henkilötiedot, tietosuoja ja some-palveluiden käyttöehdot opetuksessa (gdpr)

Henkilötiedot, tietosuoja ja

some-palveluiden käyttöehdot opetuksessa

Harto Pönkä

21.9.2017

Kuka: Harto Pönkä • Yrittäjä 2001-, luokanopettaja/KM

2008, jatko-opintoja

• Bloggaaja 2006-, kolumnisti, tietokirjailija, verkostoanalysoija

• Kouluttanut ja konsultoinut sosiaalista mediaa 2008- mm. opettajille, yrityksille, yhdistyksille, kaupungeille, ministeriöille, toimittajille ja tuomareille

• Aiemmin: Oulun yliopisto, Oppimisen ja koulutusteknologian tutkimusyksikkö, 2007-2009

• Tärkeimmät some-palvelut:

Twitter, blogi, SlideShare,

Facebook, WA Blogi: harto.wordpress.com

Aloitetaan uutiskatsauksella…

Kuva: Roman Kraft @ Unsplash

Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9291141, https://yle.fi/uutiset/3-9686608, https://yle.fi/uutiset/3-9699803

Iltalehti, http://www.iltalehti.fi/kotimaa/201708292200357302_u0.shtml

https://yle.fi/uutiset/3-9291141









http://www.iltalehti.fi/kotimaa/201708292200357302_u0.shtml

Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9680945, https://yle.fi/uutiset/3-8002554, https://yle.fi/uutiset/3-9736915

Tivi: http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758










http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758























Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9684480, https://yle.fi/uutiset/3-7100385, https://yle.fi/uutiset/3-8596990,

HS: http://www.hs.fi/kotimaa/art-2000005327088.html










http://www.hs.fi/kotimaa/art-2000005327088.html



Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.

Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 §

Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia.

Kuva: Edvard Isto, 1899 , Hyökkäys

4 artikla

Tässä asetuksessa tarkoitetaan

1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen

henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään

luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti

tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen

taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,

psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,

Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,

http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

Mitä henkilötiedot ovat?






Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-

koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73











Arkaluontoiset henkilötiedot

9 artikla

Erityisiä henkilötietoryhmiä koskeva käsittely

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia

mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä

geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten

tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja

suuntautumista koskevien tietojen käsittely on kiellettyä.








Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-













4 artikla

2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai

henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai

manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,

säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista

siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai

yhdistämistä, rajoittamista, poistamista tai tuhoamista,



Henkilötietojen käsittely






4 artikla

6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta

tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai

toiminnallisin tai maantieteellisin perustein jaettu,



Rekisteri






4 artikla

7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai

muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn

tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai

jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset

kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,



Rekisterinpitäjä






• Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste ja se tulee olla jokaisen saatavilla.

• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §): – Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot

– Henkilötietojen käsittelyn tarkoitus

– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä

– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle

– Kuvaus rekisterin suojauksen periaatteista

– Lisäksi rekisterissä mainitaan yleensä sen laatimispäivä sekä viimeisimmän muutoksen päivämäärä

• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista, jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla selosteella henkilötietolain/tietosuoja-asetuksen mukaisen informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.

• Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten kännykän kontaktilista ei vaadi rekisteriselostetta

Rekisteriseloste ja tietosuojaseloste

Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html



4 artikla

8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,

virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,



Henkilötietojen käsittelijä






Pilvipalveluissa vastuu jakaantuu

Tiedot asiakkaasta

Laskutustiedot

Tiedot käytettävistä palveluista ja niiden käytöstä

Asiakkaan vastuulla olevien muiden käyttäjien palveluun

tallentamat tiedot

Mahdolliset muut palvelun tuottamiseen liittyvät tiedot

Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä

Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä

Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot

Asiakkaan palveluun tallentamat tiedot

• Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista

• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa

• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä

• Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietorekistereihin

• Asetuksessa henkilötiedot on määritelty samoin kuin henkilötietolaissa

• Uutta henkilötietolakiin verrattuna: – Aiempaa yksityiskohtaisempi

– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla

– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)

– Pakollinen tietomurroista ilmoittaminen

– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)

– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen kanssa organisaation (pää-)toimipaikan mukaan

EU:n tietosuoja-asetus (GDPR)

Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu

a_EUn_tietosuoja-asetukseen.pdf

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf






• Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta

• Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on

– Miten tietosuojaperiaatteet on otettu huomioon

– Toimintaan liittyvät henkilötietovirrat

– Henkilötietojen käsittelyn oikeusperusteet

– Miten tietoturvasta on huolehdittu

– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu

• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf

• Mitä muutoksia tietosuoja-asetus aiheuttaa?

• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä

Henkilötietojen käsittelyn arviointi




http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf







• Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste

• Henkilötietojen käsittely voi perustua esimerkiksi: – Henkilön suostumukseen

– Sopimukseen, jossa rekisteröity on osapuolena

– Lakiin

– Julkisen tehtävän hoitamiseen

– Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde)

• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen käsittely on lähtökohtaisesti kielletty.

– Mahdollista kuitenkin nimenomaisella suostumuksella

• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia,

– tieteellisiä tai historiallisia tutkimustarkoituksia

– tai tilastollisia tarkoituksia varten

Henkilötietojen käsittelyn oikeusperusteet










• Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen

• Suostumusta ei voi antaa: – Vaikenemalla

– Valmiiksi rastitetulla ruudulla

– Jättämättä jotakin tekemättä

• Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo

• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle.

– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta

– Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v. (Nykyisenä rajana on 15 vuotta.)

Suostumuksen antaminen










Läpinäkyvyys tuottaa luottamusta

Kuva: Jack Kaminski @Unsplash

• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys

• Käyttötarkoitussidonnaisuus

• Tietojen minimointi

• Tietojen täsmällisyys

• Tietojen säilytyksen rajoittaminen

• Tietojen eheys ja luottamuksellisuus

• Rekisterinpitäjän osoitusvelvollisuus

• Rekisterinpitäjän on… – Arvioitava, mitä periaatteet tarkoittavat käytännössä

– Huolehdittava periaatteiden toteutumisesta kaikessa henkilötietojen käsittelyssä

– Osoitettava, että periaatteet toteutuvat

• Edellyttää aiempaa tarkempaa suunnittelua ja dokumentointia.

Tietosuojaperiaatteet










• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja

• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei saateta julkisesti saataville ilman luonnollisen henkilön myötävaikutusta

• Rekisterinpitäjän vastuulla on tehdä tietosuojan kannalta tarpeelliset toimenpiteet organisaatiossaan. Esimerkiksi:

– Henkilöstön koulutus

– Ohjeistukset ja määräykset

– Salassapitositoumukset

– Tilojen ja tietojärjestelmien valvonta

– Tietojärjestelmien tietoturva

– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset

– Auditoinnit, tietotilinpäätökset jne.

• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.

Oletusarvoinen tietosuoja










Kuva: Matthew Henry @ Unsplash

Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Tietoturvalla suojataan tietoja laittomalta käytöltä. Tietosuojan suojaamisen toimenpiteet suhteutetaan riskiarvioon tietoturvauhista.

• Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet määräytyvät riskiperusteisesti

• Se tarkoittaa, että henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin

• Rekisterinpitäjän on aina tehtävä perusteellinen arviointi henkilötietojen käsittelyyn liittyvistä riskeistä.

• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.

• Riski voi olla korkeampi esimerkiksi: – Kun käsitellään heikossa asemassa olevien tietoja (esim. lapset)

– Käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti

– Kun käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi

• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä.

Riskiperusteinen lähestymistapa










• Tietosuoja-asetuksen myötä organisaatiolla on oltava kyky osoittaa, että tietosuojaperiaatteita noudatetaan

• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. Myös tietosuojaloukkaukset dokumentoidaan.

• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä

• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä.

• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto).

Osoitusvelvollisuus










• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus)

– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)

– Helposti ymmärrettävässä ja saatavilla olevassa muodossa

– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.

• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) – Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä

– Oikeus saada jäljennös henkilötiedoista

– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi

• Oikeus tietojen oikaisemiseen – Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä

• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi – Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,

joille se on luovuttanut kyseisiä tietoja

Rekisteröidyn oikeudet 1/2










• Oikeus käsittelyn rajoittamiseen – Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.

– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta

– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi

– Jos rekisteröity on vastustanut henkilötietojen käsittelyä

• Oikeus siirtää tiedot järjestelmästä toiseen – Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa

– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista

– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely tapahtuu automaattisesti.

