Koulutus FCG:n järjestämässä Opetusalan tietosuojaseminaari Otsossa, 1.12.2022, Harto Pönkä, Innowise

1. Tietosuoja etäopetuksessa ja
opetuksessa käytettävissä
digilaitteissa
1.12.2022
Harto Pönkä
Innowise
Kuva: Pixabay

2. “
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf

3. Tietosuoja etäyhteyssovelluksissa ja live-streamissa
3
 Käytä vain rekisterinpitäjän eli opetuksen
järjestäjän sallimia sovelluksia.
 Toimita kutsut henkilökohtaisesti osallistujille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista tarvittaessa osallistujien henkilöllisyys.
 Varmista esittäjien osaaminen etukäteen.
 Kerro etukäteen, jos etätilanne tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.
 Älä jaa tallennetta opetusryhmän ulkopuolelle
ilman tallenteella esiintyvien suostumusta.

4. Työnantajan laitteet ja ohjelmat
4
 Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
 Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
 Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
 Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
 Työpuhelimeen ei tulisi turhaan tallentaa
henkilökohtaisen elämän tietoja.
 Työpuhelut ja etäyhteystilanteet hoidetaan
niin, että sivulliset eivät kuule niitä.

5. Vain 44 %:illa
perusopetuksen opettajista oli työpuhelin.
Kattavasti työpuhelimia oli vain ammattillisten
oppilaitosten ja AMK:ien opettajilla.
Vain 15 %
perusopetuksen, lukioiden ja yliopistojen opettajista työskenteli
pääasiassa työnantajan tietokoneilla.
5
Lähde: OAJ, 2020, Opetus koronan aikaan – Tiivistelmä OAJ:n kyselyn tuloksista, https://www.slideshare.net/oajry/opetus-koronan-aikaan-tiivistelm-oajn-kyselyn-tuloksista-232473138
(N > 5500, kysely tehtiin 2.-15.4.2020)
OAJ:n selvitys,
2020

6. Koronakeväänä oppijoiden käyttämät laitteet
 Suurin osa oppijoista käytti etäopetuksessa omaa tai perheen hankkimaa tietokonetta
 Noin 10 % käytti etäopetuksessa omaa kännykkää.
 Kaupunkien välillä isoja eroja.
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
6
Kuopio
Hämeenlinna

7. Koronakeväänä opetuksessa käytetyt sovellukset
Lähde: OPH, Etäopetuksen tilannekuva koronapandemiassa vuonna 2020,
https://www.oph.fi/fi/tilastot-ja-julkaisut/julkaisut/etaopetuksen-tilannekuva-koronapandemiassa-vuonna-2020
7

8. Oppijoiden henkilötiedot verkkopalveluissa ja sovelluksissa
8
Huom. taulukko on suuntaa antava, tarkista aina opetuksen järjestäjän omat linjaukset!
Opetuksen
järjestäjän viestintä-
ja asiointikanavat
(esim. Wilma)
Oppimisalustat
(esim. Google
Workspace, 0ffice
365+Teams)
Ulkopuolinen
sovellus, johon
kirjaudutaan edu-
tunnuksella
Ulkopuolinen
sovellus, johon on
erillinen tunnus
Rekisterinpitäjä Opetuksen järjestäjä Opetuksen järjestäjä Riippuu
sovelluksesta
Ulkopuolinen
rekisterinpitäjä
Henkilötietojen
käsittelijä (DPA-sopimus)
Palveluntarjoaja Palveluntarjoaja Riippuu
sovelluksesta
-
Käyttäjätunnukset Opetuksen järjestäjän
hallinnoimat tai vahva
tunnistautuminen
Opetuksen järjestäjän
hallinnoimat edu-
tunnukset
Edu-tunnukset Rekisteröinti/
erilliset tunnukset
Pitääkö informoida
henkilötietojen
käsittelystä?
Kyllä,
tietosuojaselosteella
Kyllä,
tietosuojaselosteella
Kyllä/suostumuksen
pyynnön yhteydessä
Kyllä/suostumuksen
pyynnön yhteydessä
Pitääkö pyytää erillinen
suostumus?
Ei Ei Kyllä, jos
ulkopuolinen
rekisterinpitäjä
Kyllä
Voiko tallentaa
oppijoiden tietoja?
Kyllä Kyllä Ei voi suositella Ei

9. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
9
Jos puhelimessasi on esimerkiksi oppijoiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!

