkilöillä on salassapitovelvollisuuden estämättä oikeus saada toisiltaan ja luovuttaa toisilleen sekä varhaiskasvatuksen järjestäjälle ja tuottajalle sellaiset tiedot, jotka ovat varhaiskasvatuksen järjestämisen, tuottamisen ja tuen arvioinnin kannalta välttämättömiä (varhaiskasvatuslaki 41 §). • Myös mm. terveystiedot sekä tiedot kokeista ja psykologisista testeistä ovat salassa pidettäviä. • Varhaiskasvatuksen järjestäjän on syytä ohjeistaa henkilöstöä salassa pidettävien ja arkaluontoisten tietojen käsittelystä ja säilyttämisestä.
  • 43. - Saako päiväkodissa olla esillä kuvia henkilökunnasta, joissa on myös heidän etunimensä? - Mitä tietoja koulun tai päiväkodin henkilöstöstä voi julkaista? - Saako oppilas kuvata opettajaa tunnilla? Kysymys: mitä saa kertoa työntekijöistä? • Opettaja toimii työroolissaan julkisesti. Tiedot oppilaitoksen henkilöstön nimistä, asemasta, työtehtävistä ja yhteystiedoista ovat julkisia. • Opettajan muita henkilötietoja kuten kuvia ja yksityisiä osoite- ja yhteystietoja ei saa julkaista ilman hänen suostumustaan. • Samoin kuin oppilaiden myös henkilöstön ja näiden perheenjäsenten henkilökohtaisiin oloihin ja taloudelliseen asemaan liittyvät tiedot ovat salassapidettäviä (perusopetuslaki). • Tietoa työntekijän sairaslomasta ei saa kertoa ilman henkilön suostumusta. • Oppilas saa ottaa valokuvan tai videon oppitunnilla, jos opettaja on antanut siihen luvan. Opetukseen liittymätön kuvaaminen ja videoiminen voidaan järjestyssäännöissä kieltää opetusta ja oppimista häiritsevänä. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
  • 44. Taiteellinen, kirjallinen, akateeminen tai journalistinen sisältö Julkinen henkilötieto Ei-julkinen henkilötieto (esim. turvakielto, salainen puh.nro) Arkaluonteiset henkilötiedot/ erityiset henkilötietoryhmät Salassapidettävät tiedot ja asiakirjat Suullisesti tai paikanpäällä näytettynä Kyllä Kyllä Ei Ei Ei Sähköisesti, kopiona tai tulosteena Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Suojattuna sähköisesti (sähköposti tai verkkopalvelun yksityisviesti) Kyllä Kyllä, jos saajalla on oikeus käsitellä henkilötietoja Ei Ei Ei Julkisesti (netti, some tai ilmoitustaulu) Kyllä Ei. Mahdollista tapauskohtaisesti tiedottamisessa, esityslistoissa ja pöytäkirjoissa. Ei Ei Ei Nyrkkisääntö: muita kuin julkisia henkilötietoja ei saa luovuttaa ilman rekisteröidyn suostumusta tai nimenomaista luovuttamisen mahdollistavaa lakipykälää. Lähteet: GDPR, julkisuuslaki 16 § sekä Kuntaliiton Yleiskirje 15/2017, https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-julkisuus-kuntalain
  • 46. - Saako varhaiskasvatuksen tai opetuksen tilanteissa ottaa valokuvia ja videoita sekä esittää niitä opetustilanteessa? - Saako varhaiskasvatus- tai opetusryhmän sisällä esittää oppilaiden tekemiä tuotoksia muille? Kysymys: kuvaaminen ryhmän kesken • Varhaiskasvatus- ja opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä pedagogisessa tarkoituksessa saman ryhmän kesken. • Oppilaiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken. Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa. • Kuvia ja videoita voidaan tallentaa esimerkiksi lapsen henkilökohtaiseen portfolioon tai kasvun kansioon. Tällöin täytyy huolehtia, että tallenteiden säilytys ja käyttö täyttävät henkilötietojen käsittelyn vaatimukset. • Mikäli oppilaasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti esim. vanhempainillassa, julkisessa tilassa tai netissä, tulee siihen pyytää lupa oppilaalta ja hänen huoltajaltaan. • Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä informoida huoltajia.
  • 47. - Saako koulun/päiväkodin tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? - Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? - Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta? Kysymys: tapahtumissa kuvaaminen • Koulun/päiväkodin tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. • Jos kuvaaminen tapahtuu koulun/päiväkodin toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta. • Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. • Koulu/päiväkoti ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta sitä kieltää. • Kuvien julkaisusta säädetään laissa. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu toimitukselliseen tarkoitukseen on ok.
