SlideShare a Scribd company logo
1 of 86
Download to read offline
Tietosuoja
perusopetuksessa ja
toisella asteella
22.8.2023
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018
“
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
3
1.
Alettiin kiinnittää
huomiota siihen,
ettei oppijoiden
tietoja olisi
julkisesti esillä
2.
Alettiin kertoa
edes jollain tapaa,
mitä sovelluksia
opetuksessa
käytetään
3.
Alettiin kysyä
suostumuksia
ulkopuolisten
sovellusten
käyttöön
4.
Ongelmiin
havahduttiin ja
aloitettiin
tietosuojan
kehittäminen
2018
EU:n yleinen
tietosuoja-asetus
(GDPR)
1999
Henkilötietolaki
2023
Viisi vuotta
GDPR:n aikaa
takana
GDPR ja tietosuojavaatimukset opetuksessa
4
Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan?
1) Osittain tai kokonaan autom.
henkilötietojen käsittelyyn
▪ Digitaaliset asiakirjat, valokuvat,
videot ja muut tiedostot
▪ Sähköpostit, tekstiviestit
▪ Viestintäsovellukset
▪ Verkkopalvelut, chatit
▪ Sosiaalisen median palvelut
▪ Digitaaliset arkistot
▪ Tietojen siirto rajapintojen kautta
2) Henkilörekistereihin
▪ Tietojärjestelmät/tietokannat
▪ Yhteystietoluettelot
▪ Henkilötietojen kokoelmat
▪ Myös manuaaliset aineistot,
henkilökortistot ja vastaavat, jotka
muodostavat tai joiden on tarkoitus
muodostaa rekisteri
5
Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen rekisterinpitäjän
tai jonkun muun tahon toimesta – joko
suoraan tai lisätietojen avulla.
Milloin kyse on
henkilötiedoista?
Kaikki tiedot ovat henkilötietoja, jos
ne koskevat tunnistettua tai
tunnistettavissa olevaa luonnollista
henkilöä eli rekisteröityä.
Rekisteri
7
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
Kenellä on vastuu tietosuojasta?
8
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.
Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
9
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste
Henkilötietojen käsittelylle tulee olla laillinen peruste
▪ Henkilön suostumus
▪ Sopimus, jossa rekisteröity on osapuolena
▪ Rekisterinpitäjän lakisääteinen velvoite
▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne)
▪ Julkisen tehtävän hoitaminen tai yleinen etu
▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
(esim. asiakassuhde tai työsuhde)
10
Esimerkkejä käsiteltävistä henkilötiedoista
11
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta)
Osoite ja kotikunta Tunnistetieto,
voi olla salainen
Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tunnistetieto,
voi olla salainen
Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tunnistetieto, tietosuojalaissa
erikseen säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tunnistetieto Voidaan ehkä käyttää vahingontekoon tai
urkintaan, jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaamiseen
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaamiseen
Opiskelijarekisteri
Lähteenä mm. OPH:n tietosuojaopas, 2018
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
▪ Opetustilanteet, myös etä- ja verkko-opetus
▪ Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
▪ Paikallaolot, suoritukset, testit, arviointi
▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat
▪ Harjoitteluihin ja vierailuihin liittyvät tiedot
▪ Oppilashuolto ja erityisen tuen tarve
▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota esimerkiksi vapaaehtoisia lisäpalveluita.
▪ Oppilaalle tulee olla tarjolla aito vaihtoehto, joka ei edellytä suostumuksen antoa.
▪ Suostumuksen kriteerit on täytettävä, mm. informointi henkilötietojen käsittelystä.
▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
12
Suostumus henkilötietojen käsittelyn perusteena
13
▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
▪ Suostumusta ei voi antaa:
▪ Vaikenemalla
▪ Valmiiksi rastitetulla ruudulla
▪ Jättämättä jotakin tekemättä
▪ Alaikäisen kohdalla suostumuksen antaa huoltaja.
▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n
ohjeistus) sekä tarvittaessa sovellusten asentamiseen.
▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Oppijoiden henkilötietojen käsittelystä tulee informoida selkeästi
Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf
14
Pääsy omiin
henkilötietoihin
Tietojen oikaisu Tietojen poisto Käsittelyn
rajoittaminen
Käsittelyn
vastustaminen
Tietojen siirto
toiseen järj.
Automaattinen
päätöksenteko
Oikeus valittaa
valvonta-
viranomaiselle
Käsittelyn
oikeusperuste
Tietojen
säilytysaika
Käsiteltävät
henkilötiedot
Henkilötietojen
käsittelijät
Tietojen siirto
kolmansiin maihin
Tietosuojavastaavan
yhteystiedot
Rekisterinpitäjä ja
yhteystiedot
Rekisteröityjen pyyntöihin vastaaminen
15
▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos
he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun.
▪ Rekisteröidyn tulee yksilöidä pyyntönsä:
▪ Nimi ja yhteystiedot
▪ Mitä tietoja pyyntö koskee
▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta
▪ Missä muodossa haluaa tiedot
▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys.
▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa.
▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa
vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä
ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä.
Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä
16
▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
▪ Käyttötarkoitussidonnaisuus
▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
▪ Tietojen minimointi
▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
▪ Tietojen täsmällisyys
▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus
▪ Tietojen säilytyksen rajoittaminen
▪ Tietoja säilytetään vain tarvittavan ajan
▪ Tietojen eheys ja luottamuksellisuus
▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
▪ Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
Henkilötietojen suojaaminen ja salassapito
17
Työnantajan laitteet ja ohjelmat
18
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
19
Laita kone kiinni aina, kun poistut paikalta!
Tietosuojalaki 35 §: vaitiolovelvollisuus
20
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
Opetuksen henkilöstö ei saa ilmoittaa
sivullisille tietoja, joita he ovat
työssään saaneet oppilaiden, muun
henkilökunnan tai näiden
perheenjäsenten henkilökohtaisista
oloista ja taloudellisesta asemasta.
21
Oppilaan oppilashuoltotyöhön
osallistuvilla on kuitenkin oikeus saada
sekä luovuttaa oppilaan opettajalle,
rehtorille ja vastaavalle viranomaiselle
välttämättömät tiedot.
Tietoja voidaan pyytää huoltajan
suostumuksella myös muilta tahoilta.
Lähde: Perusopetuslaki, 40 §,
https://www.finlex.fi/fi/laki/ajantasa/1998/19980628#L8P40
Salassa pidettäviä asiakirjoja saa
luovuttaa vain lain perusteella tai
henkilön suostumuksella
22
▪ Opinnäytetyön suunnitelma
▪ Tiedot psykologisesta testistä tai
soveltuvuuskokeesta
▪ Oppilashuoltoa ja oppilaan
opetuksesta vapauttamista koskevat
asiakirjat
▪ Oppilaan ja kokelaan koesuoritukset
▪ Asiakirjat, jotka sisältävät oppilaan
henkilökohtaisten ominaisuuksien
sanallista arviointia
▪ Asiakirjat, jotka sisältävät salaisen
puhelinnumeron tai matkaviestimen
sijainnin
▪ Asiakirjat, jotka sisältävät kotikunnan,
asuinpaikan, puhelinnumeron tai
muun yhteystiedon, jos henkilö on
pyytänyt salassapitoa uhan vuoksi
Lähde: Laki viranomaisten toiminnan julkisuudesta,
https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
Henkilötunnus
Henkilötunnusta saa käsitellä:
▪ Rekisteröidyn suostumuksella
▪ Jos käsittelystä säädetään laissa
▪ Laissa säädetyn tehtävän suorittamiseksi
▪ Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
▪ Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
23
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X
Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
kielletty ilman henkilön nimenomaista
suostumusta tai laista tulevaa perustetta.
▪ rotu tai etninen alkuperä
▪ poliittiset mielipiteet
▪ uskonnollinen tai filosofinen vakaumus
▪ ammattiliiton jäsenyys
▪ terveyttä koskevat tiedot
▪ seksuaalinen suuntautuminen tai
käyttäytyminen
▪ geneettiset ja biometriset tunnistetiedot
24
Tämä viesti sisältää:
• tunnistetietoja
• lain mukaan salassa
pidettäviä tietoja
• terveystietoja
Tämän tyyppisten
henkilötietojen
käsittelylle tulee olla
selvät ohjeet ja
määritellyt järjestelmät,
joissa niitä saa säilyttää.
WhatsApp (kuvassa)
tuskin kuuluu niihin.
Korona ja muut terveystiedot
25
Lähde: TSV, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus
▪ Terveystiedot ovat erityisiä henkilötietoja, joita
ei saa käsitellä ilman lainmukaista perustetta.
▪ Henkilö saa itse kertoa terveystiedoistaan
kuten koronavirustartunnasta ja rokotteista.
▪ Tieto karanteenista (kertomatta syytä) ei ole
terveystieto.
▪ Terveystietoja saavat käsitellä vain ne henkilöt,
joiden työtehtäviin se kuuluu.
▪ Terveystietoja käsittelevät henkilöt ovat
vaitiolovelvollisia.
▪ Työnantaja ei saa nimetä työntekijää, jolla on
koronavirustartunta tai joka on karanteenissa.
▪ Tarvittaessa voidaan kertoa, että työntekijä on
estynyt hoitamasta työtehtäviään, tai että
työntekijä on siirtynyt toistaiseksi etätyöhön.
Kysymys: Kahvipöytäkeskustelut
26
▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja.
▪ Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista
ovat salassa pidettäviä (JulkiL 24 §).
▪ Myös tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä.
▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien
kanssa ilmoitustaululla tai netissä ilman suostumusta.
▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja
koulunkäyntiavustajat, jotka tarvitsevat niitä.
▪ Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada
oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat
päättävät annettavista tiedoista.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia
kahvipöydässä työtovereilleen?
• Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla
arvioidaan oppilaita ääneen?
Kysymys: tietojen luovutus opiskeluhuollon työntekijöille
27
▪ Vaikka opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit ovat siirtyneet
hyvinvointialueiden palvelukseen, heidän oikeutensa opiskelijoiden tietojen käsittelyyn lakisääteisen
yksilökohtaisen opiskeluhuollon järjestämiseksi säilyy ennallaan.
▪ Yksittäistä opiskelijaa koskevaa tietoa voidaan luovuttaa opiskeluhuoltopalvelun työntekijälle, jos
työntekijä kuuluu opiskelijan tueksi suostumuksella koottuun monialaiseen asiantuntijaryhmään.
▪ Opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit saavat käsitellä vain niitä tietoja,
joita he tarvitsevat työtehtäviensä hoitamisessa
▪ Koulutuksen järjestäjän on tarkistettava, että lakisääteiset edellytykset luovutukselle täyttyvät.
▪ Hyvinvointialueen työntekijöillä voi edelleen säilyä tunnukset sähköisiin järjestelmiin kuten Wilmaan,
jos henkilön tehtäviin kuuluu oikeus käsitellä tietoja ja jos toteutettu katseluyhteys on lainmukainen.
▪ Opiskeluhuoltoa toteuttavien terveydenhuollon ammattihenkilöiden laatimien potilasasiakirjojen
rekisterinpitäjänä toimii palvelun järjestänyt hyvinvointialue.
▪ OPH on julkaisemassa syksyllä 2023 ohjeistuksen tiedonsiirtoon ja viestintään opiskeluhuollossa.
Lähde: OPH, 2022, https://www.oph.fi/fi/usein-kysyttya/opiskelijan-tietojen-luovutus-koulutuksesta-hyvinvointialueille-112023-alkaen
Tietoa Wilman käytöstä opiskeluhuollon tietojen siirtoon: https://www.wilma.fi/ajankohtaista/hyvinvointialueet-ja-tiedonsiirto-wilmasta-opiskeluhuoltoon/
• Voiko koulutuksen järjestäjä antaa pääsyn opiskelijahallintojärjestelmäänsä
opiskeluhuoltopalvelujen ammattilaisille eli opiskeluhuollon kuraattoreille,
psykologeille, terveydenhoitajille ja lääkäreille myös sen jälkeen kun nämä ovat
siirtyneet hyvinvointialueiden palvelukseen vuoden 2023 alussa?
Oppijoiden henkilötietojen julkaisu
28
▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa
henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
▪ Suostumus on käytännössä esimerkiksi:
▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
▪ Julkaisuluvat esimerkiksi kuviin ja videoihin
▪ Muilla tavoin kysytyt ja saadut suostumukset
Viranomaisen henkilötietorekisterin tietojen anto
▪ Vaikka rekisterissä olevat tiedot
olisivat lain mukaan julkisia, niitä ei
voi antaa kenelle tahansa.
▪ Rekisterinpitäjän on arvioitava
riskit, jos tietoja julkaistaan.
▪ Ei tietojen massajulkaisua
esimerkiksi nimi ja HETU.
▪ Viranomaisen rekisterissä olevia
henkilötietoja saa antaa, jos:
▪ 1) Kyse ei ole salassa pidettävistä
tiedoista tai jokin muu laki ei estä
luovutusta
▪ 2) Saajalla on oikeus käyttää kyseisiä
tietoja (esim. yksityishenkilö tai
tutkimustarkoitus)
▪ Annettavat tiedot minimoidaan
▪ Henkilötunnusta ei tule merkitä
tarpeettomasti.
Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
29
Yhteystietojen jakaminen koteihin
30
Listan teko huoltajien toimesta:
▪ Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun.
Listan teko päiväkodin/koulun toimesta:
▪ Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot,
jotka he haluavat jakaa muille huoltajille.
Tietojen anto päiväkodin/koulun rekisteristä:
▪ Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa
antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen.
- Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
▪ Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai
turvakielto tulee merkitä asiakasrekisteriin.
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Henkilötietojen käsittely opetuksessa
31
Huolehdi oppijoiden tietosuojasta
32
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan rekisterinpitäjän linjaukset
