1. Tietosuojariskit
opetuksen viestinnässä
ja etäopetuksessa
8.12.2020
Harto Pönkä
Innowise
Kuva: Marvin Meyer @Unsplash, 2018

2. “En tiedä täysin, miten pitäis toimia tietyissä
asioissa, kun ei oo annettu ohjeita ja kukaan ei
tiedä. Ei ees jotkut TVT-opetkaan tai rehtorikaan,
joilla nyt silleen on se vastuu jakaa tätä tietoo.
Must tuntuu, et kaikki on vähä ottanu tän
huumorilla tai vitsillä tai et ei oteta niin tosissaan,
milloin rikotaankin mitä oikeutta tai niin.
2
Lähde: Åman H., 2020, Koulu digitalisoituu, mutta laahaako tietosuoja perässä? Pro gradu – tutkielma,
https://jyx.jyu.fi/bitstream/handle/123456789/68575/1/URN%3ANBN%3Afi%3Ajyu-202004172798.pdf
Onko henkilöstön tietosuojaosaaminen riittävää?

3. Tietoturva vaarantuu etätöissä
3
Lähde: Tessian, kevät 2020,
https://www.tessian.com/research/the-state-of-data-loss-prevention-2020/ (2000 vastaajaa Yhdysvalloissa ja Englannissa)
”Kyberturvayhtiö Tessianin tutkimuksen mukaan
48 prosenttia kotona työskentelevistä kertoo
syystä tai toisesta kiertävänsä yrityksen
tietoturvan käytäntöjä.”
Syitä:
▪ Etätyössä käytetään eri laitteita kuin
työpaikalla (50 %)
▪ Etätyössä ei koeta olevan IT-osaston
valvonnassa (48 %)
▪ Työhön tulee häiriöitä mm. perheenjäsenten
vuoksi (47 %)
▪ Työhön liittyvä aikataulupaine (39 %)

4. Tietosuoja viestinnässä
4
▪ Normaalissa sähköpostissa:
▪ Tavalliset henkilötiedot (nimi, osoite jne.)
▪ Edellytys: henkilökohtaiset postilaatikot
ja tietoturva kunnossa.
▪ Suojatussa sähköpostissa, turvapostissa tai
muussa turvallisessa viestintäkanavassa:
▪ Arkaluontoiset/erityiset henkilötiedot
▪ Salassa pidettävät tiedot ja asiakirjat
▪ Huijauksia on tavallista enemmän liikenteessä.
 Ohjeet, miten varmistaa viestien aitous?

5. Tietosuoja etäyhteyssovelluksissa
5
 Käytä vain oppilaitoksen sallimia sovelluksia.
 Toimita kutsu henkilökohtaisesti opiskelijoille.
 Informoi osallistujia henkilötietojen käsittelystä.
 Varmista tarvittaessa osallistujien henkilöllisyys.
 Varmista esittäjien osaaminen etukäteen.
 Älä julkaise opiskelijoiden tai muiden
henkilötietoja ilman suostumusta.
 Kerro etukäteen, jos kokous tallennetaan, ja
näkyvätkö tallenteessa osallistujien nimet ja chat.
 Kotoa osallistuvat: ei sivullisia kuulolla, videon ja
mikrofonin käyttö kotirauhan alueella perustuu
vapaaehtoisuuteen.
 Lopuksi: päätä kokous, tyhjennä tai sulje huone.
 Suojaa tallenne ja huolehdi sen tietosuojasta.

6. Oikeus saada läpinäkyvää tietoa
henkilötietojen käsittelystä
6
▪ Rekisteröidyllä on oikeus saada tietoa
henkilötietojen käsittelystä rekisterinpitäjältä
▪ Yleensä: tietosuojaseloste tai vastaava
▪ Annettava kirjallisesti viestintäkanavan
mukaisessa muodossa. Tiedon on oltava
ymmärrettävää ja helposti saatavilla.
▪ Rekisteröidyn pyynnöstä myös puheella
▪ Informointi pitäisi saada tilanteessa, jossa
henkilötietoja kysytään tai luovutetaan.
▪ Jos henkilötiedot kerätään muuten kuin
suoraan henkilöltä, tulee informointi saada
viimeistään kuukauden kuluessa.
Rekisterinpitäjä ja yhteystiedot
Tietosuojavastaavan yhteystiedot
Henkilötietojen käsittelyn tarkoitus
Oikeusperuste, mahdollisen oikeutetun edun perusteet
Käsiteltävät henkilötiedot
Tietojen säilyttämisaika tai sen kriteerit
Kenelle henkilötietoja luovutetaan
(muut rekisterinpitäjät ja henkilötietojen käsittelijät)
Siirretäänkö tietoja EU:n ulkopuolelle ja ´sen suojatoimet
Rekisteröidyn oikeudet, erityisesti vastustamisoikeus esim.
suoramarkkinointiin
Oikeus tehdä valitus valvontaviranomaiselle
Onko henkilötietoja annettava lain tai sopimuksen teon vuoksi
Mistä henkilötiedot on saatu, mahdollinen julkinen lähde
Käytetäänkö automaattista päätöksentekoa tai profilointia
Rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit

