Tietosuoja on perusoikeus, joka turvaa kansalaisten oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Toukokuussa 2018 alettiin soveltaa Euroopan Unionin yleistä tietosuoja-asetusta (GDPR), joka tiukensi henkilötietojen käsittelyn vaatimuksia. Tämä tarkoitti myös oppilaitosten tietosuojakäytänteiden uudelleen tarkastelua.  

Tämän blogin tarkoitus on käydä läpi hyviä opetuksen tietosuojan käytänteitä, joita Humanistinen ammattikorkeakoulu soveltaa opetuksen järjestämisessä.

EU:n tietosuoja-asetus ja sitä täydentävä, vuoden 2019 alussa voimaan tullut, uusi kansallinen tietosuojalaki ovat vaatineet valmistautumista niin oppilaitosten toiminnasta vastaavilta tahoilta kuin henkilöstöltäkin. Tietosuojauudistusten soveltaminen oppilaitosten arkeen ei ole ollut aivan yksinkertaista.

Sitovaa tai tyhjentävää ohjetta eri oppilaitosmuodoissa ilmeneviin henkilötietojen käsittelyä koskeviin käytännön tilanteisiin ei ole olemassa.

Hyvien tietosuojakäytänteiden suunnittelulla ja ohjeistuksella varmistetaan oppilaitosten toiminnan vastuullisuus ja asianmukaisuus niin lainsäädännön, eettisten toimintatapojen kuin riskien hallinnankin kannalta.

Toukokuussa 2018 alettiin soveltaa Euroopan Unionin yleistä tietosuoja-asetusta (GDPR), joka tiukensi henkilötietojen käsittelyn vaatimuksia.

Yleistä tietosuojasta

Tietosuojan tarkoituksena on yhtenäistää henkilötiedon käsittelyperiaatteita, tuoda läpinäkyvyyttä, turvallisuutta ja varmistaa että organisaatioilla on riittävät valmiudet tietosuojan hallintaan, perehdytykseen sekä jatkuvaan kehittämiseen.

“Henkilötietojen käsittelyn on perustuttava aina lakiin.”

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön joko suoraan tai välillisesti. Erityisiä henkilötietoryhmiä koskevia tietoja saa käsitellä vain mm. nimenomaisen suostumuksen perusteella, henkilön elintärkeiden etujen suojaamiseksi tai jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä.

Rekisteröity on henkilö, jota henkilötieto koskee.

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelijäksi kutsutaan tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Vastuu organisaation henkilötietojen käsittelyn lainmukaisuudesta on rekisteripitäjällä, joka nimittää tietosuoja-asetuksen mukaisesti tarvittaessa tietosuojavastaavan ja asettaa säännöt henkilötiedon käsittelylle.

Henkilötietoja saa kerätä tai käsitellä silloin, kun henkilötietojen suojaa koskevassa lainsäädännössä määritellyt edellytykset täyttyvät. Oppilaitoksissa henkilötietojen kerääminen ja käsittely liittyy opetuksen tai koulutuksen järjestämiseen.

“Opiskelijalla eli rekisteröidyllä on pääsy omiin tietoihin sekä oikeus tietojensa oikaisemiseen tai poistamiseen.”

Opiskelija voi pyytää henkilötietojen siirtoa järjestelmästä toiseen. Opiskelija voi myös vastustaa henkilötietojensa käsittelyä tai peruttaa suostumuksensa henkilötietojensa käsittelyyn. Opiskelija voi lisäksi nostaa kanteen rekisterinpitäjän tai henkilötiedon käsittelijän organisaatiota vastaan tai tehdä valituksen valvontaviranomaiselle.

Opetuksen tietosuojakäytänteitä

Opetuksessa tulee suosia sovelluksia, joissa henkilötietoja kerääntyy mahdollisimman vähän. On hyvä myös miettiä, onko henkilötietojen kerääminen kulloisessakin tapauksessa opetuksen kannalta välttämätöntä.

“Rekistereistä tulee tarkastella vain sellaisia tietoja, joita tarvitsee työssä.”

