DigiKilta-hanke järjesti digitaalisia oppimisalustoja sekä oppimisanalytiikkaa käsittelevän tapahtuman Tampereella 19.9.2017. https://digikilta.fi/2017/05/31/digikilta-tapaaminen-19-9-2017-alustat-analytiikka/

1. Tietosuoja-asetus ja
suostumuksenhallinta
Digikilta-tapaaminen 19.9.2017:
Alustat ja analytiikka

2. Taustaa
• EU:n tietosuojauudistuksella viitataan
– a) yleiseen tietosuoja-asetukseen sekä
– b) direktiiviin lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojaan
• Tässä esityksessä keskitytään yleiseen tietosuoja-asetukseen
• Tietosuoja-asetus korvaa direktiivin 95/46/EY (EU:n tietosuojadirektiivi)
• Aiempi henkilötietodirektiivi (1995) koettu osittain vanhentuneeksi ja
tarvetta ajantasaisemmalle tavoiteasetteluun jäsenvaltioiden tietosuojan
toteuttamisessa.
2

3. Tällä hetkellä tiedossa
• EU:n tietosuojauudistus tuli voimaan 24.5.2016, uudistuksen
soveltaminen alkaa 25.5.2018
• OM:n asettama Tatti-työryhmä asetettu 17.2.2016
– Mietintö julkaistu 21.6.2017 (OM:n Mietintöjä ja lausuntoja 35)
• Muistion liitteenä HE EU:n yleistä tietosuoja-asetusta täydentäväksi
yleiseksi lainsäädännöksi
– HE:ssä esitetään kumottavaksi
• henkilötietolaki
• laki tietosuojalautakunnasta ja tietosuojavaltuutetusta
• asetus tietosuojalautakunnasta ja tietosuojavaltuutetusta
– Muutoksia myös rikoslakiin ja sakon täytäntöönpanosta annettuun lakiin
3

4. Lapsia koskevaa pohdintaa
• Perustuslain mukaan lapsia kohdeltava tasa-arvoisesti yksilöinä, ja
heidän tulee saada vaikuttaa itseään koskeviin asioihin kehitystään
vastaavasti
• Alaikäisen lapsen itsemääräämisoikeus henkilötietoihinsa määräytyy
yleisten ja erityisten alaikäisen lapsen itsemääräämisoikeutta
määrittävien säännösten perusteella.
• Lasten oikeuksien yleissopimuksen mukaisesti (myös EU:n
perusoikeuskirjassa) lapsella on oikeus ilmaista vapaasti mielipiteensä.
• Lisäksi lapsen edun periaate kaikissa lasta koskevissa viranomaisten
toimissa
4

5. Lapsia koskevaa kohta asetuksessa
• Tietosuoja-asetuksen 8 artiklan (1. kohta) mukaan:
– ”.. kun kyseessä on tietoyhteiskunnan palvelun tarjoaminen suoraan lapselle,
lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-
vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain
siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on
antanut siihen suostumuksen tai valtuutuksen.”
• ”Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen
tällaisissa tapauksissa, että lapsen vanhempainvastuunkantaja on
antanut suostumuksen tai valtuutuksen, käytettävissä oleva teknologia
huomioon ottaen.”
• ”Edellä oleva kohta 1 ei vaikuta jäsenvaltioiden yleiseen
sopimusoikeutaan, kuten sääntöihin, jotka koskevat sopimuksen
pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen”
5

6. Lapsia koskevaa kohta asetuksessa
• Tatti-muistiossa ehdotetaan että
– ”Ehdotetaan, että kansallisesti tullaan käyttämään 8 artiklan liikkumavaraa.
Työryhmä ei ole tehnyt päätöstä ikärajasta. Mietinnössä lähtökohtana joko 13
tai 15 vuoden ikärajasta säätäminen”
• Työryhmän toimikausi päättyy 16.2.2018, linjaukset tehty siihen
mennessä.
6

7. Tiedon keräämisen perusteet
Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn
oikeusperuste (6. artikla)
a) Rekisteröidyn suostumus, yhtä tai useampaa erityistä tarkoitusta
varten
b) ”Käsittely on tarpeen sellaisen sopimuksen täytäntöön
panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen
tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn
pyynnöstä;
c) ”Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen
noudattamiseksi”
d) ”Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen
henkilön elintärkeiden etujen suojaamiseksi
e) ”Käsittely on tarpeen yleistä etua koskevan tehtävän
suorittamiseksi”
f) ”Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen
oikeutettujen etujen toteuttamiseksi…”
7