7. Esimerkki informointivelvollisuuden toteutumattomuudesta: Wilma
 Wilman Tietosuojaseloste-linkki on harhaanjohtava: se johtaa Visman selosteelle, ei
opetuksesta vastaavan rekisterinpitäjän (esim. kunnan) sivulle kuten pitäisi.
 Moniko käyttäjä osaa etsiä Wilmaa koskevan henkilötietojen käsittelyn informoinnin muualta?
7

8. Oppijoiden henkilötiedot verkkopalveluissa
8
Huom. taulukko on esimerkinomainen, tarkista aina opetuksen järjestäjän tekemät linjaukset!
Opetuksen järjestäjän
hallinnoimat
asiointikanavat
(esim. Wilma)
Opetuksen järjestäjän
hallinnoimat viestintä- ja
oppimisalustat
(esim. 0365, Teams,
G Suite, Moodle)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
eivät näy julkisesti
(esim. Quizlet)
Ulkopuolinen sovellus
tai verkkopalvelu,
jossa tiedot
näkyvät julkisesti
(esim. Padlet)
Opetuksen järjestäjän
hallinnoimat käyttäjätunnukset
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Ylläpitäjien luomat
tunnukset, kertakirj. tai
vahva tunnistautuminen
Opettajien luomat
tunnukset esim.
nimimerkki tai etunimi
Opettajan luomat
anonyymit tunnukset
tai ei tunnuksia
Saavatko oppijat rekisteröityä
palveluun itse koulussa?
Ok Ok Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Ok, alle 13-vuotiaat
tarvitsevat huoltajan
suostumuksen
Käyttö opetuksen aktivointiin,
materiaalien jakoon ym.
Ok Ok Ok Ok
Oppijoiden tekemät tehtävien
palautukset ja esim. kuvat
Ok Ok Ok Ei ilman suostumusta
Tavall. henkilötietojen tallennus
(esim. spostiosoite tai puh.nro)
Ok Ok Ei ilman suostumusta Ei
Koetulokset ja arvosanat Ok Ok Ei ilman suostumusta Ei
Sanalliset arvioinnit,
soveltuvuustestit ym.
Ok Ei Ei Ei
Muut salassa pidettävät tiedot
(esim. terveys ja erityinen tuki)
Ok Ei Ei Ei

9. Oppijoiden henkilötietojen luovuttaminen ja julkaisu
9
 Henkilötietoja voi julkaista netissä vain rekisteröidyn suostumuksella tai jos siitä on
nimenomaisesti säädetty.
 Viranomaisen pitää varmistua, että annettaessa henkilörekisteristä tietoja sähköisesti
saajalla on oikeus tallettaa ja käyttää niitä (JulkL 16 §).
 Vaikka tiedot olisivat ”julkisia”, ei niitä voida luovuttaa kenelle tahansa.
 Netissä julkaistuja tietoja voitaisiin käyttää esimerkiksi roskapostittamiseen.
 Suostumus on käytännössä esimerkiksi:
 Lupalomakkeen, käyttöehtojen tms. hyväksyntä, jossa on mainittu, että tietoja
tullaan julkaisemaan.
 Suostumus tietojen julkaisulle haku-/ilmoittautumislomakkeessa
 Julkaisuluvat esimerkiksi kuviin ja videoihin
 Muilla tavoin kysytyt ja saadut suostumukset

10. “EU-tuomioistuin totesi monien pilvipalvelujen käyttämän
Privacy shield –järjestelyn pätemättömäksi henkilötietojen
siirroille Yhdysvaltoihin 16.7.2020.
Rekisterinpitäjä on vastuussa, jos sen käyttämä pilvipalvelu
siirtää tietoja laittomasti EU:n ulkopuolelle.
Tarkista organisaation käyttämät pilvipalvelut ja niiden
henkilötietojen käsittelyn sopimukset!
10
Lähde: EU:n tuomioistuin, 16.7.2020, https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fi.pdf
Usein kysyttyjä kysymyksiä: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_fi.pdf