  • 53. Henkilötietojen käsittely toisen lukuun Henkilötietojen käsittelijä käyttää luovutettuja tietoja sovittuun tarkoitukseen Rekisterinpitäjä luovuttaa henkilötietoja tiettyä tarkoitusta varten Seloste käsittelytoimista ja rekisteröidyn informointi (13 ja 30 artiklat) Seloste rekisterinpitäjän lukuun suoritettavista käsittelytoimista (30 artikla) Sopimus ja ohjeet henkilötietojen käsittelystä (28 artikla) Rekisteröity Valvontaviranomainen
  • 54. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus tai muu oikeudellinen asiakirja, jossa vahvistetaan – käsittelyn kohde, kesto, luonne ja tarkoitus, – henkilötietojen tyyppi ja rekisteröityjen ryhmät, – rekisterinpitäjän velvollisuudet ja oikeudet. • Erityisesti tulee sopia, että henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti – varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus – toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla) – ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa – auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet – rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset – antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta, sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset. Sopimus henkilötietojen käsittelystä Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
  • 55. Miten GDPR toteutuu Wilmassa? • Vastuu Primuksen ja Wilman tiedoista on opetuksen järjestäjällä • GDPR-informointia ei ole viety Wilman toimintoihin • Wilman tukisivuston ohjeistukset ovat osin vanhentuneita • Wilmassa ei ole toimintoa tietojen tarkistukseen tai siirtoon • Toistaiseksi on epäselvää, pitääkö Wilma-viestit toimittaa pyynnöstä
  • 57. Organisaatioiden käyttöön tehdyissä pilvipalveluissa organisaatio on yleensä rekisterinpitäjä käyttäjilleen ja palvelun ylläpitäjä henkilötietojen käsittelijä. Kuva: Pixabay
  • 58. Verkkopalvelujen kolme tyyppiä REKISTERINPITÄJÄ Palvelun käyttöönsä tilannut organisaatio HENKILÖTIETOJEN KÄSITTELIJÄ Ulkopuolinen palveluntarjoaja REKISTERINPITÄJÄ Palvelun omistava ja siitä vastaava organisaatio KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot REKISTERINPITÄJÄ Ulkopuolinen palveluntarjoaja KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot KÄYTTÄJÄT & DATA Palveluun tallennetut sisällöt ja henkilötiedot OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT Sopimus henkilö- tietojen käsittelystä Käyttöehtosopimus tai suostumus Henkilötiedot pysyvät organisaation omassa hallinnassa Henkilötietoja päätyy ulkopuoliselle rekisterinpitäjälle Palvelua käyttävä organisaatio
  • 59. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa, esim. organisaation G Suitessa tai 0ffice 365:ssa? - Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämisessä? • Periaatteessa estettä esim. Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle henkilötietojen käsittelyssä ei ole estettä. – Pilvipalvelujen ylläpitäjät ovat henkilötietojen käsittelijöitä ja siitä on oltava sopimus. – Henkilötietojen siirto EU:n ulkopuolelle on mahdollista mm. Privacy shield-järjestelmän ja EU- komission mallisopimuslausekkeiden perusteella. • Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia. • Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään. • Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä. Kysymys: henkilötiedot pilvipalveluissa
  • 61. Kuvakaappaus: Googlen tietosuojakäytäntö, https://policies.google.com/privacy/update?hl=fi (14.5.2018) Tunne ulkopuolisten verkkopalvelujen käyttöehdot ja yksityisyyskäytännöt!
