Koulutustoimialan pienryhmä päätti kokouksessaan 9.10.2017 kerätä kysymyspankkia eri tahoille saapuneista kysymyksistä ja vastauksia näihin.
Miten suhtaudutaan esim. opettaja käyttää korkeakoulun ulkopuolella olevaa "ilmaista" alustaa, johon opiskelijoiden pitää kirjautua esim. Facebook tai instagram tili tiedoilla?
Mitkä on keskeiset tietosuoja-asiat, jotka (yliopiston) opettajan tulee työssään jatkossa ottaa huomioon? Millä edellytyksillä (yliopiston) opettajat voivat jatkossa kerätä esim. kurssien nimilistoja tai tehdä opiskelijoiden arvostelua koskevia henkilölistoja? Kuuluvatko opettajien ylläpitämät em. tiedot pääsääntöisesti esim. yliopiston opiskelijarekisteriin, ja riittääkö tällöin, että opiskelijarekisteristä on tietosuojaseloste? Milloin opettajan ylläpitämistä em. tiedoista muodostuu oma henkilörekisterinsä, josta esim. tarvitsee laatia oma tietosuojaselosteensa? Mikä on näissä tapauksissa riittävää rekisteröityjen informointia?
Kenelle henkilötietoja voidaan luovuttaa? Mitä luovuttamisen mahdollistamiseksi tulee tehdä? Voiko datan omistajalle luovuttaa kaiken tallennetun henkilötiedon (jos kerrottu tietosuojaselosteessa)? Jos websovelluksen käytön yhteydessä on kysytty lupa tietojen yhdistämiseen toisen rekisterin tietoihin ja lupa on saatu, saako luovuttaa sovelluksessa annetun tiedon lisäksi kirjautumisen yhteydessä tallennetun tunnisteen, jolla yhdistäminen mahdollistuu? Miten tähän vaikuttaa datan omistajuus? Kyseessä sähköinen palautejärjestelmä ja opiskelijarekisterin tiedot.
Millainen ero tietosuojan näkökulmasta on kahdella seuraavalla tapauksella:
- korkeakoulun vastuukäyttäjä (henkilökohtaiset käyttäjätunnukset) voi ladata henkilötietoja sisältävän tiedoston websovelluksesta manuaalisesti omalle koneelleen. Vastuukäyttäjä on vastuussa datan anonymisoinnista.
- organisaatio (korkeakoulu) voi automatisoida edellisen kohdan tiedoston sisältämän datan lataamisen rajapinnan kautta (tunnistautuminen oppilaitoskohtainen basic auth) korkeakoulun käyttäjän ja CSC:n yhdessä sopimalle palvelimelle. Vastuukäyttäjä on vastuussa datan anonymisoinnista.