henkilötiedot, tietosuoja ja some-palveluiden käyttöehdot opetuksessa (gdpr)
TRANSCRIPT
Kuka: Harto Pönkä • Yrittäjä 2001-, luokanopettaja/KM
2008, jatko-opintoja
• Bloggaaja 2006-, kolumnisti, tietokirjailija, verkostoanalysoija
• Kouluttanut ja konsultoinut sosiaalista mediaa 2008- mm. opettajille, yrityksille, yhdistyksille, kaupungeille, ministeriöille, toimittajille ja tuomareille
• Aiemmin: Oulun yliopisto, Oppimisen ja koulutusteknologian tutkimusyksikkö, 2007-2009
• Tärkeimmät some-palvelut:
Twitter, blogi, SlideShare,
Facebook, WA Blogi: harto.wordpress.com
Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9291141, https://yle.fi/uutiset/3-9686608, https://yle.fi/uutiset/3-9699803
Iltalehti, http://www.iltalehti.fi/kotimaa/201708292200357302_u0.shtml
Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9680945, https://yle.fi/uutiset/3-8002554, https://yle.fi/uutiset/3-9736915
Tivi: http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758
Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9684480, https://yle.fi/uutiset/3-7100385, https://yle.fi/uutiset/3-8596990,
HS: http://www.hs.fi/kotimaa/art-2000005327088.html
Yksityisyyden suoja on perusoikeus Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu.
Henkilötietojen suojasta säädetään tarkemmin lailla. PeL 10 §
Henkilötietojen luvaton käsittely sekä yksityisyyttä loukkaavan tiedon levittäminen voivat olla rikoksia.
Kuva: Edvard Isto, 1899 , Hyökkäys
4 artikla
Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään
luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Mitä henkilötiedot ovat?
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Arkaluontoiset henkilötiedot
9 artikla
Erityisiä henkilötietoryhmiä koskeva käsittely
1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia
mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä
geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten
tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja
suuntautumista koskevien tietojen käsittely on kiellettyä.
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
4 artikla
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai
henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,
säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista
siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai
yhdistämistä, rajoittamista, poistamista tai tuhoamista,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittely
4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri
4 artikla
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisterinpitäjä
• Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste ja se tulee olla jokaisen saatavilla.
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §): – Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Lisäksi rekisterissä mainitaan yleensä sen laatimispäivä sekä viimeisimmän muutoksen päivämäärä
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista, jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla selosteella henkilötietolain/tietosuoja-asetuksen mukaisen informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
• Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten kännykän kontaktilista ei vaadi rekisteriselostetta
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523
Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
4 artikla
8) ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista,
virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittelijä
Pilvipalveluissa vastuu jakaantuu
Tiedot asiakkaasta
Laskutustiedot
Tiedot käytettävistä palveluista ja niiden käytöstä
Asiakkaan vastuulla olevien muiden käyttäjien palveluun
tallentamat tiedot
Mahdolliset muut palvelun tuottamiseen liittyvät tiedot
Asiakas on rekisterinpitäjä Muut käyttäjät ovat rekisterinpitäjiä mahdollisesti luomiinsa rekistereihin Palveluntarjoaja on henkilötietojen käsittelijä
Palveluntarjoaja on rekisterinpitäjä Lisäksi voi olla muita henkilötietojen käsittelijöitä
Mahdolliset muut rekisterinpitäjät ja henkilötietojen käsittelijät sekä valvovat viranomaistahot
Asiakkaan palveluun tallentamat tiedot
• Voimaan 24.5.2017. Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista
• Tavoitteena ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:ssa
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Tietosuoja-asetusta sovelletaan automaattiseen henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Asetuksessa henkilötiedot on määritelty samoin kuin henkilötietolaissa
• Uutta henkilötietolakiin verrattuna: – Aiempaa yksityiskohtaisempi
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava (pakollinen julkisissa organisaatioissa)
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Monessa EU-maassa toimiva rekisterinpitäjä voi asioida vain yhden maan valvontaviranomaisen kanssa organisaation (pää-)toimipaikan mukaan
EU:n tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Organisaation on hahmotettava kokonaiskuva henkilötietojen käsittelyn nykytilasta
• Arviointi sisältää esimerkiksi: – Mitä henkilötietoja organisaation hallussa on
– Miten tietosuojaperiaatteet on otettu huomioon
– Toimintaan liittyvät henkilötietovirrat
– Henkilötietojen käsittelyn oikeusperusteet
– Miten tietoturvasta on huolehdittu
– Miten henkilötietojen käsittelyyn liittyvä riskienhallinta on toteutettu
• Kartoituksen voi tehdä esimerkiksi laatimalla tietotilinpäätöksen, ks. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfpzNVCh/Laadi_tietotilinpaatos.pdf
• Mitä muutoksia tietosuoja-asetus aiheuttaa?
