Pohjois-Pohjanmaan kesäyliopiston järjestämä webinaari, 15.9.2020, Harto Pönkä, Innowise

1. Tietosuoja ja
henkilötiedot
etäopetuksessa
Harto Pönkä
15.9.2020

2. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.

3. • EU:n yleistä tietosuoja-asetusta (GDPR) sovelletaan osittain tai
kokonaan automaattiseen henkilötietojen käsittelyyn sekä
henkilörekistereihin.
• GDPR:ää ei sovelleta:
– Yksinomaan manuaalisesti käsiteltäviä henkilötietoja, jotka eivät muodosta rekisteriä.
– Henkilötietojen käsittelyä, jota yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.
– Henkilötietojen käsittelyä journalistisen, akateemisen, taiteellisen tai kirjalliseen
ilmaisun tarkoituksia varten (ei sovelleta useimpia GDPR:n vaatimuksia).
• Lisäksi tulee huomioida monet muutkin lait, mm. perustuslain 10 §:
– Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään
tarkemmin lailla.
– Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.
Tietosuojaan liittyvät lait

4. Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.

5. Erityisten henkilötietoryhmien käsittely on pääasiassa
kielletty ilman suostumusta tai laista tulevaa perustetta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tunnistetiedot
Lain mukaan salassa pidettäviä tietoja voi luovuttaa vain
sellaiselle, jolla on laillinen peruste saada niitä.
• Esim. terveystiedot, luottotiedot, sanalliset arvioinnit
henkilön ominaisuuksista, salainen puhelinnumero,
tietosuojavastaavan saamat tiedot
• Salassa pidettävät asiakirjat
Henkilötunnusta saa käsitellä rekisteröidyn
suostumuksella tai jos käsittelystä säädetään laissa, sekä:
• Laissa säädetyn tehtävän suorittamiseksi.
• Rekisteröidyn tai rekisterinpitäjän oikeuksien ja
velvollisuuksien toteuttamiseksi.
• Historiallista tai tieteellistä tutkimusta taikka
tilastointia varten.
Henkilötunnusta ei tule laittaa tarpeettomasti esille.
Erityiset ja salaiset henkilötiedot

7. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

8. Kysymys: milloin kyse henkilörekisteristä?
- Milloin ”muu rekisteri” muuttuu henkilötietorekisteriksi?
• Läppäri 233
• Varattu klo 10-14
• Käyttö: opiskelu
• Haettu klo: 9:50
• Palautettu klo 14:00
• Varaaja ID: 20231
• Läppäri 112
• Läppäri 159
• Läppäri 217
• Läppäri 233
• Läppäri 288
• Läppäri 289
• Läppäri 302
• Läppäri 312
• 20111: Essi Esimerkki
• 19547: Matti Mainio
• 31313: Aku Ankka
• 20231: Jaska Jokunen
• 45990: Maija Mallikas
• 21331: Joku Vaan
A B C
Sisältää henkilötietoja = muodostavat yhdessä rekisterinEi sisällä henkilötietoja

9. Henkilötietorekisterien perusteita

10. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

11. • Opiskelijarekisterin käyttötarkoitus on opetuksen
järjestäminen + yhteensopivat tarkoitukset
– Opetustilanteet, myös etä- ja verkko-opetus
– Opetuksen järjestäjän hallinnoimat sovellukset ja verkkopalvelut
(käyttäjätunnukset, sisällöt, lokitiedot)
– Paikallaolot, suoritukset, testit, arviointi
– Yhteydenpito opiskelijaan ja alaikäisten huoltajiin
(puhelin, sähköposti, osoite ym.)
– Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
– Kuvaus-, julkaisu- ja tekijänoikeusluvat
– Harjoitteluihin ja vierailuihin liittyvät tiedot
– Oppilashuolto ja erityisen tuen tarve
• Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä
lakisääteiset velvoitteet tai julkisen tehtävän hoitaminen.
• Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.
– Suostumuksen pitää olla aidosti vapaaehtoinen, eikä sen antamatta jättäminen tai peruminen
myöhemmin saa aiheuttaa oppijalle haittaa.
– Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
Opiskelijarekisteri etäopetuksessa
Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu
Opiskelija-
rekisteri
opiskelijoihin liittyvät
henkilötiedot

12. REKIST. OIKEUDET
OIKEUSPERUSTEEN
MUKAAN
Suostumus Sopimus Lakisääteiset
velvoitteet
Yleinen etu tai
julkinen tehtävä
Rekisterinpitäjän
oikeutettu etu
Elintärkeiden
etujen
suojaaminen
Oikeus saada
tietoa
henkilötietojen
käsittelystä
Kyllä Kyllä Kyllä, ellei kyse
ole laista
tulevasta
poikkeuksesta
Kyllä, ellei kyse
ole laista
tulevasta
poikkeuksesta
Kyllä Kyllä
Oikeus saada
pääsy tietoihin
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus oikaista
tietoja
Kyllä Kyllä Kyllä Kyllä Kyllä Kyllä
Oikeus poistaa
tiedot
Kyllä, perumalla
suostumuksen
Kyllä, jos tietoja ei
enää tarvita sop.
Ei Ei Kyllä Kyllä
Oikeus rajoittaa
tietojen käsittelyä
Kyllä Kyllä Ei Kyllä Kyllä Kyllä
Oikeus vastustaa
tietojen käsittelyä
Ei Ei Ei Kyllä Kyllä Ei
Oikeus siirtää
tiedot
järjestelmästä
toiseen
Kyllä Kyllä Ei Ei Ei Ei
Oikeus olla
joutumatta autom.
päätöksenteon
kohteeksi ilman
laillista perustetta
Kyllä, mutta
rekisteröity voi
antaa
suostumuksen
automaattiseen
päätöksentekoon
Kyllä, paitsi jos
autom. päät. on
välttämätöntä
sopimuksen
tekoon tai
täyttämiseen
Kyllä Kyllä GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
GDPR ei salli tällä
perusteella
automaattista
päät.tekoa, jolla
on merkittäviä
vaikutuksia
Lähteet: GDPR, Tietosuja.fi: Mitä oikeuksia rekisteröidyillä on eri tilanteissa?, 25.5.2020, https://tietosuoja.fi/rekisteroidyn-oikeudet-eri-tilanteissa, Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko/28ae24f4-3345-4fb2-8708-
c84abd8f57b0/Automaattinen+p%C3%A4%C3%A4t%C3%B6ksenteko.pdf

