Aika: 2.11.2017 kello 9-11
Paikka: Väinämöinen, Meritullinkatu 10
Osallistujat
- Immo Aakkula, OKM
- Jukka Haapamäki, OKM (puheenjohtaja)
- Kaisa Haanpää, OPH
- Tarja Kaira-Hiekkavuo, OKM
- Tero Huttunen, OKM
- Anna Kankaanpää, OKM
- Jonna Korhonen, CSC (sihteeri)
- Tomi Kytölä, OKM
- Janne Öberg, OKM
Muistio
- Muistion hyväksyminen
- Hyväksyttiin edellisen kokouksen muistio seuraavin korjauksin: kysymyksiä tulee paljon, mutta ne eivät ole kovin yksityiskohtaisia
- Tietosuoja-asetusta koskevat kysymykset
- Todettiin, että kysymykset tietosuoja-asetukseen liittyen ovat melko yleisiä ja koskevat tietosuoja-asetukseen valmistautumista ja opetuksessa käytettävien erilaisten palveluiden ja sovellusten tietosuojaa. Julkisuudessa oleva keskustelu sakoista herättänyt melko jäsentymätöntä mielenkiintoa asiaa kohtaan, minkä vuoksi yhteisen näkemyksen luominen tulevista muutoksista lienee tarpeen. JUHTA-VAHTI-yhteishankkeen myötä syntynyt Arjen tietosuoja-hanke ja vastaava materiaali vie osaltaan asiaa eteenpäin konkreettisten kysymysten kautta, mutta kysymysten yleisluonteisuuden takia koolla olevalle ryhmälle on myös tarvetta. Esimerkkikysymyksenä mainittakoon se lasketaanko aikaisempi toiminta tietosuoja-asetuksen myötä profiloinniksi. Kaiken kaikkiaan on kuitenkin hyvä tiedostaa se, ettei uuden tietosuoja-asetuksen tavoitteena ole pysäyttää henkilötiedon käsittelyä Euroopassa. Koulutuksen järjestäjän tulee vain ymmärtää ja tietää proaktiivisesti mitä henkilötietojen kanssa tehdään, onko käsittely tarpeellista ja onko suojaus oikeantasoinen. Tässä työssä toimivat laatuprosessit ovat arvokkaita.
- Päätös:
- Kerätään esitetyt kysymykset ylös ja katsoa mitä toimenpiteitä ne edellyttävät.
- Kokoustetaan erikseen Kuntaliiton kanssa mitä siellä tapahtuu ja voisiko se ohjeistaa vahvemmin kenttää tietuoja-asetukseen liittyen.
- Selvitetään mitä korkeakoulutuksen kehittämishankkeet ovat tehneet tietosuojan suhteen.
- Mietitään mitä profilointi käytännössä tarkoittaa.
- Todettiin, että kysymykset tietosuoja-asetukseen liittyen ovat melko yleisiä ja koskevat tietosuoja-asetukseen valmistautumista ja opetuksessa käytettävien erilaisten palveluiden ja sovellusten tietosuojaa. Julkisuudessa oleva keskustelu sakoista herättänyt melko jäsentymätöntä mielenkiintoa asiaa kohtaan, minkä vuoksi yhteisen näkemyksen luominen tulevista muutoksista lienee tarpeen. JUHTA-VAHTI-yhteishankkeen myötä syntynyt Arjen tietosuoja-hanke ja vastaava materiaali vie osaltaan asiaa eteenpäin konkreettisten kysymysten kautta, mutta kysymysten yleisluonteisuuden takia koolla olevalle ryhmälle on myös tarvetta. Esimerkkikysymyksenä mainittakoon se lasketaanko aikaisempi toiminta tietosuoja-asetuksen myötä profiloinniksi. Kaiken kaikkiaan on kuitenkin hyvä tiedostaa se, ettei uuden tietosuoja-asetuksen tavoitteena ole pysäyttää henkilötiedon käsittelyä Euroopassa. Koulutuksen järjestäjän tulee vain ymmärtää ja tietää proaktiivisesti mitä henkilötietojen kanssa tehdään, onko käsittely tarpeellista ja onko suojaus oikeantasoinen. Tässä työssä toimivat laatuprosessit ovat arvokkaita.
- Suostumus henkilötietojen käsittelyperusteena
- Keskusteltiin suostumuksesta henkilötietojen käsittelyperusteena ja todettiin, ettei suostumus ole välttämättä pidemmän päälle toimiva ratkaisu ainakaan perusopetuksen osalta sen oppivelvollisuuden pakollisuuden vuoksi. On selvitettävä mihin asti laki antaa rekisteripitäjälle perusteen henkilötietojen käsittelyyn samalla, kun itse henkilötietolakikin on muuttumassa. Myös kustantajat ja opetuksen järjestäjät haluavat tietää miten aikaisempi tiedonkeruu on hyödynnettävissä jatkossa opetuksen ja oman tuotekehityksen pohjana - kuten suuryritykset parhaillaan tekevät (Google ja sen Gafe-palvelut Suomessa). Tulisiko suuryritysten mahdollisuuksia jatkossa rajoittaa vai annetaanko kustantajillle laajemmat mahdollisuudet tasa-arvon ja kilpailuasetelman kannalta? Onko tässä riski, että suomalaisia toimijoita kohdellaan kovemmalla kädellä kuin kansainvälisiä suuryrityksiä? Isompien yritysten kuvauksissa ei selviä yksittäisen datan käyttötarkoitusta selvästi eriteltynä, mikä ei välttämättä ole tietosuoja-asetuksen mukaista. Miten tarkkaan opetuksen järjestäjän tulee jatkossa sopia siitä miten dataa kerätään ja mihin tarkoitukseen toimittajan kanssa. Olisikin hyvä käydä tätä keskustelua ja katsoa samalla yhteistyössä suomalaisten toimijoiden kanssa mitä se on se data mitä he keräävät ja miten he anonymisoivat sen.