Jos tietosuoja herättää kysymyksiä, opetuksen järjestäjältä tai sen asettamalta tietosuojavastaavalta on oikeus vaatia ohjeita. Niiden antaminen on rekisterinpitäjän velvollisuus.

Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain alkuperäiseen tarkoitukseen eli harjoitteluun liittyviin asioihin ja niitä tietoja tulee säilyttää vain tarvittavan ajan.

Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi harjoittelupaikkojen yhteyshenkilöiden tietoja. Sopimuksessa on hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi hyväksyä tietojen käytön markkinoinnissa.

Tutkimuksessa tai projektissa käsiteltävistä henkilötiedoista syntyy erillinen henkilörekisteri. Opiskelijat eivät ole rekisterinpitäjiä, jos he vain osallistuvat osana opintojaksoa projektiin. Rekisterinpitäjä on ko. tutkimusta tekevä tutkija tai ko. projektista vastaava henkilö.

Opinnäytetyön suunnitteluvaiheen aikana tulee selvittää liittyykö työhön henkilötietoa. Mikäli opinnäytetyöhön liittyy henkilötietoa, tulee siitä mahdollisesti tehdä vaikutusten arviointi (DPIA) sekä täyttää rekisteriseloste ja liittää se osaksi opinnäytetyötä.

Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken. Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken.

Kuvia ja videoita voidaan myös tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille. Tällöin täytyy kuitenkin huolehtia tietosuojasta asianmukaisesti.

Mikäli opiskelijoista otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee siihen pyytää suostumus. Hyvä tapa on kertoa tilaisuuden tai kurssin alussa, mikäli valokuvausta tai videointia kuuluu ko. koitokseen ja antaa niille mahdollisuus poistua, jotka eivät halua tulla kuvatuksi.

Tietosuojasta tulee huolehtia asianmukaisesti.

Tietojärjestelmien tietosuoja

Kaikissa järjestelmäpalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien mukaisesti. Yhteiskäyttötunnuksia ei suositella käytettäväksi.  Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava tietosuojaseloste ja se tulee linkittää lomakkeelle.

“Tietojaan antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.”

Henkilötietojen tallentamisessa somepalveluihin tulee olla varovainen. Käytettävien palvelujen käyttöehtoihin ja yksityisyyskäytäntöihin (privacy policy) on hyvä tutustua.

Kertakirjautumista kannattaa käyttää aina, kun mahdollista. Useita somepalveluita voi käyttää myös ilman henkilötietojen antamista. Somessa toimiessa on hyvä miettiä, onko siellä organisaation edustajana vai yksityishenkilönä.

Tietojärjestelmät, joiden raportoinnin tai toiminnallisuuden tuloksena opettaja tekee konkreettisia toimenpiteitä, edellyttävät suostumusta. Esimerkiksi, jos opettaja päättää oppimisanalytiikasta saatujen tietojen perusteella määrätä opiskelijalle opetuksellista tukea, niin opiskelijan tietojen tallentaminen ja käyttö tähän tarkoitukseen edellyttää suostumusta.

Tai jos opiskelija suorittaa digitenttiä, jossa ohjelma seuraa tenttijän toimintaa ja nostaa lipun pystyyn opettajalle vilpillisestä toiminnasta. Kun tämä tieto taltioituu, on kyse ns. personoinnista, jonka vuoksi opiskelijoille on kerrottava, että tällainen järjestelmä on käytössä ja heiltä on pyydettävä suostumus tenttiin osallistumisesta.

Maailma on näiden suhteen monimuotoinen ja mahdollistaa tulkintaa eri tilanteissa. Mikäli asioista ei ole varmuutta, kannattaa kääntyä organisaation tietosuojavastaavan puoleen.

Tietoturvaloukkaukset

Tietoturvaloukkauksella tarkoitetaan henkilötietojen tahallista tai vahingossa tapahtuvaa lainvastaista tuhoamista, hävittämistä, muuttamista, luvatonta luovuttamista tai pääsyä tietoihin. Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä.

Rekisterinpitäjällä on taas velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille.