Denna sida är inte tillgänglig på svenska. Innehållet visas på finska.

Uusi tietosuoja-asetus (GDPR) edellyttää uusia sopimuksia

Sähköiset oppimateriaalit edellyttävät oppilaiden ja opiskelijoiden henkilötietojen käsittelyä. Oppilaan tekemät tehtävät ja kokeet on voitava liittää häneen itseensä jotta normaali koulutyö olisi mahdollista.

Uuden tietosuoja-asetuksen myötä (GDPR), joka astuu voimaan 25.5.2018 tulee opetuksen järjestäjien kuten kuntien ja oppilaitosten solmia tämän lainsäädännön mukaiset sopimukset kustantajien kanssa henkilörekisterien hallinnasta.

Jotta opetuksenjärjestäjillä ja kustantajilla olisi yhteiset puitteet sujuvasti keskustella sopimuksista, Suomen Kustannusyhdistys julkaisee oppimateriaaleihin liittyvien rekisterien pitämisen ja käsittelemisen hyvät tavat. Niihin liittyy myös sopimusmalli osapuolten vapaaseen käyttöön. Tärkeää on huomata, ettei kumpiakaan dokumentti ole itsessään sitova vaan osapuolet voivat hyödyntää niitä ja sitoutua niihin haluamallaan tavalla.

Hyvät tavat alla ja tiedostona. Sopimusmalli tiedostona.

 


Suomen Kustannusyhdistys


Oppimateriaaleihin liittyvien rekisterien pitämisen ja käsittelemisen hyvät tavat

Näiden hyvien tapojen tarkoituksena on ilmentää kustantajien noudattamaa hyvää tapaa käsiteltäessä oppilaiden ja opiskelijoiden henkilötietoja oppimateriaalien käytön ja tuotekehityksen yhteydessä.

Nämä tavat ovat Suomen kustannusyhdistyksen (SKY) oppimateriaalityöryhmän laatimia ja SKY:n hallituksen hyväksymät (26.4.2018).

Tavoite

Hyvien käytäntöjen päämääränä on turvata oppilaiden etu. Toisaalta turvaamalla oppilasta koskevien tietojen säilyminen yksityisenä ja toisaalta mahdollistaa oppimateriaalien sujuva käyttö nyt ja tulevaisuudessa.

Tietojen hyvän tavanmukainen käyttö

Rekisteriin kertyviä tietoja voidaan hyvän tavan mukaan käyttää oppilaan opinkaaren tukemisessa kuten tehtävien, suoritusten ja arvosanojen tallentamisessa. Hyvän tavan mukaista on käyttää oppilaiden aineistoja kehitettäessä yhä parempia oppimateriaaleja. Tällöin rekisteritietojen tulee olla riittävällä tavalla anonymisoitu (ks. kohta anonymisointi).

Kunnan ja koulun rooli

Kunta (tai koulu) toimii henkilötietojen rekisterinpitäjänä. Sillä on viimekätinen valta ja vastuu henkilötietojen käsittelystä. Kunta (tai koulu) päättää onko kustantaja rekisterin käsittelijän (yleensä) vai yhteisrekisterin pitäjän asemassa.

Erillislupaa henkilötietojen käsittelyyn opetustoiminnassa ei yleensä tarvita

Kun on kyse opetuslainsäädännön mukaisesta koulutuksen järjestämisestä, on kunnalla (tai koululla) koulutuksen järjestäjänä oikeus yksin päättää sen toteuttamisesta. Tämä sisältää oikeuden käyttää sähköisiä oppimateriaaleja ja niihin sisältyviä ominaisuuksia. Näin ollen erillislupia ei normaalitilanteissa tarvita.

Tietojen poistaminen

Kunta (koulu) ja kustantajan sopimuksessa on hyvä sopia tietojen säilyttämisajoista sekä niiden poistamisesta.

Säilytysajat voivat olla esimerkiksi:

  • Käyttölokitiedot 2 vuotta kouluasteen päättymisestä
  • Oppilaan tehtävävastaukset 2 vuotta koulu-asteen päättymisestä (kuten alakoulu, yläkoulu, lukio)
  • Koevastaukset 2 vuotta kouluasteen päättymisestä ja kun ne on siirretty kouluviranomaisten lainmukaisiin rekistereihin
  • Arvosanat 2 vuotta kouluasteen päättymisestä ja kun ne on siirretty kouluviranomaisten lainmukaisiin rekistereihin

Tuotekehitystä varten voidaan aineisto riittävästi anonymisoituna säilyttää tutkimukseen tarvittavan ajan (katso kohta anynomisointi).

Kunnan (koulun) ja kustantajan välinen kommunikaatio

On hyvän tavan mukaista sopia kirjallisesti ketkä ovat osapuolten yhteyshenkilöitä oppimateriaalihin liittyviin henkilörekistereihin liittyvissä asioissa. On selkeästi todettava ketkä ovat oikeutettuja ohjeiden antamiseen rekisterin käytöstä ja kenelle ohjeet tulee antaa.

