Hyvät tietosuojakäytänteet opetuksessa

Kirjoittaja: Helka Luttinen, FM, Koulutussuunnittelija, Humanistinen ammattikorkeakoulu, 21.11.2019

Tietosuoja on perusoikeus, joka turvaa kansalaisten oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Toukokuussa 2018 alettiin soveltaa Euroopan Unionin yleistä tietosuoja-asetusta (GDPR), joka tiukensi henkilötietojen käsittelyn vaatimuksia. Tämä tarkoitti myös oppilaitosten tietosuojakäytänteiden uudelleen tarkastelua.

Tämän blogin tarkoitus on käydä läpi hyviä opetuksen tietosuojan käytänteitä, joita Humanistinen ammattikorkeakoulu soveltaa opetuksen järjestämisessä.

EU:n tietosuoja-asetus ja sitä täydentävä, vuoden 2019 alussa voimaan tullut, uusi kansallinen tietosuojalaki ovat vaatineet valmistautumista niin oppilaitosten toiminnasta vastaavilta tahoilta kuin henkilöstöltäkin. Tietosuojauudistusten soveltaminen oppilaitosten arkeen ei ole ollut aivan yksinkertaista.

Sitovaa tai tyhjentävää ohjetta eri oppilaitosmuodoissa ilmeneviin henkilötietojen käsittelyä koskeviin käytännön tilanteisiin ei ole olemassa.

Hyvien tietosuojakäytänteiden suunnittelulla ja ohjeistuksella varmistetaan oppilaitosten toiminnan vastuullisuus ja asianmukaisuus niin lainsäädännön, eettisten toimintatapojen kuin riskien hallinnankin kannalta.

Toukokuussa 2018 alettiin soveltaa Euroopan Unionin yleistä tietosuoja-asetusta (GDPR), joka tiukensi henkilötietojen käsittelyn vaatimuksia.

Yleistä tietosuojasta

Tietosuojan tarkoituksena on yhtenäistää henkilötiedon käsittelyperiaatteita, tuoda läpinäkyvyyttä, turvallisuutta ja varmistaa että organisaatioilla on riittävät valmiudet tietosuojan hallintaan, perehdytykseen sekä jatkuvaan kehittämiseen.

“Henkilötietojen käsittelyn on perustuttava aina lakiin.”

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön joko suoraan tai välillisesti. Erityisiä henkilötietoryhmiä koskevia tietoja saa käsitellä vain mm. nimenomaisen suostumuksen perusteella, henkilön elintärkeiden etujen suojaamiseksi tai jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä.

Rekisteröity on henkilö, jota henkilötieto koskee.

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijäksi kutsutaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Vastuu organisaation henkilötietojen käsittelyn lainmukaisuudesta on rekisteripitäjällä, joka nimittää tietosuoja-asetuksen mukaisesti tarvittaessa tietosuojavastaavan ja asettaa säännöt henkilötiedon käsittelylle.

Henkilötietoja saa kerätä tai käsitellä silloin, kun henkilötietojen suojaa koskevassa lainsäädännössä määritellyt edellytykset täyttyvät. Oppilaitoksissa henkilötietojen kerääminen ja käsittely liittyy opetuksen tai koulutuksen järjestämiseen.

“Opiskelijalla eli rekisteröidyllä on pääsy omiin tietoihin sekä oikeus tietojensa oikaisemiseen tai poistamiseen.”

Opiskelija voi pyytää henkilötietojen siirtoa järjestelmästä toiseen. Opiskelija voi myös vastustaa henkilötietojensa käsittelyä tai peruttaa suostumuksensa henkilötietojensa käsittelyyn. Opiskelija voi lisäksi nostaa kanteen rekisterinpitäjän tai henkilötiedon käsittelijän organisaatiota vastaan tai tehdä valituksen valvontaviranomaiselle.

Opetuksen tietosuojakäytänteitä

Opetuksessa tulee suosia sovelluksia, joissa henkilötietoja kerääntyy mahdollisimman vähän. On hyvä myös miettiä, onko henkilötietojen kerääminen kulloisessakin tapauksessa opetuksen kannalta välttämätöntä.

“Rekistereistä tulee tarkastella vain sellaisia tietoja, joita tarvitsee työssä.”

Jos tietosuoja herättää kysymyksiä, opetuksen järjestäjältä tai sen asettamalta tietosuojavastaavalta on oikeus vaatia ohjeita. Niiden antaminen on rekisterinpitäjän velvollisuus.

Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain alkuperäiseen tarkoitukseen eli harjoitteluun liittyviin asioihin ja niitä tietoja tulee säilyttää vain tarvittavan ajan.

Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi harjoittelupaikkojen yhteyshenkilöiden tietoja. Sopimuksessa on hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi hyväksyä tietojen käytön markkinoinnissa.

Tutkimuksessa tai projektissa käsiteltävistä henkilötiedoista syntyy erillinen henkilörekisteri. Opiskelijat eivät ole rekisterinpitäjiä, jos he vain osallistuvat osana opintojaksoa projektiin. Rekisterinpitäjä on ko. tutkimusta tekevä tutkija tai ko. projektista vastaava henkilö.

Opinnäytetyön suunnitteluvaiheen aikana tulee selvittää liittyykö työhön henkilötietoa. Mikäli opinnäytetyöhön liittyy henkilötietoa, tulee siitä mahdollisesti tehdä vaikutusten arviointi (DPIA) sekä täyttää rekisteriseloste ja liittää se osaksi opinnäytetyötä.

Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken.

Kuvia ja videoita voidaan myös tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. Tällöin täytyy kuitenkin huolehtia tietosuojasta asianmukaisesti.

Mikäli opiskelijoista otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. Hyvä tapa on kertoa tilaisuuden tai kurssin alussa, mikäli valokuvausta tai videointia kuuluu ko. koitokseen ja antaa niille mahdollisuus poistua, jotka eivät halua tulla kuvatuksi.

Tietosuojasta tulee huolehtia asianmukaisesti.

Tietojärjestelmien tietosuoja

Kaikissa järjestelmäpalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Yhteiskäyttötunnuksia ei suositella käytettäväksi. Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle.

“Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.”

Henkilötietojen tallentamisessa somepalveluihin tulee olla varovainen. Käytettävien palvelujen käyttöehtoihin ja yksityisyyskäytäntöihin (privacy policy) on hyvä tutustua.

Kertakirjautumista kannattaa käyttää aina, kun mahdollista. Useita somepalveluita voi käyttää myös ilman henkilötietojen antamista. Somessa toimiessa on hyvä miettiä, onko siellä organisaation edustajana vai yksityishenkilönä.

Tietojärjestelmät, joiden raportoinnin tai toiminnallisuuden tuloksena opettaja tekee konkreettisia toimenpiteitä, edellyttävät suostumusta. Esimerkiksi, jos opettaja päättää oppimisanalytiikasta saatujen tietojen perusteella määrätä opiskelijalle opetuksellista tukea, niin opiskelijan tietojen tallentaminen ja käyttö tähän tarkoitukseen edellyttää suostumusta.

Tai jos opiskelija suorittaa digitenttiä, jossa ohjelma seuraa tenttijän toimintaa ja nostaa lipun pystyyn opettajalle vilpillisestä toiminnasta. Kun tämä tieto taltioituu, on kyse ns. personoinnista, jonka vuoksi opiskelijoille on kerrottava, että tällainen järjestelmä on käytössä ja heiltä on pyydettävä suostumus tenttiin osallistumisesta.

Maailma on näiden suhteen monimuotoinen ja mahdollistaa tulkintaa eri tilanteissa. Mikäli asioista ei ole varmuutta, kannattaa kääntyä organisaation tietosuojavastaavan puoleen.

Tietoturvaloukkaukset

Tietoturvaloukkauksella tarkoitetaan henkilötietojen tahallista tai vahingossa tapahtuvaa lainvastaista tuhoamista, hävittämistä, muuttamista, luvatonta luovuttamista tai pääsyä tietoihin. Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä.

Rekisterinpitäjällä on taas velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille.

Päivystävät humanistit

Cookie	Duration	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__cfruid	session	This cookie is set by the provider Cloudflare. This cookie is used for load balancing and for identifying trusted web traffic.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
AWSALBCORS	7 days	This cookie is used for load balancing services provded by Amazon inorder to optimize the user experience. Amazon has updated the ALB and CLB so that customers can continue to use the CORS request with stickness.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_vwo_uuid_v2	1 year	This cookie is set by Visual Website Optimiser and is used to measure the performance of different versions of web pages.
s_vi	2 years	This is an Adobe analytics cookie and is used to store the a unique visitor ID time/date stamp to identify a unique vistor to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duration	Description
_gat_UA-3557527-1	1 minute	No description
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjTLDTest	session	No description
CONSENT	16 years 8 months 18 days 15 hours 9 minutes	No description
zte2095	session	No description