  • 62. Tarkistuslista: • Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia. • Mikä on palvelun ikäraja? • Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan? • Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia? • Miten käyttäjä voi hallita henkilötietojaan palvelussa? • Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan? • Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla? • Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia? • Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa? Palvelun käyttöehdot = sopimus
  • 63. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen. • Henkilötietoja voidaan siirtää Privacy shield –järjestelmään sitoutuneille tahoille – Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa. – Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU- tuomioistuimessa • Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin – Esimerkiksi Google ja Microsoft toimivat näin • Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista Yhdysvaltalaiset verkkopalvelut
  • 64. WhatsApp vahva salaus automaattisesti Facebook Messenger salaus pitää kytkeä päälle Skype salattu, mutta viestejä on periaatteessa mahdollista seurata Pikaviestit ja ryhmäkeskustelut
  • 65. Pikaviestipalvelujen tietosuoja Lähde: Amnesty, For your eyes only?, 2016, https://www.amnesty.org/download/Documents/POL4049852016ENGLISH.PDF
  • 66. WhatsApp Business -sovellus • Android-versio tammikuussa 2018, iOS-versio huhtikuussa 2019 • Asennettu yli 50 miljoonaa kertaa • Kuten WhatsApp-sovellus, mutta voi luoda profiilin yritykselle/organisaatiolle • Sisältää GDPR:n mukaisen sopimuksen henkilötietojen käsittelystä • Keskustelun aloitus linkin kautta • Automaattiset aloitusviestit, pikavastaukset, tilastot • Android: https://play.google.com/store/apps/details?id=com.wh atsapp.w4b • iOS: https://itunes.apple.com/app/whatsapp- business/id1386412985?mt=8
  • 67. WhatsAppin käyttö alle 16-vuotiailla • WhatsAppin käyttöehtojen tarkoittama ”käyttäjä” on se, joka rekisteröi tunnuksen ja hyväksyy käyttöehdot. Jos huoltaja hyväksyy käyttöehdot, hän on sopimuksen osapuoli. • Huoltaja saa antaa hallitsemansa WhatsApp- tunnuksen lapsen käyttöön ikärajan sitä estämättä. Käyttöehdoissa ei tätä kielletä. • Lapsen kännykän käyttö perustuu muutenkin huoltajan tekemiin sopimuksiin ja palveluihin, jotka tämä on antanut lapsen käytettäväksi (esim. puhelinliittymä ja Google-tunnus). • Lapsen kännykän käyttö tapahtuu huoltajan luvalla, valvonnassa ja vastuulla. • Lapsen kännykän ja sen sovellusten opetuskäyttöön tarvitaan huoltajan lupa. • Luvan antaminen on vapaaehtoista: sitä ei voida edellyttää eikä siihen pidä painostaa. • Perusteet käyttää WhatsAppia opetuksessa on hyvä käydä läpi opettajien, huoltajien ja lasten kanssa. Lue lisää blogistani: https://harto.wordpress.com/2018/05/18/whatsappin- ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/
  • 68. GDPR vs. viestintäsalaisuus? • Vain lähettäjä ja vastaanottaja saavat lukea henkilölle osoitetun viestin • Työnantajalla voi joskus olla oikeus lukea työntekijän työhön liittyviä viestejä • On epäselvää, koskevatko GDPR:n määräykset niitä tietoja, jotka ovat työntekijöiden henkilökohtaisissa sähköpostilaatikoissa ja vastaavissa • Työnantajan tulisi ohjeistuksilla huolehtia, että GDPR:n mukaiset rekisteröityjen oikeudet toteutuvat viestintäsalaisuuden sitä estämättä
  • 69. Lähde: Tivi, 10.8.2017, https://www.tivi.fi/Kaikki_uutiset/viranomaiset-kayttavat-pikaviestimia-onko-viestinta-julkista-enta-turvallista-6667958
  • 70. Tiedotus (kirjallinen, taiteellinen, akateeminen ja journalistinen sisältö) Yhteydenpito rekisteröityihin Henkilötietojen säilytys Rekisteröityjen sähköinen asiointi Organisaation omat verkkopalvelut (kotisivut, intra) Ok Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Ok, jos käyttöoikeudet ovat oikein. Orgranisaation hallinnoimat verkkopalvelut (pilvipalvelut ja muut sopimuspalvelut) Ok Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Ok, jos käyttöoikeudet ovat oikein ja on sopimus henkilötietojen käsittelystä. Organisaation hallinnoimat profiilit julkisissa somepalveluissa Ok Ok, jos käyttöoikeudet ovat oikein, ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Työntekijöiden henkilökohtaiset profiilit julkisissa somepalveluissa Ok Ok, jos ohjeistus on kunnossa ja rekisteröidyltä on suostumus. Ei. Viestien osalta tilanne on epäselvä. Ei Nyrkkisääntö: somepalvelujen käyttö rekisteröityä koskevien tietojen käsittelyssä ja yhteydenpidossa voi perustua vain rekisteröidyn suostumukseen (aloitteeseen). Kunnan tulee huolehtia siitä, ettei henkilötietoja ilman rekisteröidyn suostumusta tallenneta verkko-/somepalveluihin, jotka eivät ole sen hallinnassa.
