Koulutus Otavan opistolla, 2.5.2018, Harto Pönkä, Innowise

1. EU:n yleisen
tietosuoja-
asetuksen
perusteet
Harto Pönkä
2.5.2018
Kuva: Pixabay

2. Aloitetaan uutiskatsauksella…
Kuva: Roman Kraft @ Unsplash

3. Lähteet: Yle uutiset, https://yle.fi/uutiset/3-9684480, https://yle.fi/uutiset/3-8002554 ja https://yle.fi/uutiset/3-9736915,
Iltalehti: http://www.iltalehti.fi/kotimaa/201801222200687694_u0.shtml,
Tivi: http://www.tivi.fi/Kaikki_uutiset/jattimainen-tietovuoto-paljasti-monen-suuren-sivuston-kayttajatiedot-vaihda-salasanasi-naissa-palveluissa-6627758

4. Lähteet: HS: https://www.hs.fi/kotimaa/art-2000005557900.html, Yle uutiset: https://yle.fi/uutiset/3-7100385
ja https://yle.fi/uutiset/3-8596990, HS: http://www.hs.fi/kotimaa/art-2000005327088.html

5. Tietosuojasta huolehditaan, jotta jokainen tietäisi, mitä
tietoja hänestä kerätään ja miten niitä voidaan käyttää.
Yksityisyyden suoja on perusoikeus.

6. • Tietosuoja-asetusta sovelletaan osittain tai kokonaan automaattiseen
henkilötietojen käsittelyyn sekä henkilötietorekistereihin
• Sovelletaan 25.5.2018 lähtien, jolloin henkilötietojen käsittelyn tulisi
olla asetuksen mukaista.
• Koskee pääsääntöisesti kaikkia yksityisiä ja julkisia organisaatioita, jotka
ovat rekisterinpitäjiä tai henkilötietojen käsittelijöitä
• Asetuksessa henkilötiedot on määritelty vastaavasti kuin
henkilötietolaissa
• Uutta nykyiseen henkilötietolakiin verrattuna:
– Aiempaa yksityiskohtaisempi, mm. uusia oikeuksia rekisteröidyille
– Läpinäkyvyys ja osoitusvelvollisuus mm. dokumentoimalla
– Tietosuojavastaava, pakollinen julkisissa organisaatioissa
– Pakollinen tietomurroista ilmoittaminen
– Sakot (enintään 4 % liikevaihdosta tai 20 miljoonaa euroa)
– Yhden luukun periaate monessa EU-maassa toimiville rekisterinpitäjille
EU:n yleinen tietosuoja-asetus (GDPR)
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

7. Kuva: Matthew Henry @ Unsplash
Tietosuojalla suojataan ihmisten
oikeutta yksityisyyteen (tunnistettavuus).
Tietoturvalla suojataan henkilö- ja
muitakin tietoja laittomalta käytöltä.
Suojaustoimenpiteet suhteutetaan
riskiarvioon tietoturvauhista.

8. 4 artikla
Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen
henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään
luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti
tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen
taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen,
psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Mitä henkilötiedot ovat?

9. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

10. Arkaluontoiset henkilötiedot
Erityisiä henkilötietoryhmiä koskeva käsittely on kielletty
ilman nimenomaista suostumusta.
• rotu tai etninen alkuperä
• poliittiset mielipiteet
• uskonnollinen tai filosofinen vakaumus
• ammattiliiton jäsenyys
• terveyttä koskevat tiedot
• seksuaalinen suuntautuminen tai käyttäytyminen
• geneettiset ja biometriset tiedot henkilön tunnistamista
varten
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN

11. Kuva: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73

12. • Henkilötiedoilla tulee olla laillinen lähde ja oikeusperuste
käsittelylle – tietojen saantitavasta riippumatta.
• Varminta on pyytää henkilötiedot suoraan rekisteröidyiltä.
– Lomakkeilla, sopimuksilla, suullisesti, puhelimessa…
• Yritysten yhteyshenkilöiden tietoja voi kerätä esimerkiksi
verkkosivustoilta (B2B-markkinointi on hyväksyttävä
rekisterinpitäjän oikeutettu etu).
• Monet tahot tarjoavat tietoja mm. hakupalvelujen ja
ohjelmistorajapintojen kautta (esim. Facebook ja Twitter).
– Tarkista, millä ehdoin tietoja saa käyttää ja säilyttää.
• Henkilötietoja voi myös ostaa. Väestörekisterikeskus, Trafi
ja monet yritykset myyvät niitä.
Henkilötietojen kerääminen