13. • Rekisteröidyllä on oikeus tietää henkilötietojen käsittelystä: kuka, miksi, mitä,
miten, kuinka kauan, mitä oikeuksia jne.
• Informointi on tehtävä tilanteessa, jossa tietoja kerätään rekisteröidyltä. Jos
henkilötiedot saadaan tai kerätään muulla tavalla, tulee informointi tehdä
viimeistään kuukauden kuluessa.
• Informoinnin muoto on vapaa, mutta se on tehtävä selkeästi:
– Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
– Selkeä ja yksinkertainen kieli on erityisen tärkeää, kun informoidaan lapsia.
• Tieto on annettava kirjallisesti viestintäkanavan mukaisessa muodossa.
Rekisteröidyn pyynnöstä voidaan informoida myös puheella.
• Käytännössä helpointa on, että informointi on nettisivuilla, josta se voidaan
linkittää eri viestintäkanaviin ja tietojenkeruulomakkeille
• Informointi ei ole suostumus, eikä rekisteröidyn tarvitse vahvistaa sen
lukemista. Rekisterinpitäjän on kuitenkin syytä dokumentoida, miten
informointi on toteutettu.
Informointi (tietosuojaseloste)
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/seloste-kasittelytoimista ja
https://tietosuoja.fi/rekisteroidyn-informointi

14. Henkilötietojen informoinnin sisältö
Lähde: Tietosuojavaltuutetun toimisto, 2018,
https://tietosuoja.fi/documents/6927448/8214536/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot/419957bd-fd5a-4090-
9c64-cf4769b10570/Informointivelvoitteen+edellytt%C3%A4m%C3%A4t+tiedot.pdf
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaava yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan (muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja siinä käytettävät suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim. suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

15. - Mitä henkilötietoja voi kerätä opiskelijoilta?
- Mitä kyselypalveluita voi käyttää henkilötietojen keräämisessä?
• Kerättävien henkilötietojen laadun ja määrän tulee olla tarkoituksenmukaisia.
• Varmista, että kerättävät tiedot liittyvät oppilaitoksen lainmukaisiin tehtäviin kuten
opetuksen järjestämiseen.
– Esimerkiksi Puolassa eräälle koululle on annettu huomautus laittomien tietojen keräämisestä. *
• Jos kerätään henkilötietoja, jotka eivät sovi sisällöltään ja käyttötarkoitukseltaan
johonkin rekisterinpitäjän aiempaan rekisteriin, on kyse uudesta rekisteristä.
– Ennen henkilötietojen käsittelyn aloittamista tulee tehdä riskiarvio ja tarvittaessa vaikutustenarviointi.
• Linkitä kyselylomakkeelle kyseisen rekisterin tietosuojaseloste tai tuo
henkilötietojen käsittelyä koskeva informointi suoraan lomakkeelle.
• Jos käytetään ulkoista kyselypalvelua, tulee sen kanssa olla sopimus henkilötietojen
käsittelystä. Lisäksi on varmistettava, että kyselypalvelu ei luovuta tietoja muille
osapuolille.
• Henkilötietojen keräämisessä on noudatettava organisaation ohjeistusta.
Kysymys: henkilötietojen keruu
*) Puolan tapauksesta lisätietoa: https://edpb.europa.eu/news/national-news/2020/polish-dpa-imposes-penalty-reprimand-processing-students-personal-data_en

16. Samat tiedot ja tarkoitus = sama rekisteri
Opiskelija-
rekisteri
oppijoiden ja huoltajien
henkilötiedot
Opetuksen
järjestäminen
+ yhteensopivat
käyttötarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

17. Henkilötietojen käyttö opetuksessa
• Opetus
• Opetuksen
tukitoiminnot
• Arkistointi
• Tutkimus
• Tilastot
• Oppimisanalyytiika
ja profilointi ilman
automatisoituja
päätöksiä
• Lisäpalvelut kuten ulkopuoliset sovellukset
• Oppimisanalyytiikka, jossa tehdään oppijaa
koskevia automatisoituja päätöksiä
• Tietojen luovutus ja julkaisu
• Lisäpalvelut kuten
ulkopuoliset sovellukset
• Automatisoidut päätökset
• Tietojen luovutus ja julkaisu

18. GDPR:N TARKOITTAMAA
PROFILOINTIA, MUTTA EI
AUTOMAATTISTA PÄÄTÖSTÄ
GDPR:N TARKOITTAMA
AUTOMAATTINEN PÄÄTÖS
Tunnista profilointi ja autom. päätökset
Lähde: Oulu Juuso ja Voutilainen Tomi, 2019, Oppimisanalytiikka ja opiskelijatietojen käsittely yliopistoissa,
https://www.edilex.fi/artikkelit/20064.pdf