  • 71. Pitääkö Facebook-ryhmästä tehdä rekisteriseloste? Kuvakaappaus: https://www.facebook.com/groups/237930856866/members/ (4.4.2018)
  • 72. • Joissakin tilanteissa Facebook-sivun ylläpitäjä voidaan katsoa yhteisrekisterinpitäjäksi Facebookin kanssa. • Facebook on henkilötietojen käsittelijä mm. organisaatioiden mainos- ja analytiikkatyökalujen yhteydessä. • Facebook on asettanut sivujen ylläpitäjille lisäehtoja, jotka tulivat voimaan 28.9.2018. – Katso ”Sivun kävijätietojen hallinnoija -lisäys”: https://www.facebook.com/legal/terms/page_controller_addendum# • Käytännön toimenpiteet: – Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun tiedoissa siitä vastaava organisaatio. – Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan. – Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne viipymättä Facebookille tällä lomakkeella: https://www.facebook.com/help/contact/308592359910928 Facebook-sivun ylläpitäjän asema
  • 73. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin. – Useita somepalveluita voi käyttää ilman henkilötietojen antamista. – Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite. • Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli. – Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa? – Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun? – Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun? • Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt (privacy policy). • Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim. MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin. • Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa. • WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin. Somepalvelut ja tietosuoja
  • 74. Riskien arviointi ja vastuu tietosuojasta
  • 75. Riskiarviossa huomioitavaa Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
  • 76. Henkilötietoihin kohdistuvan riskin taso Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).
  • 77. Tietosuojaa koskeva vaikutustenarviointi Vähimmäisvaatimukset: 1. Kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 2. Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta 3. Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä 4. Suunnitellut toimenpiteet riskeihin puuttumiseksi sekä sen osoittamiseksi, että tietosuoja-asetusta on noudatettu. (GDPR:n 35 artiklan 7 kohta ja johdanto-osan 84 ja 90 kappale) Lähde: Tietosuojatyöryhmä, 2017, http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/ibVehxmcp/Ohjeet_tietosuojaa _koskevasta_vaikutustenarvioinnista.pdf
  • 78. Hallinto ja toimintakulttuuri •Tietosuoja ja sen läpinäkyvyys on keskeinen osa toimintaperiaatteita •Tietoturvapolitiikka ja sen käytännöt on määritelty •Seloste käsittelytoimista ja informointi rekisteröidyille tehty •Rekisteröityjen pyyntöihin on varauduttu Henkilöstön toimintamallit •Henkilöstön roolit ja vastuut on määritelty •Salassapitovelvollisuus •Koulutukset ja uusien työntekijöiden perehdytys •Työsuhteiden päättymiselle on toimintamalli •Tietoturvaloukkausten raportointiin on toimintamalli Henkilötietojen käyttö ja hallinta •Henkilötietojen käsittelylle on selvät ohjeistukset •Suostumukset ja kiellot huomioitu toiminnassa •Tietosuoja on huomioitu mm. netin, sähköpostin ja somen käyttöohjeissa •Rekisteröidyt voivat hallita itse tietojaan •Tietojen tuhoaminen tehdään turvallisesti Tilojen valvonta •Tiloihin pääsy on valvottua ja avaimista pidetään kirjaa •Ulkopuolisten pääsy henkilöstön työpisteisiin on estetty •Mahdollisesta kameravalvonnasta on rekisteri ja siitä ilmoitetaan •Tarvittaessa tilojen turvaluokitukset Rekisteröityjen tunnistaminen •Rekisteröidyt tunnistetaan, kun tietoja kerätään •Rekisteröidyt tunnistetaan, kun he käyttävät oikeuksiaan •Asiointi tapahtuu ennalta nimettyjen henkilöiden kanssa Käyttäjätunnukset ja oikeudet •Henkilökohtaiset käyttäjätunnukset •Roolien mukaiset käyttöoikeudet ja niiden tarkistaminen työtehtävien muuttuessa •Salasanoille ja vastaaville on laatuvaatimukset •Järjestelmien oletussalasanat on vaihdettu Ulkopuoliset toimijat •Ulkopuolisista toimijoista pidetään kirjaa •Sopimus ja ohjeet henkilötietojen käsittelystä •Ulkopuolisten palveluntarjoajien vastuut on määritelty •Ulkopuoliset toimijat tuntevat rekisterinpitäjän toimintamallit ja ohjeet Laitteet ja tallennusvälineet •Tietokoneista ja mobiililaitteista pidetään kirjaa •Tietoturva- ja muut päivitykset kunnossa •Virustorjunnasta ja palomuureista on huolehdittu •Siirrettävien tallennusvälineiden (muistitikut, ym.) ja henkilökohtaisten laitteiden käytöstä on tehty ohjeistus Palvelimet ja verkkoyhteydet •Palvelintiloissa on pääsynvalvonta •Langattomien verkkojen liikenne on salattu •Erilliset vierasverkot •Palvelimien ohjelmistopäivitykset kunnossa •Palvelimien varmuuskopiointi on kunnossa •Palvelinohjelmistojen lokitiedot on suojattu Pilvipalvelut •Pilvipalvelujen käyttö henkilötietojen käsittelyssä on ohjeistettu •Informointi ja suostumukset kunnossa •Sopimuksissa on määritelty palvelutaso ja palveluntarjoajan vastuut •Palveluntarjoajat ovat sitoutuneet noudattamaan GDPR:n vaatimuksia Tekniset ja organisatoriset suojatoimet
