3. Saman lapsi- tai
opetusryhmän kesken
Koko nimi: ok
Kuvat/videot: ok
Muut hlötiedot: lupa
Muille ryhmille toiminnan
yhteydessä
Koko nimi: ok
Kuvat/videot: lupa
Muut hlötiedot: lupa
Ulkopuolisille henkilöille ja
tahoille
Etunimi: ok
Koko nimi: ei sähk.
Kuvat/videot: lupa
Muut hlötiedot: lupa
Muille opettajille ja henkilöstölle tarvittaessa
Koko nimi: ok
Huoltajien nimet ja yhteystiedot: ok
Muut tarpeelliset/välttämättömät: ok
Henkilötiedot varhaiskasvatuksen ja esiopetuksen tiloissa ja tilanteissa
Ohjeellinen. Periaate: henkilötiedot voivat näkyä niille, jotka tietävät ne jo, voivat muutenkin saada ne tai joilla on oikeus saada ne.
Pelkkä etunimi ei yleensä riitä henkilön tunnistamiseen. Oleellista on, ettei henkilötietoja julkaista niille, joilla ei ole oikeutta saada niitä.
3
Samat periaatteet pätevät niin fyysisissä kuin verkossa olevissa tiloissa.
4. • Varhaiskasvatus ja esiopetus
• Rekisterinpitäjän hallinnoimat
toimintaan liittyvät järjestelmät
• Tukitoiminnot, esim.
ruokailut ja kuljetukset
• Arkistointi
• Tutkimus
• Tilastot
SUOSTUMUKSELLA:
• Lisäpalvelut kuten ulkopuoliset sovellukset
• Järjestelmät, joissa tehdään lasta koskevia autom. päätöksiä
• Tietojen luovutus ja julkaisu esim. netissä tai somessa
EI ILMAN SUOSTUMUSTA:
• Lisäpalvelut kuten ulkopuol. sovellukset
• Automatisoidut päätökset
• Tietojen luovutus ja julkaisu
Mihin henkilötietoja saa käyttää varhaiskasvatuksessa? (käyttötarkoitussidonnaisuus)
4
5. Suostumuksen antaminen
5
Suostumuksen tulee olla vapaaehtoinen, yksilöity,
tietoinen ja yksiselitteinen
Suostumusta ei voi antaa:
Vaikenemalla
Valmiiksi rastitetulla ruudulla
Jättämättä jotakin tekemättä
Alaikäisen kohdalla suostumuksen antaa huoltaja.
Yli 13-vuotias voi antaa itse suostumuksen henkilötietojen
käsittelylle tietoyhteiskunnan palveluissa (esim. verkko-, some- ja mobiilipalvelut) ja
hyväksyä ikätasolleen tavanomaisia sopimuksia.
Suostumukset ja luvat tulee dokumentoida sekä tarkistaa esim. vuosittain.
Jos toiminta perustuu lakiin, ei henkilötietojen käsittely voi perustua suostumukseen.
Suostumusta voidaan tällöin käyttää vain vapaaehtoisiin lisäpalveluihin.
Lähde: Tietosuojavaltuutetun toimisto ja Oikeusministeriö, 2017, Miten valmistautua EU:n tietosuoja-asetukseen?
http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
7. Henkilötietojen luovuttaminen ulkopuolisille, esim. julkaisu netissä
▪ Asiakkaat
▪ Pyydä suostumus, jos julkaiset tai luovutat ulkopuolisille asiakkaiden henkilötietoja.
▪ Poikkeus: jos tiedot on kerätty nimenomaan julkaisua varten ja siitä on informoitu.
▪ Työntekijät
▪ Työnantaja saa julkaista työntekijöiden nimet, tehtävänimikkeet ja työyhteystiedot.
▪ Työntekijän suostumusta ei tarvita, jos julkaisu on asiallisesti perusteltua ja tarpeellista
työtehtävien kannalta, esim. tarve olla tavoitettavissa.
▪ Kuvan julkaisussa on syytä harkita, kuuluuko työtehtävään olla tunnistettavissa.
▪ Tietoa työntekijän lomasta ja sairaslomasta ei saa kertoa ilman henkilön suostumusta.
Voidaan sanoa, että henkilö ei ole paikalla.
▪ Työnantaja ei saa kertoa muille työsuhteen päättämisestä, irtisanomisen perusteista tai
irtisanomisilmoituksen sisällöstä. Voi sanoa, että henkilö ei ole enää ko. työssä.
Lähteet: Tietosuojavaltuutetun toimisto, Usein kysyttyä työelämästä, https://tietosuoja.fi/usein-kysyttya-tyoelama,
Työelämän tietosuojan käsikirja, 21.6.2018 (oppaasta on tulossa päivitetty versio)
7
8. Henkilötietojen luovuttaminen ja julkaisu
8
Henkilötietoja voi julkaista netissä vain rekisteröidyn/alaikäisen huoltajan
suostumuksella tai jos siitä on nimenomaisesti laissa säädetty.
Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti
saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
Vaikka tiedot olisivat periaatteessa ”julkisia”, ei niitä saa luovuttaa kenelle tahansa.
Netissä julkaistuja tietoja voitaisiin käyttää väärin.
Rekisterinpitäjän tehtävä on arvioida riskit ja päättää, miten toimitaan.
Suostumus on käytännössä esimerkiksi:
Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
Julkaisuluvat esimerkiksi kuviin ja videoihin
Muilla tavoin kysytyt ja saadut suostumukset
9. Yhteystietojen jakaminen koteihin
9
Listan teko huoltajien toimesta:
Huoltajat voivat laatia ja jakaa yhteystietolistan itsenäisesti esimerkiksi
vanhempainillassa, jolloin kyse on yksityishenkilöiden toiminnasta, ei päiväkodin/koulun.
Listan teko päiväkodin/koulun toimesta:
Huoltajille voidaan kertoa yhteystietolistan teosta, ja pyydetään ilmoittamaan ne tiedot,
jotka he haluavat jakaa muille huoltajille.
Tietojen anto päiväkodin/koulun rekisteristä:
Jos yksittäinen huoltaja pyytää toisen huoltajan yhteystietoja, tiedot voisi periaatteessa
antaa, jos ne ovat julkisia eli esimerkiksi puhelinnumero ei ole salainen.
- Huom. rekisteröidyt voivat kieltää yhteystietojensa luovuttamisen muille.
Salassa pidettäviä yhteystietoja ei voi luovuttaa ilman suostumusta. Salassapito tai
turvakielto tulee merkitä asiakasrekisteriin.
Lähde: OPH, 2013, Julkisuus ja tietosuoja opetustoimessa, http://www.oph.fi/download/152370_julkisuus_ja_tietosuoja_opetustoimessa.pdf
10. Valokuvat ja videot
10
▪ Tunnistettavan henkilökuvan julkaisuun on
yleensä syytä pyytää lupa.
▪ Jokaisen on katsottu omistavan persoonansa
ns. kaupalliset oikeudet.
▪ Valokuvan tai videon tekijänoikeudet tai
lähioikeudet ovat kuvaajalla. Kuvan julkaisulle
tarvitaan tekijän lupa.
▪ Kuvan julkaisun voi estää esim. kotirauha,
yksityisyyden suoja tai kuvassa näkyvän
teoksen tekijänoikeudet.
▪ Jonkun muun julkaiseman kuvan levittäminen
voi olla kiellettyä esim. tekijänoikeuksien tai
sen loukkaavuuden takia.
⬞ Esim. noloista tilanteista tai
kiusaamistarkoituksessa otettuja kuvia ei saa
levittää.
11. Lasten kuvien jakaminen
päiväkodin nettisivuilla tai
some-kanavissa vaatii aina
suostumuksen
11
Kuvakaappaus: Yle, 10.2.2017, https://yle.fi/uutiset/3-9451904
12. Julkaisulupa päiväkodeille
ja kouluille
12
Tämä julkaisulupa on
vapaasti käytettävissä.
Saatavina Google Drivessa:
https://docs.google.com/do
cument/d/1ObAtxeYjtp9KRe
gV0s0jI2L-
pfueGWVmbmv4paertSk/edi
t?usp=sharing
PDF-versio:
https://drive.google.com/fil
e/d/1iHgvNR-VZq_-
4cIUuh4NR2FFz3PVa5g3/vie
w?usp=sharing
13. Julkaisuluvan voimassaolo ja peruminen
▪ Määrittele julkaisuluvan pyynnössä tarkasti, mitä ja missä aiotaan julkaista.
▪ Pyydä julkaisulupa määräajaksi, esimerkiksi 1-2 vuodeksi kerrallaan.
▪ Jos julkaisuluvat pyydetään paperilomakkeella, suostumukset voidaan tallentaa
sähköiseen henkilötietorekisteriin, jonka jälkeen paperilomakkeet voi poistaa.
▪ Jos julkaisulupa on sähköisessä asiointikanavassa oleva suostumus-valinta, niin sen
voimassaolo on silti syytä tarkistaa määräajoin, esimerkiksi kerran vuodessa.
▪ Julkaisuluvan täytyy olla voimassa silloin, kun julkaisu tehdään. Jos julkaisulupa
perutaan/päättyy myöhemmin, ei aiemmin tehtyjä julkaisuja tarvitse automaattisesti
poistaa.
