Kimpisen koululla ja lukiolla verkko-ongelmia. Lue lisää tilannehuoneesta...

Tietosuoja

Tietosuojaperiaatteet

  • Tietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn (oppilas ja huoltajat) kannalta läpinäkyvästi
  • Tietoja on kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus). Tietoja ei saa myöhemmin käyttää toiseen tarkoitukseen.

  • Tietoja on kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden (tietojen minimointi). Jokainen pyydetty tieto täytyy pystyä perustelemaan.

  • Tietojen tulee olla täsmällisiä. Tietoja on päivitettävä aina tarvittaessa. Epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä

  • Tietojen säilytys pitää minimoida. Säilytykseen täytyy olla aina peruste. 

  • Tietoja on käsiteltävä luottamuksellisesti ja turvallisesti.

Tietojen käsittely

GDPR

Tietosuoja-asetuksessa (GDPR) on kuusi perustetta, joihin vedoten henkilötietoja saa käsitellä.

  • Lakisääteiset tehtävät
  • Sopimus

  • Yleinen etu tai julkisen vallan käyttö

  • Oikeutettu etu

  • Elintärkeä etu

  • Rekisteröidyn suostumus

Näistä ehdoista vähintään yhden pitää täyttyä. Kouluissa tietoja käsitellään ensisijaisesti lakisääteisen tehtävän perusteella (perusopetus tai -lukiolaki), ja kaikki muut ovat poikkeustapauksia.

Yleinen virhekäsitys on, että kaikkeen käsittelyyn pitäisi pyytää suostumus, vaikka ensisijaisesti pitäisi löytyä muu peruste (ks. kohta milloin pyydetään suostumus).

Suostumus tietojen käsittelyssä

Milloin pyydetään suostumus tietojen käsittelyyn?

Ollakseen pätevä, suostumuksen on oltava:

  • yksilöity → on selvää, mihin suostumus annetaan, ja kohde on rajattu. Jos tietoja käsitellään useaan käyttötarkoitukseen, pitää jokaiseen pyytää erikseen suostumus

  • vapaaehtoinen → suostumuksesta pitää voida aidosti kieltäytyä ja se pitää voida peruuttaa milloin tahansa

  • tietoinen → suostumusta ei voi antaa vahingossa tai jättämällä jotain tekemättä. Suostumusta varten pitää tehdä jotain aktiivisesti, esim. laittaa itse rasti ruutuun.

  • yksiselitteinen → koulun on pystyttävä jälkikäteen todistamaan, että suostumus on annettu

Koulut käsittelevät oppilaiden ja huoltajien tietoja pääasiassa lakisääteisin perustein (perusopetus- tai lukiolaki) ja suostumusta pitäisi käyttää vain poikkeustilanteissa. Tällainen tilanne on lähinnä oppilaan kuvan tai esim. kuvaamataidon työn julkaisu koulun kotisivuilla tai somessa. Sen sijaan esim. etäopetus on osa opetusta, ja käsittelyperuste on edelleen lakisääteiset tehtävät, eikä suostumusta pyydetä.

Suostumuksen käyttöä kouluissa rajaa moni asia. Huoltajan ja erityisesti oppilaan suhde kouluun on epäsuhtainen, sillä koulu käyttää julkista valtaa suhteessa oppilaaseen. Siksi suostumus ei yleensä täytä aidon vapaaehtoisuuden vaatimusta.

Toinen pohdittava asia on se, mitä seuraa jos suostumusta ei anna tai sen peruuttaa. Tästä ei saa olla negatiivisia seurauksia, eikä suostumus voi olla ehto esimerkiksi palvelun käytölle. Ennen kuin pyydät suostumuksen, mieti siis aina sitä, mitä teet, jos oppilas/huoltaja ei anna suostumustaan. Jos sinulla ei ole tarjota vaihtoehtoa, ei suostumus todennäköisesti tulee kyseeseen.

Suostumus pyydetään huoltajalta, kun oppilas on alle 15-vuotias ja oppilaalta itseltään, kun hän on yli 15-vuotias.

Suostumusta pyydettäessä on muistettava, että suostumus vaatii jotain aktiivista tekemistä. Suostumusta ei siis voi antaa vahingossa tai jättämällä jotakin tekemättä. Eli yksinkertaisimmillaan ruksi pitää itse laittaa ruutuun. Sen sijaan ei voi tehdä esim. niin, että pyydettäessä huoltajan suostumusta koulu laittaa Wilma-viestin kaikille huoltajille, ja pyytää niitä huoltajia vastaamaan, jotka eivät halua lapsensa tietoja käsiteltävän. Tämän kaltainen menettely ei täytä aktiivisen toiminnan ehtoa.

Termit

1. Tietosuoja

Tietosuoja on laaja käsite, jolla tarkoitetaan erityisesti henkilötietojen suojaamista. Tietosuojaan kuuluu mm. kysymykset siitä, mitä tietoja ihmisistä saadaan käsitellä ja millä perustein, sekä miten näitä tietoja tulee käsitellä. Tietosuojalainsäädäntö on kokonaisuus, jonka muodostavat EU:n yleinen tietosuoja-asetus (GDPR) ja sitä täydentävä kansallinen tietosuojalaki

Henkilötieto. Henkilötietoa on kaikki sellainen tieto, joka voidaan suoraan tai epäsuorasti yhdistää tiettyyn ihmiseen. Suora henkilötieto on esim. nimi, hetu, osoite. Epäsuora henkilötieto on esim. auton rekisterinumero. Se ei itsessään kerro auton omistajaa, mutta sen avulla omistajan voi jäljittää. Erityisesti epäsuoran henkilötiedon käsite on siis varsin laaja, ja siksi melkein kaikki tiedot voidaan katsoa henkilötiedoiksi.