• Erityisesti organisaation johdon tulisi olla tietoinen tietosuoja-asetuksen sisällöstä
Henkilötietojen käsittelyn arviointi
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste
• Henkilötietojen käsittely voi perustua esimerkiksi: – Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Lakiin
– Julkisen tehtävän hoitamiseen
– Rekisterinpitäjän oikeutettuun etuun (esim. asiakassuhde tai työsuhde)
• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen käsittely on lähtökohtaisesti kielletty.
– Mahdollista kuitenkin nimenomaisella suostumuksella
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin – yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa: – Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta tarvitaan huoltajan suostumus henkilötietojen käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v. (Nykyisenä rajana on 15 vuotta.)
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
• Tietojen minimointi
• Tietojen täsmällisyys
• Tietojen säilytyksen rajoittaminen
• Tietojen eheys ja luottamuksellisuus
• Rekisterinpitäjän osoitusvelvollisuus
• Rekisterinpitäjän on… – Arvioitava, mitä periaatteet tarkoittavat käytännössä
– Huolehdittava periaatteiden toteutumisesta kaikessa henkilötietojen käsittelyssä
– Osoitettava, että periaatteet toteutuvat
• Edellyttää aiempaa tarkempaa suunnittelua ja dokumentointia.
Tietosuojaperiaatteet
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen kannalta tarpeellisia henkilötietoja
• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei saateta julkisesti saataville ilman luonnollisen henkilön myötävaikutusta
• Rekisterinpitäjän vastuulla on tehdä tietosuojan kannalta tarpeelliset toimenpiteet organisaatiossaan. Esimerkiksi:
– Henkilöstön koulutus
– Ohjeistukset ja määräykset
– Salassapitositoumukset
– Tilojen ja tietojärjestelmien valvonta
– Tietojärjestelmien tietoturva
– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset
– Auditoinnit, tietotilinpäätökset jne.
• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet. Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.
Oletusarvoinen tietosuoja
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten oikeutta yksityisyyteen. Tietoturvalla suojataan tietoja laittomalta käytöltä. Tietosuojan suojaamisen toimenpiteet suhteutetaan riskiarvioon tietoturvauhista.
• Tietosuoja-asetuksen mukaan rekisterinpitäjän velvollisuudet määräytyvät riskiperusteisesti
• Se tarkoittaa, että henkilötietojen käsittelyn suojatoimet on suhteutettava rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin
• Rekisterinpitäjän on aina tehtävä perusteellinen arviointi henkilötietojen käsittelyyn liittyvistä riskeistä.
• Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja. Esimerkiksi jos henkilötietoja voidaan käyttää syrjintään, identiteettivarkauteen, petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai nimen paljastumiseen.
• Riski voi olla korkeampi esimerkiksi: – Kun käsitellään heikossa asemassa olevien tietoja (esim. lapset)
– Käsitellään suuria määriä henkilötietoja tai rekisteröityjä on runsaasti
– Kun käsitellään henkilökohtaisia ominaisuuksia kuten henkilöprofilointi
• Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä.
Riskiperusteinen lähestymistapa
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Tietosuoja-asetuksen myötä organisaatiolla on oltava kyky osoittaa, että tietosuojaperiaatteita noudatetaan
• Osoitusvelvollisuus edellyttää tietosuojaperiaatteiden käytännön toteuttamisen dokumentointia. Myös tietosuojaloukkaukset dokumentoidaan.
• Osoitusvelvollisuus voidaan täyttää myös alakohtaisilla tietosuojasertifikaateilla tai käytännesäännöillä
• Organisaation on ylläpidettävä selostetta sen vastuulla olevasta henkilötietojen käsittelystä.
• Tietosuojaseloste ja muut dokumentit on pyydettäessä toimitettava valvontaviranomaiselle (nykyisin tietosuojavaltuutettu, jatkossa uusi tietosuojavirasto).
Osoitusvelvollisuus
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä (informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus) – Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen – Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi – Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Oikeus käsittelyn rajoittamiseen – Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen – Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely tapahtuu automaattisesti.