19. Henkilötietojen käytön perusteita

20. • Tietoja ei saa käyttää vastoin niiden alkuperäistä tarkoitusta
tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman, että
rekisteröidyltä on siihen suostumus.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta (lokit).
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
Henkilötietojen käsittelyn perusteita

21. Vaitiolovelvollisuus henkilötiedoista
• Tietosuojalain 35 §:n vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa
saadaan tietää henkilöiden ominaisuuksista, henkilökohtaisista oloista ja
taloudellisesta asemasta.
• Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri
työtehtäviin kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
• Laissa on lukuisia erityistapauksia, joissa säädetään erikseen
salassapitovelvollisuudesta (esim. terveystiedot, luottotiedot, arviointitiedot,
tietosuojavastaavan saamat tiedot, salassa pidettävät asiakirjat jne.).
– Salassapitovelvollisuuden rikkominen tietoja paljastamalla tai hyväksikäyttämällä voi olla
rikoslain mukainen salassapitorikos.
• Jos rekisterinpitäjä käyttää ulkopuolisia henkilötietojen käsittelijöitä, sen tulee
varmistua näiden vaitiolovelvollisuudesta sopimuksella.
Lähteitä: Tietosuojalaki 35 §, https://www.finlex.fi/fi/laki/alkup/2018/20181050#Pidp445875120,
Rikoslaki 38 luku 1 §, https://www.finlex.fi/fi/laki/ajantasa/1889/18890039001#L38

22. Henkilötietojen näkyminen opetuksessa
Opetuksen järjestämiseen
liittyvä toiminta, tilat ja verkkopalvelut
Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: ok (laitelupa)
Kuvat ja videot: ok
Muut: lupa
Muille ryhmille
opetuksen yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: ei sähk.
Kuvat ja videot: lupa
Muut: lupa
Muille opettajille ja henkilöstölle
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut tarpeelliset/välttämättömät: ok
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
Ulkopuolisille
henkilöille ja tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut: lupa

23. Oppijoiden valokuvat ja videot
• Tunnistettavan henkilökuvan
julkaisuun on yleensä aina syytä
pyytää lupa.
• Opiskelijarekisterissä oleva
valokuva on henkilötieto. Sen
julkaisuun opetusryhmää
laajemmin tarvitaan suostumus.
• Kuvan julkaisun voi estää
kotirauha, yksityisyyden suoja tai
kuvassa näkyvän teoksen
tekijänoikeudet.
• Esim. oppikirjan sivusta, toisen
kodista, noloista tilanteista tai
kiusaamistarkoituksessa otettuja
kuvia ei saa julkaista.
• Myös jonkun muun julkaiseman
kuvan levittäminen voi olla
kiellettyä.
• Jokainen omistaa persoonansa ns.
kaupalliset oikeudet.
• Huomioitava, jos kuva julkaistaan
kaupallisessa palvelussa.

24. - Saako opetustilanteissa ottaa valokuvia ja videoita sekä esittää
niitä opetusryhmän kesken?
- Saako opetusryhmän sisällä esittää opiskelijoiden tuotoksia?
- Tarvitaanko opiskelijoilta suostumus, jos he itse julkaisevat
tuotoksiaan opetuksen yhteydessä?
Kysymys: kuvat ja tuotokset opetuksessa
• Opetustilanteessa voidaan ottaa valo- ja videokuvia sekä näyttää niitä
pedagogisessa tarkoituksessa saman opetusryhmän kesken.
• Opiskelijoiden tekemiä tuotoksia voidaan esittää saman ryhmän kesken.
Tuotoksia voidaan myös valo- ja videokuvata opetustarkoituksessa.
• Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai
oppimisalustoille. Tällöin täytyy huolehtia tietosuojasta asianmukaisesti.
• Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan
esittää julkisesti, tulee siihen pyytää suostumus.
• Jos täysi-ikäinen opiskelija itse julkaisee kuvansa tai tuotoksensa/teoksensa
opetuksen yhteydessä, ei opetuksen järjestäjä tarvitse siihen suostumusta.
• Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä
tehdä ohjeistus henkilöstölle sekä tiedottaa opiskelijoille.

25. • Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella
tai jos siitä on nimenomaisesti säädetty.
• Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä
tietoja sähköisesti saajalla on oikeus käyttää niitä (JulkL 16 §).
– Vaikka tiedot olisivat julkisia, ei niitä voida luovuttaa kenelle tahansa.
– Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
• Suostumus on käytännössä esimerkiksi:
– Sopimuksen/käyttöehtojen hyväksyntä, jos ehdoissa on mainittu, että henkilötietoja
tullaan julkaisemaan
– Julkaisuluvat esimerkiksi kuviin ja videoihin
– Suostumus haku-/ilmoittautumislomakkeessa
– Muilla tavoin kysytyt ja saadut suostumukset
• Työntekijöiden nimet ja työhön liittyvät yhteystiedot voi julkaista.
– Kuvan julkaisusta on syytä sopia erikseen.
Henkilötietojen julkaisu netissä
Lähde: Tietosuojavaltuutetun toimisto, 2018, https://tietosuoja.fi/usein-kysyttya-internet

26. Lähde: Mediakasvatusseura,
https://mediakasvatus.com/materiaali/kuvauslupa/
Tekijänoikeus-,
kuvaus- ja
henkilötietojen
julkaisulupa