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.
Henkilötiedot puheluissa
33
Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus
▪ Henkilö on tunnistettava puhelussa, jos
käsitellään hänen henkilötietojaan.
▪ Vahva tunnistaminen:
1) jotain mitä olet (nimi, HETU)
2) jotain mitä sinulla on (puh.nro, s.postiosoite)
3) jotain mitä tiedät (salasana, asiakastiedot)
▪ Puhelujen nauhoittaminen on sallittua, kun
rekisterinpitäjällä on käsittelyyn oikeusperuste,
esim. asiakassuhteessa rek. pit. oikeutettu etu.
▪ Henkilötietojen käsittelystä on informoitava.
Esimerkiksi nauhoituksesta on kerrottava.
▪ Puhelussa voidaan kertoa, mistä
tietosuojaseloste on luettavissa (nettisivut),
lukea se ääneen tai se voidaan lähettää
esimerkiksi sähköpostitse.
Tietosuoja viestinnässä
34
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijaussähköposteja on yhä enemmän
→ Tehkää tarvittaessa ohje, miten varmistaa
viestien aitous
Varmista aina vastaanottajat!
”Kaupungin mukaan kyse oli
inhimillisestä virheestä. Se johtui
Microsoftin sähköpostipalvelu Outlookin
ominaisuudesta, joka esittää
automaattisesti vastaanottajaa. Henkilö,
jolle sähköposti meni, oli oikean
vastaanottajan täyskaima.
--
Aineisto sisälsi 1 143 henkilöstä tietoina
nimen, henkilötunnuksen ja
henkilönumeron. ”
Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944
35
Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: ok/alle 15-v. laitelupa
Kuvat/videot: ok
Muut hlötiedot: lupa
Muille ryhmille opetuksen
yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk./laitelupa
Kuvat/videot: lupa
Muut hlötiedot: lupa
Ulkopuolisille henkilöille ja
tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Muille opettajille ja henkilöstölle tarvittaessa
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut välttämättömät tiedot: ok
Henkilötiedot opetuksen tiloissa ja tilanteissa
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen.
Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Salaisia puhelinnumeroita ei tule koskaan jakaa tai laittaa esille.
36
Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
Kysymys: oppilaan teoksen asettaminen esille
37
▪ Oppilaan koko nimi voi olla työssä esillä luokan seinällä, jos luokka on pelkästään opetuksen käytössä.
Tämä on normaalia opetukseen liittyvää toimintaa.
▪ Kysymyksessä on kuitenkin tietosuojaa enemmän kyse tekijänoikeuksista.
▪ Tekijänoikeuksien kannalta nimen tulee olla esillä teoksessa. Kyse on tekijän ns. isyysoikeudesta.
▪ Oppilas voi itse päättää, miten hän merkitsee nimensä tekemäänsä työhön.
▪ Jos oppilaan työ laitetaan esille julkiseen tilaan tai nettiin, kyse on oppilaan teoksen esittämisestä
julkisesti. Tähän tarvitaan oppilaan oma ja alaikäisen tapauksessa lisäksi huoltajan lupa (julkaisulupa).
▪ Jos työ asetetaan julkisesti nähtävästi, myös muut tahot saattavat valokuvata sitä tai jakaa eteenpäin.
• Voiko oppilaan työssä (piirros, valokuva tms.) olla hänen etunimensä esillä, kun
työ laitetaan luokan seinälle?
• Tarvitaanko etunimen käyttöön tällaisessa tapauksessa vanhempien lupa, vai
riittääkö, että oppilas on itse halukas laittamaan työnsä esille nimensä kanssa?
Henkilöä esittävä valokuva tai video
on henkilötieto ja tunnistetieto
▪ Oleellista on, voidaanko henkilö tunnistaa
kuvasta tai videosta vai ei.
▪ Tunnistaminen voi perustua kasvoihin,
videolla kuuluvaan ääneen tai sen
yhteydessä olevaan nimeen
▪ Tunnistamisen voi estää se, että henkilön
kasvot eivät näy tai kuva on otettu niin
kaukaa, ettei tunnistaminen ole mahdollista.
▪ Henkilön kasvot voi sumentaa tai peittää eli
”anonymisoida” kuvan.
▪ Jo tunnistettavan kuvan säilyttäminen on
henkilötietojen käsittelyä.
38
Kuva: Pixabay
Valokuvat ja videot
39
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää suostumus (julkaisulupa).
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
Kysymys: tapahtumissa kuvaaminen
40
▪ Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua.
▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä
olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta,
eikä sillä ole oikeutta kieltää sitä.
▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
Kysymys: kuvat, videot ja etätilanteiden tallenteet
41
▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
Julkaisuluvan malli
päiväkodeille ja kouluille
42
▪ Tämä julkaisulupa on
vapaasti käytettävissä.
▪ Saatavina Google Drivessa:
https://docs.google.com/do
cument/d/1ObAtxeYjtp9KRe
gV0s0jI2L-
pfueGWVmbmv4paertSk/edi
t?usp=sharing
▪ PDF-versio:
https://drive.google.com/fil
e/d/1iHgvNR-VZq_-
4cIUuh4NR2FFz3PVa5g3/vie
w?usp=sharing
Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta
ja some-kanavista tietyn ajan päästä.
43
44
Tauko 15 min
Tietosuojan huomiointi opetuksen digialustoilla
45
Etäopetuksessa käytetyt sovellukset (2020)
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
46
TOP sovellukset oppimisessa ja opetuksessa 2018-2022
Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023
47
2018 2019 2020 2021 2022
Tietosuoja etäyhteyssovelluksissa
48
▪ Käytä vain oppilaitoksen sallimia sovelluksia.
▪ Toimita kutsu henkilökohtaisesti opiskelijoille.
▪ Informoi osallistujia henkilötietojen käsittelystä.
▪ Varmista tarvittaessa osallistujien henkilöllisyys.
▪ Varmista esittäjien osaaminen etukäteen.
▪ Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
▪ Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla,
videon ja mikrofonin käyttö kotirauhan alueella
perustuu vapaaehtoisuuteen.
▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone.
▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
Ohjeita Teams-kokouksen esittäjälle
49
▪ Valitse rauhallinen paikka: ei sivullisia kuulolle.
▪ Jos mahdollista, käytä toista näyttöä
ruudunjakoon.
▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot
näyttää ruudunjaossa. Erityisesti ohjelmat,
joissa on henkilötietoja (mm. sähköpostit).
▪ Valmistele sovellukset ja tiedostot, joita aiot
käyttää ruudunjaossa.
▪ Windowsissa voit luoda uuden työpöydän,
johon avaat valmiiksi ruudunjaossa
käytettävät sovellukset. (Win+Tab)
▪ Jos käytät samalla laitteella muita
viestintäsovelluksia, laita niiden ilmoitukset
pois päältä esim. asettamalla tilaksi ”varattu”.
Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa
50
Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset!
Opetuksen järjestäjän
viestintä- ja
asiointikanavat
(esim. Wilma)
Oppimisalustat
(esim. Google
Workspace, 0ffice
365+Teams)
Ulkopuolinen
sovellus, johon
kirjaudutaan edu-
tunnuksella
Ulkopuolinen
sovellus, johon on
erillinen tunnus
Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu sovelluksesta Ulkopuolinen
rekisterinpitäjä
Henkilötietojen käsittelijä
(DPA-sopimus)
Palveluntarjoaja Palveluntarjoaja Riippuu sovelluksesta Ei
Käyttäjätunnukset Opetuksen järjestäjän
hallinnoimat tai vahva
tunnistautuminen
Opetuksen järjestäjän
hallinnoimat edu-
tunnukset
Edu-tunnukset Rekisteröinti/
erilliset tunnukset
Pitääkö informoida
henkilötietojen
käsittelystä?
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
tai suostumuksen
pyynnön yhteydessä
Kyllä,
suostumuksen
pyynnön yhteydessä
Pitääkö pyytää erillinen
suostumus?
Ei Ei Kyllä, jos
ulkopuolinen
rekisterinpitäjä
Kyllä
Voiko tallentaa oppijoiden
tietoja?
Kyllä Kyllä Ei voi suositella Ei
Kysymys: henkilötietojen kerääminen pilvipalveluihin
51
▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on
rekisterinpitäjällä.
▪ Käytä henkilötietojen käsittelyyn vain rekisterinpitäjän hyväksymiä pilvipalveluita.
▪ Noudata rekisterinpitäjän ohjeistusta, mitä tietoja pilveen saa tallentaa.
▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja
pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti.
▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja,
tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta
rekisteröidyt voivat tutustua siihen.
• Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation
0ffice 365:een?
• Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa
▪ Tarkista rekisterinpitäjän ohjeistus:
▪ 1) mitä pilvipalveluita saa käyttää
▪ 2) mitä tietoja pilveen on sallittua tallentaa
▪ 3) saako tiedostoja synkronoida omille
laitteille
▪ Huolehdi työtehtävien mukaisista
käyttöoikeuksista/jakamisesta.
▪ Älä jaa henkilötietoja sisältäviä tiedostoja
ulkopuolisille ilman suostumusta tai muuta
perustetta.
Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista)
52
Harkitse ennen kuin jaat!
53
MITÄ? MITEN? RISKIT?
Yksi dokumentti/tiedosto
Jako yhdelle oman
organisaation käyttäjälle
Turvallisin vaihtoehto
Yksi dokumentti/tiedosto Jako usealle oman
organisaation käyttäjälle
Lähes yhtä turvallinen vaihtoehto
Yksi dokumentti/tiedosto Jako oman
organisaation ryhmälle
Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen
jakamiseen.
Yksi dokumentti/tiedosto Jako ulkopuolisille
linkillä
Ei ole turvallinen henkilötietojen ja salassa pidettävien
tietojen jakamiseen.
Jaa linkillä vain julkisia tietoja.
Kokonainen OneDrive-
kansio
Jako oman
organisaation käyttäjille
Turvallinen, jos kansio on tehty juuri kyseisten
tietojen jakamiseen.
Kokonainen OneDrive-
kansio
Jako oman
organisaation ryhmälle
Altis liian laajalle jakamiselle eli tietojen päätymiselle
työntekijöille, joille ne eivät kuulu.
Kokonainen OneDrive-
kansio
Jako ulkopuolisille
linkillä
Kaikkein turvattomin: altis tietojen vuodolle
ulkopuolisille
Excelin salasanasuojaus
”Opettaja oli vienyt tiedot
oppimisalustalle Excel-tiedostona siten,
että henkilöiden nimet sisältävä sarake
oli piilotettu salasanan taakse.
Itä-Suomen yliopiston oikeustieteiden
laitoksen johtaja Matti Turtiasen mukaan
salasanasuojauksen toimivuus oli
tarkistettu erikseen Excelissä.
– Opettajalle tuli kuitenkin yllätyksenä,
että salasanasuojaus ei toimi, jos
tiedosto avataan Google-sovellusten
avulla.”
Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988
54
Älä luota Excelin salasanasuojaukseen
▪ Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle
▪ Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita)
55
Tiedostojen pyytäminen OneDrive-kansioon
▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja.
▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja”
▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille,
ryhmille ja/tai sähköpostiosoitteille.
▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille!
▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt
tiedostot tallentuvat myös Outlookiin sähköposteina.
Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af
56
Tiedostopyyntö vastaanottajan näkökulmasta
▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii.
▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön.
57
Digialustojen tietosuojan arviointi
Käytetyimpien somepalvelujen ja -sovellusten arviointeja
59
Luokitukset: https://tosdr.org/ (8.5.2023)
Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus
ToS;DR –sivustolla
Facebook Meta,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/182
Instagram Meta,
Yhdysvallat
Henkilökohtainen tai ammattilais-
/organisaatiotili
Luokka E
https://tosdr.org/en/service/219
Twitter X Corp.,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka E
https://tosdr.org/en/service/195
YouTube Google/Alphabet,
Yhdysvallat
Henkilökohtainen kanava tai
bränditiliin yhdistetty kanava
Luokka E
https://tosdr.org/en/service/274
TikTok ByteDance,
Kiina
Henkilökohtainen tai yritystili Luokka E
https://tosdr.org/en/service/1448
LinkedIn Microsoft,
Yhdysvallat
Henkilökohtainen käyttäjätunnus
tai organisaatiolle luotu sivu
Luokka E
https://tosdr.org/en/service/193
WhatsApp Meta,
Yhdysvallat
Henkilökohtainen
(Erillinen WA Business-sovellus)
Luokka C
https://tosdr.org/en/service/198
Signal Signal Foundation,
Yhdysvallat
Tili voi olla henkilökohtainen tai
organisaation
Luokka B
https://tosdr.org/en/service/528
Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot)
Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje,
Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023)
60
Palvelu Suomalaisten korkeakoulujen
epävirall. luokitus
Käyttöehtojen luokitus
ToS;DR –sivustolla
Sähköposti Google Mail / Gmail C-taso Luokka E
ProtonMail B-taso Luokka A
Tiedostojen ja
median jako
Apple iCloud C-taso Luokka D
Dropbox C-taso Luokka C
Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso -
Google Drive C-taso Luokka E
Microsoft OneDrive C-taso Luokka E
Webex B-taso -
Viestintä-
sovellukset
Apple iMessage, FaceTime C-taso Luokka D
Signal B-taso Luokka B
Skype C-taso Luokka E
Slack B-taso Luokka B
Telegram B-taso Luokka B
WhatsApp C-taso Luokka C
Yammer C-taso Luokka E
Sovellusten, verkkopalvelujen, pelien ym. opetuskäytön periaatteet
61
1. Opetuksen järjestäjällä eli rekisterinpitäjällä on laaja harkintavalta.
2. Henkilötietoja voidaan käsitellä sovelluksissa ja verkkopalveluissa opetuksen
järjestämiseksi, mutta jokaiseen sähköiseen alustaan liittyvä henkilötietojen
käsittely on arvioitava tapauskohtaisesti.
3. Rekisterinpitäjän tulee harkita, mikä käsittelyperuste on tarkoitukseen sopivin.
Opetuksen järjestäjille sopivia käsittelyperusteita ovat lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
4. Lähtökohtaisesti suostumus ei sovellu henkilötietojen käsittelyperusteeksi, jos
rekisteröidyn ja rekisterinpitäjän välillä on epäsuhta ja vapaaehtoisuus on
epävarmaa. Suostumus ei silti ole viranomaisen toiminnassa ei täysin poissuljettu.
Rekisteröidylle tulee olla aito vaihtoehto, jos suostumusta ei anna.
5. Rekisterinpitäjän tulee informoida henkilötietojen käsittelystä. Rekisteröidyn
