Koulutus Helsinki Business Collegelle, 7.6.2021, Harto Pönkä

1. EU:n yleinen tietosuoja-
asetus oppilaitosten ja
opettajien näkökulmasta
7.6.2021
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018

2. GDPR = EU:n yleinen tietosuoja-asetus

3. Tietosuoja-asetusta sovelletaan
osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä
henkilörekistereihin.
GDPR EI koske seuraavia:
 Yksinomaan manuaalisesti käsiteltäviä
henkilötietoja, jotka eivät muodosta
rekisteriä
 Henkilötietojen käsittelyä, jota
yksityishenkilöt tekevät yksinomaan
henkilökohtaisessa tai kotitalouttaan
koskevassa toiminnassa
 Henkilötietojen käsittelyä journalistisen,
akateemisen, taiteellisen tai kirjalliseen
ilmaisun tarkoituksia varten (ei sovelleta
useimpia GDPR:n vaatimuksia)
3

4. Jussi Koskela
044-32132121
ABC-123
Suotie 1
192.168.13.73
Henkilötiedot =
tunnistetiedot + muut
henkilöön liittyvät tiedot
Tunnistetiedot mahdollistavat henkilön
tunnistamisen joko rekisterinpitäjän
tai jonkun muun tahon toimesta.

5. Henkilötunnus
Henkilötunnusta saa käsitellä:
 Rekisteröidyn suostumuksella
 Jos käsittelystä säädetään laissa
 Laissa säädetyn tehtävän suorittamiseksi
 Rekisteröidyn tai rekisterinpitäjän
oikeuksien ja velvollisuuksien
toteuttamiseksi, esim. työsuhteessa
 Historiallista tai tieteellistä tutkimusta tai
tilastointia varten
Henkilötunnusta ei tule merkitä
tarpeettomasti asiakirjoihin.
Henkilötunnusta ei ole tarkoitettu
henkilöllisyyden varmistamiseen.
5
Kuva: https://www.poliisi.fi/henkilokortti/suomen_henkilokorttien_ominaisuudet
010150-113X

6. Erityiset eli arkaluontoiset henkilötiedot
Erityisten henkilötietoryhmien käsittely on
pääasiassa kielletty ilman henkilön
suostumusta tai laista tulevaa perustetta.
 rotu tai etninen alkuperä
 poliittiset mielipiteet
 uskonnollinen tai filosofinen vakaumus
 ammattiliiton jäsenyys
 terveyttä koskevat tiedot
 seksuaalinen suuntautuminen tai
käyttäytyminen
 geneettiset ja biometriset tunnistetiedot
6

7. Salassa pidettäviä asiakirjoja saa
luovuttaa vain lain perusteella tai
henkilön suostumuksella
7
Lähde: Laki viranomaisten toiminnan julkisuudesta,
https://www.finlex.fi/fi/laki/ajantasa/1999/19990621

8. Rekisteri
8
Rekisteri muodostuu henkilötietojen joukosta, jotka liittyvät tiettyyn käyttötarkoitukseen.

9. • Läppäri 233
• Varattu klo 10-14
• Käyttö: opiskelu
• Haettu klo: 9:50
• Palautettu klo 14:00
• Varaaja ID: 20231
• Läppäri 112
• Läppäri 159
• Läppäri 217
• Läppäri 233
• Läppäri 288
• Läppäri 289
• Läppäri 302
• Läppäri 312
• 20111: Essi Esimerkki
• 19547: Matti Mainio
• 31313: Aku Ankka
• 20231: Jaska
Jokunen
• 45990: Maija Mallikas
• 21331: Joku Vaan
A B C
Sisältää henkilötietoja = muodostavat yhdessä rekisterin
Ei sisällä henkilötietoja
Kysymys: milloin ”muu rekisteri” muuttuu henkilörekisteriksi?
9

10. 10
Jos käsittelet työssäsi
henkilötietoja, ota selvää:
1. selosteet
2. ohjeistukset
3. tietosuojavastaava