27. Tietojen anto ulkopuoliselle taholle?

28. • Rekisterinpitäjän ja henkilötietojen käsittelijän välillä tulee olla sopimus
tai muu oikeudellinen asiakirja, jossa vahvistetaan
– käsittelyn kohde, kesto, luonne ja tarkoitus,
– henkilötietojen tyyppi ja rekisteröityjen ryhmät,
– rekisterinpitäjän velvollisuudet ja oikeudet.
• Erityisesti tulee sopia, että henkilötietojen käsittelijä
– käsittelee henkilötietoja rekisterinpitäjän ohjeiden mukaisesti
– varmistaa, että henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus
– toteuttaa tietosuoja-asetuksen vaatimukset käsittelyn turvallisuudesta (32 artikla)
– ei käytä toisia henkilötietojen käsittelijöitä ilman ennakkolupaa
– auttaa rekisterinpitäjää täyttämään tietosuoja-asetuksen mukaiset velvoitteet
– rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien
palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa
olemassa olevat jäljennökset
– antaa rekisterinpitäjälle tarvittavat tiedot osoitusvelvollisuuden noudattamisesta,
sallii rekisterinpitäjän tekemän valvonnan ja mahdolliset tarkastukset.
Sopimus henkilötietojen käsittelystä
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1

30. Tietosuoja sähköisessä viestinnässä

31. • Noudata aina työnantajan ohjeita, miten työlaitteita, henkilötietoja ja
salassa pidettäviä tietoja tulee käsitellä.
• Omia tunnuksia, salasanoja tai muita tunnisteita ei saa luovuttaa
ulkopuolisille tai säilyttää siten, että muut saavat ne tietoonsa.
• Työntekijän tulee varmistaa, että sivulliset, kuten perheenjäsenet, eivät
käytä työnantajan laitteita tai saa otettua yhteyttä työnantajan
tietojärjestelmiin.
• Työnantajan laitteistoa tai järjestelmiä ei saa käyttää toimintaan, joka
vaarantaa laitteiston tai tietojärjestelmien turvallisuuden.
– Tällaisia voivat olla esim. tietokonepelit, epäluotettavien internet-sivujen selaaminen
ja netistä ladattavien ohjelmien asentaminen tai käyttö.
• Työpuhelimeen ei tulisi tallentaa henkilökohtaisen elämän tietoja.
• Työpuhelimessa tai -tietokoneessa olevia tietoja ei tule tallentaa
henkilökohtaisille tallennusvälineille.
• Työpuhelut hoidetaan niin, että perheenjäsenet eivät kuule niitä.
Pidä työnantajan laitteet suojattuina
Lähteen mm. OpiTietosuojaa.fi, 2020,
https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/TIETOTURVA_JA_TIETOSUOJA_ET%C3%84TY%C3%96SS%C3%84.pdf

32. Kännyköiden tietosuoja
• Käytä työpuhelinta aina, kun mahdollista.
• Päivittämätön laite tai sovellus on aina tietoturvariski!
• Asenna sovelluksia vain virallisista sovelluskaupoista
• IPhonet ovat yleensä Android-laitteita turvallisempia.
• App Storen sovellustarjontaa valvotaan
tarkemmin kuin Google Playn.
• Androidille tehdään enemmän haittaohjelmia ja
viruksia
• Käytä aina PIN-koodia, salasanaa, sormenjälkeä tms.
• Jos tallennat työhön liittyviä yhteystietoja kännykkään,
varmista, että ne eivät tallennu ulkopuolisiin
verkkopalveluihin ilman suostumusta tai etukäteistä
informointia.
• Esim. Google ja pikaviestimet kuten WhatsApp
• Jos säilytät työhön liittyviä tiedostoja kännykässä, salaa
tallennustila/muistikortti
• Käytä laitteen paikantamista sen häviämisen varalta.
• Tarkista sovellusten pyytämät käyttöoikeudet.
• Käytä sovelluksissa kaksivaiheista kirjautumista.
• Tyhjennä vanha kännykkä

33. Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Valintatulokset, koearvosanat
• Henkilötunnus, jos rekisteröity on hyväksynyt tämän
• Arkaluontoiset tiedot, jos rekisteröity on pyytänyt niitä
• Edellytys: henkilökohtaiset sähköpostilaatikot
ja tietoturva kunnossa
Lähetä suojatussa sähköpostissa tai muussa turvallisessa
viestintäkanavassa, esim. suojatussa intra-/extranetissä:
• Arkaluontoiset henkilötiedot
• Lain mukaan salassa pidettävät tiedot ja asiakirjat
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot ja tulokset psykologisesta testistä tai soveltuvuuskokeesta
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Pikaviestipalvelut työasioissa: noudata työnantajan ohjeistusta.
Opiskelijatiedot sähköisessä viestinnässä
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html,
Tietosuojavaltuutetun päätös 21.11.2019, https://finlex.fi/fi/viranomaiset/tsv/2019/20190483