tulee saada käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävissä ja
saatavilla olevassa muodossa, ja informoinnin tulee sisältää tiedot henkilötietojen
vastaanottajista (myös henkilötietojen käsittelijöistä).
Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA)
62
▪ Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
▪ GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee
tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
▪ Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
▪ Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
▪ Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
▪ Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
▪ Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa,
mutta jokainen rekisterinpitäjä tekee oman linjauksensa.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
Mitä sovelluksia ja verkkopalveluita opetuksessa voi käyttää?
Opetuksen järjestäjän
hallinnoimat sovellukset
▪ Opetuksen järjestäjä on
tehnyt päätöksen
sovelluksen käytöstä.
▪ Opetuksen järjestäjä
toimii rekisterinpitäjänä.
▪ Palveluntarjoajan kanssa
on voimassa sopimus
henkilötietojen
käsittelystä.
▪ Opetuksen järjestäjä
luo/antaa tunnukset.
→ Voi käyttää opetuksessa
Sovellus, johon voi kirjautua
koulun edu-tunnuksella*
▪ Selvitä, onko tehty sopimus
henkilötietojen käsittelystä
tai voidaanko se tehdä.
→ Jos kyllä, oppilaat voivat
käyttää palvelua opetuksessa
edu-tunnuksilla.
▪ Jos sopimusta ei ole, selvitä,
onko opetuksen järjestäjä
sallinut sovelluksen käytön
suostumuksen perusteella.
→ Jos kyllä, pyydä suostumus
▪ Edu-tunnus = koulun
hallinnoima opiskelijan
käyttäjätunnus.
Muu ulkopuolinen sovellus tai
verkkopalvelu
▪ Selvitä, voiko sovellusta käyttää
ilman tunnuksia ja
henkilötietojen antoa.
→ Voi käyttää opetuksessa
▪ Jos rekisteröityminen
vaaditaan, selvitä, onko
opetuksen järjestäjä sallinut
sovelluksen käytön
suostumuksen perusteella.
→ Jos kyllä, pyydä suostumus
▪ Jos sovellus on jo valmiiksi
oppilaiden omissa laitteissa.
→ Alle 15-v: laitelupa huoltajalta
→ Yli 15-v: opiskelijan luvalla
63
Edu-tunnusten päätyminen ulkopuolisille sovelluksille
64
Rekisterinpitäjän
hallinnoimat
edu-tunnukset
oppimisalustalla
Sovellus
Jos käyttäjillä oikeus kirjautua edu-
tunnuksilla muihin sovelluksiin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
Sopimus henkilötietojen käsittelystä
65
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
Rekisterinpitäjän tulee varmistua henkilötietojen käsittelyn sopimuksesta
▪ Vaikka käsittelysopimukset perustuvat usein valmiisiin malleihin, rekisterinpitäjän tulee
aina varmistua, että sopimus sisältää GDPR:n 28 artiklan 3 kohdan mukaiset asiat
▪ Samalla tulee varmistua, että palveluntarjoaja noudattaa rekisterinpitäjän antamia ohjeita.
Lähde: EDPB, 7.7.2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2022-
02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf
66
Kysymys: henkilötietojen näkyvyys pilvisähköpostipalvelussa
67
▪ Peruskoulun oppilaille oli annettu @edu.kunta.fi-tyyppiset sähköpostiosoitteet.
▪ Palvelun osoitekirjan kautta näkyi oppilaan nimi, sähköpostiosoite, luokka ja koulu.
▪ Rekisterinpitäjän mukaan tiedot näkyivät kaikille, jotka kunnassa käyttävät samaa Microsoft
Outlook -sähköpostipalvelua. Lisäksi samat tiedot näkyivät Teamsin kautta.
▪ Rekisterinpitäjän mukaan tietojen näkymisestä ei ole ilmennyt ongelmia tai väärinkäytöksiä.
▪ Apulaistietosuojavaltuutetun päätöksen mukaan:
▪ Toiminta ei ollut GDPR:n mukaista (mm. kohtuullisuus, minimointi, luottamuksellisuus).
▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi.
▪ Tiedot eivät olisi saaneet näkyä koulun ulkopuolelle ja myös koulun sisäpuolella oppilaiden
tietojen saatavilla olo tulee olla tarpeellista ja perusteltua perusopetuksen järjestämiseksi.
▪ Päätös ei koske koulun henkilökunnan sähköpostiosoitteiden näkymistä palvelussa.
▪ Päätöksessä mainitaan mahdollisuus piilottaa Outlookissa palvelun yhteinen osoitekirja.
Lähde: Apulaistietosuojavaltuutetun päätös 21.3.2023, https://finlex.fi/fi/viranomaiset/tsv/2023/20231804 (ei lainvoimainen 22.5.2023)
• Saako kunnan oppilaille tarjoamassa sähköpostipalvelussa näkyä muiden
oppilaiden nimet ja heille tehdyt sähköpostiosoitteet?
• Saako sähköpostipalvelussa näkyä koulun työntekijöiden nimet ja sp-osoitteet?
Kysymys: pilvipalvelun käyttö kaupungin toiminnassa (Espoo)
68
▪ Kaupunki käytti opetuksessa Google Suite for Education –palvelua (nyk. Google Workspace).
▪ Palveluun tallentui mm. etunimi, kutsumanimi, sukunimi, sähköpostiosoite, koulu, luokka,
luokka-aste, rooli (oppilas), kielikoodi, MD5-salattu henkilötunnus, OID-tunniste, tiedon lähde.
▪ Tietosuojavaltuutetun päätöksen mukaan:
▪ Rekisterinpitäjän lakisääteiset velvoitteet eivät olleet kelvollinen käsittelyperuste, koska
Googlen pilvipalvelussa käsiteltiin henkilötietoja lakisääteisiä velvollisuuksia laajemmin.
▪ Päätöksessä huomioitiin mm. kertyvien tietojen laajuus (ml. mahdolliset erityiset
henkilötiedot tallennetuissa sisällöissä) ja käytön kesto (peruskoulu 9 vuotta).
▪ TSV huomioi, että kyse oli lapsista, palvelua saattoi käyttää myös kotona, ja sen, ettei
rekisterinpitäjä pystynyt sopimuksesta varmistamaan kaikkia Googlen käsittelytapoja.
▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi.
▪ Lisäksi TSV antoi rekisterinpitäjälle ohjausta liittyen tiedonsiirtoihin kolmansiin maihin.
▪ Päätöksen mukaan suostumus voi olla käsittelyperuste pilvipalvelun käytölle viranomaisen
toiminnassa, jos sen edellytykset täyttyvät (mm. informointi ja vapaaehtoisuus).
Lähde: Tietosuojavaltuutetun päätös 31.12.2021, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211503 (ei lainvoimainen 22.5.2023)
• Voiko opetuksen järjestäjä käyttää lakisääteisiin tehtäviin Googlen pilvipalvelua?
• Voiko verkko-ohjelmia käyttää opetuksessa suostumuksen perusteella?
Hallinto-oikeuden päätös Google pilvipalvelun käytöstä (ei lainvoimainen)
69
▪ Googlen pilvipalvelun käytön ongelmia hallinto-oikeuden ratkaisun mukaan:
▪ Henkilötietojen käsittely Googlen pilvipalvelussa oli laajempaa kuin mihin kaupungilla oli
lakisääteisten velvollisuuksien (opetus) mukainen käsittelyperuste.
▪ Tietoa oppilaista kerättiin koulutehtävien teon lisäksi myös muusta ohjelmien käytöstä.
▪ Kaupunki ei varmistanut tietoturvaa tilanteessa, jossa pilvipalvelua käytettiin oppilaan omilla
laitteilla ja nettiyhteydellä etäopiskelussa sekä kotitehtävien teossa.
▪ Epäselväksi jäi, olisiko pilvipalvelun käyttö ollut ok, jos se olisi rajattu vain opetustunneille.
▪ Ongelmien taustalla on Googlen vakiosopimusehtojen hyväksyminen.
▪ Lopputulos on vielä avoin, sillä asian käsittely jatkunee korkeimmassa hallinto-oikeudessa.
▪ Jos TSV:n ratkaisu saa lainvoiman, 1) tulisi Googlen taipua sopimusehtojen ja toimintansa
muuttamiseen 2) tai Googlen pilvipalvelun käyttö voisi perustua muuhun käsittelyperusteeseen
(suostumus tai julkiset tehtävät)
• Helsingin hallinto-oikeus hylkäsi 30.6.2023 Espoon kaupungin valituksen ja piti
voimassa tietosuojavaltuutetun päätöksen, jonka mukaan lakisääteiset
velvoitteet eivät olleet kelvollinen käsittelyperuste Google Suite for Education –
palvelun (nyk. Google Workspace) käyttöön opetuksessa.
Oppijoiden tiedot somepalveluissa
70
▪ Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
▪ Älä asenna työpuhelimeen sosiaalisen median
sovelluksia ilman työnantajan lupaa.
▪ Älä tallenna oppijoiden tai huoltajien
henkilötietoja yksityisessä käytössä olevaan
kännykkään ilman työnantajan lupaa.
▪ Jos somepalvelussa aiotaan käyttää
henkilötietoja, tarkista työnantajan linjaus.
▪ Tarvittaessa pyydä suostumukset käytölle ja
muista rekisteröityjen ja huoltajien informointi.
▪ Jälkihoito: henkilötietojen ja viestien poisto
sovelluksista ja kännyköistä.
Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
71
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
Henkilötietojen vuotaminen sovellusten kautta
72
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Jos sovelluksille on annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus
WhatsApp opetuksessa?
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
→ Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
→ Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
→ Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
→ Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
→ WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-
Signalin tietosuoja
▪ Minimaalinen henkilötietojen käsittely:
puhelinnumero riittää rekisteröitymiseen
▪ Tunnus voi olla henkilön tai organisaation
▪ Vahva päästä-päähän-salaus
▪ Ei lähetä palvelimelle puhelinnumeroita, vaan
niistä muodostetut SHA256-tunnisteet
▪ Ehdot ja tietosuoja: https://signal.org/legal/
▪ Ei tarjoa henkilötietojen käsittelyn sopimusta
▪ Rekisteröidyiltä on syytä pyytää suostumus,
jos heille aiotaan viestiä Signalin kautta.
▪ Koska Signal käyttää tietoja vain viestien
välitykseen, se voisi sisältyä GDPR:n 95 artiklan
poikkeukseen (yleisesti saatavilla olevien
viestintäpalvelujen välitystiedot).
74
Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla. ☺
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.
Yhteenvetoa: suostumukset opetuksessa
▪ Jos julkaistaan henkilötietoja (myös kuvia) tai oppijoiden tuotoksia.
→ Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Jos oppijoiden henkilötietoja tallennetaan ulkopuoliseen sovellukseen tai
verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima.
→ Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa, jos
rekisterinpitäjä sallii sovelluksen käytön opetuksessa suostumuksen perusteella.
▪ Jos käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
→ Suostumus henkilötietojen käytön perusteena ko. palveluille.
→ Suostumus ei sovellu opetuksen järjestäjän lakisääteisiin tehtäviin.
▪ Jos tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
→ Suostumus automaattiselle päätöksenteolle.
76
77
Ohjeista ainakin nämä
1. Missä ja miten henkilötietoja saa säilyttää
2. Kenelle ja milloin lapsen tietoja saa kertoa
3. Henkilötietojen luovuttaminen muille tahoille
4. Miten huoltajat tunnistetaan eri tilanteissa: kasvokkain,
puhelimessa, verkossa
5. Tietojen lähetys sähköpostissa ja turvapostin käyttö
6. Sallitut verkkopalvelut ja mitä tietoja niihin saa tallentaa
7. Mitä tietoja saa tallentaa kännykkään (työ/oma)
8. Sovellukset, joille esim. yhteystietoja saa siirtyä
9. Kuvien ja lasten tuotosten esittäminen ja julkaisu
10. Pyydettävät suostumukset, esim. kuvaus- ja
julkaisuluvat, pikaviestisovellukset
3+1 pointtia
1. Tarkistakaa opetuksen tietosuojaan tehdyt linjaukset
ja ohjeet. Onko aika päivittää?
2. Varmistakaa, että opetukseen on käytettävissä
turvalliset verkkoyhteydet, välineet ja sovellukset.
3. Sovellusten käytön tapauskohtainen arviointi!
4. Tietosuojaohjeet opiskelijoille
78
“
”Tietosuojasta huolehditaan, jotta
jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten
niitä voidaan käyttää.”
79
Ajankohtaisia tietosuojariskejä
80
Varo: Office 365 -huijaukset ovat yleisiä!
▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia,
joilla he voivat päästä käsiksi luottamuksellisiin tietoihin.
▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia.
Lähde: Viestintävirasto, 2019,
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille
81
Huijaus- ja tietojenkalasteluviestit
82
1. Älä luota sähköpostin tai
tekstiviestin lähettäjän nimeen
tai osoitteeseen/numeroon.
2. Älä koskaan avaa yllätyksenä
tullutta liitetiedostoa.
3. Tarkista linkki esim. viemällä hiiri
sen päälle.
4. Anna tietojasi vain varmasti
luotettaville tahoille.
5. Jos epäilet huijausta, tarkista
aitous muuta kautta
Huijauspuhelut Microsoftin nimissä
▪ Tavoitteena saada käyttäjätunnus haltuun.
▪ Huijauspuhelu voi tulla myös suomalaisesta
numerosta.
▪ Huijarit esiintyvät yleisimmin Microsoftin IT-
tukihenkilöinä.
▪ Huijaukseen voi liittyä myös sähköposteja,
tekstiviestejä ja tietojenkalastelusivuja.
▪ Microsoftin tutkimuksen mukaan puolet
Suomessa asuvista aikuisista oli altistunut
IT-tukihuijauksille (2021).
▪ 12 % oli ensin jatkanut keskustelua huijarin
kanssa, mutta lopettanut sitten.
▪ 3 % vastaajista oli menettänyt rahaa.
83
Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
Microsoft Authenticator -autentikointisovellus
▪ Microsoft Authenticator sopii hyvin
Microsoftin sekä useimpien muidenkin
verkkopalvelujen kaksivaiheiseen
varmistukseen.
▪ Kaksi kirjautumisen varmistustapaa:
1) Vaihtuva kertakäyttökoodi
2) Hyväksy kirjautuminen –kysymys
▪ Huom. Ota palvelukohtainen palautuskoodi
talteen, kun kytket varmistuksen päälle.
▪ Android-versio Google Playssä:
https://play.google.com/store/apps/detail
s?id=com.azure.authenticator
▪ iOS-versio AppStoressa:
https://apps.apple.com/us/app/microsoft
-authenticator/id983156458
Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023)
Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a
84
Tietosuojarikkomukseen reagointi
1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä
välittömästi vähentääksesi seurauksia?
2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle.
3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden
havainnoista on hyötyä jatkotutkinnalle.
4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet,
yhteystiedot, arkaluontoiset ja salassa pidettävät jne.
Rekisterinpitäjä ja tietosuojavastaava:
▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski.
▪ Anna ohjeita, miten välttää ikäviä seurauksia.
85
86
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!