• Vastustamisoikeus (kielto-oikeus) – Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten

• Automatisoidut yksittäispäätökset ja profilointi – Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee

luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös

Rekisteröidyn oikeudet 2/2










• Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen käsittelyä organisaatiossa

• Ei vastaa henkilötietojen käsittelyn lainmukaisuudesta (vastuu on johdolla)

• Yhteyshenkilö rekisteröidyille ja valvontaviranomaisille

• Tietosuojavastaava on nimitettävä, kun – Kyse julkisesta organisaatiosta (poislukien tuomioistuimet)

– Organisaation ydintehtävät muodostuvat henkilötietojen käsittelystä, jotka edellyttävät laajaa järjestelmällistä seurantaa

– Organisaation ydintehtävät muodostuvat laajasta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikoksia koskeviin tietoihin

• Tietosuojavastaavan voi nimittää myös vapaaehtoisesti

• Tietosuojavastaava voi olla organisaation jäsen tai ulkopuolinen

• Tietosuojavastaavalta edellytetään riittävää pätevyyttä tietosuojasta, eikä hän saa vastaanottaa ohjeita muilta tehtäviensä hoitoon.

• Tietosuojavastaavan yhteystiedot on julkaistava ja ilmoitettava valvontaviranomaiselle

Tietosuojavastaava










Kenellä on vastuu tietosuojasta?

Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-


Rekisterinpitäjä

- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta

- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio

Organisaation johto ja esimiehet

- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta

- Esimerkin näyttäminen

Tietosuojavastaava

- Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta

valvontaviranomaiseen

Henkilöstö

- Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen












• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle

• Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen

– vahingossa tapahtuva tai lainvastainen tuhoaminen

– häviäminen

– muuttaminen

– luvaton luovuttaminen tai

– pääsy tietoihin

• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu

• Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä

• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä

• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet

Henkilötietojen tietoturvaloukkaukset










• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen.

• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen suojan.

– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)

• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä helmikuussa 2016.

– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa.

• Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-tuomioistuimessa

• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin

– Esimerkiksi Google ja Microsoft toimivat näin

• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista

Yhdysvaltalaiset verkkopalvelut

Opetuksen henkilötietorekisterit

Koulutoimessa muodostuvia rekistereitä

Lähde: OPH, 2013, Julkisuus ja tietosuoja

opetustoimessa,

http://www.oph.fi/download/152370_julkisuus_ja

_tietosuoja_opetustoimessa.pdf

http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf



• Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa tarkoittaa henkilötietojen sähköistä luovuttamista

• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella

– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen. Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.

• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun tarvitaan myös asianomaisen lupa

• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä. – Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika

• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa: – Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä – Lähettää suojaamattomassa muodossa sähköpostilla

Oppilaiden tietojen julkaisu netissä

Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,




• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen he suostuvat

• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää hankkimaan yhteystiedot julkisesta lähteestä.

• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tulee merkitä oppilasrekisteriin.

• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa

Yhteystietojen jakaminen koteihin





Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013):

http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa


Tietosuoja somen opetuskäytössä

Valokuvat ja videot

• Valokuvan tai videon tekijänoikeudet ovat kuvaajalla

• Tunnistettavien henkilökuvien julkaisuun millä tahansa tavalla on syytä pyytää lupa

• Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja, henkilötietolaki tai kuvassa näkyvän teoksen tekijänoikeudet

• Myös kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia

Lähde: https://harto.wordpress.com/2015/12/05/periscope-luokkahuoneessa-opetuksen-julkisuus-vs-yksityisyys-ja-tekijanoikeudet/

Case: Periscope luokkahuoneessa

Päättelyketju:

1. Opetus on julkista (POL)

2. Saat tehdä opetuksesta tallenteita omaan käyttöösi

3. Tallenteen julkistamisessa on otettava huomioon henkilötietolaki ja tekijänoikeuslaki

4. Opettajan luentoesitys ja opiskelijoiden esitykset ovat teoksia (Tekijänoik.neuv. lausunto 2006:11)

5. Opetuksessa syntyvän teoksen tallennus on sallittua tilapäiseen opetuskäyttöön (TekijäL)

6. Teoksesta saa valmistaa kappaleen (kopion) yksityistä käyttöä varten (TekijäL)

7. Kopioidun teoksen käyttö muuten kuin yksityisesti vaatii tekijän luvan tai sopimuksen (TekijäL)

Lyhyesti: Oppilaiden koulussa kuvaamat Periscope-videot hyvin todennäköisesti rikkovat Suomen lakia, jos niiden kuvaamiseen ja levittämiseen netissä ei ole saatu etukäteen lupaa kaikilta videolähetyksissä esiintyviltä.

https://harto.wordpress.com/2015/12/05/periscope-luokkahuoneessa-opetuksen-julkisuus-vs-yksityisyys-ja-tekijanoikeudet/















• Oppilaita opastetaan käyttäjätunnusten ja salasanojen tekemisessä sekä yksityisyyden suojaamisessa.

• Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja. • Huolehditaan, että oppijoilla on riittävät tiedot

tekijänoikeuksista. • Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen

omaksumista ja toisen kunnioittamista. • Häiriökäyttäytymistä ja kiusaamista ei hyväksytä. • Some-palvelujen opetuskäytölle tehdään malli, joka

mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen turvallisessa ympäristössä.

• Luottamuksellista tietoa ei viedä some-palveluihin. • Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa

koskevat määräykset.

Somen turvallinen ja eettinen käyttö

Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_

jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012

https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_�jarjestaminen/sosiaalisen_median_opetuskayton_suositukset



Yksityisyys ja verkkoidentiteetti

Rakenna verkkoidentiteettiä harkiten Kaikki toimintasi netissä jää talteen. Älä julkaise, jos et ole varma.

• Nimi ja nimimerkki

• Profiilikuva

• Profiilisivu

• Lyhyt esittely

• Kuvat, tilapäivitykset, viestit

• Kaverit ja verkostot

• = kuva, joka sinusta välittyy somessa

Verkkoidentiteetti

Lähde: ebrand Suomi Oy & Oulun kaupungin sivistys- ja kulttuuripalvelut, Some ja nuoret –kysely, 13-29 –vuotiaat suomalaisnuoret (2013, 2015 ja 2016), http://www.ebrand.fi/somejanuoret2013/ (N=3214), http://www.ebrand.fi/somejanuoret2015/ (N=2618) ja http://www.ebrand.fi/somejanuoret2016/ (N=5520)

http://www.ebrand.fi/somejanuoret2013/



Lähde: https://harto.wordpress.com/2016/01/27/sosiaalisen-median-tilannekatsaus-ja-dunbarin-sosiaaliset-piirit/

https://harto.wordpress.com/2016/01/27/sosiaalisen-median-tilannekatsaus-ja-dunbarin-sosiaaliset-piirit/













Facebookin yksityisyysasetukset

Yksityisyyden hallinta somepalveluissa

• Anonyyminä esiintyminen voi liittyä mm. heikkoon itsetuntoon, vääristyneeseen minäkuvaan ja kavereiden puutteeseen

• Anonyymius ei kuitenkaan ole epäsosiaalisuutta, vaan työkalu kompensoida omia puutteita

• Anonyymius on myös keino turvata itseään, henkilöllisyyttään ja toimintaansa verkossa

• Anonyymius mahdollistaa mm. omien tavoitteiden ajamisen ja ”identiteetillä leikkimisen”

• Anonyymiudesta voi olla haittaa:

– Epäreilu tilanne, jos toinen osapuoli on anonyymi ja toinen ei

– Anonyymia ei välttämättä oteta totena

– Anonyymin sukupuolesta ei voi olla varma

– Mahdollisuus kiusata ja aiheuttaa haittaa

Lähde: T. Keipi, 2015, väitöskirja, Now You See Mee, Now You Don’t, http://www.doria.fi/bitstream/handle/10024/113050/AnnalesB405KeipiDISS.pdf?sequence=2 ja sen artikkeli:

http://www.tandfonline.com/doi/abs/10.1080/1369118X.2014.991342

http://www.doria.fi/bitstream/handle/10024/113050/AnnalesB405KeipiDISS.pdf?sequence=2

http://www.tandfonline.com/doi/abs/10.1080/1369118X.2014.991342

Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-

sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)

http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi



• Koulun tehtävänä on opettaa oppilaille, kuinka tietoja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti

• Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin luonteesta ja sen turvallisesta käytöstä

• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa

– Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa

• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi

• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat.

Turvallisesti netissä




Käyttöehdot ja ikärajat

https://play.google.com/intl/fi_fi/about/play-terms.html




Tarkistuslista:

• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.

• Mikä on palvelun ikäraja?

• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan?

• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?

• Miten käyttäjä voi hallita henkilötietojaan palvelussa?

• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan?

• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla?

• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia?

• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?

Palvelun käyttöehdot = sopimus

• Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta.

• Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa.

Alaikäiset oppilaat

• Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)

• YouTube: 13 vuotta (osa videoista 18 v.)

• Facebook: 13 vuotta

• WhatsApp: 13 vuotta (8/2016 lähtien, aiemmin 16 v.)