34. • Viestintä on perustuslain 10 §:n perusteella luottamuksellista.
• Työntekijän sähköpostit ja muut sähköiset viestit kuuluvat
luottamuksellisen viestinnän piiriin.
– Työsuhteen päättyessä työntekijän sähköpostitili tulee sulkea.
– Automaattivastauksen tai edelleenvälityksen asettaminen työntekijän
sähköpostiosoitteeseen edellyttää tämän suostumusta.
• Viestin ja välitystietojen luottamuksellisuus (laki sähköisen viestinnän
palveluista, 136 §):
– Viestinnän osapuoli voi käsitellä omia viestejään ja niiden välitystietoja. Hän voi esim.
kertoa tai julkaista viestin sisällön, mikäli se ei loukkaa jonkun muun yksityisyyttä.
– Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen
suostumuksella tai jos laissa niin säädetään.
– Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä -- jota ei
ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai
käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta
• Rikoslain 38 luku 3 §, viestintäsalaisuuden loukkaus: joka
oikeudettomasti 1) avaa toiselle osoitetun … taikka 2) hankkii tiedon..
Viestinnän luottamuksellisuus
Lähde: Tietosuojavaltuutetun toimisto, Työelämän tietosuojan käsikirja, 21.6.2018,
https://tietosuoja.fi/documents/6927448/8214540/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja/236baba2-1f88-
42a1-879c-ded83cc97571/Ty%C3%B6el%C3%A4m%C3%A4n+tietosuojan+k%C3%A4sikirja.pdf

35. Tarkista työnantajan linjaukset (esimerkki)
Lähde: Jyväskylän yliopisto, 16.3.2020, https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa

36. Tietosuoja
etäyhteystilanteissa
• Toimita kutsu henkilökohtaisesti opiskelijoille
• Varmista tarvittaessa kokoushuoneessa
olijoiden henkilöllisyys ja työtehtävät
• Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta
• Varmista esittäjien osaaminen etukäteen
• Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet
• Huomioi kotoa osallistuvat:
• Rauhallinen paikka, ei sivullisia kuulolla
• Videon ja mikrofonin käyttö kotirauhan
alueella perustuu vapaaehtoisuuteen
• Huolehdi jälkihoidosta:
• Tyhjennä chat ja poista materiaalit
• Sulje huone/päätä kokous
• Suojaa tallenne sivullisilta ja huolehdi
sen käytön tietosuojasta

37. Ulkopuoliset sovellukset ja verkkopalvelut

38. • Tietosuojavaltuutettu katsoi v. 2017, että suostumusta opetuksen
järjestäjän hallinnoimien pilvipalvelujen opetuskäyttöön ei tarvita.
• Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä, ja voivat
sen perusteella käsitellä tarpeellisia henkilötietoja.
• Opetuksen järjestäjä päättää, millaisia laitteita, työvälineitä ja
oppimateriaaleja käytetään, ml. digitaalisia oppimisympäristöjä
• Henkilötiedot tulee suojata asiattomalta pääsyltä ja käsittelyn
lainmukaisuutta tulee valvoa.
• Ulkopuolisten palvelujen käytöstä tulee sopia rekisterinpitäjän ja
palveluntarjoajan välillä niin, että rekisterinpitäjä vastaa
henkilötiedoista (nyk. sopimus henkilötietojen käsittelystä).
• Tietoja voidaan siirtää EU:n ulkopuolelle Privacy shield -järjestelyllä.
– 16.7.2020: EU-tuomioistuin totesti Privacy shieldin pätemättömäksi.
• Opetuksen järjestäjän tulee laatia säännöt, minkälainen TVT:n käyttö
on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa.
Ennakkopäätös: pilvipalvelut opetuksessa
Lähde: Tietosuojavaltuutetun päätös 28.2.2017, https://finlex.fi/fi/viranomaiset/tsv/2017/20170242 (huom. ennen GDPR:ää)

39. Erota oma ja ulkopuolinen rekisteri
Opiskelija-
rekisteri
(opetuksen järjestäjä
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä)
Henkilötietoja ei saa luovuttaa opetuksessa
ulkopuoliselle taholle, jos
1) ei ole sopimusta henkilötietojen käsittelystä tai
2) jos siihen ei ole saatu suostumusta.
Jos henkilötietoja kerätään
ulkopuolisen verkkopalvelun kautta,
tulee siihen olla oikeusperuste sekä
huolehtia rekisterinpitäjän
informointivelvollisuudesta, esim.
linkki tietosuojaselosteeseen.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite siihen
tulee heiltä, jolloin he käytännössä
antavat suostumuksen sen käyttöön
ko. asian hoidossa.

40. Verkkopalvelujen tyypit opetuksessa
REKISTERINPITÄJÄ
Palvelun käyttöönsä
tilannut organisaatio
HENKILÖTIETOJEN
KÄSITTELIJÄ
Ulkopuolinen palveluntarjoaja
REKISTERINPITÄJÄ
Palvelun omistava
organisaatio
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
REKISTERINPITÄJÄ
Ulkopuolinen palveluntarjoaja
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
KÄYTTÄJÄT & DATA
Palveluun tallennetut
sisällöt ja henkilötiedot
OMAT PALVELUT SOPIMUSPALVELUT ULKOPUOLISET PALVELUT
Sopimus henkilö-
tietojen käsittelystä
Käyttöehtosopimus
tai suostumus
Henkilötiedot pysyvät opetuksen järjestäjän hallinnassa
Henkilötietoja päätyy ulkop.
rekisterinpitäjälle  suostumus
Palvelua
käyttävä
organisaatio
Opettajat
Opiskelijat