More Related Content

What's hot

Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöönHarto Pönkä
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäHarto Pönkä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaHarto Pönkä
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHarto Pönkä
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessaHarto Pönkä
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetHarto Pönkä
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöHarto Pönkä
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessaHarto Pönkä
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaHarto Pönkä
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABCHarto Pönkä
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaHarto Pönkä
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaHarto Pönkä
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaHarto Pönkä
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaHarto Pönkä
 

What's hot (20)

Evästystä evästeiden käyttöön
Evästystä evästeiden käyttöönEvästystä evästeiden käyttöön
Evästystä evästeiden käyttöön
 
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässäTietosuoja kunnan asiakaspalvelussa ja viestinnässä
Tietosuoja kunnan asiakaspalvelussa ja viestinnässä
 
Kuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissaKuvaaminen oppilaitoksissa
Kuvaaminen oppilaitoksissa
 
Henkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminenHenkilötietojen ja yksityisyyden suojaaminen
Henkilötietojen ja yksityisyyden suojaaminen
 
Tietosuoja opetustoimessa
Tietosuoja opetustoimessaTietosuoja opetustoimessa
Tietosuoja opetustoimessa
 
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutuksetDigiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
Digiturva: Uhkat ja suojautuminen - oma toiminta ja sen vaikutukset
 
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttöTietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
Tietosuoja sosiaalisessa mediassa ja somen turvallinen käyttö
 
Tietosuoja opetuksessa
Tietosuoja opetuksessaTietosuoja opetuksessa
Tietosuoja opetuksessa
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessaVarhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
Varhaiskasvatuksen julkaisuluvat ja tietosuoja somessa
 
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudetTietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
Tietosuoja: rekisterinpitäjän vastuut ja velvollisuudet
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Arjen tietoturvan ABC
Arjen tietoturvan ABCArjen tietoturvan ABC
Arjen tietoturvan ABC
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Tietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessaTietosuoja ja tietoturva opetuksessa
Tietosuoja ja tietoturva opetuksessa
 
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmastaSosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
Sosiaalinen media, evästeet ja analytiikka tietosuojan näkökulmasta
 
LinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissaLinkedInin käyttö rekrytoinnissa
LinkedInin käyttö rekrytoinnissa
 

Similar to Tietosuoja perusopetuksessa ja toisella asteella

Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaHarto Pönkä
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäHarto Pönkä
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessaHarto Pönkä
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPRHarto Pönkä
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaHarto Pönkä
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaHarto Pönkä
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaSuomen Yrittäjäopisto
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPRHarto Pönkä
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaHarto Pönkä
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Jan Lindberg
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaHarto Pönkä
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaSuomen metsäkeskus
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaHarto Pönkä
 

Similar to Tietosuoja perusopetuksessa ja toisella asteella (20)

Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessaTietosuojariskit opetuksen viestinnässä ja etäopetuksessa
Tietosuojariskit opetuksen viestinnässä ja etäopetuksessa
 
Tietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössäTietosuoja ja luvat arjen varhaiskasvatustyössä
Tietosuoja ja luvat arjen varhaiskasvatustyössä
 
Tietosuoja etäopetuksessa
Tietosuoja etäopetuksessaTietosuoja etäopetuksessa
Tietosuoja etäopetuksessa
 
Oppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPROppimisanalytiikka ja GDPR
Oppimisanalytiikka ja GDPR
 
Tietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessaTietosuoja ja tekijänoikeudet opetuksessa
Tietosuoja ja tekijänoikeudet opetuksessa
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessaEU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
EU:n yleinen tietosuoja-asetus ja somepalvelujen käyttöehdot opetuksessa
 
GDPR-työkaluja
GDPR-työkalujaGDPR-työkaluja
GDPR-työkaluja
 
Sosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmastaSosiaalinen media tietosuojan näkökulmasta
Sosiaalinen media tietosuojan näkökulmasta
 
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksestaHeikki Syrjälän luentomateriaali tietosuoja-asetuksesta
Heikki Syrjälän luentomateriaali tietosuoja-asetuksesta
 
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPROppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
Oppimisanalytiikka ja EU:n yleinen tietosuoja-asetus GDPR
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
Digitalisaation vaikutukset markkinointijuridiikkaan ja tietosuojakysymysten ...
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmastaEU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
EU:n yleinen tietosuoja-asetus oppilaitosten ja opettajien näkökulmasta
 
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissaTietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
Tietietofoorumi 27.9.2018 - Tietosuoja eri tilanteissa
 
Mita tsa muutti suomessa
Mita   tsa muutti suomessaMita   tsa muutti suomessa
Mita tsa muutti suomessa
 
Tietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessaTietosuoja ja henkilötiedot etäopetuksessa
Tietosuoja ja henkilötiedot etäopetuksessa
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
 

More from Harto Pönkä

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaHarto Pönkä
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioHarto Pönkä
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaHarto Pönkä
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Harto Pönkä
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Harto Pönkä
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoälyHarto Pönkä
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotHarto Pönkä
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tietoHarto Pönkä
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaHarto Pönkä
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitHarto Pönkä
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinHarto Pönkä
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaHarto Pönkä
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaHarto Pönkä
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassaHarto Pönkä
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusHarto Pönkä
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaHarto Pönkä
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaHarto Pönkä
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?Harto Pönkä
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistysHarto Pönkä
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 

More from Harto Pönkä (20)

Tietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus EuroopassaTietosuoja ja informaatioturvallisuus Euroopassa
Tietosuoja ja informaatioturvallisuus Euroopassa
 
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatioKriittinen tekoälylukutaito, algoritmit ja disinformaatio
Kriittinen tekoälylukutaito, algoritmit ja disinformaatio
 
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmastaSosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
Sosiaalinen media, analytiikka ja evästeet tietosuojan näkökulmasta
 
Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?Mitä kirjastoissa on hyvä tietää TikTokista?
Mitä kirjastoissa on hyvä tietää TikTokista?
 
Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024Sosiaalisen median katsaus 02/2024
Sosiaalisen median katsaus 02/2024
 
Some, algoritmit ja tekoäly
Some, algoritmit ja tekoälySome, algoritmit ja tekoäly
Some, algoritmit ja tekoäly
 
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinotInformaatiovaikuttamisen ajankohtaiset aiheet ja keinot
Informaatiovaikuttamisen ajankohtaiset aiheet ja keinot
 
Tietoturva ja luotettava tieto
Tietoturva ja luotettava tietoTietoturva ja luotettava tieto
Tietoturva ja luotettava tieto
 
Sosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaikaSosiaalinen media, pelit ja ruutuaika
Sosiaalinen media, pelit ja ruutuaika
 
Juuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmitJuuri nyt: Somen trendit ja algoritmit
Juuri nyt: Somen trendit ja algoritmit
 
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiinTilannekatsaus sosiaaliseen mediaan ja some-journalismiin
Tilannekatsaus sosiaaliseen mediaan ja some-journalismiin
 
Toiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissaToiminta tietoturvaloukkaustapauksissa
Toiminta tietoturvaloukkaustapauksissa
 
Informaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessaInformaatiovaikuttamisen tunnistaminen somessa
Informaatiovaikuttamisen tunnistaminen somessa
 
Twitter taitekohdassa
Twitter taitekohdassaTwitter taitekohdassa
Twitter taitekohdassa
 
Sosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetusSosiaalinen media, koulu ja opetus
Sosiaalinen media, koulu ja opetus
 
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuojaVerkkopalvelujen datankeruu ja opetuksen tietosuoja
Verkkopalvelujen datankeruu ja opetuksen tietosuoja
 
Some- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuojaSome- ja pikaviestisovellusten tietosuoja
Some- ja pikaviestisovellusten tietosuoja
 
Mikä se some oikein on?
Mikä se some oikein on?Mikä se some oikein on?
Mikä se some oikein on?
 
Digikompassi ja digisivistys
Digikompassi ja digisivistysDigikompassi ja digisivistys
Digikompassi ja digisivistys
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 

