Anna Johansson, Aalto-yliopisto & Laura Karppinen, Helsingin yliopisto 28.8.2013 Tietosuojatyöpaja YDIN- SUOMEHN YLIOPISTO Anna Johansson, Aalto-yliopisto & Laura Karppinen, Helsingin yliopisto YDIN YLIOPISTO

Tietosuoja ja henkilötietolain soveltaminen yliopiston opintoasioissa Tietosuoja käsittää henkilötietojen käsittelyn edellytykset, joilla henkilön yksityisyyttä (ml. oikeutta omiin henkilötietoihinsa) suojataan ->Henkilötietolaki (HetiL 523/1999) yleislakina HetiL 1 § Henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. (esim. opintoasioissa yleensä opiskelija/hakija) HetiL 2§ Sovelletaan henkilötietoja käsiteltäessä jollei laissa toisin säädetä Sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. 28.8.2013 YDIN YLIOPISTO

Henkilötietolain keskeisiä käsitteitä HetiL 3 § henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi; (esim. opiskelijan nimi + opintosuoritus) henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä; (esim. henkilötietojen hakeminen kuvaruudulle järjestelmästä) henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta; (esim. opiskelija/opintotietorekisteri, opiskelijavalintarekisteri, alumnirekisteri) 28.8.2013 YDIN YLIOPISTO

Henkilötietojen käsittelyn yleiset periaatteet Henkilötietoja käsiteltäessä on huomioitava monta asiaa: pelkkä käyttötarkoituksen määrittely ei riitä Käsittelyn huolellisuus: HetiL 5 § huolellisuus AINA henkilötietojen käsittelyssä, HetiL 32 § suojaamisvelvoite (vrt. JulkL hyvä tiedonhallintatapa) Käsittelyn suunnittelu: HetiL 6 § asiallinen peruste, HetiL 7§ käyttötarkoitussidonnaisuus, HetiL 10 § rekisteriseloste Yleiset edellytykset käsittelylle: yliopistossa keskeisimmät edellytykset opiskelijoiden henkilötietojen käsittelylle ovat HetiL 8.1 §:n seuraavat kohdat: 1. yksiselitteinen suostumus 5. rekisteröidyn asiakassuhteeseen verrattava asiallinen yhteys rekisterinpitäjään (opiskelija – oppilaitos) Henkilötietojen laatu: HetiL 9 § tarpeellisuus ja virheettömyys Rekisteröityjen informointi: HetiL 10 § rekisteriseloste 24 -25§ informointi (tietosuojaseloste) 28.8.2013 YDIN YLIOPISTO

Henkilötietojen käsittelyn yleiset edellytykset Yleiset käsittelyn edellytykset (HetiL 8.1 §) Henkilötietoja saa käsitellä: 1) rekisteröidyn yksiselitteisesti antamalla suostumuksella; 2) rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; 3) jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi; 4) jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta; 5) jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus); 6) jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä; 7) jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten; 8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai 9) jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan. 28.8.2013 YDIN YLIOPISTO

Henkilötietojen käsittely erityiseen tarkoitukseen Yliopistossa opintotietorekisterin henkilötietojen käsittelyn käyttötarkoitus on yleensä opetustehtävän hoitaminen ->saa käsitellä siihen tarkoitukseen Muu käsittely erityiseen tarkoitukseen: ei saa olla yhteensopimaton alkuperäisen käyttötarkoituksen kanssa, edellyttää suostumusta tai muuta laissa säädettyä perustetta Käyttötarkoituksensa lisäksi henkilötietoja saa käsitellä seuraaviin tarkoituksiin: 14 § Historiallinen ja tieteellinen tutkimus, 15 § Tilastointi, 16 § viranomaisen suunnittelu- ja selvitystehtävät, 17 § henkilömatrikkeli, 18 § sukututkimus, 19 § suoramarkkinointi ja muut osoitteelliset lähetykset (huom JulkL 16.3 §) Erityinen käyttötarkoitus tai suostumuksenvaraisuus voivat tulla arvioitavaksi sekä henkilötietoja ulkopuolelle luovutettaessa että henkilötietojen käsittelyssä yliopiston sisällä (esim. promootiomatrikkeli tai HR-toimintojen tarpeet) 28.8.2013 YDIN YLIOPISTO

