EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa
General Data Protection Regulation (GDPR) (EU) 2016/679
9.11.2017 Ammattikorkeakoulujen
Keskeisiä henkilötietojen käsittelyä ohjaavia lakeja opintoasioissa NYT
• Ammattikorkeakoululaki: toiminnan perusta
– 21 § toiminnan julkisuuteen sovelletaan julkisuuslakia kuten viranomaisen toimintaan
– 40§ arkaluonteisten tietojen käsittely
• Julkisuuslaki (JulkL): asiakirjojen julkisuus/salassapito
– 3 § avoimuuden ja hyvän tiedonhallintatavan toteuttaminen
– 16.3 § henkilötietojen luovuttaminen viranomaisen henkilörekisteristä-
> henkilötietolainsäädäntö
– 29§ teknisen käyttöyhteyden avaaminen viranomaisen henkilörekisterin tietoihin
• Henkilötietolaki (HetiL): henkilötietojen käsittely
Yleinen tietosuoja-asetus
Sovelletaan 25.5.2018 alkaen, suoraan sovellettavaa oikeutta – ei edellytä kansallista lakia
Keskeistä:
• Rekisteröidyn oikeudet laajenevat ja oikeussuojakeinot paranevat
• Rekisterinpitäjän velvollisuudet kasvavat ja lainvastaisen henkilötietojen käsittelyn seuraamukset ankaroituvat
Uutuuksia rekisterinpitäjälle:
• Tietosuojavastaava (aiemmin vain SOTE, nyt laajasti)
• Tietoturvaloukkauksista raportointi (valvontaviranomainen ja rekisteröity)
• Hallinnolliset sanktiot (ei vielä tietoa, koskeeko julkishallinnon elimiä)
Sisäänrakennettu ja oletusarvoinen tietosuoja
Rekisterinpitäjän (korkeakoulu) on toteutettava
-asianmukaiset tekniset ja organisatoriset toimenpiteet ja tarvittavat suojatoimet, jotta käsittely vastaisi asetuksen vaatimuksia ja
rekisteröityjen oikeuksia suojattaisiin
-asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla
varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja
Toimenpiteet suunnitellaan riskiperusteisesti
-huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä
luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski
Rekisterinpitäjän osoitusvelvollisuus
Rekisterinpitäjä (korkeakoulu) osoittaa, miten se käytännössä ottaa huomioon tietosuojaperiaatteet henkilötietojen käsittelyssä
- Käsittelyn lainmukaisuus (henkilötietojen käsittelyn oikeusperusteet), kohtuullisuus ja läpinäkyvyys
OPISKELIJATIEDOT:
pääasiallinen oikeusperuste: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- Käyttötarkoitussidonnaisuus
- Tietojen minimointi ja säilytyksen rajoittaminen
OPISKELIJATIEDOT: keskeisten tietojen säilytys tietovarannossa pysyvästi, korkeakoulu säilyy rekisterinpitäjänä
- Tietojen täsmällisyys
- Tietojen eheys ja luottamuksellisuus
Rekisteröidyn oikeudet
- Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä - Rekisteröidyn oikeus saada pääsy tietoihinsa
- Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi
OPISKELIJATIEDOT: oikeus tulla unohdetuksi ei koske käsittelyä, joka on tarpeen lakisääteisen tehtävän hoitamiseksi
- Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta
- Oikeus siirtää tiedot järjestelmästä toiseen
OPISKELIJATIEDOT: ei koske käsittelyä, joka on tarpeen lakisääteisen tehtävän hoitamiseksi
- Vastustamisoikeus
OPISKELIJATIEDOT: Oikeus vastustaa tietojen käsittelyä suoramarkkinointiin
Näkökulma: mitä toimia opintoasioissa tyypillisesti tarvitaan asetukseen valmistautumisessa->kaikki ei uutta
1) Henkilötietojen käsittelyprosessien suunnittelu ja
kuvaus huomioiden henkilötietojen käsittelyn elinkaari ->liittyy myös tekniset vaatimukset järjestelmiltä ja tietoturva 2) Vastuuroolien kuvaus huomioiden uudet velvoitteet
kuten tietosuojarikkomuksista raportointi
3) Koulutus ja ohjeistus henkilöille, jotka henkilötietoja työtehtävissään käsittelevät
4) Opiskelijoiden informointi ymmärrettävällä tavalla heidän henkilötietojensa käsittelystä
àDokumentoidaan toimenpiteet
Kansallisia säädösmuutoksia
Kansallisen lainsäädännön tarkistaminen, OM-hanke, syksy 2017 TATTI-ryhmä Henkilötietolain kumoaminen, tietosuoja-asetusta täydentävä ”Tietosuojalaki”
- Tietosuojaviranomaista koskevan sääntelyn tarkistus
- Asetuksen tarjoama kansallisen liikkumavaran hyödyntämistarve->esim.
henkilötietojen käsittely tieteellisessä tutkimuksessa; hallinnollisten sakkojen määrääminen julkishallinnon elimille; julkisuusperiaatteen ja tietosuojan
yhteensovittaminen(?)
Huom! Useassa lakivalmistelussa tietosuoja-asetus huomioidaan, esim.
Tiedonhallintalaki, VM-hanke, syksy 2017:
Julkisen hallinnon tiedonhallinta ja tietoturva, tietojen luovuttaminen ja rekistereiden hyödyntäminen, salassapito, korvaa mm. arkistolain
Opiskelijatietojen kannalta merkittävä on ns. KOSKI-laki ”Hallituksen esitys eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä”
Korvaa mm. lain opiskelijavalintarekisteristä, korkeakoulujen valtakunnallisesta tietovarannosta ja ylioppilastutkintorekisteristä (18.12.1998/1058)
Valmisteluorganisaatiota ja -verkostoja
Yliopistojen ja ammattikorkeakoulujen välinen yhteistyö, CSC..
KOOTuki-ryhmä
Ammattikorkeakoulujen opintoasiainpäälliköiden yhteistyöverkosto AAPA - Ammattikorkeakoulujen tietohallintojohtajien yhteistyöverkosto OHA-forum - Yliopistojen opintohallintojohtajien yhteistyöverkosto FUCIO - yliopistojen tietohallintojohtajien yhteistyöverkosto Opetushallitus
Korkeakoulujen tietosuojavastaavat –lista Alakohtaisia kansallisia yhteistyöryhmiä:
O2 opetuksen alueella
-tehtävänä mm. korkeakoulujen opintotietojen tietosuojakäytännesääntöjen päivitys (alustava kartoitus: Anna Johansson/Aalto, Laura Karppinen/HY ja Jukka Tuomela/TAY) Huom! Ei välttämättä tietosuoja-asetuksen mukaiset käytännesäännöt vaan ”ohjeet” jatkossa
Nykyiset henkilötietolain mukaiset käytännesäännöt löytyvät:
https://wiki.eduuni.fi/display/CSCKOOTUKI/Korkeakoulujen+opintotietojen+tieto suojan+kaytannesaannot