Tietosuoja perusopetuksessa ja toisella asteella

  • 1. Tietosuoja perusopetuksessa ja toisella asteella 22.8.2023 Harto Pönkä Innowise Kuva: Marvin Meyer @Unsplash, 2018
  • 2. “ En tiedä täysin, miten pitäis toimia tietyissä asioissa, kun ei oo annettu ohjeita ja kukaan ei tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan, joilla nyt silleen on se vastuu jakaa tätä tietoo. Must tuntuu, et kaikki on vähä ottanu tän huumorilla tai vitsillä tai et ei oteta niin tosissaan, milloin rikotaankin mitä oikeutta tai niin. 2 Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma, https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
  • 3. 3 1. Alettiin kiinnittää huomiota siihen, ettei oppijoiden tietoja olisi julkisesti esillä 2. Alettiin kertoa edes jollain tapaa, mitä sovelluksia opetuksessa käytetään 3. Alettiin kysyä suostumuksia ulkopuolisten sovellusten käyttöön 4. Ongelmiin havahduttiin ja aloitettiin tietosuojan kehittäminen 2018 EU:n yleinen tietosuoja-asetus (GDPR) 1999 Henkilötietolaki 2023 Viisi vuotta GDPR:n aikaa takana
  • 5. Mihin EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan? 1) Osittain tai kokonaan autom. henkilötietojen käsittelyyn ▪ Digitaaliset asiakirjat, valokuvat, videot ja muut tiedostot ▪ Sähköpostit, tekstiviestit ▪ Viestintäsovellukset ▪ Verkkopalvelut, chatit ▪ Sosiaalisen median palvelut ▪ Digitaaliset arkistot ▪ Tietojen siirto rajapintojen kautta 2) Henkilörekistereihin ▪ Tietojärjestelmät/tietokannat ▪ Yhteystietoluettelot ▪ Henkilötietojen kokoelmat ▪ Myös manuaaliset aineistot, henkilökortistot ja vastaavat, jotka muodostavat tai joiden on tarkoitus muodostaa rekisteri 5
  • 6. Jussi Koskela 044-32132121 ABC-123 Suotie 1 192.168.13.73 Henkilötiedot = tunnistetiedot + muut henkilöön liittyvät tiedot Tunnistetiedot mahdollistavat henkilön tunnistamisen rekisterinpitäjän tai jonkun muun tahon toimesta – joko suoraan tai lisätietojen avulla. Milloin kyse on henkilötiedoista? Kaikki tiedot ovat henkilötietoja, jos ne koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä eli rekisteröityä.
  • 7. Rekisteri 7 Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.
  • 8. Kenellä on vastuu tietosuojasta? 8 Tietosuojavastaavalla on tärkeä rooli riskiarvioinnissa, vaikutustenarvioinnissa ja suositusten annossa! Rekisterinpitäjä päättää (tarkoitukset ja keinot) ja toimeenpanee. Velvollisuus kuulla tietosuojavastaavaa.
  • 9. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten 9 Tarkoitukset ja keinot Rekisteriin kerätyt henkilötiedot Rekisterinpitäjä(t) Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän tulee kerätä ja käsitellä vain tarkoituksenmukaisia henkilötietoja (määrä, laatu, säilytysaika, saatavilla olo). Käsittelyn tarkoitukset ja keinot (henkilötiedot) tulee ilmetä rekisteröityjen informoinnista. Rekisteröidylle ei saa tulla sen jälkeen ”yllätyksiä”, mitä tietoja ja miten hänestä käsitellään. Oikeus- peruste
  • 10. Henkilötietojen käsittelylle tulee olla laillinen peruste ▪ Henkilön suostumus ▪ Sopimus, jossa rekisteröity on osapuolena ▪ Rekisterinpitäjän lakisääteinen velvoite ▪ Elintärkeiden etujen suojaaminen (esim. hätätilanne) ▪ Julkisen tehtävän hoitaminen tai yleinen etu ▪ Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu (esim. asiakassuhde tai työsuhde) 10
  • 11. Esimerkkejä käsiteltävistä henkilötiedoista 11 Tieto Henkilötiedon tyyppi Tyypillisiä riskejä Nimi Tunnistetieto Nimen paljastuminen (yleensä vähäinen haitta) Osoite ja kotikunta Tunnistetieto, voi olla salainen Salaisen osoitteen paljastuminen, suoramarkkinointi Puhelinnumero Tunnistetieto, voi olla salainen Salaisen numeron paljastuminen, huijausviestit Sähköpostiosoite Tunnistetieto Käyttö spämmäykseen, tietojenkalasteluun ja murtautumisyrityksiin Henkilötunnus Tunnistetieto, tietosuojalaissa erikseen säädelty Käyttö esimerkiksi pikavippien ottoon ja verkkokaupoissa tilauksiin toisen henkilön nimissä Muu yksilöivä tunniste, esim. opiskelijanumero tai OID Tunnistetieto Voidaan ehkä käyttää vahingontekoon tai urkintaan, jos paljastuu yhdessä nimen kanssa Terveydelliset tiedot, etninen tausta, vakaumus, ammattiliiton jäsenyys Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaamiseen Taloudellinen asema, henkilökohtaiset olot, sanalliset arviot henkilön ominaisuuksista, psykologiset testit Lain mukaan salassa pidettävä tieto Käyttö syrjintään ja häirintään, yksityiselämän loukkaamiseen
  • 12. Opiskelijarekisteri Lähteenä mm. OPH:n tietosuojaopas, 2018 Opiskelija- rekisteri oppijoiden ja huoltajien henkilötiedot ▪ Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen + yhteensopivat tarkoitukset ▪ Opetustilanteet, myös etä- ja verkko-opetus ▪ Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot) ▪ Paikallaolot, suoritukset, testit, arviointi ▪ Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.) ▪ Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa ▪ Kuvaus-, julkaisu- ja tekijänoikeusluvat ▪ Harjoitteluihin ja vierailuihin liittyvät tiedot ▪ Oppilashuolto ja erityisen tuen tarve ▪ Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. ▪ Suostumus voi olla oikeusperusteena, kun halutaan tarjota esimerkiksi vapaaehtoisia lisäpalveluita. ▪ Oppilaalle tulee olla tarjolla aito vaihtoehto, joka ei edellytä suostumuksen antoa. ▪ Suostumuksen kriteerit on täytettävä, mm. informointi henkilötietojen käsittelystä. ▪ Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa. 12
  • 13. Suostumus henkilötietojen käsittelyn perusteena 13 ▪ Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen ▪ Suostumusta ei voi antaa: ▪ Vaikenemalla ▪ Valmiiksi rastitetulla ruudulla ▪ Jättämättä jotakin tekemättä ▪ Alaikäisen kohdalla suostumuksen antaa huoltaja. ▪ Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia. ▪ Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n ohjeistus) sekä tarvittaessa sovellusten asentamiseen. ▪ Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain). ▪ Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen. Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin. Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen? http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
  • 14. Oppijoiden henkilötietojen käsittelystä tulee informoida selkeästi Lähde: Helsingin yliopiston Datalit-hanke, 2023, tietosuojakuvakkeet, https://www.datalit.fi/wp-content/uploads/2023/04/GDPR-White-paper-Tietosuojakuvakkeet-3-2023.pdf 14 Pääsy omiin henkilötietoihin Tietojen oikaisu Tietojen poisto Käsittelyn rajoittaminen Käsittelyn vastustaminen Tietojen siirto toiseen järj. Automaattinen päätöksenteko Oikeus valittaa valvonta- viranomaiselle Käsittelyn oikeusperuste Tietojen säilytysaika Käsiteltävät henkilötiedot Henkilötietojen käsittelijät Tietojen siirto kolmansiin maihin Tietosuojavastaavan yhteystiedot Rekisterinpitäjä ja yhteystiedot
  • 15. Rekisteröityjen pyyntöihin vastaaminen 15 ▪ Rekisterinpitäjän tulee kertoa rekisteröidyille, miten he voivat käyttää oikeuksiaan, jos he haluavat esimerkiksi tarkistaa tietonsa tai tehdä niihin oikaisun. ▪ Rekisteröidyn tulee yksilöidä pyyntönsä: ▪ Nimi ja yhteystiedot ▪ Mitä tietoja pyyntö koskee ▪ Esimerkiksi haluaako tarkistaa kaikki tietonsa vai tietyltä ajanjaksolta ▪ Missä muodossa haluaa tiedot ▪ Rekisterinpitäjän tulee tarkistaa rekisteröidyn henkilöllisyys. ▪ Rekisterinpitäjän täytyy vastata pyyntöön kuukauden kuluessa. ▪ Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjä voi ilmoittaa vastauksessaan, että se tarvitsee niiden käsittelyyn enemmän aikaa. Jos rekisterinpitäjä ilmoittaa tarvitsevansa lisää käsittelyaikaa, määräaika on kolme kuukautta pyynnöstä. Lähde: Tietosuojavaltuutettu, https://tietosuoja.fi/kun-haluat-tarkastaa-tietosi
  • 16. GDPR:n tietosuojaperiaatteet ohjaavat henkilötietojen käsittelyä 16 ▪ Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys ▪ Käyttötarkoitussidonnaisuus ▪ Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin tarkoituksiin ▪ Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua ▪ Tietojen minimointi ▪ Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja ▪ Tietojen täsmällisyys ▪ Tietojen päivittäminen, tarkistaminen, virheiden korjaus ▪ Tietojen säilytyksen rajoittaminen ▪ Tietoja säilytetään vain tarvittavan ajan ▪ Tietojen eheys ja luottamuksellisuus ▪ Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi ▪ Rekisterinpitäjän osoitusvelvollisuus Lisätietoa: Tietosuoja-asetuksen 5 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1
  • 18. Työnantajan laitteet ja ohjelmat 18 ▪ Työnantajan laitteita ja ohjelmia käytetään vain työhön liittyvin tarkoituksiin. ▪ Sivulliset kuten perheenjäsenet eivät saa käyttää työnantajan laitteita tai järjestelmiä. ▪ Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa ulkopuolisille tai säilyttää niin, että muut saavat ne tietoonsa. ▪ Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa henkilökohtaisille tallennusvälineille. ▪ Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja. ▪ Työpuhelut hoidetaan niin, että sivulliset eivät kuule niitä.
  • 19. 19 Laita kone kiinni aina, kun poistut paikalta!
  • 20. Tietosuojalaki 35 §: vaitiolovelvollisuus 20 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta. ▪ Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä. ▪ Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella. Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050 Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi
  • 21. Opetuksen henkilöstö ei saa ilmoittaa sivullisille tietoja, joita he ovat työssään saaneet oppilaiden, muun henkilökunnan tai näiden perheenjäsenten henkilökohtaisista oloista ja taloudellisesta asemasta. 21 Oppilaan oppilashuoltotyöhön osallistuvilla on kuitenkin oikeus saada sekä luovuttaa oppilaan opettajalle, rehtorille ja vastaavalle viranomaiselle välttämättömät tiedot. Tietoja voidaan pyytää huoltajan suostumuksella myös muilta tahoilta. Lähde: Perusopetuslaki, 40 §, https://www.finlex.fi/fi/laki/ajantasa/1998/19980628#L8P40
  • 22. Salassa pidettäviä asiakirjoja saa luovuttaa vain lain perusteella tai henkilön suostumuksella 22 ▪ Opinnäytetyön suunnitelma ▪ Tiedot psykologisesta testistä tai soveltuvuuskokeesta ▪ Oppilashuoltoa ja oppilaan opetuksesta vapauttamista koskevat asiakirjat ▪ Oppilaan ja kokelaan koesuoritukset ▪ Asiakirjat, jotka sisältävät oppilaan henkilökohtaisten ominaisuuksien sanallista arviointia ▪ Asiakirjat, jotka sisältävät salaisen puhelinnumeron tai matkaviestimen sijainnin ▪ Asiakirjat, jotka sisältävät kotikunnan, asuinpaikan, puhelinnumeron tai muun yhteystiedon, jos henkilö on pyytänyt salassapitoa uhan vuoksi Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621
  • 23. Henkilötunnus Henkilötunnusta saa käsitellä: ▪ Rekisteröidyn suostumuksella ▪ Jos käsittelystä säädetään laissa ▪ Laissa säädetyn tehtävän suorittamiseksi ▪ Rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi, esim. työsuhteessa ▪ Historiallista tai tieteellistä tutkimusta tai tilastointia varten Henkilötunnusta ei tule merkitä tarpeettomasti asiakirjoihin. Henkilötunnusta ei ole tarkoitettu henkilöllisyyden varmistamiseen. 23 Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet 010150-113X
  • 24. Erityiset eli arkaluontoiset henkilötiedot Erityisten henkilötietoryhmien käsittely on kielletty ilman henkilön nimenomaista suostumusta tai laista tulevaa perustetta. ▪ rotu tai etninen alkuperä ▪ poliittiset mielipiteet ▪ uskonnollinen tai filosofinen vakaumus ▪ ammattiliiton jäsenyys ▪ terveyttä koskevat tiedot ▪ seksuaalinen suuntautuminen tai käyttäytyminen ▪ geneettiset ja biometriset tunnistetiedot 24 Tämä viesti sisältää: • tunnistetietoja • lain mukaan salassa pidettäviä tietoja • terveystietoja Tämän tyyppisten henkilötietojen käsittelylle tulee olla selvät ohjeet ja määritellyt järjestelmät, joissa niitä saa säilyttää. WhatsApp (kuvassa) tuskin kuuluu niihin.
  • 25. Korona ja muut terveystiedot 25 Lähde: TSV, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus ▪ Terveystiedot ovat erityisiä henkilötietoja, joita ei saa käsitellä ilman lainmukaista perustetta. ▪ Henkilö saa itse kertoa terveystiedoistaan kuten koronavirustartunnasta ja rokotteista. ▪ Tieto karanteenista (kertomatta syytä) ei ole terveystieto. ▪ Terveystietoja saavat käsitellä vain ne henkilöt, joiden työtehtäviin se kuuluu. ▪ Terveystietoja käsittelevät henkilöt ovat vaitiolovelvollisia. ▪ Työnantaja ei saa nimetä työntekijää, jolla on koronavirustartunta tai joka on karanteenissa. ▪ Tarvittaessa voidaan kertoa, että työntekijä on estynyt hoitamasta työtehtäviään, tai että työntekijä on siirtynyt toistaiseksi etätyöhön.
