2. “
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
Onko henkilöstön tietosuojaosaaminen riittävää?
3. Oikeus saada läpinäkyvää tietoa
henkilötietojen käsittelystä
3
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit
4. Esimerkki informointivelvollisuuden toteutumattomuudesta: Wilma
Wilman Tietosuojaseloste-linkki on harhaanjohtava: se johtaa Visman selosteelle, ei
opetuksesta vastaavan rekisterinpitäjän (esim. kunnan) sivulle kuten pitäisi.
Moniko käyttäjä osaa etsiä Wilmaa koskevan henkilötietojen käsittelyn informoinnin muualta?
4
5. Tietoturva vaarantuu etätöissä
5
Lähde: Tessian, kevät 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
48 prosenttia kotona työskentelevistä kertoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)
6. Tietosuoja viestinnässä
6
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
Ohjeet, miten varmistaa viestien aitous?
7. Tietosuoja etäyhteyssovelluksissa
7
Käytä vain oppilaitoksen sallimia sovelluksia.
Toimita kutsu henkilökohtaisesti opiskelijoille.
Informoi osallistujia henkilötietojen käsittelystä.
Varmista tarvittaessa osallistujien henkilöllisyys.
Varmista esittäjien osaaminen etukäteen.
Ota huomioon, keitä on paikalla.
Älä kerro tai esitä opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
Lopuksi: päätä kokous, tyhjennä tai sulje huone.
Suojaa tallenne ja huolehdi sen tietosuojasta.
8. Oppijoiden henkilötiedot verkkopalveluissa
8
Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset!
Opetuksen järjestäjän
hallinnoimat
asiointikanavat
(esim. Wilma)
Opetuksen järjestäjän
hallinnoimat viestintä- ja
oppimisalustat
(esim. 0365, Teams,
G Suite, Moodle)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
eivät näy julkisesti
(esim. Quizlet)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Opetuksen järjestäjän
hallinnoimat käyttäjätunnukset
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Opettajien luomat
tunnukset esim.
nimimerkki tai etunimi
Opettajan luomat
anonyymit tunnukset
tai ei tunnuksia
Saavatko oppijat rekisteröityä
palveluun itse koulussa?
Ok Ok Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Käyttö opetuksen aktivointiin,
materiaalien jakoon ym.
Ok Ok Ok Ok
Oppijoiden tekemät tehtävien
palautukset ja esim. kuvat
Ok Ok Ok Ei ilman suostumusta
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok Ei ilman suostumusta Ei
Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei
Sanalliset arvioinnit,
soveltuvuustestit ym.
Ok Ei Ei Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Ok Ei Ei Ei
9. Oppijoiden henkilötietojen luovuttaminen ja julkaisu
9
Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on
nimenomaisesti säädetty.
Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti
saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
Suostumus on käytännössä esimerkiksi:
Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
Julkaisuluvat esimerkiksi kuviin ja videoihin
Muilla tavoin kysytyt ja saadut suostumukset
10. Kysymys: kuvat, videot ja etätilanteiden tallenteet
10
Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?
11. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
11
Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?
12. WhatsApp opetuksessa
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-
13. Milloin ja mihin etäopetuksessa tarvitaan suostumus?
▪ Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia.
⬞ Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole
opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä).
⬞ Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa.
▪ Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
⬞ Suostumus henkilötietojen siirrolle ko. palveluun ja maahan.
▪ Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
⬞ Suostumus henkilötietojen käytön perusteena ko. palveluille.
▪ Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
⬞ Suostumus automaattiselle päätöksenteolle.
13
14. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi
14
Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee
tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
Monet kunnat käyttävät Microsoft Teams -sovellusta mm. varhaiskasvatus-, kehitys- ja
arviointikeskusteluihin sekä terveydenhuollossa potilaiden etävastaanottoon.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?
15. Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla.
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.
16. 3+1 pointtia
1. Tarkista, onko etäopetuksen tietosuojasta tehty
linjauksia tai ohjeita.
2. Varmista, että etäopetukseen on käytettävissä
turvalliset verkkoyhteydet, välineet ja sovellukset.
3. Huomioi verkko- ja etäopetuksen tietosuoja
henkilöstön osaamisen kehittämisessä.
4. Pitäisikö tietosuojataitoja opettaa myös oppijoille?
16