• Vastustamisoikeus (kielto-oikeus) – Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi – Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen käsittelyä organisaatiossa
• Ei vastaa henkilötietojen käsittelyn lainmukaisuudesta (vastuu on johdolla)
• Yhteyshenkilö rekisteröidyille ja valvontaviranomaisille
• Tietosuojavastaava on nimitettävä, kun – Kyse julkisesta organisaatiosta (poislukien tuomioistuimet)
– Organisaation ydintehtävät muodostuvat henkilötietojen käsittelystä, jotka edellyttävät laajaa järjestelmällistä seurantaa
– Organisaation ydintehtävät muodostuvat laajasta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikoksia koskeviin tietoihin
• Tietosuojavastaavan voi nimittää myös vapaaehtoisesti
• Tietosuojavastaava voi olla organisaation jäsen tai ulkopuolinen
• Tietosuojavastaavalta edellytetään riittävää pätevyyttä tietosuojasta, eikä hän saa vastaanottaa ohjeita muilta tehtäviensä hoitoon.
• Tietosuojavastaavan yhteystiedot on julkaistava ja ilmoitettava valvontaviranomaiselle
Tietosuojavastaava
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan - Ohjeiden noudattaminen - Ongelmista ilmoittaminen
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle
• Tietoturvaloukkauksella tarkoitetaan toimintaa, jonka seurauksena on henkilötietojen
– vahingossa tapahtuva tai lainvastainen tuhoaminen
– häviäminen
– muuttaminen
– luvaton luovuttaminen tai
– pääsy tietoihin
• Ilmoitus valvontaviranomaiselle on tehtävä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on havaittu
• Rekisterinpitäjä voi jättää ilmoitukset tekemättä, mikäli loukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä
• Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja korjaavat toimet
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf
• Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä opetuksessa tulee olla erityisen varovainen.
• Aiemmin EU-kansalaisten henkilötietojen siirtäminen EU-maista yhdysvaltalaisiin verkkopalveluihin oli mahdollista, jos palvelun ylläpitäjä oli sitoutunut Safe harbor -sopimusjärjestelmään, joka takasi henkilötietojen suojan.
– Päättyi lokakuussa 2015, kun EU-tuomioistuin totesi pätemättömäksi (Schrems-tuomio)
• Neuvottelujen jälkeen luotiin uusi korvaava Privacy shield -järjestelmä helmikuussa 2016.
– Privacy shield on toistaiseksi voimassa ja mahdollistaa laillisesti EU-kansalaisten henkilötietojen siirron ja käsittelyn yhdysvaltalaisissa palveluissa.
• Privacy shield on kohdannut kritiikkiä ja on epäilty, että se tulee kaatumaan myöhemmin EU-tuomioistuimessa
• Toinen lainmukainen vaihtoehto on, että yhdysvaltalainen palveluntarjoaja sitoutuu henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin
– Esimerkiksi Google ja Microsoft toimivat näin
• Opetuksessa voidaan käyttää myös suoraan yhdysvaltalaisia palveluita huoltajien luvalla tai mikäli niiden käyttö ei edellytä henkilötietojen antamista
Yhdysvaltalaiset verkkopalvelut
Koulutoimessa muodostuvia rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf
• Henkilötietorekisterin tietojen julkaisu verkkosivuilla tai somepalveluissa tarkoittaa henkilötietojen sähköistä luovuttamista
• Henkilötietoja (nimi, arvosanat jne.) voidaan julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen. Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä. – Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus – Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä – Henkilötunnusta ei pidä julkaista netissä – Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
• Oppilasta koskevia päätöksiä ja muita tietoja ei saa ilman lupaa: – Julkaista verkkosivuilla, somepalveluissa tai esimerkiksi kunnan intranetissä – Lähettää suojaamattomassa muodossa sähköpostilla