  • 26. Kysymys: Kahvipöytäkeskustelut 26 ▪ Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa käsitellään toisen henkilötietoja. ▪ Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §). ▪ Myös tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa pidettäviä. ▪ Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista nimien kanssa ilmoitustaululla tai netissä ilman suostumusta. ▪ Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja koulunkäyntiavustajat, jotka tarvitsevat niitä. ▪ Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Salassa pidettävien tietojen antajat päättävät annettavista tiedoista. Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf • Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia kahvipöydässä työtovereilleen? • Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla arvioidaan oppilaita ääneen?
  • 27. Kysymys: tietojen luovutus opiskeluhuollon työntekijöille 27 ▪ Vaikka opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit ovat siirtyneet hyvinvointialueiden palvelukseen, heidän oikeutensa opiskelijoiden tietojen käsittelyyn lakisääteisen yksilökohtaisen opiskeluhuollon järjestämiseksi säilyy ennallaan. ▪ Yksittäistä opiskelijaa koskevaa tietoa voidaan luovuttaa opiskeluhuoltopalvelun työntekijälle, jos työntekijä kuuluu opiskelijan tueksi suostumuksella koottuun monialaiseen asiantuntijaryhmään. ▪ Opiskeluhuollon kuraattorit, psykologit, terveydenhoitajat ja lääkärit saavat käsitellä vain niitä tietoja, joita he tarvitsevat työtehtäviensä hoitamisessa ▪ Koulutuksen järjestäjän on tarkistettava, että lakisääteiset edellytykset luovutukselle täyttyvät. ▪ Hyvinvointialueen työntekijöillä voi edelleen säilyä tunnukset sähköisiin järjestelmiin kuten Wilmaan, jos henkilön tehtäviin kuuluu oikeus käsitellä tietoja ja jos toteutettu katseluyhteys on lainmukainen. ▪ Opiskeluhuoltoa toteuttavien terveydenhuollon ammattihenkilöiden laatimien potilasasiakirjojen rekisterinpitäjänä toimii palvelun järjestänyt hyvinvointialue. ▪ OPH on julkaisemassa syksyllä 2023 ohjeistuksen tiedonsiirtoon ja viestintään opiskeluhuollossa. Lähde: OPH, 2022, https://www.oph.fi/fi/usein-kysyttya/opiskelijan-tietojen-luovutus-koulutuksesta-hyvinvointialueille-112023-alkaen Tietoa Wilman käytöstä opiskeluhuollon tietojen siirtoon: https://www.wilma.fi/ajankohtaista/hyvinvointialueet-ja-tiedonsiirto-wilmasta-opiskeluhuoltoon/ • Voiko koulutuksen järjestäjä antaa pääsyn opiskelijahallintojärjestelmäänsä opiskeluhuoltopalvelujen ammattilaisille eli opiskeluhuollon kuraattoreille, psykologeille, terveydenhoitajille ja lääkäreille myös sen jälkeen kun nämä ovat siirtyneet hyvinvointialueiden palvelukseen vuoden 2023 alussa?
  • 28. Oppijoiden henkilötietojen julkaisu 28 ▪ Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan suostumuksella tai jos siitä on nimenomaisesti laissa säädetty. ▪ Jos kyse on viranomaisen rekisteristä (esim. kunta), pitää varmistua, että annettaessa henkilötietoja sähköisesti niiden saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §). ▪ Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa. ▪ Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan. ▪ Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen. ▪ Suostumus on käytännössä esimerkiksi: ▪ Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja tullaan julkaisemaan. ▪ Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa ▪ Julkaisuluvat esimerkiksi kuviin ja videoihin ▪ Muilla tavoin kysytyt ja saadut suostumukset
  • 29. Viranomaisen henkilötietorekisterin tietojen anto ▪ Vaikka rekisterissä olevat tiedot olisivat lain mukaan julkisia, niitä ei voi antaa kenelle tahansa. ▪ Rekisterinpitäjän on arvioitava riskit, jos tietoja julkaistaan. ▪ Ei tietojen massajulkaisua esimerkiksi nimi ja HETU. ▪ Viranomaisen rekisterissä olevia henkilötietoja saa antaa, jos: ▪ 1) Kyse ei ole salassa pidettävistä tiedoista tai jokin muu laki ei estä luovutusta ▪ 2) Saajalla on oikeus käyttää kyseisiä tietoja (esim. yksityishenkilö tai tutkimustarkoitus) ▪ Annettavat tiedot minimoidaan ▪ Henkilötunnusta ei tule merkitä tarpeettomasti. Lähde: Laki viranomaisten toiminnan julkisuudesta, https://www.finlex.fi/fi/laki/ajantasa/1999/19990621 29
  • 30. Yhteystietojen jakaminen koteihin 30 Listan teko huoltajien toimesta: ▪ Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun. Listan teko päiväkodin/koulun toimesta: ▪ Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot, jotka he haluavat jakaa muille huoltajille. Tietojen anto päiväkodin/koulun rekisteristä: ▪ Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen. - Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille. ▪ Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai turvakielto tulee merkitä asiakasrekisteriin. Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
  • 32. Huolehdi oppijoiden tietosuojasta 32 ▪ Oppijoiden tietoja käytetään vain opetukseen. ▪ Tunnetaan rekisterit ja tietosuojaselosteet. ▪ Henkilötietoja ei kerrota sivullisille, julkaista tai luovuteta ilman suostumusta tai lakiperustetta. ▪ Huomioidaan rekisterinpitäjän linjaukset käytettävissä sovelluksissa ja pilvipalveluissa. ▪ Palveluntarjoajien kanssa tehdään tarvittaessa sopimukset henkilötietojen käsittelystä. ▪ Tarvittaessa pyydetään suostumukset ulkopuolisten palvelujen käyttöön opetuksessa. ▪ Käytetään henkilökohtaisia tunnuksia sekä huolehditaan käyttöoikeuksista ja seurannasta. ▪ Neuvotaan oppijoille käytettävien sovellusten ja käyttäjätunnusten turvallinen käyttö.
  • 33. Henkilötiedot puheluissa 33 Lisätietoa vahvasta sähköisestä tunnistamisesta esim. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tarjoa-asiakkaillesi-parasta-vahva-sahkoinen-tunnistus ▪ Henkilö on tunnistettava puhelussa, jos käsitellään hänen henkilötietojaan. ▪ Vahva tunnistaminen: 1) jotain mitä olet (nimi, HETU) 2) jotain mitä sinulla on (puh.nro, s.postiosoite) 3) jotain mitä tiedät (salasana, asiakastiedot) ▪ Puhelujen nauhoittaminen on sallittua, kun rekisterinpitäjällä on käsittelyyn oikeusperuste, esim. asiakassuhteessa rek. pit. oikeutettu etu. ▪ Henkilötietojen käsittelystä on informoitava. Esimerkiksi nauhoituksesta on kerrottava. ▪ Puhelussa voidaan kertoa, mistä tietosuojaseloste on luettavissa (nettisivut), lukea se ääneen tai se voidaan lähettää esimerkiksi sähköpostitse.
  • 34. Tietosuoja viestinnässä 34 ▪ Normaalissa sähköpostissa: ▪ Tavalliset henkilötiedot (nimi, osoite jne.) ▪ Edellytys: henkilökohtaiset postilaatikot ja tietoturva kunnossa. ▪ Suojatussa sähköpostissa, turvapostissa tai muussa turvallisessa viestintäkanavassa: ▪ Arkaluontoiset/erityiset henkilötiedot ▪ Salassa pidettävät tiedot ja asiakirjat ▪ Huijaussähköposteja on yhä enemmän → Tehkää tarvittaessa ohje, miten varmistaa viestien aitous
  • 35. Varmista aina vastaanottajat! ”Kaupungin mukaan kyse oli inhimillisestä virheestä. Se johtui Microsoftin sähköpostipalvelu Outlookin ominaisuudesta, joka esittää automaattisesti vastaanottajaa. Henkilö, jolle sähköposti meni, oli oikean vastaanottajan täyskaima. -- Aineisto sisälsi 1 143 henkilöstä tietoina nimen, henkilötunnuksen ja henkilönumeron. ” Lähde: Yle, 17.3.2023, https://yle.fi/a/74-20022944 35
  • 36. Saman luokan tai opetusryhmän kesken Koko nimi: ok Koulun email: ok Puh.nro: ok/alle 15-v. laitelupa Kuvat/videot: ok Muut hlötiedot: lupa Muille ryhmille opetuksen yhteydessä Koko nimi: ok Koulun email: ok Puh.nro: ei sähk./laitelupa Kuvat/videot: lupa Muut hlötiedot: lupa Ulkopuolisille henkilöille ja tahoille Etunimi: ok Koko nimi: ei sähk. Koulun email: ei sähk. Puh.nro: ei sähk. Kuvat/videot: lupa Muut hlötiedot: lupa Muille opettajille ja henkilöstölle tarvittaessa Koko nimi: ok Koulun email ja puh.nrot: ok Muut välttämättömät tiedot: ok Henkilötiedot opetuksen tiloissa ja tilanteissa Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne. Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä. Salaisia puhelinnumeroita ei tule koskaan jakaa tai laittaa esille. 36 Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
  • 37. Kysymys: oppilaan teoksen asettaminen esille 37 ▪ Oppilaan koko nimi voi olla työssä esillä luokan seinällä, jos luokka on pelkästään opetuksen käytössä. Tämä on normaalia opetukseen liittyvää toimintaa. ▪ Kysymyksessä on kuitenkin tietosuojaa enemmän kyse tekijänoikeuksista. ▪ Tekijänoikeuksien kannalta nimen tulee olla esillä teoksessa. Kyse on tekijän ns. isyysoikeudesta. ▪ Oppilas voi itse päättää, miten hän merkitsee nimensä tekemäänsä työhön. ▪ Jos oppilaan työ laitetaan esille julkiseen tilaan tai nettiin, kyse on oppilaan teoksen esittämisestä julkisesti. Tähän tarvitaan oppilaan oma ja alaikäisen tapauksessa lisäksi huoltajan lupa (julkaisulupa). ▪ Jos työ asetetaan julkisesti nähtävästi, myös muut tahot saattavat valokuvata sitä tai jakaa eteenpäin. • Voiko oppilaan työssä (piirros, valokuva tms.) olla hänen etunimensä esillä, kun työ laitetaan luokan seinälle? • Tarvitaanko etunimen käyttöön tällaisessa tapauksessa vanhempien lupa, vai riittääkö, että oppilas on itse halukas laittamaan työnsä esille nimensä kanssa?
  • 38. Henkilöä esittävä valokuva tai video on henkilötieto ja tunnistetieto ▪ Oleellista on, voidaanko henkilö tunnistaa kuvasta tai videosta vai ei. ▪ Tunnistaminen voi perustua kasvoihin, videolla kuuluvaan ääneen tai sen yhteydessä olevaan nimeen ▪ Tunnistamisen voi estää se, että henkilön kasvot eivät näy tai kuva on otettu niin kaukaa, ettei tunnistaminen ole mahdollista. ▪ Henkilön kasvot voi sumentaa tai peittää eli ”anonymisoida” kuvan. ▪ Jo tunnistettavan kuvan säilyttäminen on henkilötietojen käsittelyä. 38 Kuva: Pixabay
  • 39. Valokuvat ja videot 39 ▪ Tunnistettavan henkilökuvan julkaisuun on yleensä syytä pyytää suostumus (julkaisulupa). ▪ Jokaisen on katsottu omistavan persoonansa ns. kaupalliset oikeudet. ▪ Valokuvan tai videon tekijänoikeudet tai lähioikeudet ovat kuvaajalla. Kuvan julkaisulle tarvitaan tekijän lupa. ▪ Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja tai kuvassa näkyvän teoksen tekijänoikeudet. ▪ Jonkun muun julkaiseman kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia. ⬞ Esim. noloista tilanteista tai kiusaamistarkoituksessa otettuja kuvia ei saa levittää.
  • 40. Kysymys: tapahtumissa kuvaaminen 40 ▪ Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua. ▪ Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää henkilötietojen käsittelyä. ▪ Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain toimituksellisia tai taiteellisia tarkoituksia varten. ▪ Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta, eikä sillä ole oikeutta kieltää sitä. ▪ Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim. paikallislehdessä on sallittua. • Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi nettisivuilla julkaistavaksi? • Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri? • Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
  • 41. Kysymys: kuvat, videot ja etätilanteiden tallenteet 41 ▪ Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. ▪ Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. ▪ Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. ▪ Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset. ▪ Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti. ▪ Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet. ▪ Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille. • Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää niitä opetusryhmän kesken? • Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista? • Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
  • 42. Julkaisuluvan malli päiväkodeille ja kouluille 42 ▪ Tämä julkaisulupa on vapaasti käytettävissä. ▪ Saatavina Google Drivessa: https://docs.google.com/do cument/d/1ObAtxeYjtp9KRe gV0s0jI2L- pfueGWVmbmv4paertSk/edi t?usp=sharing ▪ PDF-versio: https://drive.google.com/fil e/d/1iHgvNR-VZq_- 4cIUuh4NR2FFz3PVa5g3/vie w?usp=sharing
  • 43. Julkaisuluvan voimassaolo ja peruminen ▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista. ▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan. ▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa. ▪ Jos julkaisulupa on sähköisessä asiointikanavassa (esim. Wilma) oleva valinta, niin sen voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa. ▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa perutaan/päättyy myöhemmin, ei tehtyjä julkaisuja tarvitse automaattisesti poistaa. ▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei vaadi kohtuutonta työtä. ▪ Koulu voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi nettisivuilta ja some-kanavista tietyn ajan päästä. 43
  • 45. Tietosuojan huomiointi opetuksen digialustoilla 45
  • 46. Etäopetuksessa käytetyt sovellukset (2020) Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020, https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020 46
  • 47. TOP sovellukset oppimisessa ja opetuksessa 2018-2022 Data: Jane Hart, 2018-2022, Top Tools for Learning, https://www.toptools4learning.com/, kuva: Harto Pönkä, 7.2.2023 47 2018 2019 2020 2021 2022