41. • Yhdysvalloissa ei ole vastaavaa tiukkaa henkilötietojen käytön sääntelyä kuin
EU-maissa. Tämän vuoksi yhdysvaltalaisten verkkopalvelujen käytössä
opetuksessa tulee olla erityisen varovainen.
• Henkilötietoja voitiin aiemmin siirtää Privacy shield –järjestelmässä mukana
olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020.
– Monen yhdysvaltalaisen palvelun käyttö opetuksessa tuli tämän myötä laittomaksi EU:ssa.
– Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun osalta ennen kuin viet
henkilötietoja niihin – olipa niiden kotimaa mikä tahansa!
• Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä
käyttää vahvaa salausta henkilötietojen siirrossa ja tallennuksessa.
– Tämä tulee sopia henkilötietojen käsittelyn sopimuksessa.
– Muista, että rekisterinpitäjä on lopulta vastuussa, jos käsittely todetaan laittomaksi.
• Varminta on käyttää EU:n ulkopuolisia verkkopalveluita opetuksessa
rekisteröityjen/huoltajien nimenomaisella suostumuksella.
Yhdysvaltalaiset verkkopalvelut

42. Privacy shieldin kaatumisen jälkeen…
Microsoft Google Facebook (ml. Instagram ja WhatsApp)
Peruste
EU-USA-
siirroille
EU:n mallisopimuslausekkeet
Tilanne nyt?
Kertoo saaneensa EU:n
tietosuojatyöryhmältä vahvistuksen
käyttämälleen sopimukselle
”ensimmäisenä pilvipalveluna”.
Käyttöehtojen mukaan henkilötiedot
”pseudonymisoidaan ja salataan”.
On päivittämässä sopimusehtojaan
”mahdollisimman pian”. Vakuuttaa
”sitoutuneensa hankkimaan lailliset
perusteet siirroille”.
Googlesta on tehty useita
kanteluita tietosuojaviranomaisille.
WSJ:n uutisen (9.9.2020) mukaan
Irlannin tietosuojaviranomainen on
alustavassa päätöksessään käskenyt
Facebookin keskeyttää EU-maiden
käyttäjien tietojen siirrot Yhdysvaltoihin.
Muuttanut mm. WhatsAppin
tietosuojaselostetta em. jälkeen.
Lähteet
https://docs.microsoft.com/fi-fi/microsoft-
365/compliance/offering-eu-model-
clauses?view=o365-worldwide
https://www.microsoftvolumelicensing.com/
Downloader.aspx?DocumentId=15237
https://privacy.google.com/businesses/co
mpliance/?hl=fi
https://policies.google.com/privacy/frame
works?hl=en-US
https://www.facebook.com/help/56699466033
3381?ref=dp
https://on.wsj.com/3hg7RoS
https://privacyant.com/en/blog/2020/09/10/irl
annin-tietosuojaviranomainen-katkaisemassa-
facebookin-henkil%C3%B6tietojen-
siirt%C3%A4misen-yhdysvaltoihin/
Riski: jos EU:n mallisopimuslausekkeet todetaan laittomaksi perusteeksi tietojen
EU-USA-siirrolle Facebookin tapauksessa, sama voi koskea muitakin palveluita.

43. - Voiko yhteistä Excel-taulukkoa pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
- Voiko Google Driven lomakekyselyitä käyttää henkilötietojen
keräämisessä?
• Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen
käytölle opetuksessa ei ole estettä.
– Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
– Henkilötietojen siirto EU:n ulkopuolelle on mahdollista rekisteröityjen suostumuksen
ja/tai EU-komission mallisopimuslausekkeiden perusteella.
• Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on
määritelty työtehtävien mukaisesti. Ei yhteiskäyttötunnuksia.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan antavien
henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan käytetään.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työssä henkilötietojen käsittelyssä.
Kysymys: henkilötiedot pilvipalveluissa

44. 1. Kun opetuksessa käytetään sovellusta tai verkkopalvelua, joka ei ole
opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä).
– Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa/palvelussa.
2. Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
– Suostumus henkilötietojen siirrolle ko. palveluun ja maahan.
3. Kun julkaistaan henkilötietoja.
– Suostumus henkilötietojen julkaisulle.
4. Kun luovutetaan henkilötietoja ulkopuoliselle taholle tarkoitukseen,
joka ei liity opetuksen järjestämiseen tai jonka kanssa ei ole sopimusta
henkilötietojen käsittelystä.
– Suostumus henkilötietojen luovuttamiselle ko. taholle.
5. Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen
tuottamiseen, jotka eivät ole välttämättömiä opetuksen kannalta.
– Suostumus henkilötietojen käytön perusteena ko. palveluille.
6. Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
– Suostumus automaattiselle päätöksenteolle.
Milloin ja mihin tarvitaan suostumus?

45. • Suostumuksen tulee olla vapaaehtoinen, yksilöity, tietoinen ja
yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Alaikäisen kohdalla suostumuksen antaa huoltaja.
• Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja
mobiilipalvelut) ja hyväksyä ikätasolleen tavanomaisia sopimuksia.
• Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön
opetuksessa (OPH:n ohjeistus).
– Mikäli laitteille asennetaan sovelluksia opetuksessa, tulee tähän pyytää suostumus.
– Huoltaja voi hyväksyä sovelluksen käyttöehdot lapsen puolesta ja antaa sen lapsen
käyttöön, mikäli ehdoissa ei kielletä tällaista.
• Suostumukset ja luvat tulee dokumentoida sekä tarkistaa vuosittain.
Pyydettävät suostumukset ja luvat
Lähteinä mm. GDPR ja Tietokoneen, kännykän ja muiden mobiililaitteiden käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa, OPH, 2017,
https://www.oph.fi/sites/default/files/documents/183993_tietokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon_liittyvista_oikeuk.pdf

46. Lähde: Tietokoneen, kännykän ja muiden mobiililaitteiden
käyttöön liittyvistä oikeuksista ja velvollisuuksista koulussa,
OPH, 2017,
https://www.oph.fi/sites/default/files/documents/183993_tie
tokoneen_kannykan_ja_muiden_mobiililaitteiden_kayttoon
_liittyvista_oikeuk.pdf
Omien laitteiden
käyttö opetuksessa
-mallisopimus
Suosittelen muokkaamaan
sopimuksen tekstin näin:
”oppilas voi käyttää
seuraavia laitteita ja niissä
olevia sovelluksia oppimisen
tukena…”
Suostumus omien laitteiden
käyttöön tarvitaan alle 15-
vuotiaiden huoltajilta.