13. Kerää vain
käyttötarkoitukseen
liittyviä tietoja
siihen sopivassa
laajuudessa.
Kerää vain tietoja, joita
rekisteröity voi
rekisteriselosteen perusteella
kohtuudella odottaa.
Jokaista tietoa ei tarvitse
mainita selosteessa erikseen
– sopiva tarkkuus riittää.
Kerro selosteessa, kuinka
kauaa tietoja säilytetään.

15. 4 artikla
6) ’rekisterillä’ mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta
tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai
toiminnallisin tai maantieteellisin perustein jaettu,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Rekisteri ja rekisterinpitäjä
7) ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai
muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn
tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai
jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset
kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti,

16. Rekisterinpitäjän velvollisuuksia

17. • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
• Käyttötarkoitussidonnaisuus
– Kuitenkin myös arkistointi-, tutkimus- ja tilastointikäyttö on yleensä sallittua
• Tietojen minimointi
– Vain tarkoitukseen olennaiset tiedot.
• Tietojen täsmällisyys
– Tietojen päivittäminen, tarkistaminen, virheiden korjaus
• Tietojen säilytyksen rajoittaminen
– Tietoja säilytetään vain tarvittavan ajan
• Tietojen eheys ja luottamuksellisuus
– Suojaus, käytön valvonta, varmuuskopiointi
• Rekisterinpitäjän osoitusvelvollisuus
Tietosuojaperiaatteet
Lisätietoa: Tietosuoja-asetuksen 5 artikla,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e1793-1-1

18. Läpinäkyvyys
luo luottamusta
Kuva: Jack Kaminski @Unsplash

19. 4 artikla
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai
henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai
manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä,
säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista
siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai
yhdistämistä, rajoittamista, poistamista tai tuhoamista,
Lähde: EU:n yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR), 2016/679,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN
Henkilötietojen käsittely

20. • Rekisterinpitäjän tulee oletusarvoisesti käsitellä vain kunkin tarkoituksen
kannalta tarpeellisia henkilötietoja
• Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta,
säilytysaikaa ja saatavilla oloa.
• Rekisterinpitäjän on huolehdittava erityisesti siitä, että henkilötietoja ei
julkaisesti saatavilla, vaan niitä käsitellään suojatusti.
• Rekisterinpitäjän vastuulla on arvioida ja toteuttaa tarpeelliset tekniset
suojatoimet ja toimenpiteet organisaatiossaan. Esimerkiksi:
– Henkilöstön koulutus
– Ohjeistukset ja määräykset
– Salassapitositoumukset
– Tilojen ja tietojärjestelmien valvonta
– Tietojärjestelmien tietoturva
– Tietojen salaus, anonymisointi tai pseudonymisointi, tekniset rajoitukset
– Auditoinnit, tietotilinpäätökset jne.
• Rekisterinpitäjä määrittelee pääsääntöisesti itse tarvittavat toimenpiteet.
Tietosuoja lähtee jo toiminnan ja tietojärjestelmien suunnittelusta.
Oletusarvoinen tietosuoja
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

21. • Henkilötietoja ei saa käyttää vastoin niiden alkuperäistä
tarkoitusta tai tavoilla, joita rekisteröity ei voi odottaa.
• Jokainen työntekijä saa käsitellä (ja nähdä) vain niitä
henkilötietoja, jotka liittyvät hänen työtehtäviinsä.
• Työnantaja huolehtii henkilötietojen käsittelyn ohjeistuksesta,
koulutuksesta ja vaitiolovelvollisuudesta työntekijöille.
• Henkilötietoja käsitellään niin, etteivät sivulliset näe niitä.
• Henkilötietoja ei julkaista tai luovuteta ilman rekisteröidyn
informointia (rekisteriseloste) tai suostumusta.
• Tietojen säilytyksessä noudatetaan fyysistä tietoturvaa, esim.
valvotaan tiloja ja laitteita sekä lukitaan ovet.
• Tietojärjestelmissä käytetään henkilökohtaisia
käyttäjätunnuksia sekä huolehditaan käyttöoikeuksista ja
seurannasta (lokit).
Henkilötietojen käsittelyn perusteita