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta koulu ei ole vastuussa
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
Julkisuus ja tietosuoja opetustoimessa – Opas koulujen ja oppilaitosten käyttöön (2013):
http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
Valokuvat ja videot
• Valokuvan tai videon tekijänoikeudet ovat kuvaajalla
• Tunnistettavien henkilökuvien julkaisuun millä tahansa tavalla on syytä pyytää lupa
• Kuvan julkaisun voi estää esim. kotirauha, yksityisyyden suoja, henkilötietolaki tai kuvassa näkyvän teoksen tekijänoikeudet
• Myös kuvan levittäminen voi olla kiellettyä esim. tekijänoikeuksien tai sen loukkaavuuden takia
Lähde: https://harto.wordpress.com/2015/12/05/periscope-luokkahuoneessa-opetuksen-julkisuus-vs-yksityisyys-ja-tekijanoikeudet/
Case: Periscope luokkahuoneessa
Päättelyketju:
1. Opetus on julkista (POL)
2. Saat tehdä opetuksesta tallenteita omaan käyttöösi
3. Tallenteen julkistamisessa on otettava huomioon henkilötietolaki ja tekijänoikeuslaki
4. Opettajan luentoesitys ja opiskelijoiden esitykset ovat teoksia (Tekijänoik.neuv. lausunto 2006:11)
5. Opetuksessa syntyvän teoksen tallennus on sallittua tilapäiseen opetuskäyttöön (TekijäL)
6. Teoksesta saa valmistaa kappaleen (kopion) yksityistä käyttöä varten (TekijäL)
7. Kopioidun teoksen käyttö muuten kuin yksityisesti vaatii tekijän luvan tai sopimuksen (TekijäL)
Lyhyesti: Oppilaiden koulussa kuvaamat Periscope-videot hyvin todennäköisesti rikkovat Suomen lakia, jos niiden kuvaamiseen ja levittämiseen netissä ei ole saatu etukäteen lupaa kaikilta videolähetyksissä esiintyviltä.
• Oppilaita opastetaan käyttäjätunnusten ja salasanojen tekemisessä sekä yksityisyyden suojaamisessa.
• Noudatetaan some-palvelujen käyttöehtoja ja ikärajoja. • Huolehditaan, että oppijoilla on riittävät tiedot
tekijänoikeuksista. • Korostetaan hyvää käytöstä, yhteisöllisten toimintatapojen
omaksumista ja toisen kunnioittamista. • Häiriökäyttäytymistä ja kiusaamista ei hyväksytä. • Some-palvelujen opetuskäytölle tehdään malli, joka
mahdollistaa oppilaiden osaamisen ja taitojen kehittymisen turvallisessa ympäristössä.
• Luottamuksellista tietoa ei viedä some-palveluihin. • Tunnetaan henkilötietoja ja henkilötietorekisterien ylläpitoa
koskevat määräykset.
Somen turvallinen ja eettinen käyttö
Lähde: https://www.oph.fi/saadokset_ja_ohjeet/ohjeita_koulutuksen_jarjestamiseen/lukiokoulutuksen_
jarjestaminen/sosiaalisen_median_opetuskayton_suositukset, 30.3.2012
Rakenna verkkoidentiteettiä harkiten Kaikki toimintasi netissä jää talteen. Älä julkaise, jos et ole varma.
• Nimi ja nimimerkki
• Profiilikuva
• Profiilisivu
• Lyhyt esittely
• Kuvat, tilapäivitykset, viestit
• Kaverit ja verkostot
• = kuva, joka sinusta välittyy somessa
Verkkoidentiteetti
Lähde: ebrand Suomi Oy & Oulun kaupungin sivistys- ja kulttuuripalvelut, Some ja nuoret –kysely, 13-29 –vuotiaat suomalaisnuoret (2013, 2015 ja 2016), http://www.ebrand.fi/somejanuoret2013/ (N=3214), http://www.ebrand.fi/somejanuoret2015/ (N=2618) ja http://www.ebrand.fi/somejanuoret2016/ (N=5520)
Lähde: https://harto.wordpress.com/2016/01/27/sosiaalisen-median-tilannekatsaus-ja-dunbarin-sosiaaliset-piirit/
• Anonyyminä esiintyminen voi liittyä mm. heikkoon itsetuntoon, vääristyneeseen minäkuvaan ja kavereiden puutteeseen
• Anonyymius ei kuitenkaan ole epäsosiaalisuutta, vaan työkalu kompensoida omia puutteita
• Anonyymius on myös keino turvata itseään, henkilöllisyyttään ja toimintaansa verkossa