- Päätös:
- Selvitetään mikä toiminta lasketaan osaksi tehtävän hoitamista, jollon suostumusta ei tarvita.
- Keskusteltiin suostumuksesta henkilötietojen käsittelyperusteena ja todettiin, ettei suostumus ole välttämättä pidemmän päälle toimiva ratkaisu ainakaan perusopetuksen osalta sen oppivelvollisuuden pakollisuuden vuoksi. On selvitettävä mihin asti laki antaa rekisteripitäjälle perusteen henkilötietojen käsittelyyn samalla, kun itse henkilötietolakikin on muuttumassa. Myös kustantajat ja opetuksen järjestäjät haluavat tietää miten aikaisempi tiedonkeruu on hyödynnettävissä jatkossa opetuksen ja oman tuotekehityksen pohjana - kuten suuryritykset parhaillaan tekevät (Google ja sen Gafe-palvelut Suomessa). Tulisiko suuryritysten mahdollisuuksia jatkossa rajoittaa vai annetaanko kustantajillle laajemmat mahdollisuudet tasa-arvon ja kilpailuasetelman kannalta? Onko tässä riski, että suomalaisia toimijoita kohdellaan kovemmalla kädellä kuin kansainvälisiä suuryrityksiä? Isompien yritysten kuvauksissa ei selviä yksittäisen datan käyttötarkoitusta selvästi eriteltynä, mikä ei välttämättä ole tietosuoja-asetuksen mukaista. Miten tarkkaan opetuksen järjestäjän tulee jatkossa sopia siitä miten dataa kerätään ja mihin tarkoitukseen toimittajan kanssa. Olisikin hyvä käydä tätä keskustelua ja katsoa samalla yhteistyössä suomalaisten toimijoiden kanssa mitä se on se data mitä he keräävät ja miten he anonymisoivat sen.
4. TATTI-ryhmän toiminnan tukeminen
- Todettiin, että TATTI-ryhmä ei ole saanut hirveästi materiaalia Oikeusministeriöltä, mutta esimerkiksi arkaluonteisten tietojen käsittelyjen osalta näyttää siltä, että on tulossa Saksan tapainen sääntely, jossa tietosuojalakiin tulisi säännöksiä, jotka muistuttaisivat nykyistä henkilölakia, jossa viitataan lakisääteiseen velvoitteiseen (henkilötietolaki 12 § 5). Kyseessä olisi siis yleisempi pykälä sisältäen luettelon mahdollisista suojatoimista, joista käsittelijä voi valita tarvittavan suojakeinon suhteessa käsiteltävän arkaluonteisen tiedon asteeseen. Asiaa vietäisiin siis eteenpäin lainsäädännön säätelyn sijaan enemmän laatuajattelulla. Yksittäiset pienet toimijat voisivat tarvittaessa nimittää yhteisen tietosuojavastaavan tietyin reunaehdoin. Lisäksi lakiin on tulossa tutkimuksen ja arkiston yleiset käsittelyperusteet. Vaikuttavuusarviontia ei näyttäisi olevan tulossa lainkaan.
- Päätös:
- Seurataan TATTI-työryhmän työn etenemistä
- Linkitetään TSV:n ohjeistus tietosuoja-sivulle.
Todettiin, että WP29-työryhmän työhön liittyen OKM:n pitäisi olla aktivinen, jos käsitellään koulutuksen asioita tietosuojavaltuutetun kautta.
Päätös:
- Lisätään WP29 seurattavien asioiden listalle ja pyritään vaikuttamaan tietosuojavaltuteun kautta.
Todettiin, että tietosuoja-asetuslain voimaantulon lähestyminen näyttäytyy jatkossa myös yhä selvemmin lainvalmistelussa. Esimerkiksi Vardan osalta on pyritty ottamaan asia ennakoiden huomioon valmistelutyössä.
Päätös:
- Kerätään tietosuojaa koskevat viittaukset valmistelussa olleista laista. Konsultoidaan tarvittaessa Matti Sillanpäätä.
- Todettiin, että TATTI-ryhmä ei ole saanut hirveästi materiaalia Oikeusministeriöltä, mutta esimerkiksi arkaluonteisten tietojen käsittelyjen osalta näyttää siltä, että on tulossa Saksan tapainen sääntely, jossa tietosuojalakiin tulisi säännöksiä, jotka muistuttaisivat nykyistä henkilölakia, jossa viitataan lakisääteiseen velvoitteiseen (henkilötietolaki 12 § 5). Kyseessä olisi siis yleisempi pykälä sisältäen luettelon mahdollisista suojatoimista, joista käsittelijä voi valita tarvittavan suojakeinon suhteessa käsiteltävän arkaluonteisen tiedon asteeseen. Asiaa vietäisiin siis eteenpäin lainsäädännön säätelyn sijaan enemmän laatuajattelulla. Yksittäiset pienet toimijat voisivat tarvittaessa nimittää yhteisen tietosuojavastaavan tietyin reunaehdoin. Lisäksi lakiin on tulossa tutkimuksen ja arkiston yleiset käsittelyperusteet. Vaikuttavuusarviontia ei näyttäisi olevan tulossa lainkaan.
5. Kokous päättyi kello 10:30.