22. Selosteet ja oikeusperusteet

23. • Kun henkilörekisteri muodostuu, rekisterinpitäjän tulee tehdä rekisteriseloste
ja se tulee olla jokaisen saatavilla.
• Rekisteri voi olla myös usean yhteisrekisterinpitäjän yhteinen
• Rekisteriselosteessa tulee kertoa seuraavat asiat (HetiL 10 §):
– Rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
– Henkilötietojen käsittelyn tarkoitus
– Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
– Mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle
– Kuvaus rekisterin suojauksen periaatteista
– Rekisterissä mainitaan yleensä laatimispäivä ja viimeisimmän muutoksen päivämäärä
• Tietosuoja-asetuksen uusia vaatimuksia mm.
– Mahdollinen tietosuojavastaava ja tämän yhteystiedot
– Henkilötietojen käsittelyn oikeusperuste
– Henkilötietojen säilytysaika
– Henkilötietojen luovutuksen vastaanottajat
– Rekisteröityjen uudet oikeudet
• Rekisteriselosteeseen liitetään usein kuvaus rekisteröidyn oikeuksista,
jolloin muodostuu tietosuojaseloste. Näin rekisterinpitäjä täyttää samalla
informointivelvollisuuden kertoa rekisteröidyille heidän oikeuksistaan.
Rekisteriseloste ja tietosuojaseloste
Lähde: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523

24. Alle 250 työntekijän yritykset ja järjestöt
Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)

25. • Yksityisen henkilön yksityiseen tarkoitukseen tekemä rekisteri kuten
kännykän tai sähköpostin kontaktilista ei vaadi rekisteriselostetta
– Henkilötietolakia ei sovelleta lainkaan
• Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai
kirjallisen ilmaisun tarkoituksia varten ei tarvitse tehdä
rekisteriselostetta
– Voimassa vain muutamat henkilötietolain kohdat
• Kunnan toimielinten esityslistojen ja pöytäkirjojen ei ole katsottu
yksinään muodostavan henkilörekisteriä
– Arvioitava tapauskohtaisesti, milloin henkilötietoja on syytä julkaista
– Liitteenä ei voida julkaista varsinaisten henkilötietorekisterien tietoja
Poikkeuksia
Lähteet: Henkilötietolaki, 22.4.1999/523, http://www.finlex.fi/fi/laki/ajantasa/1999/19990523 ja
Kuntaliiton yleiskirje 15/2017: https://www.kuntaliitto.fi/yleiskirjeet/2017/kunnan-verkkotiedottaminen-seka-henkilotietojen-kasittely-ja-
julkisuus-kuntalain#henkilotiedot-ja-verkkotiedottaminen

26. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Kerro tässä tarkoituksen lisäksi oikeusperuste:
- Henkilön suostumus
- Sopimus, jossa rekisteröity osapuolena
- Laki
- Julkisen tehtävän hoitaminen
- Rekisterinpitäjän oikeutettu etu
(esim. asiakassuhde, työsuhde, jäsenyys)

27. Kuvakaappaus Oulun kaupungin opetustoimen rekisteriselosteesta: https://www.ouka.fi/c/document_library/get_file?uuid=d04cc48d-
822c-4118-b11d-10b63dbbd1ea&groupId=64277 (29.11.2017)