• Anonyymius mahdollistaa mm. omien tavoitteiden ajamisen ja ”identiteetillä leikkimisen”
• Anonyymiudesta voi olla haittaa:
– Epäreilu tilanne, jos toinen osapuoli on anonyymi ja toinen ei
– Anonyymia ei välttämättä oteta totena
– Anonyymin sukupuolesta ei voi olla varma
– Mahdollisuus kiusata ja aiheuttaa haittaa
Lähde: T. Keipi, 2015, väitöskirja, Now You See Mee, Now You Don’t, http://www.doria.fi/bitstream/handle/10024/113050/AnnalesB405KeipiDISS.pdf?sequence=2 ja sen artikkeli:
http://www.tandfonline.com/doi/abs/10.1080/1369118X.2014.991342
Lähde: Mediataitokoulu, http://www.mediataitokoulu.fi/index.php?option=com_content&view=article&id=608:netiketti-
sarjakuvat&catid=11:tehtavat&Itemid=388&lang=fi (viitattu 14.12.2016)
• Koulun tehtävänä on opettaa oppilaille, kuinka tieto- ja viestintätekniikkaa käytetään oppimisen välineenä ja miten se tehdään turvallisesti
• Koulun tehtävänä on kertoa oppilaille ja heidän vanhemmilleen internetin luonteesta ja sen turvallisesta käytöstä
• On tärkeää saada oppilaat miettimään, miten he voivat suojata henkilötietojaan ja mille tahoille henkilötietoja on turvallista luovuttaa
– Somepalveluihin rekisteröitymisessä – Chat- ja pikaviestikeskusteluissa
• Neuvoja netin turvalliseen käyttöön (huomioi ikätaso) – Älä kerro omia tai toisten henkilötietoja – Älä kerro, milloin perheesi on lomalla tai mitä koulua käyt. – Älä sovi tapaamisia äläkä anna yhteystietojasi tuntemattomille. – Jos haluat tavata jonkun nettiystäväsi, pyydä aikuinen mukaasi. – Aina kun tuntuu pelottavalta, kerro asiasta aikuiselle. – Muista, että et voi tietää, kenen kanssa olet yhteydessä internetin välityksellä. – On hyvä harkita, minkälaisia valokuvia itsestä kannattaa julkaista. – Pyydä kavereiden tai opettajien valokuvien julkaisuun lupa. – Mieti, millaisen kuvan annat itsestäsi
• Koulun tulee taata oppilaiden omien sähköpostien kirjesalaisuus • Yhteistyö kotien kanssa tärkeää. Alaikäisten vanhemmilta tarvittavat luvat.
Turvallisesti netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
https://play.google.com/intl/fi_fi/about/play-terms.html
Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Mikä on palvelun ikäraja?
• Mitä henkilötietoja rekisteröitymisen ja palvelun käytössä tallennetaan?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Miten käyttäjä voi hallita henkilötietojaan palvelussa?
• Voidaanko tietojasi luovuttaa muille tai käyttää esimerkiksi mainontaan?
• Mitä oikeuksia palvelu saa tekemiisi sisältöihin kuten teksteihisi ja valokuviisi? Voidaanko niitä käyttää muualla?
• Mihin voit olla yhteydessä, jos palvelun käytössä ilmenee ongelmia?
• Miten voit lopettaa palvelun käytön? Mitä tekemillesi sisällöille ja muille sinusta kerätyille tiedoille tehdään siinä tapauksessa?
Palvelun käyttöehdot = sopimus
• Sopimuksen tekeminen kuten verkkopalvelun käyttöehtojen hyväksyminen vaatii lain mukaan 18 vuoden ikää (oikeustoimikelpoisuuden) riippumatta palvelun ikärajasta.
• Alaikäisten oppilaiden tuotosten julkaisuun verkossa täytyy olla hänen oma lupansa sekä huoltajan lupa.
Alaikäiset oppilaat
• Google: 13 vuotta (Google Play, Gmail, G Suite, Google Drive, Google+, Blogger)
• YouTube: 13 vuotta (osa videoista 18 v.)
• Facebook: 13 vuotta
• WhatsApp: 13 vuotta (8/2016 lähtien, aiemmin 16 v.)
• Instagram: 13 vuotta
• Snapchat: 13 vuotta
• Twitter: 13 vuotta
• Steam: 13 vuotta
• Pinterest: 13 vuotta
• Twitch: 13 vuotta
• Ask.fm: 13 vuotta
• Kik Messenger: 13 vuotta (suositus 17 v.)
• WordPress.org: 13 vuotta
• We heart it: 13 vuotta
• Pokémon Go: 13 vuotta
Some-palvelujen ikäraja: 13 vuotta
Lisäksi alaikäinen tarvitsee huoltajan luvan sopimuksen tekoon.