Henkilörekisteri on samaan käyttötarkoitukseen kerätty henkilötietojen joukko, josta yksittäinen ihminen on helposti löydettävissä. Rekisteri voi muodostua joko sähköisestä järjestelmästä tai analogisesta aineistoista. Esim. Wilma tai oppilaiden todistukset (tulostettuna) katsotaan henkilörekisteriksi. Rekisterin käsittelyssä on syytä noudattaa erityistä huolellisuutta, koska riskit koskevat useita henkilöitä. Erityisesti Wilma/Primus on erityisen laaja henkilörekisteri. On kuitenkin tärkeää muistaa, että tietosuoja-asetuksen velvoitteet koskevat kaikkea henkilötiedon käsittelyä, ei pelkästään henkilörekistereitä.

Tietoturva on yksi tietosuojan toteuttamisen keinoista. Sillä tarkoitetaan erityisesti teknisiä toimenpiteitä, joilla tietojen eheys, luottamuksellisuus ja saavutettavuus varmistetaan.

2. Asiakirjajulkisuus

Asiakirjalla tarkoitetaan paitsi perinteistä paperiasiakirjaa, myös esimerkiksi sähköistä tiedostoa tai audiovisuaalisessa muodossa olevaa tallennetta, esimerkiksi videotallennetta koulun joulujuhlasta.

Viranomaisen asiakirjan määritelmä löytyy julkisuuslaista. Viranomaisen asiakirjaan kohdistuu julkisuusolettama. Viranomaisen asiakirjoja koulussa ovat mm. todistukset, kokeet ja tiedotteet. Julkisuuslaissa määritellään myös se, mitä ei pidetä viranomaisen asiakirjana. Nämä ovat ei-julkisia asiakirjoja, eli niihin ei kohdistu julkisuusolettamaa. Esimerkkejä ei-julkisista asiakirjoista: koulun sisäiseen työskentelyyn liittyvät asiakirjat, kuten sisäiset ohjeet tai muistiot opettajien kokouksesta. Wilma-viestit ovat pääasiassa ei-julkisia.

Asiakirjajulkisuus ja julkisuusolettama. Suomessa viranomaisen toiminta on lähtökohtaisesti julkista. Viranomaisen asiakirjat ovat julkisia, jollei laissa muuta säädetä.

3. Tiedonhallinta

Tiedonhallinta on yläkäsite, joka sisältää mm. asiakirjat, tietojärjestelmät ja tietosuojan

Tietojärjestelmällä tarkoitetaan tietojenkäsittelyyn tarkoitettua ohjelmistokokonaisuutta, jonka tarkoitus on tehostaa tai helpottaa jotakin toimintaa tai tehdä toiminta mahdolliseksi. Esimerkiksi Primus-järjestelmä on tällainen tietojärjestelmä.

Mihin pedagoginen vapaus ulottuu? Vaikka opettajalla on pedagoginen vapaus valita opetusvälineet ja -tavat, täytyy valinnassa huomioida koulua velvoittava lainsäädäntö, eli tietosuoja-asetus, julkisuuslaki, hankintalaki, tiedonhallintalaki.

Salassapito- ja vaitiolovelvollisuus. Koulun henkilökunnalla on vaitiolovelvollisuus kaikesta sellaisesta tiedosta, jota he työssään saavat. Erityisen

tarkka täytyy olla salassapidettävien tietojen kanssa. Vaitiolovelvollisuus koskee myös ei-kirjallista tietoa, esim. jos lapsi kertoo perheestään tai läheisistään.

Tietoturva

Tietoturvallisuudella tarkoitetaan tietojen, järjestelmien ja palvelujen suojaamista sekä normaali- että poikkeusoloissa hallinnollisten ja teknisten toimenpiteiden avulla. Tietoturvallisuus rakentuu tiedon kolmen ominaisuuden – luottamuksellisuuden, eheyden ja käytettävyyden – turvaamisesta.
  1. Luottamuksellisuudella tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat vain niihin oikeutettujen saatavissa eikä niitä luvatta paljasteta tai muutoin saateta sivullisten tietoon.

  2. Eheydellä tarkoitetaan sitä, etteivät tiedot, järjestelmät tai palvelut ole laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai oikeudettoman inhimillisen toiminnan seurauksena muuttuneet tai tuhoutuneet.

  3. Käytettävyydellä tarkoitetaan sitä, että tiedot, järjestelmät ja palvelut ovat tarvittaessa niihin oikeutettujen esteettä hyödynnettävissä.

OPH Tietoturva- ja suoja koulussa (aukeaa uuteen ikkunaan)

Jokaisen toimijan vastuu

  1. Luottamuksellisuudessa tärkein yksittäinen asia on salasanaturvallisuus sekä oppilaiden että opettajien osalta.

  2. Kaksivaiheinen tunnistautuminen käytössä jokaisen henkilökunnan jäsenen osalta. Kaksivaiheista tunnistautumista ei tarvitse tehdä luotetulla laitteella (Win10-koneet, hallinnassa olevat pädit) eikä edulappee-verkossa toimittaessa.

  3. Laitteiden (matkapuhelimet, tietokoneet, pädit) automaattiset lukitukset tulee olla käytössä ja vain kirjautuneen käyttäjän käytettävissä.

  4. Laitteiden huolellisen käsittelyn ja vastuullisen toiminnan opettaminen opiskelijoille ja koululaisille.

  5. Vioista, puutteista ja epäilyistä tulee välittömästi ilmoittaa eteenpäin.

Tietoturvan teknisestä puolesta vastaa Lappeenrannan kaupungissa tietohallinto. Koulujen tuki on järjestetty TVT-vastaavien, digarien ja Eduksin toimesta.