28. • Henkilötietojen käsittelylle on aina oltava laissa säädetty oikeusperuste
• Henkilötietojen käsittely voi perustua:
– Henkilön suostumukseen
– Sopimukseen, jossa rekisteröity on osapuolena
– Rekisterinpitäjän lakisääteiseen velvoitteeseen
– Elintärkeiden etujen suojaamiseen (esim. hätätilanne)
– Julkisen tehtävän hoitamiseen tai yleiseen etuun
– Rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun (esim. asiakassuhde tai
työsuhde)
• Erityisiin henkilötietoryhmiin (arkaluontoiset henkilötiedot) kuuluvien tietojen
käsittely on lähtökohtaisesti kielletty.
– Mahdollista kuitenkin nimenomaisella suostumuksella
• Aiemmin kerättyjä henkilötietoja voidaan käsitellä myöhemmin
– yleisen edun mukaisia arkistointitarkoituksia,
– tieteellisiä tai historiallisia tutkimustarkoituksia
– tai tilastollisia tarkoituksia varten
Henkilötietojen käsittelyn oikeusperusteet
Lähde: Tietosuojavaltuutetun toimisto, 2018, Henkilötietojen käsittelyn oikeusperusteet,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/kasittelyperusteet.html#rekisterinpitajanoikeutettuetu

29. • Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
• Suostumusta ei voi antaa:
– Vaikenemalla
– Valmiiksi rastitetulla ruudulla
– Jättämättä jotakin tekemättä
• Rekisterinpitäjän on voitava osoittaa suostumuksen
olemassaolo
• Tietosuoja-asetuksen mukaan alle 16-vuotiaalta
tarvitaan huoltajan suostumus henkilötietojen
käsittelylle.
– Kansallisesti voidaan määrätä ikärajaksi vähintään 13 vuotta
– Suomessa ei ole vielä päätöstä ikärajasta, ehdotus 13 tai 15 v.
(Nykyisenä rajana on 15 vuotta.)
Suostumuksen antaminen
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

30. Mallit ja ohjeet selosteiden laadintaan: http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html
Huomaa, että Tietosuojavaltuutetun
toimiston tietosuojaselosteen pohjassa ei
ole vielä huomioitu EU:n yleisen
tietosuoja-asetuksen vaatimuksia!

31. Kuvakaappaus Espoon kaupungin Google G Suite for Education –palvelun tietosuojaselosteesta:
http://www.espoo.fi/download/noname/%7BD288C16C-71F6-40EE-9A16-34F6864CC620%7D/86398 (29.11.2017)

32. Koulutoimessa
muodostuvia
rekistereitä
Lähde: OPH, 2013, Julkisuus ja tietosuoja
opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja
_tietosuoja_opetustoimessa.pdf

33. • Opiskelijat / asiakkaat
• Hakijat
• Huoltajat
• Opettajat ja muu henkilökunta
• Vierailijat, kulunvalvonta, kameravalvonta
• Kyselyaineistot
• Tapahtumien osallistujat
• Kilpailujen ja arvontojen osallistujat
• Yhteystyökumppaneiden edustajat
• Markkinointirekisterissä olevat
– Aiemmat opiskelijat / asiakkaat
– Yhteyttä ottaneet ja muut liidit esim. messuilla yhteystietonsa antaneet
Rekistereitä ja rekisteröityjen ryhmiä

34. • Oikeus saada läpinäkyvää tietoa henkilötietojen käsittelystä
(informointivelvollisuus)
– Ilmoittaminen henkilötietojen käsittelystä ja rekisterinpitäjästä (rekisteri-/tietosuojaseloste)
– Helposti ymmärrettävässä ja saatavilla olevassa muodossa
– Kuukauden määräaika rekisteröityä koskeviin toimenpiteisiin vastaamisessa. Tarvittaessa
enintään kaksi kuukautta lisäaikaa, jos rekisteröidyn pyyntö on monimutkainen tai laaja.
• Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)
– Oikeus tietää, käsitelläänkö henkilöä koskevia tietoja yhä
– Oikeus saada jäljennös henkilötiedoista
– Rekisterinpitäjä voi pyytää lisätietoja henkilöllisyyden varmistamiseksi
• Oikeus tietojen oikaisemiseen
– Rekisterinpitäjällä on velvollisuus korjata puutteelliset tai virheelliset tiedot viivytyksettä
• Oikeus tietojen poistamiseen / oikeus tulla unohdetuksi
– Rekisterinpitäjällä on myös velvollisuus kertoa tietojen poistamisesta muille rekisterinpitäjille,
joille se on luovuttanut kyseisiä tietoja
Rekisteröidyn oikeudet 1/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