▪ Jos huoltaja pyytää julkaisun poistamista, se on suositeltavaa tehdä, mikäli poisto ei
vaadi kohtuutonta työtä.
▪ Vaka-järjestäjä voi tehdä oman linjauksen, poistetaanko vanhat julkaisut esimerkiksi
nettisivuilta ja some-kanavista tietyn ajan päästä.
13
14. Huhtasaari & oppilasjuliste -tapaus tarkemmin: https://harto.wordpress.com/2018/10/03/huhtasaaren-jakaman-oppilastyon-tekijanoikeudet-ja-tietosuoja/
Henkilötietojen ja teosten julkaisussa on syytä muistaa, että julkaisun
jälkeen myös muut voivat jakaa ja lainata niitä – joskus yllättävillä tavoilla.
15. Kysymys: tapahtumissa kuvaaminen
15
Päiväkodin/koulun tapahtuma ei ole yksityinen tilaisuus, joten kuvaaminen on yleensä sallittua.
Jos kuvaaminen tapahtuu päiväkodin/koulun toimesta, tulee kuvien julkaisulle pyytää suostumus
niissä olevilta oppijoilta ja alaikäisten huoltajilta, sillä se ei ole opetuksen järjestämiseen liittyvää
henkilötietojen käsittelyä.
Tapahtuman kuvaaminen ei synnytä henkilötietorekisteriä, jos kuvaaminen tehdään vain
toimituksellisia tai taiteellisia tarkoituksia varten.
Päiväkoti/koulu ei ole vastuussa tapahtuman vierailijoiden tekemästä kuvaamisesta tai kuvien
julkaisusta, eikä sillä ole oikeutta kieltää sitä.
Kuvien julkaisua säätelee laki. Esimerkiksi yksityiselämää loukkaavia kuvia ei saa julkaista ja kuvien
kaupalliseen käyttöön tarvitaan lupa. Sen sijaan kuvien julkaisu journalistisessa tarkoituksessa esim.
paikallislehdessä on sallittua.
• Saako päiväkodin tai koulun tapahtumissa ottaa kuvia ja videoita esimerkiksi
nettisivuilla julkaistavaksi?
• Syntyykö tapahtumien kuvista tai videosta henkilötietorekisteri?
• Pitääkö kuvaaminen kieltää tapahtuman vierailijoilta?
17. Työnantajan laitteet ja ohjelmat
17
▪ Työnantajan laitteita ja ohjelmia käytetään vain
työhön liittyvin tarkoituksiin.
▪ Sivulliset kuten perheenjäsenet eivät saa
käyttää työnantajan laitteita tai järjestelmiä.
▪ Omia tunnuksia, salasanoja tai muita
tunnisteita ei saa luovuttaa ulkopuolisille tai
säilyttää niin, että muut saavat ne tietoonsa.
▪ Työpuhelimessa tai -tietokoneessa olevia
tietoja ei tule tallentaa henkilökohtaisille
tallennusvälineille.
▪ Työpuhelimeen ei tulisi tallentaa
henkilökohtaisen elämän tietoja.
▪ Työpuhelut hoidetaan niin, että sivulliset eivät
kuule niitä.
18. Lasten/oppijoiden tiedot somepalveluissa
18
Noudata aina rekisterien käyttötarkoituksia ja
somea koskevia ohjeistuksia!
Pyydä suostumukset ja muista rekisteröityjen
ja huoltajien informointi, jos somepalveluun
aiotaan tallentaa henkilötietoja.
Tarkista palvelun käyttöehdot eli sopimus:
Onko palvelu EU:ssa vai sen ulkopuolella?
Onko palvelussa ikärajaa?
Mitä henkilötietoja vaaditaan käyttäjiltä?
Onko sopimusta henkilötietojen käsittelystä
organisaatioille?
Mitä oikeuksia palvelu saa sisältöihin?
Jälkihoito: henkilötietojen ja viestien poisto.
19. Sovellukset kysyvät usein kontaktitietoja…
Kuvakaappaukset: Somepalvelut 2019-2020
19
Jos puhelimessasi on esimerkiksi asiakkaiden henkilötietoja, älä luovuta niitä sovelluksille ilman suostumusta!
20. Erota oma ja ulkopuolinen rekisteri
20
Rekisteriin
kerätyt
henkilötiedot
(organisaatio
rekisterinpitäjänä)
Ulkopuolinen
verkkopalvelu
(toinen rekisterinpitäjä tai
henkilötietojen käsittelijä)
Henkilötietoja voidaan luovuttaa ulkopuoliselle taholle tai
verkkopalvelulle vain, jos
1) palvelun kanssa on sopimus henkilötietojen käsittelystä
2) tai luovutukseen on saatu rekisteröidyn suostumus.