10. Henkilötietojen vuotaminen sovellusten kautta
10
Rekisterissä
olevat
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Sovellus
Sovelluksille annettu
pääsy kännykän tietoihin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus

11. Sallitko ulkopuolisten sovellusten käytön edu-tunnuksilla?
 Opetuksen järjestäjän/rekisterinpitäjän voi olla viisainta estää ulkopuolisten sovellusten käyttö
oppilaitoksen hallinnoimilla käyttäjätunnuksilla.
Kuvakaappaus: Google Workspace for Education  Hallintakonsoli  Sovellukset  Google Workspace Marketplace -sovellukset,
https://admin.google.com/ac/apps/gmail/marketplace/allowlistaccess?hl=fi
11

12. Edu-tunnusten päätyminen ulkopuolisille sovelluksille
12
Rekisterinpitäjän
hallinnoimat
edu-tunnukset
oppimisalustalla
Sovellus
Käyttäjillä oikeus kirjautua edu-
tunnuksilla muihin sovelluksiin
Henkilötietoja päätyy
ulkopuolisille rekisterinpitäjille
Sovellus
Sovellus
Sovellus
Sovellus

13. Tietoturvaloukkaus
13
Tietoturvaloukkauksella tarkoitetaan
henkilötietojen…
 vahingossa tapahtuvaa tai lainvastaista
tuhoamista
 häviämistä
 muuttamista
 luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
siitä aiheutuu korkea riski.

14. Suostumukset etäopetuksessa
 Jos julkaistaan henkilötietoja tai oppijoiden tuotoksia.
 Suostumus henkilötietojen tai tuotosten julkaisulle.
 Jos oppijoiden henkilötietoja tallennetaan ulkopuoliseen sovellukseen tai
verkkopalveluun, joka ei ole opetuksen järjestäjän hallinnoima.
 Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa, jos
rekisterinpitäjä sallii sovelluksen käytön opetuksessa.
 Jos käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
 Suostumus henkilötietojen siirrolle ko. palveluun ja maahan, jos rekisterinpitäjä tämän sallii.
 Jos käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
 Suostumus henkilötietojen käytön perusteena ko. palveluille.
 Suostumus ei sovellus lakisääteisiin tehtäviin.
14

15. 15
Lähde: https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-luopuu-WhatsAppin-kaytosta/34981/df3529dd-6ce5-4184-ba4f-657304354f3e?s=09 (31.10.2022)
Rovaniemen kaupunki otti asiassa aikalisän seuraavana päivänä, ks. https://www.rovaniemi.fi/news/Rovaniemen-kaupunki-ottaa-aikalisan-pikaviestinten-kiellossa-/34981/d83646c0-fa5c-4b57-ab20-0284ec761cd9

16. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
 Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
 Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
 Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
 Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
 Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
 Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
16

17. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi (DPIA)
17
 Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
 GDPR:n mukaan rekisterinpitäjän (opetuksen järjestäjän) ja henkilötietojen käsittelijän tulee
tehdä riskiarviointi ja tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
 Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
 Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
 Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
 Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
 Monet kunnat käyttävät Microsoft Teams -sovellusta varhaiskasvatuksessa ja opetuksessa,
mutta jokainen rekisterinpitäjä tekee oman linjauksensa.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?

18. 3+1 pointtia
1. Tarkista etäopetuksen tietosuojaan tehdyt linjaukset
ja ohjeet. Onko aika päivittää?
2. Varmista, että etäopetukseen on käytettävissä
turvalliset verkkoyhteydet, välineet ja sovellukset.
3. Huomioi verkko- ja etäopetuksen tietosuoja
henkilöstön osaamisen kehittämisessä.
4. Pitäisikö tietosuojataitoja opettaa myös oppijoille?
18

19. 19
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!