35. • Oikeus käsittelyn rajoittamiseen
– Jos rekisteröity kiistää henkilötietojen paikkansapitävyyden, kunnes tiedot on varmistettu.
– Jos käyttö on lainvastaista, mutta rekisteröity vastustaa niiden poistamisesta
– Jos rekisterinpitäjä ei tarvitse tietoja, mutta rekisteröity tarvitsee niitä oikeusturvansa vuoksi
– Jos rekisteröity on vastustanut henkilötietojen käsittelyä
• Oikeus siirtää tiedot järjestelmästä toiseen
– Jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa
– Tietojen siirto suoraan järjestelmästä toiseen, mikäli se on teknisesti mahdollista
– Koskee vain rekisteröityjä, joiden tietojen käsittely perustuu suostumukseen tai sopimukseen, ja
jos käsittely tapahtuu automaattisesti.
• Vastustamisoikeus (kielto-oikeus)
– Rekisteröity voi vastustaa esimerkiksi tietojen käyttöä suoramarkkinointia varten
• Automatisoidut yksittäispäätökset ja profilointi
– Rekisteröidyllä oltava vähintään oikeus vaatia, että tiedot käsittelee ja päätöksen tekee
luonnollinen henkilö, saada esittää kantansa ja riitauttaa tehty päätös
Rekisteröidyn oikeudet 2/2
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautu
a_EUn_tietosuoja-asetukseen.pdf

36. Rekisteri- ja tietosuojaselosteen malli
Katso GDPR:n mukainen rekisteri- ja
tietosuojaselosteen malli:
http://www.innowise.fi/fi/gdprn-mukainen-
rekisteri-ja-tietosuojaselosteen-malli/

37. Mihin ja miten tietoja saa käyttää?

38. Käyttötarkoitussidonnaisuus
Alkuperäiseen
yhteensopivat muut
tarkoitukset, joita voi
kohtuudella odottaa
Yleisen edun mukaiset
arkistointitarkoitukset,
tieteelliset tai historialliset
tutkimustarkoitukset
tai tilastolliset tarkoitukset
Muut tarkoitukset
OK
EI
Muut tarkoitukset, joihin
on saatu suostumus
OK
OK
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset

39. - Voiko yhteistä Excel-taulukkoa pitää missään verkkopalvelussa,
esim. oppilaitoksen omassa 0ffice 365:n OneDrivessa?
- Voiko Excel-tiedostoja lähettää toisille sähköpostilla?
- Myös Googlen lomakekyselyt luovat helposti vastaavan Excelin.
Kysymys: henkilötiedot pilvipalveluissa
• Lähtökohtaisesti on pidettävä huolta, että henkilötietorekisterin tietoihin on
pääsy vain niillä työntekijöillä, joiden työtehtäviin se kuuluu.
• Periaatteessa estettä Microsoftin ja Googlen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä. Tämä kannattaa ohjeistaa
organisaatiossa tarkemmin.
• Organisaation kannattaa ohjeistaa, saako esim. yksityistä Google-tunnusta ja
sen alaista Google Drive -palvelua käyttää työhön liittyvien henkilötietojen
käsittelyssä.
• Jos esim. Google-lomakkeella kerätään henkilötietoja, on sitä varten oltava
rekisteri- ja tietosuojaseloste ja se tulee linkittää lomakkeelle. Tietojaan
antavien henkilöiden tulee voida tietää etukäteen, miten heidän tietojaan
käytetään.

40. Samat tiedot ja tarkoitus = sama rekisteri
Rekisteriin
kerätyt
henkilötiedot
Alkuperäiset
tarkoitukset
Rekisteri ei tarkoita vain
yhtä tietojärjestelmää tai
tietojen säilytyspaikkaa.
Rekisteri voi olla
hajautettu ja siitä voidaan
ottaa osia käyttöön.