• Instagram: 13 vuotta

• Snapchat: 13 vuotta

• Twitter: 13 vuotta

• Steam: 13 vuotta

• Pinterest: 13 vuotta

• Twitch: 13 vuotta

• Ask.fm: 13 vuotta

• Kik Messenger: 13 vuotta (suositus 17 v.)

• WordPress.org: 13 vuotta

• We heart it: 13 vuotta

• Pokémon Go: 13 vuotta

Some-palvelujen ikäraja: 13 vuotta

Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.

Miten some-palveluita opetukseen?

• Kaupalliset some-palvelut: – Alaikäiset huoltajan suostumuksella

– Täysi-ikäiset omalla vastuullaan

• Koulu/kunta voi hankkia osto-/sopimuspalveluita

• Koulu/kunta voi asentaa ja ylläpitää omia some-palveluita

• Muista myös oppilaiden oikeudet: jokainen päättää itse esimerkiksi omien tuotostensa julkaisemisesta

• Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin

– Nimen, koulun ja luokan kertominen somessa

– Käyttäjätunnuksen muodostamistapa

– Käytettävä sähköpostiosoite

– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä

– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa

• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava

• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta

• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle

• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin

Opettajan tunnus ja työprofiili

• Facebookin käyttöehdot

kieltävät kahden eri

käyttäjätunnuksen luomisen

• Erillistä opettaja-

/ohjaajatunnusta ei siis

pitäisi tehdä

• Voit toimia Facebook-

ryhmissä ja -sivuissa omalla

tunnuksellasi, eikä sinun

tarvitse ottaa ohjattavia

kavereiksesi

• Facebookin käyttöehdot:

https://www.facebook.com/le

gal/terms/update

https://www.facebook.com/legal/terms/update



• Ylläpitäjä ”omistaa” verkkoympäristön

• Ylläpitäjä päättää käyttäjistä ja määrää säännöt

• Arvioi, syntyykö käyttäjistä henkilötietorekisteri ylläpitäjälle

• Verkkokeskusteluja tulee valvoa – Roskapostit, asiattomuudet, mainokset yms. voi poistaa

– Yksityisyyttä loukkaavat tiedot ja henkilötiedot

– Häiriköivät käyttäjät voi estää (IP-numeron esto)

• Jos ylläpitäjätunnus varastetaan, koko verkkoympäristö on mennyttä.

• Varmuuskopiointi kannattaa – jos ei muuten, niin omien virheiden varalta.

Verkkoympäristön ylläpito

Kuva CC-BY

Keskustelu &

kysymykset

• Tietosuojavaltuutetun toimisto: http://www.tietosuoja.fi/

• Tietosuojavaltuutetun toimiston oppaita tietosuojasta: http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html

• Miten valmistautua EU:n tietosuoja-asetukseen? -opas: http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

• EU:n yleinen tietosuoja-asetus: http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL

• Oikeusministeriön työryhmän (TATTI) mietintö ja ehdotus tietosuojalaiksi: http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/OMML_35_2017_EUn_yleinen_tietosuoja.pdf?sequence=1

• Arjen tietosuojaa –koulutuksen materiaalit ja nettitesti: http://tietosuoja.vahtiohje.fi/fi/#/front

• OPH:n Julkisuus ja tietosuoja opetustoimessa -opas: http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa

Linkkejä ja oppaita

http://www.tietosuoja.fi/

http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html






http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL







http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/OMML_35_2017_EUn_yleinen_tietosuoja.pdf?sequence=1

http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/OMML_35_2017_EUn_yleinen_tietosuoja.pdf?sequence=1

http://tietosuoja.vahtiohje.fi/fi/#/front


Open somekirja (Docendo, maaliskuu 2017)

• Sosiaalinen media koulussa ja opetuksessa, uudet OPS:it

• Askelmerkit sosiaalisen median opetuskäyttöön

• Pedagogiikka ja some

• Yhteisöllinen oppiminen, pedagogiset mallit ja opetuksen skriptaaminen

• Yli 80:n some-palvelun esittely

• Laitteet, uudet trendit, opettajien some-verkostot ja paljon muuta

• Lue lisää: https://www.docendo.fi/open-somekirja-harto-ponka.html

https://www.docendo.fi/open-somekirja-harto-ponka.html







Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/

Kiitos!

http://twitter.com/hponka/

http://slideshare.com/hponka

http://harto.wordpress.com/

http://www.innowise.fi/

henkilötiedot, tietosuoja ja some-palveluiden käyttöehdot opetuksessa (gdpr)

Education