Taustaa

Koulutustoimialan pienryhmä päätti kokouksessaan 9.10.2017 kerätä kysymyspankkia eri tahoille saapuneista kysymyksistä ja vastauksia näihin.

Esitettyjä kysymyksiä

• VIRTA-opintotietopalvelu (korkeakoulujen tietovaranto) perustuu lakiin: "Opetus- ja kulttuuriministeriö vastaa tietovarannon teknisenä ylläpitäjänä tietovarannon yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallentamista, käsittelyäja luovutusta varten". OKM ostaa palvelun ylläpidon ja kehittämisen CSC:ltä. Korkeakoulut toimivat VIRTAan tallennetun tiedon rekisterinpitäjänä. Onko VIRTAan liittyen tarpeen se, että korkeakoulut ohjeistavat henkilötietojen käsittelyä? Tulisiko henkilötietojen käsittelystä sopia korkeakoulujen ja OKM:n /CSC:n välillä?
• Korkeakouluilla ei ole sopimusta VIRTA-tietoja hyödyntävien toimijoiden kanssa, tulisiko olla? Miten korkeakoulun tulisi rekisterinpitäjänä huolehtia henkilötietojen asianmukaisesta käsittelystä (erit. muu kuin viranomaiskäyttö)
• Jos yhteistä opiskelijarekisteriä käyttää kaksi eri korkeakoulua, onko opettajilla/virkailijoilla/pääkäyttäjillä oikeus nähdä molempien korkeakoulujen opiskelijat (erillis- ja tutkinto-opiskelijat) ja heidän henkilötietoja, ilmoittautumiset kurssille ja suoritukset. Hopsit varmaankin pystytään rajaamaan tietylle opettajalle, mutta miten pääkäyttäjien rooli

• Miten suhtaudutaan esim. opettaja käyttää korkeakoulun ulkopuolella olevaa "ilmaista" alustaa, johon opiskelijoiden pitää kirjautua esim. Facebook tai instagram tili tiedoilla?

• Mitkä on keskeiset tietosuoja-asiat, jotka (yliopiston) opettajan tulee työssään jatkossa ottaa huomioon? Millä edellytyksillä (yliopiston) opettajat voivat jatkossa kerätä esim. kurssien nimilistoja tai tehdä opiskelijoiden arvostelua koskevia henkilölistoja? Kuuluvatko opettajien ylläpitämät em. tiedot pääsääntöisesti esim. yliopiston opiskelijarekisteriin, ja riittääkö tällöin, että opiskelijarekisteristä on tietosuojaseloste? Milloin opettajan ylläpitämistä em. tiedoista muodostuu oma henkilörekisterinsä, josta esim. tarvitsee laatia oma tietosuojaselosteensa? Mikä on näissä tapauksissa riittävää rekisteröityjen informointia?

• Tietosuoja-asetus ja tiedon tekninen ylläpitäjä. KOSKI-palvelussa OPH on tekninen ylläpitäjä teknisen käyttöyhteyden kautta. Korkeakoulu tekee päätöksen luovutuksesta ja OPH vastaa tiedon luovutuksesta viranomaisille ja sen lainmukaisuudesta.

• Kenelle henkilötietoja voidaan luovuttaa? Mitä luovuttamisen mahdollistamiseksi tulee tehdä? Voiko datan omistajalle luovuttaa kaiken tallennetun henkilötiedon (jos kerrottu tietosuojaselosteessa)? Jos websovelluksen käytön yhteydessä on kysytty lupa tietojen yhdistämiseen toisen rekisterin tietoihin ja lupa on saatu, saako luovuttaa sovelluksessa annetun tiedon lisäksi kirjautumisen yhteydessä tallennetun tunnisteen, jolla yhdistäminen mahdollistuu? Miten tähän vaikuttaa datan omistajuus? Kyseessä sähköinen palautejärjestelmä ja opiskelijarekisterin tiedot.

• Millainen ero tietosuojan näkökulmasta on kahdella seuraavalla tapauksella:
  - korkeakoulun vastuukäyttäjä (henkilökohtaiset käyttäjätunnukset) voi ladata henkilötietoja sisältävän tiedoston websovelluksesta manuaalisesti omalle koneelleen. Vastuukäyttäjä on vastuussa datan anonymisoinnista.
  - organisaatio (korkeakoulu) voi automatisoida edellisen kohdan tiedoston sisältämän datan lataamisen rajapinnan kautta (tunnistautuminen oppilaitoskohtainen basic auth) korkeakoulun käyttäjän ja CSC:n yhdessä sopimalle palvelimelle. Vastuukäyttäjä on vastuussa datan anonymisoinnista.