11. Kysymys: henkilötiedot yhdysvaltalaisissa pilvipalveluissa
11
 Luultavasti Microsoftin ja Googlen organisaatioille tarkoitettujen pilvipalvelujen käytölle
henkilötietojen käsittelyssä ei ole estettä.
 Pilvipalvelujen tarjoajat ovat sopimusten mukaan henkilötietojen käsittelijöitä.
 Henkilötietojen siirto EU:n ulkopuolelle on mahdollista 1) rekisteröityjen suostumuksen
tai 2) EU-komission mallisopimuslausekkeiden ja lisäsuojatoimenpiteiden perusteella.
 Pilvipalveluissa on pidettävä huolta, että pääsyoikeudet henkilötietoihin on määritelty työtehtävien
mukaisesti. Ei yhteiskäyttötunnuksia.
 Jos esim. Google-lomakkeella kerätään henkilötietoja, tietosuojaseloste tulee linkittää lomakkeelle,
jotta tietoja antavat henkilöt voivat tutustua siihen.
 Organisaation kannattaa ohjeistaa, saako yksityisiä Microsoft- ja Google-tunnuksia käyttää työssä
oppijoiden henkilötietojen käsittelyssä.
Lähde: Tietosuojalaki, https://finlex.fi/fi/laki/ajantasa/2018/20181050
• Voiko yhteistä Excel-taulukkoa henkilötiedoista pitää missään pilvipalvelussa,
esim. organisaation G Suitessa tai 0ffice 365:ssa?
• Voiko Google Driven lomakekyselyitä käyttää henkilötietojen keräämiseen?

12. WhatsApp opetuksessa
• Käyttöehdot sallivat ainoastaan henkilökohtaisen käytön.
 Tunnus on aina sen rekisteröineen henkilön, ei organisaation.
 Työkäyttöä ei kielletä, mutta sitä varten WA:ta ei ole tehty.
• Teknisesti turvallinen: vahva päästä päähän -salaus.
• OPH sallii WhatsAppin käytön, mutta opetuksen järjestäjän on syytä
ohjeistaa, saako WhatsAppia käyttää ja mitä silloin tulee huomioida.
 Tarkista linjaus ja ohjeet ennen kuin käytät!
• Tarkoittaa oppijan puhelinnumeron luovuttamista WhatsAppille.
 Pyydä suostumus oppijalta tai alle 16-vuotiaan huoltajalta ennen
kuin tallennat puh.nron kännykkään, johon on asennettu WhatsApp.
 WA:n käytön tulee olla aidosti vapaaehtoinen valinta.
Organisaatiossa huomioitavaa:
• Jos WhatsApp-viestintä sallitaan, sen kontrollointi on vaikeaa.
• WhatsAppin käyttöön on suositeltavaa olla työpuhelin
• Työnantajalla ei ole oikeutta lukea työntekijän WhatsApp-viestejä.
• WhatsAppin käyttö on huomioitava organisaation henkilötietojen
käsittelyssä, esim. riskien arviointi ja maininta tietosuojaselosteessa.
• Organisaatioprofiilin voi luoda vain WhatsApp Business -sovelluksessa.
WhatsAppin käyttöehdot:
https://www.whatsapp.com/legal/
OPH, Oppimissovellusten, sosiaalisen median palveluiden ja
digitaalisten pelien käyttö opetuksessa, 31.7.2020,
https://www.oph.fi/fi/oppimissovellusten-sosiaalisen-
median-palveluiden-ja-digitaalisten-pelien-kaytto-

13. Milloin ja mihin etäopetuksessa tarvitaan suostumus?
▪ Kun oppijoiden henkilötietoja tallennetaan sovellukseen tai verkkopalveluun, joka ei ole
opetuksen järjestäjän hallinnoima (ulkopuolinen rekisterinpitäjä).
⬞  Suostumus henkilötietojen siirrolle ja käsittelylle ko. sovelluksessa tai palvelussa.
▪ Kun käytetään palvelua, joka voi siirtää tietoja EU:n ulkopuolelle.
⬞  Suostumus henkilötietojen siirrolle ko. palveluun ja maahan.
▪ Kun julkaistaan henkilötietoja tai oppijoiden tuotoksia.
⬞  Suostumus henkilötietojen tai tuotosten julkaisulle.
▪ Kun käytetään oppijoiden henkilötietoja vapaaehtoisten lisäpalvelujen tuottamiseen,
jotka eivät ole välttämättömiä opetuksen kannalta.
⬞  Suostumus henkilötietojen käytön perusteena ko. palveluille.
▪ Kun tehdään oppijoita koskevaa profilointia ja automaattisia päätöksiä.
⬞  Suostumus automaattiselle päätöksenteolle.
13