  • 79. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen… – vahingossa tapahtuvaa tai lainvastaista tuhoamista – häviämistä – muuttamista – luvaton luovuttamista tai pääsyä tietoihin • Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille • Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta • Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet • Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä • Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA Henkilötietojen tietoturvaloukkaukset Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu a_EUn_tietosuoja-asetukseen.pdf
  • 80. Havainto Rekisterinpitäjä havaitsee tai saa tietoonsa tietoturvaloukkauksen. Dokumentointi Kaikki tietoturvaloukkaukset, niiden vaikutukset ja korjaavat toimet dokumentoidaan. Riskiarvio Aiheuttaako tietoturvaloukkaus todennäköisesti riskin henkilöiden oikeuksille ja vapauksille? Ei Ilmoituksia ei edellytetä Kyllä Ilmoitus valvontaviranomaiselle Yleensä ilmoitus tehdään rekisterinpitäjän päätoimipaikan maan valvontaviranomaiselle. Ilmoitus rekisteröidyille Ilmoitetaan kohteena oleville henkilöille ja annetaan tarvittaessa ohjeita, miten he voivat suojautua seurauksilta. Ilmoitusvelvollisuus tietoturva- loukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/ Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46 -33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittami nen+fi.pdf
  • 81. Esimerkkejä tietoturvaloukkauksista Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017, https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50- 9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf Tapahtuma Ilmoitus valvontaviranomaiselle? Ilmoitus rekisteröidyille? Rekisterinpitäjä on tallentanut salatun varmuuskopion henkilötietoja sisältävästä arkistosta USB-muistitikulle. Muistitikku varastetaan murron yhteydessä. Ei Ei Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn verkkohyökkäyksen seurauksena henkilöiden henkilötietoja varastetaan. Kyllä, jos henkilöille todennäköisesti aiheutuu seurauksia. Kyllä, jos henkilöille todennäköisesti aiheutuvien seurausten vakavuus on suuri. Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian vaikutuksesta käyttäjät voivat nähdä toistensa tietoja palvelussa. Kyllä, kun rekisterinpitäjät ovat saaneet tiedon henkilötietojen käsittelijältä. Ei, jos henkilöille ei todennäköisesti aiheudu korkeaa riskiä. Suuren opiskelijamäärän henkilötiedot lähetetään erehdyksessä väärälle postituslistalle, jolla on yli tuhat vastaanottajaa. Kyllä Kyllä, mahdollisten seurausten vakavuudesta riippuen.
  • 82. Kenellä on vastuu tietosuojasta? Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+- koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73 Rekisterinpitäjä - Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta - Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio Organisaation johto ja esimiehet - Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta - Esimerkin näyttäminen Tietosuojavastaava - Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta valvontaviranomaiseen Henkilöstö - Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
  • 84. • Organisaatiossa olevat rekisterit/käsiteltävät henkilötiedot, seloste käsittelytoimista ja informointi rekisteröidyille • Rekisteröityjen tärkeimmät oikeudet • Henkilötietojen turvallinen säilytys, tietoturva • Eri työtehtäviin sisältyvä henkilötietojen käsittely • Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet • Henkilötietojen käsittelyn seuranta- ja valvontatavat (merkinnät käsittelytoimista, tietojärjestelmin lokit) • Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen toimintamalli • Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee ulkopuolinen taho • Salassapito • Ongelmista ja tietovuodoista ilmoittaminen • Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava Mitä asioita kannattaa ohjeistaa?
  • 85. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.