11. GDPR:n mukaiset selosteet
1. Seloste käsittelytoimista
 ”Rekisteriseloste”
 Organisaation sisäinen (ei-julkinen)
 Pakollinen yli 250 hengen
organisaatioissa ja mm. silloin, kun
henkilötietojen käsittely on jatkuvaa
 Kattaa kaiken henkilötietojen
käsittelyn organisaatiossa
 Henkilötietojen käsittelyn
osoitusvelvollisuuden perusta
 Yleensä tietosuojavastaava ylläpitää
2. Rekisteröityjen informointi
 ”Tietosuojaseloste”
 Julkinen / oltava saatavilla
tilanteessa, jossa henkilötietoja
saadaan, tai toimitettava
rekisteröidylle kk:n sisällä
 Tarkoittaa kaikkea rekisteröidyille
kerrottavaa tietoa h.t. käsittelystä
 Voi kattaa kaikki eri rekisterit tai olla
rekisterikohtainen
 Sisältää myös rekisteröityjen oikeudet
11

12. Informointi = rekisteröidyn oikeus saada
tietoa henkilötietojen käsittelystä
12
 Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
 Yleensä: tietosuojaseloste tai vastaava
 Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
 Rekisteröidyn pyynnöstä myös puheella
 Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
 Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

13. Henkilötietojen käsittely opetuksessa

14. “
En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
14
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf

15. Rekisterinpitäjä päättää, mitä tietoja käsitellään ja miten
15
Tarkoitukset ja keinot
Rekisteriin kerätyt
henkilötiedot
Rekisterinpitäjä(t)
Rekisterinpitäjä määrittelee
henkilötietojen käsittelyn
tarkoitukset ja keinot.
Rekisterinpitäjän tulee kerätä ja
käsitellä vain tarkoituksenmukaisia
henkilötietoja (määrä, laatu,
säilytysaika, saatavilla olo).
Käsittelyn tarkoitukset ja keinot
(henkilötiedot) tulee ilmetä
rekisteröityjen informoinnista.
Rekisteröidylle ei saa tulla sen
jälkeen ”yllätyksiä”, mitä tietoja ja
miten hänestä käsitellään.
Oikeus-
peruste

16. Opiskelijarekisteri
Lisätietoa: OPH:n tietosuojaopas, 2018, https://minedu.fi/henkilotietojen-kasittelyn-suunnittelu
Opiskelija-
rekisteri
oppijoiden ja
huoltajien
henkilötiedot
 Opiskelijarekisterin käyttötarkoitus on opetuksen järjestäminen
+ yhteensopivat tarkoitukset
 Opetustilanteet, myös etä- ja verkko-opetus
 Opetuksen järjestäjän hallinnoimat sovellukset ja
verkkopalvelut (käyttäjätunnukset, sisällöt, lokitiedot)
 Paikallaolot, suoritukset, testit, arviointi
 Yhteydenpito oppijaan ja huoltajiin (puhelin, sähköposti ym.)
 Oppimisanalytiikka ja oppimisen tukeminen sovelluksissa
 Kuvaus-, julkaisu- ja tekijänoikeusluvat
 Harjoitteluihin ja vierailuihin liittyvät tiedot
 Oppilashuolto ja erityisen tuen tarve
 Oppilaitoksessa henkilötietojen käsittelyn oikeusperuste on yleensä lakisääteiset velvoitteet tai
julkisen tehtävän hoitaminen.
 Suostumus voi olla oikeusperusteena, kun halutaan tarjota lisäpalveluita.
 Suostumuksen antamatta jättäminen tai peruminen myöhemmin ei saa aiheuttaa haittaa.
 Opetuksessa voidaan käyttää ulkopuolisia sovelluksia ja verkkopalveluita suostumuksen
perusteella, mutta samalla on oltava vaihtoehto niille, jotka eivät anna suostumusta.
16

17. Suostumus henkilötietojen käsittelyn perusteena
17
 Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
 Suostumusta ei voi antaa:
 Vaikenemalla
 Valmiiksi rastitetulla ruudulla
 Jättämättä jotakin tekemättä
 Alaikäisen kohdalla suostumuksen antaa huoltaja.
 Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
 Alle 15-vuotiailta tarvitaan huoltajan lupa omien laitteiden käyttöön opetuksessa (OPH:n
ohjeistus) sekä tarvittaessa sovellusten asentamiseen.
 Suostumukset ja luvat tulee dokumentoida ja tarkistaa säännöllisesti (esim. vuosittain).
 Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