Ulkopuolista verkkopalvelua voidaan
käyttää viestintään rekisteröityjen
kanssa myös silloin, kun aloite tulee
rekisteröidyltä. Tätä voidaan pitää
suostumuksena ko. palvelun käyttöön.
Jos henkilötietoja kerätään
ulkopuolisen palvelun kautta, siihen
tulee olla oikeusperuste. Samalla
pitää hoitaa informointivelvollisuus.
21. Tietosuojan huomiointi sosiaalisen median profiileissa
Kuvakaappaus: HSL:n Facebook-sivun tiedot-välilehti, https://www.facebook.com/helsinginseudunliikenne/about/?ref=page_internal (7.10.2020)
21
Kerro someprofiilissa siitä vastaava
organisaatio eli rekisterinpitäjä
Jos mahdollista, linkitä
tietosuojaseloste
Voivatko asiakkaat ottaa yhteyttä
esim. yksityisviestillä?
Mitä muita (turvallisempia) tapoja
asiakkailla on yhteydenottoon?
22. Facebook-sivujen ja ryhmien ylläpitäjän asema
Facebook-sivua ylläpitävä organisaatio voidaan katsoa yhteisrekisterinpitäjäksi
Facebookin kanssa. Vastaava tilanne voi olla muissakin somepalveluissa.
Katso ”Sivun kävijätietojen hallinnoija -lisäys” (sopimus yhteisrekisterinpidosta):
https://www.facebook.com/legal/terms/page_controller_addendum#
Käytännön toimenpiteet:
Tunnista Facebook-sivun rekisterinpitäjä ja käsittelyn oikeusperuste. Ilmoita sivun
tiedoissa siitä vastaava organisaatio.
Lisää tietosuojaseloste Facebook-sivun tietoihin privacy policy -kohtaan.
Jos saat sivun kävijöiltä tai viranomaisilta GDPR:n mukaisia pyyntöjä, välitä ne
viipymättä Facebookille tällä lomakkeella:
https://www.facebook.com/help/contact/308592359910928
Facebook-ryhmien perustaminen organisaation toimesta on sallittua, mutta jos
organisaatio liittää ryhmään jäseniä, tulee siihen pyytää suostumukset etukäteen.
Jos keräät Facebook-ryhmän kautta henkilötietoja (nimi, kuvia tms.) Facebookin
ulkopuolelle, pyydä siihen etukäteen suostumus ja informoi henkilötietojen käytöstä.
22
23. WhatsApp päiväkodissa
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
Tarkista linjaus ja ohjeet ennen kuin käytät!
• WhatsApp-sovelluksen käyttö tarkoittaa puhelimessa olevien
yhteystietojen luovuttamista WhatsAppille (Facebook-konsernille).
Pyydä suostumus huoltajalta ennen kuin tallennat puh.nron
kännykkään, johon on asennettu WhatsApp.
WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-
24. Kysymys: sijaisryhmä WhatsAppissa
24
WhatsAppin työkäyttöön on aina suositeltavaa olla työpuhelin.
Organisaation nimissä tehtävässä toiminnassa tulee käyttää WhatsApp Business -versiota,
sillä kuluttajaversio on tarkoitettu vain henkilökohtaiseen käyttöön.
WhatsApp Business sisältää sopimuksen henkilötietojen käsittelystä (DPA).
Tietoja siirretään Yhdysvaltoihin EU:n mallisopimuslausekkeiden perusteella.
Henkilötietojen käsittelystä WhatsAppissa on syytä tehdä riskiarviointi ja tarvittaessa
vaikutustenarviointi.
Rekisteröidyille tulee informoida (mm. tietosuojaselosteessa) WhatsAppin käytöstä
yhteydenpidossa ja sen tulee olla rekisterin henkilötietojen käyttötarkoituksen mukaista.
Mikäli WhatsAppin käytöstä ei ole informoitu etukäteen, pyydä suostumukset
WhatsAppin käyttöön.
Tarvittaessa oma rekisteri ja tietosuojaseloste.
Lähteenä mm. OPH, Oppimissovellusten, sosiaalisen median palveluiden ja digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-median-palveluiden-ja-digitaalisten-pelien-kaytto-opetuksessa
• Mitä pitää ottaa huomioon, jos kunta tai muu työnantaja kokoaa esimerkiksi
sijaisia WhatsApp-ryhmään ja tarjoaa keikkavuoroja sitä kautta?
25. Milloin ja mihin opetuksessa tarvitaan suostumus?
▪ Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia.
⬞ Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole
opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä).
⬞ Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa.
▪ Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
⬞ Suostumus henkilötietojen siirrolle ko. palveluun ja maahan.
▪ Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
⬞ Suostumus henkilötietojen käytön perusteena ko. palveluille.
▪ Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
⬞ Suostumus automaattiselle päätöksenteolle.
25