8. Suostumusten edellytykset (7 artikla)
Mikäli tietojen käsittely perustuu suostumukseen
a) ”…rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity
on antanut suostumuksen henkilötietojensa käsittelyyn…”
b) ”…suostumuksen antamista koskeva pyyntö on esitettävä
selvästi erillään muista asioista helposti ymmärrettävässä ja
saatavilla olevassa muodossa selkeällä ja yksinkertaisella
kielellä..”
c) Oikeus peruuttaa suostumus milloin tahansa. Peruutus ei vaikuta
ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
Peruuttamisen oltava yhtä helppoa kuin sen antaminen
d) Suostumuksen vapaaehtoisuuden arviointi: onko palvelun
tarjoamisenehdoksi asetettu suostumus sellaisten
henkikötietojen käsittelyyn jotka eivät ole tarpeen kyseisen
sopimuksen täytäntöönpanoa varten 8

9. Muut asiaan vaikuttavat
- 14 artikla: Toimitettavat henkilötiedot, kun tietoja ei ole saatu
rekisteröidyltä (koskeeko oppimisanalytiikkaa?)
- 15 artikla: Rekisteröidyn oikeus saada pääsy tietoihin
- 17 artikla: Oikeus tulla unohdetuksi
- 20 artikla: Oikeus siirtää tiedot järjestelmästä toiseen
- ”Rekisteröidyllä on oikeus saada häntä koskevat
henkilötiedot…, jäsennellyssä, yleisesti käytetyssä ja
koneellisesti luettavassa muodossa”
- 21 ja 22 artiklat: liittyen profilointiin
9

10. Perusopetus ja tietojen kerääminen
- POL 4§ velvoittaa kuntaa järjestämään perusopetusta
- Keskeisiä lasten tietoja käsitteleviä järjestelmiä ovat
- Oppilashallintojärjestelmät (Primus/Wilma, Helmi)
- Oppilashuollon järjestelmät
- Digitaaliset oppimisympäristöt
- Oppimisympäristöjä otetaan käyttöön sopimuspohjaisesti,
opetuksenjärjestäjä rekisterinpitäjänä
10

11. Perusopetus ja tietojen kerääminen
- Uutena pohdintana oppimisanalytiikan tiedot
- Henkilötiedon käsite oppimisanalytiikassa
- Oppimisanalytiikassa kerättävästä tiedosta ei vielä täysin
yksityiskohtaista tietoa olemassa
- Mitkä tiedot kerätään henkilötasolla, mitkä ovat opetuksen
järjestämisen osalta välttämättömiä
- Datan keruu, jonka perusteella palvelun tarjoaja kehittää
oppimisympäristöä, onko opetuksen järjestämisen kannalta
välttämätöntä?
- Mikä on sellaista dataa, jonka keräämiseen tarvitaan
vanhempien suostumusta?
11

12. Suostumuksenhallinnan tasot
CASE: Koski
- Henkilötiedot kerätään lakiperustaisesti, palvelun suostumusten
hallinnan palvelun kautta yksilö tai tätä edustava vanhempi voi
antaa suostumuksia tiedon käyttöön.
- Käyttökohteita mm. tutkimus tai parempien palveluiden
tarjoaminen tiedon perusteella
- Tällöin suostumusten hallinta koskee tiedon luovuttamista
kolmansille osapuolille
12

13. Suostumuksenhallinnan tasot
CASE: Ei-lakiperusteinen tiedonkeruu (kentällä spekuloitua)
- Henkilötietoa halutaan kerätä esimerkiksi palvelun kehittämiseksi
tai muuhun tarkoitukseen, joka ei perustu esimerkiksi opetuksen
järjestämisen velvollisuuteen
- Tällöin palvelua käyttöön otettaessa, palveluntarjoaja lähettää
suostumuspyynnön tiedon omistajalle.
- Tiedon omistaja hyväksyy tai hylkää suostumuspyynnön
- Suostumuksen jälkeen yksilöllä pääsy kerättyyn tietoon ja oikeus
luovuttaa kerätty tieto kolmansille osapuolille
13

14. Aiheeseen liittyvää lisämateriaalia tai toimintaa
- Oppimisanalytiikan jaosto:
- https://wiki.eduuni.fi/display/CSCTIES/Analytiikkajaosto
- MyData muutosvoimana: Julkishallinnon henkilötiedon
ihmiskeskeisen hyödyntämisen mallit ja vaikutukset
- Koski-hankkeessa suostumuksenhallinnan pilotointi
- Alaikäisten kirjautumis- ja tunnistautumisratkaisujen
palvelumuotoilu (MPASS ja Suomi.fi tunnistautuminen)
14