YDIN YLIOPISTO - OHA

Report
28.8.2013
Anna Johansson, Aalto-yliopisto &
Laura Karppinen, Helsingin yliopisto
YDIN- SUOMEHN YLIOPISTO
Tietosuojatyöpaja
YDIN YLIOPISTO
• Tietosuoja käsittää henkilötietojen käsittelyn edellytykset, joilla
henkilön yksityisyyttä (ml. oikeutta omiin henkilötietoihinsa)
suojataan
• ->Henkilötietolaki (HetiL 523/1999) yleislakina
• HetiL 1 § Henkilötietolain tarkoituksena on toteuttaa yksityiselämän
suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja
käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja
noudattamista. (esim. opintoasioissa yleensä opiskelija/hakija)
• HetiL 2§ Sovelletaan henkilötietoja käsiteltäessä jollei laissa toisin säädetä
• Sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun
henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot
muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
28.8.2013
Tietosuoja ja henkilötietolain soveltaminen yliopiston
opintoasioissa
YDIN YLIOPISTO
HetiL 3 §
• henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen
ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan
tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa
eläviä koskeviksi;
(esim. opiskelijan nimi + opintosuoritus)
• henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista,
järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista,
yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin
kohdistuvia toimenpiteitä;
(esim. henkilötietojen hakeminen kuvaruudulle järjestelmästä)
• henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä
muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai
kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty
kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä
henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;
(esim. opiskelija/opintotietorekisteri, opiskelijavalintarekisteri, alumnirekisteri)
28.8.2013
Henkilötietolain keskeisiä käsitteitä
• Käsittelyn huolellisuus: HetiL 5 § huolellisuus AINA henkilötietojen
käsittelyssä, HetiL 32 § suojaamisvelvoite (vrt. JulkL hyvä tiedonhallintatapa)
• Käsittelyn suunnittelu: HetiL 6 § asiallinen peruste, HetiL 7§
käyttötarkoitussidonnaisuus, HetiL 10 § rekisteriseloste
• Yleiset edellytykset käsittelylle: yliopistossa keskeisimmät edellytykset
opiskelijoiden henkilötietojen käsittelylle ovat HetiL 8.1 §:n seuraavat kohdat:
• 1. yksiselitteinen suostumus
• 5. rekisteröidyn asiakassuhteeseen verrattava asiallinen yhteys
rekisterinpitäjään (opiskelija – oppilaitos)
• Henkilötietojen laatu: HetiL 9 § tarpeellisuus ja virheettömyys
• Rekisteröityjen informointi: HetiL 10 § rekisteriseloste 24 -25§ informointi
(tietosuojaseloste)
YDIN YLIOPISTO
Henkilötietoja käsiteltäessä on huomioitava monta
asiaa: pelkkä käyttötarkoituksen määrittely ei riitä
28.8.2013
Henkilötietojen käsittelyn yleiset periaatteet
YDIN YLIOPISTO
Yleiset käsittelyn edellytykset (HetiL 8.1 §) Henkilötietoja saa käsitellä:
1) rekisteröidyn yksiselitteisesti antamalla suostumuksella;
• 2) rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa
rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi
rekisteröidyn pyynnöstä;
• 3) jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun
suojaamiseksi;
• 4) jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä
tai sen nojalla määrätystä tehtävästä tai velvoitteesta;
• 5) jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan
suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus);
• 6) jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai
työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;
• 7) jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua,
tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;
• 8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai
elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään
rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai
• 9) jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.
