Versions Compared

Old Version 4

changes.mady.by.user Outi Tasala

Saved on

compared with

New Version Current

changes.mady.by.user Kaisa Kotomäki

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Tämä sivun näkyvyys on rajattu toistaiseksi koulutustoimen pienryhmän puheenjohtajistolle ja sihteeristölle.

Taustaa

Koulutustoimialan pienryhmä päätti kokouksessaan 9.10.2017 kerätä kysymyspankkia eri tahoille saapuneista kysymyksistä ja vastauksia näihin. Kerätään tälle sivulle kysymyksiä kokouksiin mietittäväksi ja edelleen julkiselle puolelle nostettavaksi.

Esitettyjä kysymyksiä

...

  • VIRTA-opintotietopalvelu (korkeakoulujen tietovaranto) perustuu lakiin: "Opetus- ja kulttuuriministeriö vastaa tietovarannon teknisenä ylläpitäjänä tietovarannon yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallentamista, käsittelyäja luovutusta varten". OKM ostaa palvelun ylläpidon ja kehittämisen CSC:ltä. Korkeakoulut toimivat VIRTAan tallennetun tiedon rekisterinpitäjänä. Onko VIRTAan liittyen tarpeen se, että korkeakoulut ohjeistavat henkilötietojen käsittelyä? Tulisiko henkilötietojen käsittelystä sopia korkeakoulujen ja OKM:n /CSC:n välillä?
  • Korkeakouluilla ei ole sopimusta VIRTA-tietoja hyödyntävien toimijoiden kanssa, tulisiko olla? Miten korkeakoulun tulisi rekisterinpitäjänä huolehtia henkilötietojen asianmukaisesta käsittelystä (erit. muu kuin viranomaiskäyttö)
  • Jos yhteistä opiskelijarekisteriä käyttää kaksi eri korkeakoulua, onko opettajilla/virkailijoilla/pääkäyttäjillä oikeus nähdä molempien korkeakoulujen opiskelijat (erillis- ja tutkinto-opiskelijat) ja heidän henkilötietoja, ilmoittautumiset kurssille ja suoritukset. Hopsit varmaankin pystytään rajaamaan tietylle opettajalle, mutta miten pääkäyttäjien rooli
Tietojen luovuttaminen
  • Tietojen luovuttaminen kolmannelle taholle esim. tutkimuskäyttöön. Tuleeko tieto luovutuksesta välittää opiskelijalle tai jättää rekisteriin? Miten tiedot välitetään ja pitääkö vaatia, että tietojen hävittäminen tutkimustiedon keruun jälkeen hävitetään.
Arkaluontoisten tietojen käsittely
  • Mahdollisesti suosituskuvaus opiskelijoiden terveystietojen käsittelystä: miten ja kauanko tietoja säilytetään, missä? Kuka pääsee tietoihin? Arkaluonteisten tietojen käyttö kokonaisuudessaan. Vrt. henkilöstön sairauslomatodistukset ja käsittely keskitetysti.
Tietojen katselu, muokkaaminen ja poistaminen
  • Satunnaisen henkilön tietojen katsominen, esim. tarkistaakseen miten tietyt tiedot kuuluu kirjata, satunnainen opiskelijanumero tai aakkosissa ensimmäinen henkilö. Miten tämä perusteellaan, jos selitettäväksi miksi kyseisen henkilön tietoja katsottu? 
Rooleihin ja toimijoihin liittyvät kysymykset
Opettaja
  • Miten suhtaudutaan esim. opettajan tallentamiin excel-listoihin, (joita käyttää esim. arvostelun yhteydessä?) Saako tallentaa niitä esim. omille muistitikuille.?

  • Miten suhtaudutaan esim. opettaja käyttää korkeakoulun ulkopuolella olevaa "ilmaista" alustaa, johon opiskelijoiden pitää kirjautua esim. Facebook tai instagram tili tiedoilla?

Opiskelijajärjestöt

  • Mitkä on keskeiset tietosuoja-asiat, jotka (yliopiston) opettajan tulee työssään jatkossa ottaa huomioon? Millä edellytyksillä (yliopiston) opettajat voivat jatkossa kerätä esim. kurssien nimilistoja tai tehdä opiskelijoiden arvostelua koskevia henkilölistoja? Kuuluvatko opettajien ylläpitämät em. tiedot pääsääntöisesti esim. yliopiston opiskelijarekisteriin, ja riittääkö tällöin, että opiskelijarekisteristä on tietosuojaseloste? Milloin opettajan ylläpitämistä em. tiedoista muodostuu oma henkilörekisterinsä, josta esim. tarvitsee laatia oma tietosuojaselosteensa? Mikä on näissä tapauksissa riittävää rekisteröityjen informointia?

  • Tietosuoja-asetus ja tiedon tekninen ylläpitäjä. KOSKI-palvelussa OPH on tekninen ylläpitäjä teknisen käyttöyhteyden kautta. Korkeakoulu tekee päätöksen luovutuksesta ja OPH vastaa tiedon luovutuksesta viranomaisille ja sen lainmukaisuudesta.

  • Kenelle henkilötietoja voidaan luovuttaa? Mitä luovuttamisen mahdollistamiseksi tulee tehdä? Voiko datan omistajalle luovuttaa kaiken tallennetun henkilötiedon (jos kerrottu tietosuojaselosteessa)? Jos websovelluksen käytön yhteydessä on kysytty lupa tietojen yhdistämiseen toisen rekisterin tietoihin ja lupa on saatu, saako luovuttaa sovelluksessa annetun tiedon lisäksi kirjautumisen yhteydessä tallennetun tunnisteen, jolla yhdistäminen mahdollistuu? Miten tähän vaikuttaa datan omistajuus? Kyseessä sähköinen palautejärjestelmä ja opiskelijarekisterin tiedot.

  • Millainen ero tietosuojan näkökulmasta on kahdella seuraavalla tapauksella:
    - korkeakoulun vastuukäyttäjä (henkilökohtaiset käyttäjätunnukset) voi ladata henkilötietoja sisältävän tiedoston websovelluksesta manuaalisesti omalle koneelleen. Vastuukäyttäjä on vastuussa datan anonymisoinnista.
    - organisaatio (korkeakoulu) voi automatisoida edellisen kohdan tiedoston sisältämän datan lataamisen rajapinnan kautta (tunnistautuminen oppilaitoskohtainen basic auth) korkeakoulun käyttäjän ja CSC:n yhdessä sopimalle palvelimelle. Vastuukäyttäjä on vastuussa datan anonymisoinnista

  • Mikä on opiskelijajärjestöjen asema? Niillä on linkkejä tiedonvaihdossa korkeakoulujen kanssa. Pitääkö järjestöillä olla oma tietosuojavastaava, sillä niilläkin on henkilörekisteri?
  • Yliopisto- ja amk-puolella tiedonvaihto opiskelijajärjestöjen kanssa erilaista, sillä amk-puolella on jäsenyys vapaaehtoista, ei lakiin perustuvaa (lupa kuitenkin saatava)

    .