EU:n yleisen tietosuoja-asetuksen (GDPR) lyhyt opas kouluille ja opettajille

Image: karelnoppe / Shutterstock.com

Tietosuoja on tärkeä asia: se tarkoittaa yksityisyyden kunnioittamista ja tietojen asianmukaista käsittelyä. Silti Euroopan unionin yleinen tietosuoja-asetus (GDPR) on herättänyt huolta myös kouluissa. Pitääkö koulujen muuttaa tapojaan säilyttää tietoja? Mitkä tiedot katsotaan arkaluonteisiksi? Voiko koulun tietoja edelleen säilyttää kannettavassa laitteessa? Tämä opas auttaa sinua turvaamaan oppilaitasi koskevat tiedot – ja ymmärtämään, mitä omille tiedoillesi tapahtuu.

Tunnista ero: henkilötiedot ja arkaluonteiset tiedot

Henkilötietoja ovat kaikki tiedot, joiden perusteella henkilö tai hänen perheensä voidaan tunnistaa. Koulun oppilastiedoissa näitä ovat oppilaan nimi, osoite ja muut yhteystiedot, samoin kuin kurinpidolliset merkinnät, arvosanat ja arviointilomakkeet. Tällaiset tiedot pysyvät ”henkilökohtaisina”, vaikka henkilö päättäisi julkaista ne.

Arkaluonteisemmille aiheille on olemassa henkilötietojen erityisryhmiä. Koulujen osalta näitä ovat oppilaan biometriset tiedot (esim. sormenjäljet, valokuvat), uskonnollinen vakaumus (esim. oppilaan valinta olla osallistumatta uskonnonopetukseen), terveys (esim. allergiat) tai erityisruokavalio (joka saattaa vihjata hänen uskontoonsa tai terveyteensä). Erityisryhmien tiedot voivat olla riski ihmisille, ja siksi niitä voidaan käsitellä vain tietyin edellytyksin. Koulut eivät todennäköisesti voi käyttää niitä ilman vanhempien suostumusta.

Tunnista ero: rekisterinpitäjät ja henkilötietojen käsittelijät

Tietosuoja-asetuksessa korostetaan kahta tärkeää roolia, jotka voivat olla joko henkilöitä tai yksiköitä: rekisterinpitäjä määrittelee tietojen käsittelyn keinot ja tarkoitukset, kun taas henkilötietojen käsittelijä käsittelee tietoja rekisterinpitäjän puolesta. Kummallakin osapuolella on erilaiset oikeudelliset vastuualueet.

Koulu on yleensä ”rekisterinpitäjä”, joten sen on varmistettava selvä sopimus ”käsittelijän” kanssa. Käsittelijän muoto voi vaihdella: se voi olla valokuvaaja tai paperisilppuripalveluja tarjoava yritys, verkko-oppimisympäristö tai tietokoneohjelma. Kaikki näiden tahojen suorittamat toiminnot katsotaan käsittelyksi, vaikka se olisi automaattista: tietojen kerääminen, tallentaminen, hakeminen, tuhoaminen jne.

Hyvät käytännöt: valvo omaa toimintaasi

Uuden lainsäädännön mukaan koulujen (kuten kaikkien viranomaisten) on nimitettävä tietosuojavastaava, tietosuoja-asetukseen liittyviä asioita hoitava henkilö. Hänen tehtävänään on muun muassa valvoa koulun toimintaperiaatteita, antaa koulutusta ja tehdä tarkastuksia. Koulujen ei kuitenkaan pidä luottaa siihen, että tietosuojavastaava huomaa kaikki koulun järjestelmässä olevat puutteet. Seuraavassa muutamia kysymyksiä, jotka jokaisen tulisi kysyä itseltään:

  1. Millä perusteella tietoja käsitellään? Yleisen tietosuoja-asetuksen mukaan tietojen käsittelylle on kuusi lainmukaista perustetta. Kouluille tärkein lainmukainen peruste on julkinen tehtävä, mikä tarkoittaa sitä, että ne käyttävät tietoja yleisen edun vuoksi toteutettavan tehtävän suorittamiseen. Tähän tarkoitukseen kerättyjä tietoja ei kuitenkaan saa käyttää muuhun tarkoitukseen. Koulu ei esimerkiksi voi jakaa vanhempien sähköpostiosoitteita koulun tapahtumia mainostavalle ulkopuoliselle taholle väittämällä, että kyseessä on ”julkinen tehtävä”. Näiden tietojen jakamiseen heillä on oltava toinen lainmukainen peruste, suostumus. Koulujen on myös pyydettävä suostumus, jos ne perustavat oppilastilin pilvipalveluun.

  2. Mitä tietoja säilytetään missäkin, ja kenellä on pääsy niihin? Koulujen tulee tarkastaa tietojen käsittelyä koskevat käytänteensä. Kun niillä on kokonaiskäsitys hallussaan olevista henkilötiedoista, ne voivat valita parhaan tavan suojata ne.

  3. Mitä turvatoimia on otettu käyttöön? Tietoturvaloukkauksissa ei aina ole kyse hakkereista ja haittaohjelmista – ne voivat olla seurausta myös junaan unohtuneesta läppäristä tai uteliaasta perheenjäsenestä. Tästä syystä henkilökunnan tulisi säilyttää henkilötietoja vain koulun laitteissa, käyttää vahvoja salasanoja ja asettaa laitteensa lukittumaan automaattisesti viiden minuutin käyttämättömyyden jälkeen. Jos henkilötietoja ladataan irrotettavaan välineeseen, kuten USB-tikkuun, se pitää salata ja suojata salasanalla sekä pitää poissa muiden käyttäjien ulottuvilta. Henkilökunnan tulisi myös saada koulutusta käyttäjän manipuloinnista, tietojen kalastelusta, pilviteknologiasta, kiristysohjelmista ja muista vastaavista asioista.

  4. Mitä vanhemmat tietävät? Koulujen tulisi lähettää vanhemmille tietosuojatiedote esitteen, uutiskirjeen, todistuksen tai sähköpostiviestin mukana. Siinä heidän tulisi kertoa, mitä tietoja ne keräävät, miksi keräävät ja millä muilla tahoilla on pääsy niihin. On syytä muistaa, että tietosuoja-asetuksen mukaan vanhemmat ja oppilaat voivat pyytää maksutta nähtäväkseen itseään koskevat tiedot.

Hyvät käytännöt: hanki tietoa

Aikuisten lisäksi myös lasten tulisi ottaa tietosuoja-asiat huomioon. Yhteinen tutkimuskeskus (JRC) onkin siksi laatinut mobiilipelin Cyber Chronix, jossa pelaajien on ratkottavat tietosuoja-asetukseen liittyviä esteitä futuristisella planeetalla.

Jos haluat tietää lisää tietosuoja-asetuksesta, voit ottaa yhteyttä oman maasi tietosuojaviranomaisiin.

Voit myös lukea nämä julkaisut, joiden pohjalta tämä opas on laadittu:

Lopuksi voit tehdä tämän 360datan laatiman 30 sekunnin tietovisan, jolla voit arvioida omien tietosuojatoimiesi tason!