41. • Kun kerätään henkilötietoja, jotka eivät sovi sisällöltään ja
käyttötarkoitukseltaan johonkin rekisterinpitäjän aiempaan rekisteriin, on
kyse uudesta rekisteristä.
• Jos tietoja käytetään muuhun tarkoitukseen, joka on yhteensopiva alkuperäisen
tarkoituksen kanssa, voi tiedoista muodostua uusi rekisteri.
• Jos rekisteröidyiltä pyydetään uusia tietoja ja/tai suostumus uutta
käyttötarkoitusta varten, voi tiedoista muodostua uusi rekisteri.
– Vaihtoehtoisesti suostumukset eri käyttötarkoituksia varten voidaan sisällyttää yhteen rekisteriin
• Jos rekisteristä luovutetaan henkilötietoja toiselle taholle tai jos tietoja
vastaanotetaan toiselta, syntyy vastaanottajalle uusi rekisteri.
– Tietojen luovutuksesta ja vastaanottajista tulee olla informoitu rekisteröityjä
• Jos osaa tiedoista käytetään arkistointitarkoituksiin, historialliseen tai
tieteelliseen tutkimukseen tai tilastollisiin tarkoituksiin, voi kyseisistä tiedoista
muodostua uusi rekisteri.
– Näitä tarkoituksia varten tietoja voidaan luovuttaa myös muille tahoille.
– Tarpeettomia tietoja ei tule käsitellä. Tiedot voi myös pseudonymisoida tai anonymisoida.
Milloin voi muodostua uusi rekisteri?

42. • Vastaanottajalla tarkoitetaan tahoa, jolle henkilötietoja luovutetaan.
– Luonnollinen henkilö, yritys, yhdistys, viranomainen, virasto tms.
– Yhteisrekisterinpitäjät ja henkilötietojen käsittelijät
– Kuvaa rekisteriselosteessa esim. vastaanottajien tyyppi (esim. mitä käsittelytoimia
tekee), toimiala, sektori sekä sijainti.
• Vastaanottajalla tulee olla oikeusperuste henkilötietojen käsittelylle.
• Lakeihin perustuvaa tietojen luovutusta viranomaisille (esim. tilastot ja
selvitykset) ei tarvitse kuvata rekisteriselosteessa.
• Kerro selosteessa, jos tietoja siirretään EU:n ulkopuolelle tai
kansainväliselle järjestölle. Selosteessa tulee kertoa, mihin tietosuoja-
asetuksen kohtaan siirto perustuu:
– EU-komission hyväksymät maat (artikla 45)
– Tietosuojaa koskevat vakiolausekkeet, käytännesäännöt ja sertifikaatit (artikla 46)
– Yritystä koskevat sitovat säännöt (artikla 47)
– Erityistilanteet, kuten rekisteröidyn suostumus tai sopimus (artikla 49)
Henkilötietojen luovuttaminen
Lähde: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/selostekasittelytoimista.html

43. • Koskee tilannetta, jossa:
– henkilötietoja käsitellään automaattisesti
– kyse on henkilötiedoista, jotka rekisteröity on itse toimittanut
– käsittelyperusteena on suostumus tai sopimus
– tietojen siirto ei vaikuta haitallisesti kolmansiin osapuoliin.
• Oikeus saada tiedot yleisesti käytetyssä tiedostomuodossa
tiedoista ja toimialasta riippuen (esim. CSV).
• Oikeus siirtää tiedot suoraan rekisterinpitäjältä toiselle, jos se on
teknisesti mahdollista.
• Ei koske tietoja, jotka rekisterinpitäjä on itse luonut tai koostanut.
• Rekisterinpitäjän tulee varmistaa henkilöllisyys tarvittaessa.
• Vastaus pyyntöön kuukauden sisällä, tarvittaessa 2 kk lisäaikaa.
• Tietoja vastaanottavaa rekisterinpitäjää koskee normaalit GDPR:n
vaatimukset (oikeusperuste, tietojen minimointi jne.).
Tietojen siirto järjestelmästä toiseen
Lisätietoa: Tietosuojavaltuutetun toimisto, 2018,
http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietojensiirto.html