47. - Saako opettaja viestiä WhatsAppissa opiskelijoiden kanssa?
- Mitä pitää ottaa huomioon, jos oppilaitoksen nimissä luodaan
WhatsApp-ryhmiä?
Kysymys: WhatsApp opetuksessa
• Opettaja voi käyttää henkilökohtaiseen viestintään tavallista WhatsAppia.
• WhatsAppin opetuskäyttöön on suositeltavaa olla työpuhelin.
• Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -
versiota, sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
– WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä.
– Tietoja voidaan siirtää yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
– Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
• WhatsApp tulee mainita tietosuojaselosteessa henkilötietojen käsittelijänä.
• Pyydä suostumus WhatsAppin käyttöön oppijalta tai alle 16-vuotiaan huoltajalta.
• WA:n käytön tulee olla aidosti vapaaehtoinen valinta. Sille pitää olla vaihtoehto.
• OPH sallii WhatsAppin käytön, mutta jotkut kunnat ja opetuksen järjestäjät ovat
kieltäneet erikseen sen käytön. Tarkista oman työnantajasi linjaus!
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa

48. WhatsAppin käyttö alle
16-vuotiaiden opetuksessa
• WhatsAppin käyttöehtojen tarkoittama ”käyttäjä”
on se, joka rekisteröi tunnuksen ja hyväksyy
käyttöehdot. Jos huoltaja hyväksyy käyttöehdot,
hän on sopimuksen osapuoli.
• Huoltaja saa antaa hallitsemansa WhatsApp-
tunnuksen lapsen käyttöön ikärajan sitä estämättä.
Käyttöehdoissa ei tätä kielletä.
• Lapsen kännykän käyttö perustuu muutenkin
huoltajan tekemiin sopimuksiin ja palveluihin, jotka
tämä on antanut lapsen käytettäväksi (esim.
puhelinliittymä ja Google-tunnus).
• Lapsen kännykän käyttö tapahtuu huoltajan luvalla,
valvonnassa ja vastuulla.
• Lapsen kännykän ja sen sovellusten opetuskäyttöön
tarvitaan huoltajan lupa.
• Luvan antaminen on vapaaehtoista: sitä ei voida
edellyttää eikä siihen pidä painostaa.
• Perusteet käyttää WhatsAppia opetuksessa on hyvä
käydä läpi opettajien, huoltajien ja lasten kanssa.
Lue lisää blogistani:
https://harto.wordpress.com/2018/05/18/whatsappin-
ikarajasta-opetuskaytosta-ja-gdprsta-viela-kerran/

49. • Muista varovaisuus henkilötietojen tallentamisessa somepalveluihin.
– Useita somepalveluita voi käyttää ilman henkilötietojen antamista.
– Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän hallinnoimiin
verkkopalveluihin tarvitaan rekisteröityjen suostumus tai aloite.
• Somepalvelujen opetuskäyttöön on syytä sopia yhteinen toimintamalli.
– Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
– Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
– Miten huolehditaan, ettei oppilaiden henkilötietoja ”unohdu” palveluun?
• Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt
(privacy policy).
• Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim.
MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin.
• Yksityisten käyttäjätunnusten käyttö työtehtäviin on syytä ohjeistaa.
– Opettajaa ei voida velvoittaa käyttämään yksityisiä käyttäjätunnuksia työssään (esim.
Facebook), mikäli se ei ole ollut edellytyksenä työtehtävän hoitamiselle.
• Somepalvelujen työkäyttöön on suositeltavaa olla työpuhelin.
Somepalvelut ja tietosuoja

50. Tarkistuslista:
• Missä maassa palvelu sijaitsee? Suosi EU:ssa sijaitsevia.
• Onko palvelussa ikärajaa tai suositeltua ikää?
• Mitä henkilötietoja vaaditaan rekisteröitymisessä?
• Saako sama käyttäjä luoda palveluun useita käyttäjätunnuksia?
• Voiko palvelua käyttää opetuksessa ilman, että siihen
tallennetaan opiskelijoiden henkilötietoja?
• Onko palvelussa organisaatioille tarkoitettu sopimus
henkilötietojen käsittelystä?
• Voidaanko tietoja siirtää EU:n ulkopuolelle? Millä perusteella?
• Voidaanko tietoja luovuttaa muille tai käyttää markkinointiin?
• Mitä oikeuksia palvelu saa tallennettuihin sisältöihin kuten
teksteihin ja kuviin? Voidaanko niitä käyttää muualla?
• Mitä sisällöille ja henkilötiedoille tapahtuu, kun palvelun käyttö
lopetetaan?
Palvelun käyttöehdot = sopimus

51. • Facebookin käyttöehdot kieltävät
kahden eri käyttäjätunnuksen
luomisen.
• Erillistä oppilas-, opettaja- tai
ohjaajatunnusta ei pitäisi tehdä.
• Facebook-ryhmissä ja -sivuilla voi
toimia henkilökohtaisella
tunnuksella, jolloin esimerkiksi
oppilaita ei tarvitse ottaa
kavereiksi.
• Facebookin käyttöehdot:
https://www.facebook.com/legal/t
erms/update