Toiminta tietoturvaloukkaustapauksissa*

Tietoturvan loukkauksella tarkoitetaan tilannetta, jossa joku on tahallisesti murtautunut rekisteriin, rekisterin tietoja on päässyt vuotamaan ulkopuolisille tai tiedot ovat olleet suojattomia ja on syytä epäillä, että ulkopuolisilla on ollut mahdollista päästä niihin käsiksi.

On hyvien tapojen mukaista, että kummallakin osapuolella on valmistellut prosessit tietoturvaloukkausten varalta ja että he ovat dokumentein esitelleet ne toisilleen.

Kustantajan on ilmoitettava rekisterinpitäjälle tietoturvan loukkauksesta viipymättä siitä, kun se sai tiedon siitä. (Jos kustantaja on yhteisrekisterinpitäjä 72 tunnin kuluessa viranomaisille ja rekisteröidyille mikäli heille voidaan katsoa aiheutuvan haittaa). Tietoturvaloukkaustapauksia varten kustantajalla tulee olla vastuuhenkilö ja kattava varamiesjärjestelmä, jotta joku on kohtuullisessa ajassa saatavissa puhelimitse kiinni.

Kustantajalla on yrityksessään ohjeistus tietoturvaloukkausten varalta. Siinä määritellään vastuuhenkilöt (esim. työryhmä), päätöksenteko-, toiminta ja viestintäprosessi. Ohjeistus sisältää myös toimet suhteessa rekisterin käsittelyyn liittyviin alihankkijoihin.

Mikäli kustantaja on taho, joka havaitsee tietoturvaloukkauksen, on sen viipymättä informoitava tästä kunnan (koulun) yhteyshenkilölle ja varmistettava, että tämä on todella saanut tiedon (esimerkiksi kuittaus sähköpostiin). Kustantaja ryhtyy myös välittömiin toimiin tietoturvaloukkauksen haittojen torjumiseksi.

*[Kappaleessa tietomurto on korjattu tietoturvaloukkaukseksi 29.5.2018]

Sopimusmallit ja liitteet

Näihin ohjeisiin liittyvät alaa varten laaditut sopimusmallit

  • Kustantaja käsittelijän asemassa
  • Kustantaja yhteisrekisterinpitäjän asemassa (tulossa)
  • Sopimus kustantajan alihankkijan kanssa (tulossa)

Edellä mainittuihin sopimuksiin voidaan tarvittaessa liittää esimerkiksi seuraavia liitteitä kuvaamaan em. standardisopimusta tarkemmin käsillä olevan sopimussuhteen erityispiirteitä:

  • Määräajat aineistojen säilyttämisestä
  • Yhteyshenkilöt joihin sopimuksessa viitattaan, ohjeiden antajat ja ottajat, ilmoittajat
  • Tietojärjestelmäkuvaukset
  • Tuotekuvaus
  • Tiedot alihankkijoista
  • Selvitys tietoturvarakenteista (kuten selvitys alihankkijoiden työntekijöiden salassapitositoumuksista)
  • Auditointiprosessi ja sen kustannusten jako

Auditointi

Osapuolten on hyvä sopia kirjallisesti miten mahdollinen rekisterin auditointi suoritetaan. Sopimuksessa on hyvä huomioida eritasoiset auditoinnit ja millä tavoin kustannukset jaetaan. Esimerkiksi siten, että auditointi on sitä vaatineen maksettava, ellei auditointi paljasta selviä puutteita rekisterin käsittelyssä.

Anonymisointi

Silloin kun oppilaan aineistoa käytetään tuotekehitystarkoituksiin, on se ennen tätä käyttöä anonymisoitava riittävällä tavalla. Tämä tarkoittaa, että aineistosta poistetaan kaikki sellaiset osat, joilla tiedot on yhdistettävissä yksittäiseen oppilaaseen ilman koulutetun ammattilaisen erittäin suurta vaivaa, taitoa ja yritteliäisyyttä. Mikäli näin ei voida tehdä esimerkiksi koska oppilas on osa jotain liian pientä tunnistettavaa ryhmää, ei aineistoa voida ollenkaan käyttää.

Tuoteinformaatio

Ilman erillistä lupaa ei oppimateriaalien käyttöä varten koottua rekisteriä saa käyttää mainonnan kohdistamiseksi oppilaille. Opettajille voidaan sen sijaan lähettää sen perusteella kustantajan tuotteisiin liittyvää informaatiota. Tästä on hyvä ottaa erillinen maininta sopimukseen.

Säädökset ja standardit

Kustantajan tulee noudattaa suomen tietosuojalainsäädäntöä. Keskeisiä säädöksiä ovat Euroopan Unionin tietosuoja-asetus ja Henkilötietolaki (22.4.1999 /523).

Hyvän tietosuojan tuottavia standardeja ovat ISO 27001 ja ISO 27002.