18. Esimerkkejä käsiteltävistä henkilötiedoista
18
Tieto Henkilötiedon tyyppi Tyypillisiä riskejä
Nimi Tavanomainen Nimen paljastuminen (vähäinen)
Osoite ja kotikunta Tavanomainen tai salainen Salaisen osoitteen paljastuminen,
suoramarkkinointi
Puhelinnumero Tavanomainen tai salainen Salaisen numeron paljastuminen, huijausviestit
Sähköpostiosoite Tavanomainen Käyttö spämmäykseen, tietojenkalasteluun ja
murtautumisyrityksiin
Henkilötunnus Tietosuojalaissa erikseen
säädelty
Käyttö esimerkiksi pikavippien ottoon ja
verkkokaupoissa tilauksiin toisen henkilön
nimissä
Muu yksilöivä tunniste, esim.
opiskelijanumero tai OID
Tavanomainen Voidaan käyttää vahingontekoon tai urkintaan,
jos paljastuu yhdessä nimen kanssa
Terveydelliset tiedot, etninen tausta,
vakaumus, ammattiliiton jäsenyys
Erityinen henkilötieto Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus
Taloudellinen asema, henkilökohtaiset
olot, sanalliset arviot henkilön
ominaisuuksista, psykologiset testit
Lain mukaan salassa pidettävä
tieto
Käyttö syrjintään ja häirintään, yksityiselämän
loukkaus

19. Tietosuojaperiaatteet
19
 Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
 Käyttötarkoitussidonnaisuus
 Henkilötietoja saa käyttää vain alkuperäisiin ja niiden kanssa yhteensopiviin
tarkoituksiin
 Myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
 Tietojen minimointi
 Kerätään ja käsitellään vain tarkoitukseen olennaisia henkilötietoja
 Tietojen täsmällisyys
 Tietojen päivittäminen, tarkistaminen, virheiden korjaus
 Tietojen säilytyksen rajoittaminen
 Tietoja säilytetään vain tarvittavan ajan
 Tietojen eheys ja luottamuksellisuus
 Suojaustoimenpiteet, käytön valvonta, varmuuskopiointi
 Rekisterinpitäjän osoitusvelvollisuus
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

20. • Opetus
• Opetuksen
tukitoiminnot
• Arkistointi
• Tutkimus
• Tilastot
• Oppimisanalytiika ja profilointi
ilman automatisoituja päätöksiä
• Lisäpalvelut kuten ulkopuoliset sovellukset
• Oppimisanalyytiikka, jossa tehdään oppijaa koskevia autom. päätöksiä
• Tietojen luovutus ja julkaisu
• Lisäpalvelut kuten ulkopuol. sovellukset
• Automatisoidut päätökset
• Tietojen luovutus ja julkaisu
Mihin henkilötietoja saa käyttää opetuksessa? (käyttötarkoitussidonnaisuus)
20

21. Huolehdi oppijoiden tietosuojasta
21
▪ Oppijoiden tietoja käytetään vain opetukseen.
▪ Tunnetaan rekisterit ja tietosuojaselosteet.
▪ Henkilötietoja ei kerrota sivullisille, julkaista tai
luovuteta ilman suostumusta tai lakiperustetta.
▪ Huomioidaan tietosuoja opetuksessa
käytettävissä sovelluksissa ja pilvipalveluissa.
▪ Tarvittaessa pyydetään suostumukset
ulkopuolisten palvelujen käyttöön opetuksessa.
▪ Palveluntarjoajien kanssa tehdään tarvittaessa
sopimukset henkilötietojen käsittelystä.
▪ Käytetään henkilökohtaisia tunnuksia sekä
huolehditaan käyttöoikeuksista ja seurannasta.
▪ Neuvotaan oppijoille käytettävien sovellusten
ja käyttäjätunnusten turvallinen käyttö.