  • 48. Tietosuoja etäyhteyssovelluksissa 48 ▪ Käytä vain oppilaitoksen sallimia sovelluksia. ▪ Toimita kutsu henkilökohtaisesti opiskelijoille. ▪ Informoi osallistujia henkilötietojen käsittelystä. ▪ Varmista tarvittaessa osallistujien henkilöllisyys. ▪ Varmista esittäjien osaaminen etukäteen. ▪ Älä julkaise opiskelijoiden tai muiden henkilötietoja ilman suostumusta. ▪ Kerro etukäteen, jos kokous tallennetaan, ja näkyvätkö tallenteessa osallistujien nimet ja chat. ▪ Huomioi kotoa osallistuvat: ei sivullisia kuulolla, videon ja mikrofonin käyttö kotirauhan alueella perustuu vapaaehtoisuuteen. ▪ Lopuksi: päätä kokous, tyhjennä tai sulje huone. ▪ Suojaa tallenne ja huolehdi sen tietosuojasta.
  • 49. Ohjeita Teams-kokouksen esittäjälle 49 ▪ Valitse rauhallinen paikka: ei sivullisia kuulolle. ▪ Jos mahdollista, käytä toista näyttöä ruudunjakoon. ▪ Sulje kaikki muut ohjelmat kuin ne, mitä aiot näyttää ruudunjaossa. Erityisesti ohjelmat, joissa on henkilötietoja (mm. sähköpostit). ▪ Valmistele sovellukset ja tiedostot, joita aiot käyttää ruudunjaossa. ▪ Windowsissa voit luoda uuden työpöydän, johon avaat valmiiksi ruudunjaossa käytettävät sovellukset. (Win+Tab) ▪ Jos käytät samalla laitteella muita viestintäsovelluksia, laita niiden ilmoitukset pois päältä esim. asettamalla tilaksi ”varattu”.
  • 50. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa 50 Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset! Opetuksen järjestäjän viestintä- ja asiointikanavat (esim. Wilma) Oppimisalustat (esim. Google Workspace, 0ffice 365+Teams) Ulkopuolinen sovellus, johon kirjaudutaan edu- tunnuksella Ulkopuolinen sovellus, johon on erillinen tunnus Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu sovelluksesta Ulkopuolinen rekisterinpitäjä Henkilötietojen käsittelijä (DPA-sopimus) Palveluntarjoaja Palveluntarjoaja Riippuu sovelluksesta Ei Käyttäjätunnukset Opetuksen järjestäjän hallinnoimat tai vahva tunnistautuminen Opetuksen järjestäjän hallinnoimat edu- tunnukset Edu-tunnukset Rekisteröinti/ erilliset tunnukset Pitääkö informoida henkilötietojen käsittelystä? Kyllä, tietosuojaselosteella Kyllä, tietosuojaselosteella Kyllä, tietosuojaselosteella tai suostumuksen pyynnön yhteydessä Kyllä, suostumuksen pyynnön yhteydessä Pitääkö pyytää erillinen suostumus? Ei Ei Kyllä, jos ulkopuolinen rekisterinpitäjä Kyllä Voiko tallentaa oppijoiden tietoja? Kyllä Kyllä Ei voi suositella Ei
  • 51. Kysymys: henkilötietojen kerääminen pilvipalveluihin 51 ▪ Pilvipalvelujen tarjoajat ovat henkilötietojen käsittelijöitä. Vastuu niiden käytöstä on rekisterinpitäjällä. ▪ Käytä henkilötietojen käsittelyyn vain rekisterinpitäjän hyväksymiä pilvipalveluita. ▪ Noudata rekisterinpitäjän ohjeistusta, mitä tietoja pilveen saa tallentaa. ▪ Pilvipalveluissa on pidettävä huolta, että käyttäjätunnukset ovat henkilökohtaisia ja pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. ▪ Jos Office 365:n Forms-lomakkeella tai tiedostopyynnöllä kerätään henkilötietoja, tietosuojaseloste tulee toimittaa etukäteen rekisteröidyille tai linkittää lomakkeelle, jotta rekisteröidyt voivat tutustua siihen. • Saako henkilötietorekisteriä kerätä pilvipalveluun, esimerkiksi organisaation 0ffice 365:een? • Voiko Office.com:in lomakkeita käyttää henkilötietojen keräämiseen?
  • 52. Pilvipalvelut henkilötietoja sisältävien tiedostojen säilytyksessä ja jakamisessa ▪ Tarkista rekisterinpitäjän ohjeistus: ▪ 1) mitä pilvipalveluita saa käyttää ▪ 2) mitä tietoja pilveen on sallittua tallentaa ▪ 3) saako tiedostoja synkronoida omille laitteille ▪ Huolehdi työtehtävien mukaisista käyttöoikeuksista/jakamisesta. ▪ Älä jaa henkilötietoja sisältäviä tiedostoja ulkopuolisille ilman suostumusta tai muuta perustetta. Kuvan lähde: GoodFirms , 2020, Usage & Trends of Personal Cloud Storage, https://www.goodfirms.co/resources/personal-cloud-storage-trends (N=648, vastaajat useista maista) 52
  • 53. Harkitse ennen kuin jaat! 53 MITÄ? MITEN? RISKIT? Yksi dokumentti/tiedosto Jako yhdelle oman organisaation käyttäjälle Turvallisin vaihtoehto Yksi dokumentti/tiedosto Jako usealle oman organisaation käyttäjälle Lähes yhtä turvallinen vaihtoehto Yksi dokumentti/tiedosto Jako oman organisaation ryhmälle Turvallinen, jos ryhmä on tehty juuri kyseisten tietojen jakamiseen. Yksi dokumentti/tiedosto Jako ulkopuolisille linkillä Ei ole turvallinen henkilötietojen ja salassa pidettävien tietojen jakamiseen. Jaa linkillä vain julkisia tietoja. Kokonainen OneDrive- kansio Jako oman organisaation käyttäjille Turvallinen, jos kansio on tehty juuri kyseisten tietojen jakamiseen. Kokonainen OneDrive- kansio Jako oman organisaation ryhmälle Altis liian laajalle jakamiselle eli tietojen päätymiselle työntekijöille, joille ne eivät kuulu. Kokonainen OneDrive- kansio Jako ulkopuolisille linkillä Kaikkein turvattomin: altis tietojen vuodolle ulkopuolisille
  • 54. Excelin salasanasuojaus ”Opettaja oli vienyt tiedot oppimisalustalle Excel-tiedostona siten, että henkilöiden nimet sisältävä sarake oli piilotettu salasanan taakse. Itä-Suomen yliopiston oikeustieteiden laitoksen johtaja Matti Turtiasen mukaan salasanasuojauksen toimivuus oli tarkistettu erikseen Excelissä. – Opettajalle tuli kuitenkin yllätyksenä, että salasanasuojaus ei toimi, jos tiedosto avataan Google-sovellusten avulla.” Lähde: Yle, 19.4.2021, https://yle.fi/a/3-11884988 54
  • 55. Älä luota Excelin salasanasuojaukseen ▪ Vasemmalla: Excelissä on piilotettu sarakkeet B, C ja D sekä kytketty salasanasuojaus päälle ▪ Oikealla: Kun tiedoston tuo Google Driveen, sarakkeet saa näkyville (salasanaa ei tarvita) 55
  • 56. Tiedostojen pyytäminen OneDrive-kansioon ▪ Tiedostopyyntö on turvallinen keino vastaanottaa tiedostoja. ▪ Aluksi: Luo OneDrive-kansio → valitse se → ”Pyydä tiedostoja” ▪ Kopioi linkki tai lähetä tiedostopyyntö tietyille käyttäjille, ryhmille ja/tai sähköpostiosoitteille. ▪ Pidä vastaanotetut tiedostot tallessa, älä jaa niitä ulkopuolisille! ▪ Vinkki: lähettämäsi tiedostopyynnöt ja sinulle lähetetyt tiedostot tallentuvat myös Outlookiin sähköposteina. Lisätietoa: https://support.microsoft.com/fi-fi/office/tiedostopyynn%C3%B6n-luominen-f54aa7f8-2589-4421-b351-d415fc3b83af 56
  • 57. Tiedostopyyntö vastaanottajan näkökulmasta ▪ Vinkki: kokeile lähettää tiedostopyyntö ensin itsellesi, niin näet, miten se toimii. ▪ Ohjeista tarvittaessa vastaanottajia, miten voi tunnistaa aidon tiedostopyynnön. 57
  • 59. Käytetyimpien somepalvelujen ja -sovellusten arviointeja 59 Luokitukset: https://tosdr.org/ (8.5.2023) Yhtiö ja kotimaa Käyttäjätunnukset Käyttöehtojen luokitus ToS;DR –sivustolla Facebook Meta, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/182 Instagram Meta, Yhdysvallat Henkilökohtainen tai ammattilais- /organisaatiotili Luokka E https://tosdr.org/en/service/219 Twitter X Corp., Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka E https://tosdr.org/en/service/195 YouTube Google/Alphabet, Yhdysvallat Henkilökohtainen kanava tai bränditiliin yhdistetty kanava Luokka E https://tosdr.org/en/service/274 TikTok ByteDance, Kiina Henkilökohtainen tai yritystili Luokka E https://tosdr.org/en/service/1448 LinkedIn Microsoft, Yhdysvallat Henkilökohtainen käyttäjätunnus tai organisaatiolle luotu sivu Luokka E https://tosdr.org/en/service/193 WhatsApp Meta, Yhdysvallat Henkilökohtainen (Erillinen WA Business-sovellus) Luokka C https://tosdr.org/en/service/198 Signal Signal Foundation, Yhdysvallat Tili voi olla henkilökohtainen tai organisaation Luokka B https://tosdr.org/en/service/528
  • 60. Pilvipalvelujen ja sovellusten arviointeja (ns. kuluttajaversiot) Lähteet: Korkeakoulujen tietoturvayhteistyö, SEC-ryhmä, 2017-2018, Pilviohje, https://wiki.eduuni.fi/display/pilviohje/Pilviohje, Terms of service; Didn’t Read, https://tosdr.org/ (22.5.2023) 60 Palvelu Suomalaisten korkeakoulujen epävirall. luokitus Käyttöehtojen luokitus ToS;DR –sivustolla Sähköposti Google Mail / Gmail C-taso Luokka E ProtonMail B-taso Luokka A Tiedostojen ja median jako Apple iCloud C-taso Luokka D Dropbox C-taso Luokka C Eduuni (SharePoint, OneDrive, Office, Confluence, Jira) A-taso - Google Drive C-taso Luokka E Microsoft OneDrive C-taso Luokka E Webex B-taso - Viestintä- sovellukset Apple iMessage, FaceTime C-taso Luokka D Signal B-taso Luokka B Skype C-taso Luokka E Slack B-taso Luokka B Telegram B-taso Luokka B WhatsApp C-taso Luokka C Yammer C-taso Luokka E
  • 61. Sovellusten, verkkopalvelujen, pelien ym. opetuskäytön periaatteet 61 1. Opetuksen järjestäjällä eli rekisterinpitäjällä on laaja harkintavalta. 2. Henkilötietoja voidaan käsitellä sovelluksissa ja verkkopalveluissa opetuksen järjestämiseksi, mutta jokaiseen sähköiseen alustaan liittyvä henkilötietojen käsittely on arvioitava tapauskohtaisesti. 3. Rekisterinpitäjän tulee harkita, mikä käsittelyperuste on tarkoitukseen sopivin. Opetuksen järjestäjille sopivia käsittelyperusteita ovat lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen. 4. Lähtökohtaisesti suostumus ei sovellu henkilötietojen käsittelyperusteeksi, jos rekisteröidyn ja rekisterinpitäjän välillä on epäsuhta ja vapaaehtoisuus on epävarmaa. Suostumus ei silti ole viranomaisen toiminnassa ei täysin poissuljettu. Rekisteröidylle tulee olla aito vaihtoehto, jos suostumusta ei anna. 5. Rekisterinpitäjän tulee informoida henkilötietojen käsittelystä. Rekisteröidyn tulee saada käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävissä ja saatavilla olevassa muodossa, ja informoinnin tulee sisältää tiedot henkilötietojen vastaanottajista (myös henkilötietojen käsittelijöistä).
  • 62. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA) 62 ▪ Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille. ▪ GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla). ▪ Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien syitä ja pyritään löytämään ratkaisuja niihin. ▪ Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa. ▪ Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa. ▪ Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate). ▪ Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa, mutta jokainen rekisterinpitäjä tekee oman linjauksensa. Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi • Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta? • Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
  • 63. Mitä sovelluksia ja verkkopalveluita opetuksessa voi käyttää? Opetuksen järjestäjän hallinnoimat sovellukset ▪ Opetuksen järjestäjä on tehnyt päätöksen sovelluksen käytöstä. ▪ Opetuksen järjestäjä toimii rekisterinpitäjänä. ▪ Palveluntarjoajan kanssa on voimassa sopimus henkilötietojen käsittelystä. ▪ Opetuksen järjestäjä luo/antaa tunnukset. → Voi käyttää opetuksessa Sovellus, johon voi kirjautua koulun edu-tunnuksella* ▪ Selvitä, onko tehty sopimus henkilötietojen käsittelystä tai voidaanko se tehdä. → Jos kyllä, oppilaat voivat käyttää palvelua opetuksessa edu-tunnuksilla. ▪ Jos sopimusta ei ole, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Edu-tunnus = koulun hallinnoima opiskelijan käyttäjätunnus. Muu ulkopuolinen sovellus tai verkkopalvelu ▪ Selvitä, voiko sovellusta käyttää ilman tunnuksia ja henkilötietojen antoa. → Voi käyttää opetuksessa ▪ Jos rekisteröityminen vaaditaan, selvitä, onko opetuksen järjestäjä sallinut sovelluksen käytön suostumuksen perusteella. → Jos kyllä, pyydä suostumus ▪ Jos sovellus on jo valmiiksi oppilaiden omissa laitteissa. → Alle 15-v: laitelupa huoltajalta → Yli 15-v: opiskelijan luvalla 63
  • 64. Edu-tunnusten päätyminen ulkopuolisille sovelluksille 64 Rekisterinpitäjän hallinnoimat edu-tunnukset oppimisalustalla Sovellus Jos käyttäjillä oikeus kirjautua edu- tunnuksilla muihin sovelluksiin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 65. Sopimus henkilötietojen käsittelystä 65 Lisätietoa: Tietosuoja-asetuksen 28 artikla, http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1 ▪ Merkitys = käsittelijä toimii rekisterinpitäjän lukuun JA tämän vastuulla(!) ▪ Sopimuksessa vahvistetaan: ▪ käsittelyn kohde, kesto, luonne ja tarkoitus, ▪ rekisteröityjen ryhmät ja tietojen tyypit, ▪ rekisterinpitäjän velvollisuudet ja oikeudet. ▪ Erityisesti tulee sopia, että käsittelijä: ▪ käsittelee tietoja ohjeiden mukaisesti, ▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset turvallisuudesta, ▪ ei käytä toisia käsittelijöitä ilman lupaa, ▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet, ▪ lopuksi poistaa tai palauttaa tiedot, ▪ antaa tarvittavat tiedot osoitusvelvollisuudesta, ▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.
  • 66. Rekisterinpitäjän tulee varmistua henkilötietojen käsittelyn sopimuksesta ▪ Vaikka käsittelysopimukset perustuvat usein valmiisiin malleihin, rekisterinpitäjän tulee aina varmistua, että sopimus sisältää GDPR:n 28 artiklan 3 kohdan mukaiset asiat ▪ Samalla tulee varmistua, että palveluntarjoaja noudattaa rekisterinpitäjän antamia ohjeita. Lähde: EDPB, 7.7.2021, Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, https://edpb.europa.eu/system/files/2022- 02/eppb_guidelines_202007_controllerprocessor_final_fi.pdf 66