Arkaluonteisten henkilötietojen käsittely Arkaluonteisten henkilötietojen käsittelyä koskevat tiukemmat säännöt Heti L 11 § Käsittely on lähtökohtaisesti kielletty (HetiL 12 § : useita poikkeuksia) Arkaluonteisia henkilötietoja ovat tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan: 1. rotua ja etnistä alkuperää (esim. kansalaisuus tai äidinkieli ei ole tällainen tieto) 2. henkilön uskonnollista, poliittista tai yhteiskunnallista vakaumusta tai ammattiliittoon kuulumista 3. rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta 4. henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia (esim. lisäaikahakemuksen liitteenä lääkärintodistus, asiakirjat vammaisuuden vuoksi saadusta tentin erityisjärjestelystä) 5. henkilön seksuaalista suuntautumista tai käyttäytymistä 6. henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluita ->Käytännössä arkaluonteiset tiedot ovat aina myös salassapidettäviä tietoja HetiL 13 § henkilötunnusta ei saa käsitellä tarpeettomasti (ei kuitenkaan arkaluonteinen tieto) Yliopistolaki 45 b§ arkaluonteisten tietojen käsittely: määriteltävä ne tehtävät, joissa käsitellään, tiedot säilytettävä erikseen, hävitettävä rekisteristä heti kun tarpeettomia / viimeistään 4 v. kuluttua (turvallisinta soveltaa kaikkiin opiskelijoita koskeviin arkaluonteisiin tietoihin, vaikka 45b §:n alussa viitataan vain tiettyihin prosesseihin) 28.8.2013 YDIN YLIOPISTO

Tiedon antaminen asiakirjasta vs Tiedon antaminen asiakirjasta vs. henkilötiedon luovuttaminen henkilörekisteristä Yliopiston on annettava tieto julkisesta asiakirjasta pyytäjälle, vaikka se sisältäisi henkilötietoja. Henkilötietojen käsittelyä koskevat säädökset rajoittavat kuitenkin sitä tapaa, jolla tieto henkilörekisteristä voidaan antaa. Pääsääntö (JulkL 16.1 §) Tiedon antamistavat julkisesta asiakirjasta: suullisesti, antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. Tieto asiakirjan julkisesta sisällöstä on annettava pyydetyllä tavalla, jollei pyynnön noudattaminen asiakirjojen suuren määrän tai asiakirjan kopioinnin vaikeuden tai muun niihin verrattavan syyn vuoksi aiheuta kohtuutonta haittaa virkatoiminnalle. Erityissääntö (JulkL 16.3 §) Tiedon antamistavat julkisesta asiakirjasta, joka on myös viranomaisen henkilörekisteri : tiedon saa antaa tulosteena, kopiona tai sähköisesti (esim. sähköpostilla) vain, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännöksien nojalla oikeus tallettaa ja käyttää henkilötietoja. -JulkL 16.3 § Viranomaisen henkilörekisteristä saa luovuttaa tiedon suoramarkkinointia tai markkina- tai mielipidetutkimusta varten vain, jos laissa näin säädetään tai henkilö on antanut suostumuksensa” -Henkilötietolaki yleislakina tulee sovellettavaksi: luovutus mm. rekisteröidyn suostumuksella tai erityiseen tarkoitukseen (tutkimus yms.) -Myös muissa laeissa on henkilötietojen suojaa koskevia säännöksiä 28.8.2013 YDIN YLIOPISTO

Henkilötietojen luovuttaminen Luovutuksen saajalla tulee olla henkilötietoja koskevan lainsäädännön perusteella oikeus (tallettaa ja käyttää) käsitellä tietoja Pääsääntö HetiL 8.1 § 1 kohta: rekisteröidyn yksiselitteinen suostumus Opintotietorekisteriin kirjatut suostumukset voimassa siihen asti kun opiskelijan opinto-oikeus päättyy, Erillinen, tapauskohtainen suostumus muutoin Muut HetiL 8.1 § kohdat: ei aina tarvita suostumusta, esim. laissa säädetty tehtävä (yleensä erityislain perusteella säännönmukaiset luovutukset), asiakkuussuhde (tarpeelliset tiedot, suostumus yleensä tarvitaan), rekisteröidyn toimeksianto luovutuksensaajalle Erityiset käsittelyperusteet (HetiL 14§-18§ ): ei aina tarvita suostumusta Historiallinen ja tieteellinen tutkimus, tilasto, viranomaisen suunnittelu- ja selvitystehtävät Henkilömatrikkelit, sukututkimus ->kielto-oikeus! Poikkeukset HetiL soveltamisalasta (HetiL 2 §): ei tarvita suostumusta Henkilökohtainen tai siihen rinnastettava tavanomainen yksityinen käyttö (esim. vuosikurssin tapaamista varten voidaan luovuttaa tuloste yhteystiedoista opiskelijalle) Toimituksellinen, taiteellinen tai kirjallinen käyttö (esim. toimittaja voi pyynnöstä saada sähköpostilla tiedot presidenttiehdokkaan suorittamista tutkinnoista yliopistossa) 28.8.2013 YDIN YLIOPISTO