52. Arvioi riskit ja reagoi tarvittaessa

53. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

54. - Miten uudet viestintävälineet tulisi arvioida tietosuojan kannalta?
- Voidaanko opetuksessa ottaa nopeutetusti käyttöön uusia välineitä
esimerkiksi koronapandemian tilanteessa?
- Onko Teams turvallinen väline henkilötietojen käsittelyssä?
Kysymys: uudet viestintävälineet
• Viestintävälineissä on kiinnitettävä erityistä huomiota tietoturvallisuuteen, jotta
voidaan estää tietojen päätyminen sivullisille.
– GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän pitää toteuttaa tietoturvan
varmistamiseen tähtäävät toimenpiteet, jotka vastaavat henkilöiden oikeuksiin ja vapauksiin
kohdistuvia riskejä (32 artikla).
• Tietosuoja tulee huomioida myös poikkeustilanteessa kuten pandemian aikana.
• Jos olet epävarma, saako jotain sovellusta tai verkkopalvelua käyttää, tarkista
työnantajasi antamat linjaukset. Kysy tarvittaessa tietosuojavastaavalta apua.
• Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi.
– Vaikutustenarviointi on tehtävä etukäteen, kun toimintaan saattaa kohdistua korkea riski.
– Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaan.
• Toimenpiteet ja ratkaisut on syytä dokumentoida (osoitusvelvollisuus).
• Esimerkiksi monet kunnat käyttävät Microsoft Teams -sovellusta opetuksessa.
Lähde: Tietosuojavaltuutetun toimisto, Usein kysyttyä koronaviruksesta ja tietosuojasta, https://tietosuoja.fi/koronavirus

55. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit

56. Henkilötietoihin kohdistuvan riskin taso
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
Jos riski arvioidaan korkeaksi, on tehtävä tietosuojaa koskeva vaikutustenarviointi, jossa
tarkastellaan toimenpiteitä, joilla voidaan pienentää riskiä (35 artikla).

57. Tietosuojaa koskeva vaikutustenarviointi
Vähimmäisvaatimukset:
1. Kuvaus suunnitelluista
henkilötietojen
käsittelytoimista ja käsittelyn
tarkoituksista +
tietosuojavastaavan neuvot
2. Arvio käsittelytoimien
tarpeellisuudesta ja
oikeasuhteisuudesta
3. Arvio rekisteröityjen
oikeuksia ja vapauksia
koskevista riskeistä +
rekisteröityjen näkemykset
4. Suunnitellut toimenpiteet
riskeihin puuttumiseksi sekä
sen osoittamiseksi, että
tietosuoja-asetusta on
noudatettu
5. Dokumentointi
(GDPR:n 35 artikla ja johdanto-osan 84 ja
90 kappale)
Lähde: Tietosuojatyöryhmä, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-
e21bdd2e0a63/Vaikutustenarviointi+fi.pdf.pdf kuva: Harto Pönkä, 2020

58. • Tietoturvaloukkauksella tarkoitetaan henkilötietojen…
– vahingossa tapahtuvaa tai lainvastaista tuhoamista
– häviämistä
– muuttamista
– luvaton luovuttamista tai pääsyä tietoihin
• Rekisterinpitäjällä on velvollisuus ilmoittaa henkilötietojen
tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle, jos siitä
todennäköisesti aiheutuu korkea riski rekisteröityjen oikeuksille ja vapauksille
• Ilmoitus valvontaviranomaiselle 72 h kuluessa loukkauksen havaitsemisesta
• Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niihin
liittyvät seikat, vaikutukset ja korjaavat toimet
• Henkilötietojen käsittelijän on tehtävä ilmoitus tietoturvaloukkauksesta
rekisterinpitäjälle ilman aiheetonta viivytystä
• Esimerkkejä tietoturvaloukkauksista: https://bit.ly/2x9I4dA
Henkilötietojen tietoturvaloukkaukset
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

59. Esimerkkejä tietoturvaloukkauksista
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-
9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun
varmuuskopion henkilötietoja sisältävästä
arkistosta USB-muistitikulle. Muistitikku
varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua.
Palveluun tehdyn verkkohyökkäyksen
seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti
aiheutuu seurauksia.
Kyllä, jos henkilöille
todennäköisesti
aiheutuvien seurausten
vakavuus on suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu
havaitsee virheen koodissa, jolla hallitaan
käyttövaltuuksia. Vian vaikutuksesta käyttäjät
voivat nähdä toistensa tietoja palvelussa.
Kyllä, kun
rekisterinpitäjät ovat
saaneet tiedon
henkilötietojen
käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli
tuhat vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.

60. Kyllä kai suostumukseksi
riittää, että ilmoitin
Wilmassa WhatsAppin
käytöstä opetuksessa.
Annoin tehtäväksi
asentaa Sport Trackerin
ja jakaa kävelylenkit sitä
kautta muille.
Lähetän musiikin
tehtävät TikTokissa ja
oppilaat kuittaavat ne
kommentilla. 
Julkaisen perjantaisin
YouTube-videon, johon
kokoan oppilaiden
tuotoksia ja annan
palautetta.
Tein jokaisen opiskelijan
nimellä Padlet-taulun,
johon he käyvät
merkitsemässä
suorituksensa.
Tehtävänä on siivota
olohuone ja lähettää
siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi
tulla koululle
lähiopetukseen.
Ei näin.

61. Kysymyksiä tai
kommentteja?

62. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!