22. Tietosuojalaki 35 §: vaitiolovelvollisuus
22
 Tietosuojalain vaitiolovelvollisuus koskee kaikkia työtehtäviä, joissa saadaan tietää
henkilöiden ominaisuuksista, henkilökohtaisista oloista ja taloudellisesta asemasta.
 Työnantajan vastuulla on määritellä, mitä henkilötietojen käsittelyä eri työtehtäviin
kuuluu, sekä huolehtia tietojen turvallisesta säilytyksestä.
 Jos rekisterinpitäjä käyttää ulkopuolisia palveluntarjoajia, sen tulee varmistua
näiden vaitiolovelvollisuudesta henkilötietojen käsittelyn sopimuksella.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää
jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta
asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin
saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi

23. Saman luokan tai
opetusryhmän kesken
Koko nimi: ok
Koulun email: ok
Puh.nro: opisk.lupa
Kuvat/videot: ok
Muut hlötiedot: lupa
Muille ryhmille opetuksen
yhteydessä
Koko nimi: ok
Koulun email: ok
Puh.nro: opisk.lupa/ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Ulkopuolisille henkilöille ja
tahoille
Etunimi: ok
Koko nimi: ei sähk.
Koulun email: ei sähk.
Puh.nro: ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Muille opettajille ja henkilöstölle tarvittaessa
Koko nimi: ok
Koulun email ja puh.nrot: ok
Muut tarpeelliset/välttämättömät: ok
Henkilötiedot yli 15-v. opetuksen tiloissa ja tilanteissa
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
23

24. Kysymys: Kahvipöytäkeskustelut
24
 Oppilaiden koesuoritukset, niihin liittyvät arvostelumerkinnät ja sanalliset arviot oppilaan
ominaisuuksista ovat salassa pidettäviä (JulkiL 24 §).
 Myös mm. tiedot erityisen tuen tarpeesta, psykologisista testeistä ja soveltuvuuskokeista ovat salassa
pidettäviä.
 Kokeiden ja tenttien arvosanat sekä opintosuoritusrekisterit ovat julkisia. Niitä ei silti saa julkaista
nimien kanssa ilmoitustaululla tai netissä ilman suostumusta.
 Salassa pidettäviä tietoja saavat vain ne opettajat ja muut henkilöt, kuten oppilashuoltohenkilöstö ja
koulunkäyntiavustajat, jotka tarvitsevat niitä.
 Oppilaan opettajalla, rehtorilla ja opetuksesta ja toiminnasta vastaavalla viranomaisella on oikeus
saada oppilasta koskevat välttämättömät tiedot oppilashuollon henkilöstöltä. Viimeksi mainitut
päättävät annettavista tiedoista.
Lähde: OPH, 2018, Julkisuus ja tiedonhallinta opetustoimessa, https://www.oph.fi/download/191819_julkisuus_ja_tiedonhallinta_opetustoimessa.pdf
• Saako opettaja esitellä opettajainhuoneessa oppilaiden koevastauksia
kahvipöydässä työtovereilleen?
• Vaarantuuko tietosuoja oppilaiden osalta jotenkin tässä tilanteessa, jos samalla
arvioidaan oppilaita ääneen?

25. Oppijoiden henkilötietojen luovuttaminen ja julkaisu
25
 Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on
nimenomaisesti säädetty.
 Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti
saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
 Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
 Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
 Suostumus on käytännössä esimerkiksi:
 Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
 Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
 Julkaisuluvat esimerkiksi kuviin ja videoihin
 Muilla tavoin kysytyt ja saadut suostumukset

26. Sopimus henkilötietojen käsittelystä
26
Lisätietoa: Tietosuoja-asetuksen 28 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3130-1-1
▪ Merkitys = käsittelijä toimii rekisterinpitäjän
lukuun JA tämän vastuulla(!)
▪ Sopimuksessa vahvistetaan:
▪ käsittelyn kohde, kesto, luonne ja tarkoitus,
▪ rekisteröityjen ryhmät ja tietojen tyypit,
▪ rekisterinpitäjän velvollisuudet ja oikeudet.
▪ Erityisesti tulee sopia, että käsittelijä:
▪ käsittelee tietoja ohjeiden mukaisesti,
▪ varmistaa salassapitovelvollisuuden ja GDPR:n vaatimukset
turvallisuudesta,
▪ ei käytä toisia käsittelijöitä ilman lupaa,
▪ auttaa rekisterinpitäjää täyttämään GDPR:n velvoitteet,
▪ lopuksi poistaa tai palauttaa tiedot,
▪ antaa tarvittavat tiedot osoitusvelvollisuudesta,
▪ sallii rekisterinpitäjän valvonnan ja tarkastukset.

27. Valokuvat ja videot
27
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää lupa.
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.

