Sähköiset oppimateriaalit edellyttävät oppilaiden ja opiskelijoiden henkilötietojen käsittelyä. Oppilaan tekemät tehtävät ja kokeet on voitava luotettavasti liittää häneen itseensä.
Tietosuoja-asetuksen (GDPR) mukaan opetuksen järjestäjien kuten kuntien ja oppilaitosten tulee solmia lainsäädännön mukaiset sopimukset kustantajien kanssa henkilörekisterien hallinnasta.
Jotta opetuksen järjestäjillä ja kustantajilla olisi yhteiset puitteet sujuvasti keskustella sopimuksista, Suomen Kustannusyhdistys on julkaissut oppimateriaaleihin liittyvien rekisterien pitämisen ja käsittelemisen hyvät tavat. Niihin liittyy myös sopimusmalli osapuolten vapaaseen käyttöön.
Tärkeää on huomata, ettei kumpikaan dokumentti ole itsessään sitova, vaan osapuolet voivat hyödyntää niitä ja sitoutua niihin haluamallaan tavalla.
Näiden hyvien tapojen tarkoituksena on ilmentää kustantajien noudattamaa hyvää tapaa käsiteltäessä oppilaiden ja opiskelijoiden henkilötietoja oppimateriaalien käytön ja tuotekehityksen yhteydessä.
Nämä tavat ovat Suomen kustannusyhdistyksen (SKY) oppimateriaalityöryhmän laatimat ja SKY:n hallituksen hyväksymät (26.4.2018).
Hyvien käytäntöjen päämääränä on turvata oppilaiden etu. Toisaalta turvaamalla oppilasta koskevien tietojen säilyminen yksityisenä ja toisaalta mahdollistaa oppimateriaalien sujuva käyttö nyt ja tulevaisuudessa.
Rekisteriin kertyviä tietoja voidaan hyvän tavan mukaan käyttää oppilaan opinkaaren tukemisessa kuten tehtävien, suoritusten ja arvosanojen tallentamisessa. Hyvän tavan mukaista on käyttää oppilaiden aineistoja kehitettäessä yhä parempia oppimateriaaleja. Tällöin rekisteritietojen tulee olla riittävällä tavalla anonymisoitu (ks. kohta anonymisointi).
Kunta (tai koulu) toimii henkilötietojen rekisterinpitäjänä. Sillä on viimekätinen valta ja vastuu henkilötietojen käsittelystä. Kunta (tai koulu) päättää onko kustantaja rekisterin käsittelijän (yleensä) vai yhteisrekisterin pitäjän asemassa.
Kun on kyse opetuslainsäädännön mukaisesta koulutuksen järjestämisestä, on kunnalla (tai koululla) koulutuksen järjestäjänä oikeus yksin päättää sen toteuttamisesta. Tämä sisältää oikeuden käyttää sähköisiä oppimateriaaleja ja niihin sisältyviä ominaisuuksia. Näin ollen erillislupia ei normaalitilanteissa tarvita.
Kunta (koulu) ja kustantajan sopimuksessa on hyvä sopia tietojen säilyttämisajoista sekä niiden poistamisesta.
Säilytysajat voivat olla esimerkiksi:
Tuotekehitystä varten voidaan aineisto riittävästi anonymisoituna säilyttää tutkimukseen tarvittavan ajan (katso kohta anynomisointi).
On hyvän tavan mukaista sopia kirjallisesti ketkä ovat osapuolten yhteyshenkilöitä oppimateriaaleihin liittyviin henkilörekistereihin liittyvissä asioissa. On selkeästi todettava ketkä ovat oikeutettuja ohjeiden antamiseen rekisterin käytöstä ja kenelle ohjeet tulee antaa.
Tietoturvan loukkauksella tarkoitetaan tilannetta, jossa joku on tahallisesti murtautunut rekisteriin, rekisterin tietoja on päässyt vuotamaan ulkopuolisille tai tiedot ovat olleet suojattomia ja on syytä epäillä, että ulkopuolisilla on ollut mahdollista päästä niihin käsiksi.
On hyvien tapojen mukaista, että kummallakin osapuolella on valmistellut prosessit tietoturvaloukkausten varalta ja että he ovat dokumentein esitelleet ne toisilleen.
Kustantajan on ilmoitettava rekisterinpitäjälle tietoturvan loukkauksesta viipymättä siitä, kun se sai tiedon siitä. (Jos kustantaja on yhteisrekisterinpitäjä, 72 tunnin kuluessa viranomaisille ja rekisteröidyille, mikäli heille voidaan katsoa aiheutuvan haittaa). Tietoturvaloukkaustapauksia varten kustantajalla tulee olla vastuuhenkilö ja kattava varamiesjärjestelmä, jotta joku on kohtuullisessa ajassa saatavissa puhelimitse kiinni.
Kustantajalla on yrityksessään ohjeistus tietoturvaloukkausten varalta. Siinä määritellään vastuuhenkilöt (esim. työryhmä), päätöksenteko-, toiminta ja viestintäprosessi. Ohjeistus sisältää myös toimet suhteessa rekisterin käsittelyyn liittyviin alihankkijoihin.
Mikäli kustantaja on taho, joka havaitsee tietoturvaloukkauksen, on sen viipymättä informoitava tästä kunnan (koulun) yhteyshenkilölle ja varmistettava, että tämä on todella saanut tiedon (esimerkiksi kuittaus sähköpostiin). Kustantaja ryhtyy myös välittömiin toimiin tietoturvaloukkauksen haittojen torjumiseksi.
*[Kappaleessa tietomurto on korjattu tietoturvaloukkaukseksi 29.5.2018]
Näihin ohjeisiin liittyvät alaa varten laaditut sopimusmallit:
Edellä mainittuun sopimukseen voidaan tarvittaessa liittää esimerkiksi seuraavia liitteitä kuvaamaan em. standardisopimusta tarkemmin käsillä olevan sopimussuhteen erityispiirteitä:
Osapuolten on hyvä sopia kirjallisesti, miten mahdollinen rekisterin auditointi suoritetaan. Sopimuksessa on hyvä huomioida eritasoiset auditoinnit ja millä tavoin kustannukset jaetaan. Esimerkiksi siten, että auditointi on sitä vaatineen maksettava, ellei auditointi paljasta selviä puutteita rekisterin käsittelyssä.
Silloin kun oppilaan aineistoa käytetään tuotekehitystarkoituksiin, on se ennen tätä käyttöä anonymisoitava riittävällä tavalla. Tämä tarkoittaa, että aineistosta poistetaan kaikki sellaiset osat, joilla tiedot on yhdistettävissä yksittäiseen oppilaaseen ilman koulutetun ammattilaisen erittäin suurta vaivaa, taitoa ja yritteliäisyyttä. Mikäli näin ei voida tehdä esimerkiksi koska oppilas on osa jotain liian pientä tunnistettavaa ryhmää, ei aineistoa voida ollenkaan käyttää.
Ilman erillistä lupaa ei oppimateriaalien käyttöä varten koottua rekisteriä saa käyttää mainonnan kohdistamiseksi oppilaille. Opettajille voidaan sen sijaan lähettää sen perusteella kustantajan tuotteisiin liittyvää informaatiota. Tästä on hyvä ottaa erillinen maininta sopimukseen.
Kustantajan tulee noudattaa suomen tietosuojalainsäädäntöä. Keskeisiä säädöksiä ovat Euroopan Unionin tietosuoja-asetus ja Henkilötietolaki (22.4.1999 /523).
Hyvän tietosuojan tuottavia standardeja ovat ISO 27001 ja ISO 27002.