Miten some-palveluita opetukseen?
• Kaupalliset some-palvelut: – Alaikäiset huoltajan suostumuksella
– Täysi-ikäiset omalla vastuullaan
• Koulu/kunta voi hankkia osto-/sopimuspalveluita
• Koulu/kunta voi asentaa ja ylläpitää omia some-palveluita
• Muista myös oppilaiden oikeudet: jokainen päättää itse esimerkiksi omien tuotostensa julkaisemisesta
• Kun opetuksessa käytetään erilaisia somepalveluita ja niihin luotuja ryhmiä, koulussa on syytä sopia yhteiset toimintamallit, miten opettajat rekisteröityvät niihin
– Nimen, koulun ja luokan kertominen somessa
– Käyttäjätunnuksen muodostamistapa
– Käytettävä sähköpostiosoite
– Miten tuodaan esiin, että kyse on työkäytöstä / somen opetuskäytöstä
– Tavallisesti opettajien ei ole suositeltavaa pyytää tai hyväksyä alaikäisiä oppilaita kavereiksi vapaa-ajan somepalveluissa
• Eri somepalveluissa on erilaisia käyttöehtoja, jotka on huomioitava
• Esimerkiksi koulun hallinnoimalla opettajan Google-käyttäjätunnuksella on mahdollista käyttää useita muidenkin tahojen ylläpitämiä somepalveluilta
• Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään, mikäli se ei ole ollut nimenomaisesti edellytyksenä työtehtävän hoitamiselle
• WhatsAppin työkäyttöön on suositeltavaa olla työpuhelin
Opettajan tunnus ja työprofiili
• Facebookin käyttöehdot
kieltävät kahden eri
käyttäjätunnuksen luomisen
• Erillistä opettaja-
/ohjaajatunnusta ei siis
pitäisi tehdä
• Voit toimia Facebook-
ryhmissä ja -sivuissa omalla
tunnuksellasi, eikä sinun
tarvitse ottaa ohjattavia
kavereiksesi
• Facebookin käyttöehdot:
https://www.facebook.com/le
gal/terms/update
• Ylläpitäjä ”omistaa” verkkoympäristön
• Ylläpitäjä päättää käyttäjistä ja määrää säännöt
• Arvioi, syntyykö käyttäjistä henkilötietorekisteri ylläpitäjälle
• Verkkokeskusteluja tulee valvoa – Roskapostit, asiattomuudet, mainokset yms. voi poistaa
– Yksityisyyttä loukkaavat tiedot ja henkilötiedot
– Häiriköivät käyttäjät voi estää (IP-numeron esto)
• Jos ylläpitäjätunnus varastetaan, koko verkkoympäristö on mennyttä.
• Varmuuskopiointi kannattaa – jos ei muuten, niin omien virheiden varalta.
Verkkoympäristön ylläpito
• Tietosuojavaltuutetun toimisto: http://www.tietosuoja.fi/
• Tietosuojavaltuutetun toimiston oppaita tietosuojasta: http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html
• Miten valmistautua EU:n tietosuoja-asetukseen? -opas: http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
• EU:n yleinen tietosuoja-asetus: http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL
• Oikeusministeriön työryhmän (TATTI) mietintö ja ehdotus tietosuojalaiksi: http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/80098/OMML_35_2017_EUn_yleinen_tietosuoja.pdf?sequence=1
• Arjen tietosuojaa –koulutuksen materiaalit ja nettitesti: http://tietosuoja.vahtiohje.fi/fi/#/front
• OPH:n Julkisuus ja tietosuoja opetustoimessa -opas: http://www.oph.fi/julkaisut/2013/julkisuus_ja_tietosuoja_opetustoimessa
Linkkejä ja oppaita
Open somekirja (Docendo, maaliskuu 2017)
• Sosiaalinen media koulussa ja opetuksessa, uudet OPS:it
• Askelmerkit sosiaalisen median opetuskäyttöön
• Pedagogiikka ja some
• Yhteisöllinen oppiminen, pedagogiset mallit ja opetuksen skriptaaminen
• Yli 80:n some-palvelun esittely
• Laitteet, uudet trendit, opettajien some-verkostot ja paljon muuta
• Lue lisää: https://www.docendo.fi/open-somekirja-harto-ponka.html
Harto Pönkä http://twitter.com/hponka/ http://slideshare.com/hponka http://harto.wordpress.com/ http://www.innowise.fi/
Kiitos!