14. “”…erilaisista ympäristöistä kerätään yhdenmukaista
dataa tietokantaan. Etu on siinä se, että kun meillä
opiskelijat ei toimi pelkästään Moodlessa, vaan
monessa eri palvelussa, niin jos ne palvelut tukevat
tätä standardia, voisimme kerätä yhtenevän
muotoista dataa opiskelijan tekemisestä yhteen
tietokantaan ja nähdä aika hyvän kokonaisuuden
tekemisestä.”
14
Lähde: Manninen, 2019, Analyysista adaptaatioihin - Oppimisanalytiikan hyödyntämismahdollisuudet Kaakkois-Suomen ammattikorkeakoulussa,
https://jyx.jyu.fi/bitstream/handle/123456789/64576/1/URN%3ANBN%3Afi%3Ajyu-201906133180.pdf
Läpäiseekö henkilötietojen käsittely riskiarviointia?

15. Riskiarviossa huomioitavaa
Lähde: Tietosuojavaltuutetun toimisto, https://tietosuoja.fi/arvioi-riskit
15

16. Kysymys: uusien viestintävälineiden riski- ja vaikutustenarviointi
16
 Viestintävälineissä kuten etäyhteys- ja oppimisalustoissa on kiinnitettävä erityistä huomiota
tietoturvallisuuteen, jotta voidaan estää tietojen päätyminen sivullisille.
 GDPR:n mukaan rekisterinpitäjän ja henkilötietojen käsittelijän tulee tehdä riskiarviointi ja
tarvittavat toimenpiteet henkilötietojen suojaamiseksi (32 artikla).
 Tarvittaessa tulee tehdä GDPR:n mukainen vaikutustenarviointi, jolla tunnistetaan riskien
syitä ja pyritään löytämään ratkaisuja niihin.
 Vaikutustenarviointi tulee tehdä mm. silloin, kun otetaan käyttöön uutta teknologiaa.
 Tietosuojavastaavalla on merkittävä rooli riski- ja vaikutustenarvioinnissa.
 Toimenpiteet ja ratkaisut tulee dokumentoida (osoitusvelvollisuus-periaate).
 Monet kunnat käyttävät Microsoft Teams -sovellusta mm. varhaiskasvatus-, kehitys- ja
arviointikeskusteluihin sekä terveydenhuollossa potilaiden etävastaanottoon.
Lähde: Tietosuojavaltuutetun toimisto, 2019, https://tietosuoja.fi/vaikutustenarviointi
• Miten uudet etäyhteys- ja oppimisalustat tulisi arvioida tietosuojan kannalta?
• Onko esim. Teams turvallinen arkaluontoisten tietojen (terveys ym.) käsittelyssä?

17. Kyllä kai suostumukseksi riittää,
että ilmoitin Wilmassa
WhatsAppin käytöstä
opetuksessa.
Annoin tehtäväksi asentaa Sport
Trackerin ja jakaa kävelylenkit
sitä kautta muille.
Lähetän musiikin tehtävät
TikTokissa ja oppilaat kuittaavat
ne kommentilla. 
Julkaisen perjantaisin YouTube-
videon, johon kokoan oppilaiden
tuotoksia ja annan palautetta.
Tein jokaisen opiskelijan nimellä
Padlet-taulun, johon he käyvät
merkitsemässä suorituksensa.
Tehtävänä on siivota olohuone
ja lähettää siitä ennen ja jälkeen
kuvat Classroomiin.
Mikäli oppijalla ei ole
tietokonetta, hän voi tulla
koululle lähiopetukseen.
Ei näin.

18. 3+1 pointtia
1. Tarkista, että etäopetuksen tietosuojasta on tehty
linjaukset ja käytännönläheiset ohjeet.
2. Varmista, että etäopetukseen on käytettävissä
turvalliset verkkoyhteydet, välineet ja sovellukset.
3. Huomioi verkko- ja etäopetuksen tietosuoja
henkilöstön osaamisen kehittämisessä.
4. Pitäisikö tietosuojataitoja opettaa myös oppijoille?
18

19. 19
Kysymyksiä tai
kommentteja?
Yhteystiedot
Harto Pönkä
0400500315
@hponka
harto.ponka@innowise.fi
https://www.innowise.fi/
Kiitos!