EU:n tietosuoja-asetus (GDPR, General Data Protection Regulation) määrittelee, miten henkilötietoja käsitellään. Asetuksen soveltaminen alkoi kaikissa EU:n jäsenmaissa toukokuussa 2018. Asetus pyrkii takaamaan yhteneväisen tietosuojan tason luonnollisille henkilöille koko Euroopan talousalueella ja mahdollistamaan tietojen vapaan liikkumisen sisämarkkinoilla. Kansallinen tietosuojalaki täydentää tietosuoja-asetuksen sisältöä ja se tuli voimaan vuoden 2019 alussa.
Asetuksen ensisijainen tehtävä on parantaa yksilön oikeuksia, vapauksia ja oikeusturvaa henkilötietojen käsittelyssä. Keskeisiä periaatteita on kuusi: (1) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys, (2) käyttötarkoitussidonnaisuus, (3) tietojen minimointi, (4) täsmällisyys, (5) säilytyksen rajoittaminen ja (6) eheys ja luottamuksellisuus.
Mitä tarkoittaa henkilötiedot ja niiden käsittely?
Kun kysytään, mitkä ovat henkilötietoja, useimmat meistä vastaavat henkilön nimi ja henkilötunnus. Henkilötietoja on paljon enemmän. Niitä ovat kaikki tunnistettuun tai tunnistettavissa olevaan, elävään luonnolliseen henkilöön liittyvät tiedot, joiden avulla henkilö voidaan tunnistaa suoraan tai epäsuorasti. Kun henkilö on tunnistettu tai tunnistettavissa, kaikki hänen liittyvät tiedot ovat myös henkilötietoja.
Nimen ja henkilötunnuksen lisäksi henkilötietoja ovat esimerkiksi syntymäaika, ikä, sähköpostiosoite, puhelinnumero, opiskelijanumero, käyttäjätunnus, salasana, IP-osoite, sijaintitieto, verkkotunnistetieto ja ajoneuvon rekisteritunnus. Henkilötietoja ovat myös henkilölle tunnusomaiset tekijät, jotka voivat olla fyysisiä, fysiologisia, geneettisiä, psyykkisiä, taloudellisia, kulttuurillisia tai sosiaalisia kuten sukupuoli, ääni, kasvojen ulkonäkö, sormenjälki tai valokuva.
Käsittelyä on melkein mikä tahansa, mitä henkilötiedoille voidaan tehdä. Käsittely alkaa henkilötietojen keräämisestä ja tallentamisesta ja päättyy tietojen poistamiseen ja tuhoamiseen. Näiden välissä tietoja järjestetään, jäsennetään, säilytetään, muokataan, muutetaan, haetaan, kysellään, käytetään, katsellaan, luovutetaan siirtämällä, levittämällä tai asettamalla ne muutoin saataville, sovitetaan yhteen, yhdistetään ja rajoitetaan.
Tietosuoja opettajan työssä
Opettaja on työssään päivittäin tekemisissä opiskelijan henkilötietojen kanssa. Opiskelijan henkilötietojen käsittelylle pitää olla peruste. Opetustyölle tyypillisiä perusteita ovat lakisääteinen velvoite, sopimuksen täytäntöönpano ja oikeutettu etu.
Henkilötietojen käsittely voi myös perustua opiskelijan suostumukseen esimerkiksi silloin, kun opiskelija osallistuu opiskeluun liittyvään kyselyyn ja hän antaa omasta halustaan luvan käsitellä siihen liittyviä henkilötietoja. Opiskelija voi peruttaa koska tahansa antamansa suostumuksen, jolloin siihen perustuva henkilötietojen käsittely on lopetettava.
Mitä tämä tarkoittaa päivittäisessä työssä?
Tietosuoja näkyy opettajan päivittäisessä työssä monin eri tavoin. Esimerkiksi läsnäololistojen henkilötiedot minimoidaan käyttämällä joko opiskelijan nimeä tai opiskelijanumeroa. Tenttitulokset kerrotaan opiskelijoille Examissa, Moodlessa tai Pepissä sekä opiskelijoiden sähköpostiosoitteille käytetään piilokopio-kenttää silloin, kun osoitteissa on henkilökohtaisia sähköpostisoitteita.
Entä muiden kuin opiskelijoiden henkilötiedot?
Opiskelijoiden henkilötietojen lisäksi opetuksessa käsitellään muiden henkilöiden tietoja. Opiskelija- ja opinnäytetöihin voi esimerkiksi kuulua kyselytutkimuksen vastanneiden henkilötietojen käsittelyä. Opiskelijan työskentelyä ohjaavan tai ohjeistavan opettajan tulee huolehtia, että opiskelija- ja opinnäytetöiden tietosuojasta on sovittu toimeksiantajan kanssa ja että henkilötietojen käsittelyn yksityiskohdat on kirjattu toimeksianto- tai muuhun sopimukseen. Opettaja vastaa myös, että opiskelijat ovat saaneet ohjeet, miten henkilötietoja käsitellään työn aikana ja että he noudattavat ohjeita.
Tarkista tietosuoja aina ennakkoon
On hyödyllistä tarkistaa tietosuoja aina ennakkoon. Moni asia mutkistuu tarpeettomasti, kun esimerkiksi uusi sovellus on jo otettu käyttöön, arkaluonteisia erityisiä henkilötietoja on vuotanut laajalle lukijakunnalle ja opiskelijoiden suorituksia on verrattu toisiinsa. Tilanteista voidaan joutua tekemään ilmoituksia valvovalle viranomaiselle, jotka voi ääritapauksissa määrätä seuraamusmaksun.
Tietosuoja-asetuksesta vaatimuksineen on tullut osa nykyistä tapaa työskennellä. Tunnista opettajan työssäsi, mihin työtehtäviisi kuuluu henkilötietojen käsittelyä. Ole huolellinen, kun käsittelet henkilötietoja ja noudata erityistä huolellisuutta silloin, kun käsittelet arkaluoteisia erityisiä henkilötietoja, jotka koskevat esimerkiksi henkilön terveyttä, rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai jotka ovat biometrisiä. Kysy aina, jos et tiedä.
Pidä tietosuojaosaamisesi ajan tasalla. Opiskelijat ovat yhä valveutuneempia tietosuojaan liittyvissä asioissa. Niihin liittyvistä sisällöistä myös tiedustellaan entistä useammin. Pari vuotta sitten Haaga-Heliassa tehdyn selvityksen mukaan opiskelijat suhtautuvat pääosin myönteisesti tiedon keräämiseen. Opiskelijat ilmaisivat haluavansa tietoa etenkin kerätyn tiedon myöhemmästä käytöstä. Hyväksyttäväksi koettiin tietojen hyödyntäminen opiskelun ja opintojaksojen kehittämiseen. Huoliksi nousivat kerättyjen tietojen säilyttäminen ja sen kesto sekä se, kuka pääsee käsiksi tietoihin.