28. Kysymys: kuvat, videot ja etätilanteiden tallenteet
28
 Opetustarkoituksissa voidaan ottaa valo- ja videokuvia opiskelijoista ja heidän tuotoksistaan sekä
näyttää niitä pedagogisessa tarkoituksessa saman opetusryhmän kesken.
 Kuvia ja videoita voidaan tallentaa esimerkiksi henkilökohtaiseen portfolioon tai oppimisalustoille.
 Mikäli opiskelijasta otettuja kuvia ja videoita tai hänen tuotoksiaan aiotaan esittää julkisesti, tulee
siihen pyytää suostumus.
 Etäopetustilanteita voidaan tallentaa ja esittää saman opetusryhmän kesken. Alkuperäistä
opetustilannetta ei saa laajentaa tallenteen jaossa ilman, että siihen on saatu suostumukset.
 Kuvien, videoiden ja tallenteiden tietoturvasta/-suojasta tulee huolehtia asianmukaisesti.
 Tallenteiden jakamisessa on huomioitava myös opiskelijoiden ja opettajan tekijänoikeudet.
 Kuvaamisesta, tallenteista sekä tallenteiden ja tuotosten julkaisusta on hyvä tehdä ohjeistus
henkilöstölle sekä tiedottaa opiskelijoille.
• Saako opetustilanteissa ottaa valokuvia ja videoita opiskelijoista sekä esittää
niitä opetusryhmän kesken?
• Saako opetuksessa esittää opiskelijoiden tuotoksia? Saako niitä julkaista?
• Saako etäopetustilanteesta tehdä tallenteen ja jakaa sen luokan kesken?

29. Kysymys: tapahtumissa kuvaaminen
29
 Oppilaitoksen tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on lähtökohtaisesti sallittua.
 Jos kuvaaminen tapahtuu oppilaitoksen toimesta, tulee kuvien julkaisulle pyytää suostumus niissä
olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
 Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
 Oppilaitos ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien julkaisusta,
eikä sillä ole oikeutta kieltää sitä.
 Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako oppilaitoksen tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?

30. Henkilötietojen käsittely sähköisessä viestinnässä
30

31. Työnantajan laitteet ja ohjelmat
31
 Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
 Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
 Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
 Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
 Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
 Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.

32. Tietosuoja viestinnässä
32
 Normaalissa sähköpostissa:
 Tavalliset henkilötiedot (nimi, osoite jne.)
 Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
 Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
 Arkaluontoiset/erityiset henkilötiedot
 Salassa pidettävät tiedot ja asiakirjat
 Huijauksia on tavallista enemmän liikenteessä.
 Ohjeet, miten varmistaa viestien aitous?

33. Tietosuoja etäyhteyssovelluksissa
33
 Käytä vain oppilaitoksen sallimia sovelluksia.
 Toimita kutsu henkilökohtaisesti opiskelijoille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista tarvittaessa osallistujien henkilöllisyys.
 Varmista esittäjien osaaminen etukäteen.
 Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
 Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.

34. Pikaviestintä- ja etäkokoussovellusten ominaisuuksia
Lähde: Huoltovarmuusorganisaatio Digipooli, 2020, Ohjeita turvallisten etätyövälineiden valintaan,
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf
34

35. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
35
 Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
 Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
 Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
 Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
 Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
 Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?

36. Pilvipalvelut ja henkilötietojen siirto Yhdysvaltoihin
▪ Luultavasti yhdysvaltalaisen palvelun käyttö EU:ssa on laillista, jos se sitoutuu
henkilötietojen käsittelyssä EU-komission ns. mallisopimuslausekkeisiin sekä käyttää
lisätoimenpiteitä kuten vahvaa salausta ja pseudonymisointia tietojen siirrossa ja
tallennuksessa.
▪ Tausta: Henkilötietoja voitiin aiemmin siirtää Yhdysvaltoihin Privacy shield –järjestelmässä
mukana olevilla tahoille, mutta EU-tuomioistuin totesi sen pätemättömäksi 16.7.2020 (ns.
Schrems II –päätös).
▪ Yksi vaihtoehto on, että Yhdysvaltoihin ei siirretä lainkaan henkilöiden tunnistetietoja.
▪ Tarkista EU-USA-siirtojen perusteet jokaisen sovelluksen ja verkkopalvelun sopimuksesta
ennen kuin viet henkilötietoja niihin – olipa niiden kotimaa mikä tahansa.
▪ Varminta on käyttää EU:n ulkopuolisia verkkopalveluita rekisteröityjen suostumuksella.
▪ Muista, että rekisterinpitäjä on vastuussa, jos käsittely todetaan laittomaksi.
Lisätietoa: EDPB, Suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, 10.11.2020,
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_fi.pdf
36