44. Esimerkkejä opetuksen tilanteista

45. • Henkilötietorekisterin tietojen julkaisu netissä tai somepalveluissa tarkoittaa
henkilötietojen sähköistä luovuttamista – älä tee ilman suostumusta!
• Henkilötietoja (nimi, arvosanat jne.) ja oppilasta koskevia päätöksiä voidaan
julkaista netissä vain oppilaan tai alaikäisen oppilaan huoltajan suostumuksella
– Oppilaitoksessa henkilötietojen käsittelyn tarkoitus on opetuksen järjestäminen.
Siten henkilötietojen julkaisun netissä tulee liittyä opetuksen järjestämiseen.
• Tunnistamisen mahdollistava valokuva on henkilötieto, jonka julkaisuun
tarvitaan myös asianomaisen lupa
• Henkilötietolain mukaan opiskelijavalinnan tuloksista voidaan ilmoittaa netissä.
– Hakijoilta ja alaikäisten huoltajilta tarvitaan suostumus
– Valitut hakijat aakkosjärjestyksessä, ei valitsematta jätettyjä
– Henkilötunnusta ei pidä julkaista netissä
– Samannimisistä hakijoista voidaan ilmoittaa syntymäaika
Oppilaiden tietojen julkaisu netissä
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

46. Lähetä suojatussa sähköpostissa:
• Arkaluontoisia henkilötietoja
• Lain mukaan salassapidettäviä tietoja ja asiakirjoja
– Terveyteen ja sosiaalihuoltoon liittyvät tiedot
– Oppilashuoltoon ja erityiseen tukeen liittyvät tiedot
– Henkilökohtaisten ominaisuuksien sanalliset arvioinnit
– Tiedot psykologisesta testistä ja soveltuvuuskokeesta
sekä niiden tuloksista
– Tiedot oppilaiden, henkilöstön ja näiden perheenjäsenten
elinoloista ja taloudellisesta asemasta
Voi lähettää normaalissa sähköpostissa:
• Tavanomaiset henkilötiedot (nimi, yhteystiedot jne.)
• Valintatulokset, koearvosanat
• Henkilötunnus, jos rekisteröity on hyväksynyt tämän
• Edellytys: henkilökohtaiset sähköpostilaatikot ja tietoturva kunnossa
Henkilötietojen lähetys sähköpostilla
Lähteet: Tietosuojavaltuutetun päätös, 2008, http://www.tietosuoja.fi/fi/index/ratkaisut/saakohenkilotietojalahettaasahkopostilla.html
OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

47. Huoltajien toimesta:
• Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden rekisteristä, josta
koulu ei ole vastuussa.
Koulun toimesta:
• Huoltajille kerrotaan luettelon laatimisesta ja jakamisesta ja samalla
vanhempia pyydetään ilmoittamaan ne yhteystiedot, joiden antamiseen
he suostuvat
• Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voi
antaa, jos ne ovat julkisia. Suositeltavaa on kuitenkin pyytää kysyjää
hankkimaan yhteystiedot julkisesta lähteestä.
• Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman huoltajan
suostumusta. Salassapito tulee merkitä oppilasrekisteriin.
Yhteystietojen jakaminen koteihin
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa,
http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf

48. Osallistujalistojen jako ulkopuoliselle?

49. Lisätietoa: Tietosuojavaltuutetun päätös 1222/41/2013,
http://www.tietosuoja.fi/fi/index/ratkaisut/virkamiestenkuvaaminenjahenkilotietojenjulkaiseminenvideotallenteenmuodossasosiaalisess
amediassa.html ja Marko Forss, 17.10.2016, http://markofobbaforss.puheenvuoro.uusisuomi.fi/224559-saako-opettajaa-kuvata
Opetuksen videokuvaaminen