  • 67. Kysymys: henkilötietojen näkyvyys pilvisähköpostipalvelussa 67 ▪ Peruskoulun oppilaille oli annettu @edu.kunta.fi-tyyppiset sähköpostiosoitteet. ▪ Palvelun osoitekirjan kautta näkyi oppilaan nimi, sähköpostiosoite, luokka ja koulu. ▪ Rekisterinpitäjän mukaan tiedot näkyivät kaikille, jotka kunnassa käyttävät samaa Microsoft Outlook -sähköpostipalvelua. Lisäksi samat tiedot näkyivät Teamsin kautta. ▪ Rekisterinpitäjän mukaan tietojen näkymisestä ei ole ilmennyt ongelmia tai väärinkäytöksiä. ▪ Apulaistietosuojavaltuutetun päätöksen mukaan: ▪ Toiminta ei ollut GDPR:n mukaista (mm. kohtuullisuus, minimointi, luottamuksellisuus). ▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi. ▪ Tiedot eivät olisi saaneet näkyä koulun ulkopuolelle ja myös koulun sisäpuolella oppilaiden tietojen saatavilla olo tulee olla tarpeellista ja perusteltua perusopetuksen järjestämiseksi. ▪ Päätös ei koske koulun henkilökunnan sähköpostiosoitteiden näkymistä palvelussa. ▪ Päätöksessä mainitaan mahdollisuus piilottaa Outlookissa palvelun yhteinen osoitekirja. Lähde: Apulaistietosuojavaltuutetun päätös 21.3.2023, https://finlex.fi/fi/viranomaiset/tsv/2023/20231804 (ei lainvoimainen 22.5.2023) • Saako kunnan oppilaille tarjoamassa sähköpostipalvelussa näkyä muiden oppilaiden nimet ja heille tehdyt sähköpostiosoitteet? • Saako sähköpostipalvelussa näkyä koulun työntekijöiden nimet ja sp-osoitteet?
  • 68. Kysymys: pilvipalvelun käyttö kaupungin toiminnassa (Espoo) 68 ▪ Kaupunki käytti opetuksessa Google Suite for Education –palvelua (nyk. Google Workspace). ▪ Palveluun tallentui mm. etunimi, kutsumanimi, sukunimi, sähköpostiosoite, koulu, luokka, luokka-aste, rooli (oppilas), kielikoodi, MD5-salattu henkilötunnus, OID-tunniste, tiedon lähde. ▪ Tietosuojavaltuutetun päätöksen mukaan: ▪ Rekisterinpitäjän lakisääteiset velvoitteet eivät olleet kelvollinen käsittelyperuste, koska Googlen pilvipalvelussa käsiteltiin henkilötietoja lakisääteisiä velvollisuuksia laajemmin. ▪ Päätöksessä huomioitiin mm. kertyvien tietojen laajuus (ml. mahdolliset erityiset henkilötiedot tallennetuissa sisällöissä) ja käytön kesto (peruskoulu 9 vuotta). ▪ TSV huomioi, että kyse oli lapsista, palvelua saattoi käyttää myös kotona, ja sen, ettei rekisterinpitäjä pystynyt sopimuksesta varmistamaan kaikkia Googlen käsittelytapoja. ▪ Rekisterinpitäjälle annettiin huomautus ja määräys saattaa käsittely GDPR:n mukaiseksi. ▪ Lisäksi TSV antoi rekisterinpitäjälle ohjausta liittyen tiedonsiirtoihin kolmansiin maihin. ▪ Päätöksen mukaan suostumus voi olla käsittelyperuste pilvipalvelun käytölle viranomaisen toiminnassa, jos sen edellytykset täyttyvät (mm. informointi ja vapaaehtoisuus). Lähde: Tietosuojavaltuutetun päätös 31.12.2021, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211503 (ei lainvoimainen 22.5.2023) • Voiko opetuksen järjestäjä käyttää lakisääteisiin tehtäviin Googlen pilvipalvelua? • Voiko verkko-ohjelmia käyttää opetuksessa suostumuksen perusteella?
  • 69. Hallinto-oikeuden päätös Google pilvipalvelun käytöstä (ei lainvoimainen) 69 ▪ Googlen pilvipalvelun käytön ongelmia hallinto-oikeuden ratkaisun mukaan: ▪ Henkilötietojen käsittely Googlen pilvipalvelussa oli laajempaa kuin mihin kaupungilla oli lakisääteisten velvollisuuksien (opetus) mukainen käsittelyperuste. ▪ Tietoa oppilaista kerättiin koulutehtävien teon lisäksi myös muusta ohjelmien käytöstä. ▪ Kaupunki ei varmistanut tietoturvaa tilanteessa, jossa pilvipalvelua käytettiin oppilaan omilla laitteilla ja nettiyhteydellä etäopiskelussa sekä kotitehtävien teossa. ▪ Epäselväksi jäi, olisiko pilvipalvelun käyttö ollut ok, jos se olisi rajattu vain opetustunneille. ▪ Ongelmien taustalla on Googlen vakiosopimusehtojen hyväksyminen. ▪ Lopputulos on vielä avoin, sillä asian käsittely jatkunee korkeimmassa hallinto-oikeudessa. ▪ Jos TSV:n ratkaisu saa lainvoiman, 1) tulisi Googlen taipua sopimusehtojen ja toimintansa muuttamiseen 2) tai Googlen pilvipalvelun käyttö voisi perustua muuhun käsittelyperusteeseen (suostumus tai julkiset tehtävät) • Helsingin hallinto-oikeus hylkäsi 30.6.2023 Espoon kaupungin valituksen ja piti voimassa tietosuojavaltuutetun päätöksen, jonka mukaan lakisääteiset velvoitteet eivät olleet kelvollinen käsittelyperuste Google Suite for Education – palvelun (nyk. Google Workspace) käyttöön opetuksessa.
  • 70. Oppijoiden tiedot somepalveluissa 70 ▪ Noudata aina rekisterien käyttötarkoituksia ja somea koskevia ohjeistuksia! ▪ Älä asenna työpuhelimeen sosiaalisen median sovelluksia ilman työnantajan lupaa. ▪ Älä tallenna oppijoiden tai huoltajien henkilötietoja yksityisessä käytössä olevaan kännykkään ilman työnantajan lupaa. ▪ Jos somepalvelussa aiotaan käyttää henkilötietoja, tarkista työnantajan linjaus. ▪ Tarvittaessa pyydä suostumukset käytölle ja muista rekisteröityjen ja huoltajien informointi. ▪ Jälkihoito: henkilötietojen ja viestien poisto sovelluksista ja kännyköistä.
  • 71. Sovellukset kysyvät usein kontaktitietoja… Kuvakaappaukset: Somepalvelut 2019-2020 71 Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
  • 72. Henkilötietojen vuotaminen sovellusten kautta 72 Rekisterissä olevat henkilötiedot (organisaatio rekisterinpitäjänä) Sovellus Jos sovelluksille on annettu pääsy kännykän tietoihin Henkilötietoja päätyy ulkopuolisille rekisterinpitäjille Sovellus Sovellus Sovellus Sovellus
  • 73. WhatsApp opetuksessa? • Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön. → Tunnus on aina sen rekisteröineen henkilön, ei organisaation. → Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty. • Teknisesti turvallinen: vahva päästä päähän -salaus. • OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida. → Tarkista linjaus ja ohjeet ennen kuin käytät! • Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille. → Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp. → WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Organisaatiossa huomioitavaa: • Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa. • WhatsAppin käyttöön on suositeltavaa olla työpuhelin • Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä. • WhatsAppin käyttö on huomioitava organisaation henkilötietojen käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa. • Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa. WhatsAppin käyttöehdot: https://www.whatsapp.com/legal/ OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020, https://www.oph.fi/fi/oppimissovellusten-sosiaalisen- median-palveluiden-ja-digitaalisten-pelien-kaytto-
  • 74. Signalin tietosuoja ▪ Minimaalinen henkilötietojen käsittely: puhelinnumero riittää rekisteröitymiseen ▪ Tunnus voi olla henkilön tai organisaation ▪ Vahva päästä-päähän-salaus ▪ Ei lähetä palvelimelle puhelinnumeroita, vaan niistä muodostetut SHA256-tunnisteet ▪ Ehdot ja tietosuoja: https://signal.org/legal/ ▪ Ei tarjoa henkilötietojen käsittelyn sopimusta ▪ Rekisteröidyiltä on syytä pyytää suostumus, jos heille aiotaan viestiä Signalin kautta. ▪ Koska Signal käyttää tietoja vain viestien välitykseen, se voisi sisältyä GDPR:n 95 artiklan poikkeukseen (yleisesti saatavilla olevien viestintäpalvelujen välitystiedot). 74 Kuva: Mika Baumeister @Unspalsh (Free to use/Unsplash License)
  • 75. Kyllä kai suostumukseksi riittää, että ilmoitin Wilmassa WhatsAppin käytöstä opetuksessa. Annoin tehtäväksi asentaa Sport Trackerin ja jakaa kävelylenkit sitä kautta muille. Lähetän musiikin tehtävät TikTokissa ja oppilaat kuittaavat ne kommentilla. ☺ Julkaisen perjantaisin YouTube- videon, johon kokoan oppilaiden tuotoksia ja annan palautetta. Tein jokaisen opiskelijan nimellä Padlet-taulun, johon he käyvät merkitsemässä suorituksensa. Tehtävänä on siivota olohuone ja lähettää siitä ennen ja jälkeen kuvat Classroomiin. Mikäli oppijalla ei ole tietokonetta, hän voi tulla koululle lähiopetukseen. Ei näin.
  • 76. Yhteenvetoa: suostumukset opetuksessa ▪ Jos julkaistaan henkilötietoja (myös kuvia) tai oppijoiden tuotoksia. → Suostumus henkilötietojen tai tuotosten julkaisulle. ▪ Jos oppijoiden henkilötietoja tallennetaan ulkopuoliseen sovellukseen tai verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima. → Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa, jos rekisterinpitäjä sallii sovelluksen käytön opetuksessa suostumuksen perusteella. ▪ Jos käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen, jotka eivät ole välttämättömiä opetuksen kannalta. → Suostumus henkilötietojen käytön perusteena ko. palveluille. → Suostumus ei sovellu opetuksen järjestäjän lakisääteisiin tehtäviin. ▪ Jos tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä. → Suostumus automaattiselle päätöksenteolle. 76
  • 77. 77 Ohjeista ainakin nämä 1. Missä ja miten henkilötietoja saa säilyttää 2. Kenelle ja milloin lapsen tietoja saa kertoa 3. Henkilötietojen luovuttaminen muille tahoille 4. Miten huoltajat tunnistetaan eri tilanteissa: kasvokkain, puhelimessa, verkossa 5. Tietojen lähetys sähköpostissa ja turvapostin käyttö 6. Sallitut verkkopalvelut ja mitä tietoja niihin saa tallentaa 7. Mitä tietoja saa tallentaa kännykkään (työ/oma) 8. Sovellukset, joille esim. yhteystietoja saa siirtyä 9. Kuvien ja lasten tuotosten esittäminen ja julkaisu 10. Pyydettävät suostumukset, esim. kuvaus- ja julkaisuluvat, pikaviestisovellukset
  • 78. 3+1 pointtia 1. Tarkistakaa opetuksen tietosuojaan tehdyt linjaukset ja ohjeet. Onko aika päivittää? 2. Varmistakaa, että opetukseen on käytettävissä turvalliset verkkoyhteydet, välineet ja sovellukset. 3. Sovellusten käytön tapauskohtainen arviointi! 4. Tietosuojaohjeet opiskelijoille 78
  • 79. “ ”Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä tietoja hänestä kerätään ja miten niitä voidaan käyttää.” 79
  • 81. Varo: Office 365 -huijaukset ovat yleisiä! ▪ Rikolliset pyrkivät tietojenkalastelusivun avulla saamaan haltuunsa käyttäjätunnuksia, joilla he voivat päästä käsiksi luottamuksellisiin tietoihin. ▪ Murretuilla tunnuksilla voidaan tehtailla lisää huijauksia. Lähde: Viestintävirasto, 2019, https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/uusin-microsoft-office-365-huijaus-ohjaa-uhrin-murretulle-sharepoint-tilille 81
  • 82. Huijaus- ja tietojenkalasteluviestit 82 1. Älä luota sähköpostin tai tekstiviestin lähettäjän nimeen tai osoitteeseen/numeroon. 2. Älä koskaan avaa yllätyksenä tullutta liitetiedostoa. 3. Tarkista linkki esim. viemällä hiiri sen päälle. 4. Anna tietojasi vain varmasti luotettaville tahoille. 5. Jos epäilet huijausta, tarkista aitous muuta kautta
  • 83. Huijauspuhelut Microsoftin nimissä ▪ Tavoitteena saada käyttäjätunnus haltuun. ▪ Huijauspuhelu voi tulla myös suomalaisesta numerosta. ▪ Huijarit esiintyvät yleisimmin Microsoftin IT- tukihenkilöinä. ▪ Huijaukseen voi liittyä myös sähköposteja, tekstiviestejä ja tietojenkalastelusivuja. ▪ Microsoftin tutkimuksen mukaan puolet Suomessa asuvista aikuisista oli altistunut IT-tukihuijauksille (2021). ▪ 12 % oli ensin jatkanut keskustelua huijarin kanssa, mutta lopettanut sitten. ▪ 3 % vastaajista oli menettänyt rahaa. 83 Lähde: Mtv, 5.8.2021, https://www.mtvuutiset.fi/artikkeli/karu-tulos-jo-puolet-suomalaisista-saanut-hamaran-microsoft-huijauspuhelun-nain-montaa-vedettiin-nenasta/8205906
  • 84. Microsoft Authenticator -autentikointisovellus ▪ Microsoft Authenticator sopii hyvin Microsoftin sekä useimpien muidenkin verkkopalvelujen kaksivaiheiseen varmistukseen. ▪ Kaksi kirjautumisen varmistustapaa: 1) Vaihtuva kertakäyttökoodi 2) Hyväksy kirjautuminen –kysymys ▪ Huom. Ota palvelukohtainen palautuskoodi talteen, kun kytket varmistuksen päälle. ▪ Android-versio Google Playssä: https://play.google.com/store/apps/detail s?id=com.azure.authenticator ▪ iOS-versio AppStoressa: https://apps.apple.com/us/app/microsoft -authenticator/id983156458 Kuvakaappaukset: Microsoft Authenticatorin Google Play –kauppasivu (20.3.2023) Lisätietoa: https://support.microsoft.com/fi-fi/account-billing/microsoft-authenticator-sovelluksen-lataaminen-ja-asentaminen-351498fc-850a-45da-b7b6-27e523b8702a 84
  • 85. Tietosuojarikkomukseen reagointi 1. Vahingon sattuessa tai tullessa esiin: rauhoitu. Onko jotain, mitä voit tehdä välittömästi vähentääksesi seurauksia? 2. Kerro lähimmälle esimiehelle ja/tai tietosuojavastaavalle. 3. Aloita tiedonkeruu tapauksesta. Kirjaa ylös, mitä tapahtui. Ensikäden havainnoista on hyötyä jatkotutkinnalle. 4. Pyri rajaamaan, keistä henkilöistä ja mistä tiedoista on kyse: nimet, tunnisteet, yhteystiedot, arkaluontoiset ja salassa pidettävät jne. Rekisterinpitäjä ja tietosuojavastaava: ▪ Ilmoita TSV:lle: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta ▪ Ilmoita Kyberturvallisuuskeskukselle: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita ▪ Ilmoita rekisteröidyille, jos heihin kohdistuu todennäköisesti korkea riski. ▪ Anna ohjeita, miten välttää ikäviä seurauksia. 85