37. Oppijoiden henkilötiedot verkkopalveluissa
37
Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset!
Opetuksen järjestäjän
hallinnoimat
asiointikanavat
(esim. Wilma)
Opetuksen järjestäjän
hallinnoimat viestintä- ja
oppimisalustat
(esim. 0365, Teams,
G Suite, Moodle)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
eivät näy julkisesti
(esim. Quizlet)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Opetuksen järjestäjän
hallinnoimat käyttäjätunnukset
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Opettajien luomat
tunnukset esim.
nimimerkki tai etunimi
Opettajan luomat
anonyymit tunnukset
tai ei tunnuksia
Saavatko oppijat rekisteröityä
palveluun itse koulussa?
Ok Ok Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Käyttö opetuksen aktivointiin,
materiaalien jakoon ym.
Ok Ok Ok Ok
Oppijoiden tekemät tehtävien
palautukset ja esim. kuvat
Ok Ok Ok Ei ilman suostumusta
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok Ei ilman suostumusta Ei
Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei
Sanalliset arvioinnit,
soveltuvuustestit ym.
Ok Ei Ei Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Ok Ei Ei Ei

38. Esimerkki viestinnän ohjeistuksesta
Lähde: Jyväskylän yliopisto, 16.3.2020,
https://www.jyu.fi/digipalvelut/fi/ohjeet/tietoturva/tietoturva-ja-tietosuoja-etatyossa
38

39. Opiskelijatiedot somepalveluissa
39
 Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
 Pyydä tarvittaessa suostumukset ja muista
oppijoiden ja huoltajien informointi, jos
somepalveluun tallentuu henkilötietoja.
 Tarkista palvelun käyttöehdot eli sopimus:
 Onko palvelu EU:ssa vai sen ulkopuolella?
 Onko palvelussa ikärajaa?
 Mitä henkilötietoja vaaditaan käyttäjiltä?
 Onko sopimusta henkilötietojen käsittelystä
organisaatioille?
 Mitä oikeuksia palvelu saa sisältöihin?
 Jälkihoito: henkilötietojen ja viestien poisto.

40. WhatsApp opetuksessa
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
 Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
 Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
 Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
 Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
 WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-

41. Milloin ja mihin etä- ja verkko-opetuksessa tarvitaan suostumus?
 Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole
opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä).
⬞  Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa.
 Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
⬞  Suostumus henkilötietojen siirrolle ko. palveluun ja maahan.
 Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia.
⬞  Suostumus henkilötietojen tai tuotosten julkaisulle.
 Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
⬞  Suostumus henkilötietojen käytön perusteena ko. palveluille.
 Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
⬞  Suostumus automaattiselle päätöksenteolle.
41

42. 42
Tietosuoja etä- ja verkko-opetuksessa
 Muista varovaisuus henkilötietojen tallentamisessa verkkoon.
 Useita somepalveluita voi käyttää ilman henkilötietojen antamista.
 Henkilötietojen tallentamiseen muihin kuin rekisterinpitäjän
hallinnoimiin verkkopalveluihin tarvitaan rekisteröityjen suostumus.
 Tunne käyttämiesi palvelujen käyttöehdot ja yksityisyyskäytännöt
(privacy policy).
 Pilvipalvelujen käyttöön on syytä sopia yhteinen toimintamalli.
 Työ- vai henkilökohtainen sähköpostiosoite tunnuksen luonnissa?
 Millä edellytyksin oppilaiden henkilötietoja voidaan viedä palveluun?
 Miten huolehditaan, ettei henkilötietoja ”unohdu” palveluun?
 Kertakirjautumista kannattaa käyttää aina, kun mahdollista: esim.
MPASSid ja Google-tunnuksella kirjautuminen muihin palveluihin.
 Linjaus yksityisten käyttäjätunnusten käytöstä työtehtäviin.
 Saako käyttää vai ei?
 Opettajaa ei voida myöskään velvoittaa käyttämään yksityisiä
käyttäjätunnuksia työssään (esim. Facebook), mikäli se ei ole ollut
edellytyksenä työtehtävän hoitamiselle.
 Pilvipalvelujen työkäyttöön on suositeltavaa olla työpuhelin.