50. - Harjoittelusopimuksen allekirjoittaa opiskelija, korkeakoulun
edustaja ja harjoittelupaikan ohjaaja.
- Miten harjoittelusopimuksia tulisi säilyttää/käsitellä?
- Jos korkeakoulu kerää sopimuksista listan harjoittelupaikoista, jota
hyödynnetään harjoittelupaikkojen markkinoinnissa opiskelijoille,
onko kyseessä erillinen rekisteri?
Kysymys: harjoittelusopimukset
• Harjoittelusopimuksia tietoineen tulee käyttää lähtökohtaisesti vain
alkuperäiseen tarkoitukseen (harjoitteluun liittyviin asioihin).
• Harjoittelusopimuksia ja niiden tietoja tulee säilyttää vain tarvittavan ajan.
• Harjoittelusopimuksissa mainitut harjoittelupaikat eivät yksinään ole
henkilötietoja. Rekisteri syntyy, jos samaan yhteyteen tallennetaan esimerkiksi
harjoittelupaikkojen yhteyshenkilöiden tietoja.
• Sopimuksessa olisi hyvä olla erillinen kohta, jossa harjoittelupaikan edustaja voi
hyväksyä tietojen käytön markkinoinnissa. Samassa yhteydessä voisi antaa
erikseen markkinoinnissa käytettävät yhteystiedot.

51. Vastuun jakaantuminen organisaatiossa

52. • Tietosuojavastaavan tehtävänä on neuvoa, kehittää ja seurata henkilötietojen
käsittelyä organisaatiossa
• Tietosuojavastaava on nimitettävä, kun
– rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet)
– ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä
seurantaa, tai
– henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin
kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen
vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin.
• Konsernilla sekä usealla viranomaisella tai julkishallinnon toimijalla voi olla
yhteinen tietosuojavastaava.
• Tietosuojavastaava voi olla ulkoistettu palveluntarjoaja.
• Tietosuojavastaavan yhteystiedot julkistetaan ja ilmoitetaan
valvontaviranomaiselle.
• Tietosuojavastaavalla on vahva asema: riippumaton tehtävässään, raportoi
suoraan johdolle, ei saa irtisanoa tehtäviensä hoidon takia.
Tarvitsetko tietosuojavastaavan?
Lisätietoa: Tietosuoja-asetuksen 4 jakso,
http://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL#d1e3702-1-1

53. Kenellä on vastuu tietosuojasta?
Lähde: Kuntaliitto ja VM, Arjen tietosuojaa, 22.6. 2017, http://vm.fi/documents/10623/4914009/Arjen+tietosuoja+-
koulutusmateriaali/8d13c7db-0f52-44ee-954a-74f24feade73
Rekisterinpitäjä
- Vastuussa rekisterin henkilötietojen käsittelyn lainmukaisuudesta
- Voi olla yksi tai useampi henkilö, yritys tai muu organisaatio
Organisaation johto ja esimiehet
- Kokonaisvastuu henkilötietojen käsittelyn lainmukaisuudesta
- Esimerkin näyttäminen
Tietosuojavastaava
- Vastaa neuvonnasta, kehittämisestä
ja seurannasta sekä yhteydenpidosta
valvontaviranomaiseen
Henkilöstö
- Jokainen on vastuussa toiminnastaan
- Ohjeiden noudattaminen
- Ongelmista ilmoittaminen

54. Kuva: Tietosuoja - Paremmat säännöt pienten yritysten kannalta, http://ec.europa.eu/justice/smedataprotect/index_fi.htm (27.2.2018)

55. • Organisaatiossa olevat rekisterit ja niiden rekisteri- ja
tietosuojaselosteet
• Rekisteröityjen tärkeimmät oikeudet
• Henkilötietojen turvallinen säilytys, tietoturva
• Eri työtehtäviin sisältyvä henkilötietojen käsittely
• Henkilötietojen käsittelyn yleiset tietosuojaperiaatteet
• Henkilötietojen käsittelyn seuranta ja valvonta (merkinnät
käsittelytoimista, tietojärjestelmin lokit)
• Uusien rekistereiden teossa huomioitavat asiat ja niihin liittyvä yhteinen
toimintamalli
• Sopimukset henkilötietojen käsittelystä silloin, kun tietoja käsittelee
ulkopuolinen taho
• Salassapito
• Ongelmista ja tietovuodoista ilmoittaminen
• Mistä saa lisätietoa, keneltä voi kysyä, mahdollinen tietosuojavastaava
Mitä asioita kannattaa ohjeistaa?

56. Harto Pönkä
http://twitter.com/hponka/
http://slideshare.com/hponka
http://harto.wordpress.com/
http://www.innowise.fi/
Kiitos!