43. Tunnista tietoturvariskit ja -loukkaukset

44. Vastuu tietosuojasta kulkee läpi organisaation
44
Tietosuojavastaavalla on
tärkeä rooli riskiarvioinnissa,
vaikutustenarvioinnissa ja
suositusten annossa!
Rekisterinpitäjä päättää
(tarkoitukset ja keinot) ja
toimeenpanee. Velvollisuus
kuulla tietosuojavastaavaa.

45. “
”…erilaisista ympäristöistä kerätään yhdenmukaista
dataa tietokantaan. Etu on siinä se, että kun meillä
opiskelijat ei toimi pelkästään Moodlessa, vaan
monessa eri palvelussa, niin jos ne palvelut tukevat
tätä standardia, voisimme kerätä yhtenevän
muotoista dataa opiskelijan tekemisestä yhteen
tietokantaan ja nähdä aika hyvän kokonaisuuden
tekemisestä.”
45
Lähde: Manninen, 2019, Analyysista adaptaatioihin - Oppimisanalytiikan hyödyntämismahdollisuudet Kaakkois-Suomen ammattikorkeakoulussa,
https://jyx.jyu.fi/bitstream/handle/123456789/64576/1/URN%3ANBN%3Afi%3Ajyu-201906133180.pdf
Läpäiseekö henkilötietojen käsittely riskiarviointia?

46. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
46

47. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi
47
 Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
 GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja
tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
 Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
 Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
 Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
 Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
 Monet kunnat käyttävät Microsoft Teams -sovellusta mm. varhaiskasvatus-, kehitys- ja
arviointikeskusteluihin sekä terveydenhuollossa potilaiden etävastaanottoon.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?

48. Tietoturvaloukkaus
48
Tietoturvaloukkauksella tarkoitetaan
henkilötietojen…
 vahingossa tapahtuvaa tai lainvastaista
tuhoamista
 häviämistä
 muuttamista
 luvatonta luovuttamista tai pääsyä tietoihin
Rekisterinpitäjällä on velvollisuus ilmoittaa 72
tunnin kuluessa tietoturvaloukkauksesta
tietosuojaviranomaiselle ja rekisteröidylle, jos
siitä aiheutuu korkea riski.

49. Esimerkkejä tietosuojaloukkauksista
49
Lähde: Tietosuojatyöryhmä, Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, 2017,
https://tietosuoja.fi/documents/6927448/8316711/Tietoturvaloukkauksen+ilmoittaminen+fi/9c0f2f46-33b1-4b01-9a50-9320d59bd605/Tietoturvaloukkauksen+ilmoittaminen+fi.pdf
Tapahtuma Ilmoitus
valvontaviranomaiselle?
Ilmoitus
rekisteröidyille?
Rekisterinpitäjä on tallentanut salatun varmuuskopion
henkilötietoja sisältävästä arkistosta USB-muistitikulle.
Muistitikku varastetaan murron yhteydessä.
Ei Ei
Rekisterinpitäjä ylläpitää verkkopalvelua. Palveluun tehdyn
verkkohyökkäyksen seurauksena henkilöiden henkilötietoja
varastetaan.
Kyllä, jos henkilöille
todennäköisesti aiheutuu
seurauksia.
Kyllä, jos henkilöille
todennäköisesti aiheutuvien
seurausten vakavuus on
suuri.
Henkilötietojen käsittelijänä toimiva pilvipalvelu havaitsee
virheen koodissa, jolla hallitaan käyttövaltuuksia. Vian
vaikutuksesta käyttäjät voivat nähdä toistensa tietoja
palvelussa.
Kyllä, kun rekisterinpitäjät
ovat saaneet tiedon
henkilötietojen käsittelijältä.
Ei, jos henkilöille ei
todennäköisesti aiheudu
korkeaa riskiä.
Suuren opiskelijamäärän henkilötiedot lähetetään
erehdyksessä väärälle postituslistalle, jolla on yli tuhat
vastaanottajaa.
Kyllä Kyllä, mahdollisten
seurausten vakavuudesta
riippuen.

50. Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla. 
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.

51. 51
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!