28.8.2013
Henkilötietojen käsittelyn yleiset edellytykset
• Käyttötarkoituksensa lisäksi henkilötietoja saa käsitellä seuraaviin
tarkoituksiin: 14 § Historiallinen ja tieteellinen tutkimus, 15 § Tilastointi, 16 §
viranomaisen suunnittelu- ja selvitystehtävät, 17 § henkilömatrikkeli, 18 §
sukututkimus, 19 § suoramarkkinointi ja muut osoitteelliset lähetykset (huom
JulkL 16.3 §)
• Erityinen käyttötarkoitus tai suostumuksenvaraisuus voivat tulla
arvioitavaksi sekä henkilötietoja ulkopuolelle luovutettaessa että
henkilötietojen käsittelyssä yliopiston sisällä (esim. promootiomatrikkeli
tai HR-toimintojen tarpeet)
YDIN YLIOPISTO
• Yliopistossa opintotietorekisterin henkilötietojen käsittelyn
käyttötarkoitus on yleensä opetustehtävän hoitaminen ->saa käsitellä
siihen tarkoitukseen
• Muu käsittely erityiseen tarkoitukseen: ei saa olla yhteensopimaton
alkuperäisen käyttötarkoituksen kanssa, edellyttää suostumusta tai muuta
laissa säädettyä perustetta
28.8.2013
Henkilötietojen käsittely erityiseen tarkoitukseen
Arkaluonteisten henkilötietojen käsittely
Yliopistolaki 45 b§ arkaluonteisten tietojen käsittely: määriteltävä ne tehtävät, joissa käsitellään,
tiedot säilytettävä erikseen, hävitettävä rekisteristä heti kun tarpeettomia / viimeistään 4 v. kuluttua
(turvallisinta soveltaa kaikkiin opiskelijoita koskeviin arkaluonteisiin tietoihin, vaikka 45b §:n alussa
viitataan vain tiettyihin prosesseihin)
YDIN YLIOPISTO
Heti L 11 § Käsittely on lähtökohtaisesti kielletty (HetiL 12 § : useita poikkeuksia)
Arkaluonteisia henkilötietoja ovat tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan:
• 1. rotua ja etnistä alkuperää (esim. kansalaisuus tai äidinkieli ei ole tällainen tieto)
• 2. henkilön uskonnollista, poliittista tai yhteiskunnallista vakaumusta tai ammattiliittoon
kuulumista
• 3. rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
• 4. henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja
hoitotoimenpiteitä tai niihin verrattavia toimia
(esim. lisäaikahakemuksen liitteenä lääkärintodistus, asiakirjat vammaisuuden vuoksi saadusta
tentin erityisjärjestelystä)
• 5. henkilön seksuaalista suuntautumista tai käyttäytymistä
• 6. henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluita
->Käytännössä arkaluonteiset tiedot ovat aina myös salassapidettäviä tietoja
HetiL 13 § henkilötunnusta ei saa käsitellä tarpeettomasti (ei kuitenkaan arkaluonteinen tieto)
28.8.2013
Arkaluonteisten henkilötietojen käsittelyä koskevat tiukemmat säännöt
Tiedon antaminen asiakirjasta vs. henkilötiedon
luovuttaminen henkilörekisteristä
Yliopiston on annettava tieto julkisesta asiakirjasta pyytäjälle, vaikka se
sisältäisi henkilötietoja. Henkilötietojen käsittelyä koskevat säädökset
rajoittavat kuitenkin sitä tapaa, jolla tieto henkilörekisteristä voidaan
antaa.
Pääsääntö (JulkL 16.1 §) Tiedon antamistavat julkisesta asiakirjasta: suullisesti, antamalla
asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla
siitä kopio tai tuloste. Tieto asiakirjan julkisesta sisällöstä on annettava pyydetyllä tavalla,
jollei pyynnön noudattaminen asiakirjojen suuren määrän tai asiakirjan kopioinnin
vaikeuden tai muun niihin verrattavan syyn vuoksi aiheuta kohtuutonta haittaa
virkatoiminnalle.
Erityissääntö (JulkL 16.3 §) Tiedon antamistavat julkisesta asiakirjasta, joka on myös
viranomaisen henkilörekisteri : tiedon saa antaa tulosteena, kopiona tai sähköisesti (esim.
sähköpostilla) vain, jos luovutuksensaajalla on henkilötietojen suojaa koskevien
säännöksien nojalla oikeus tallettaa ja käyttää henkilötietoja.
• -JulkL 16.3 §Viranomaisen henkilörekisteristä saa luovuttaa tiedon
suoramarkkinointia tai markkina- tai mielipidetutkimusta varten vain, jos laissa näin
säädetään tai henkilö on antanut suostumuksensa”
• -Henkilötietolaki yleislakina tulee sovellettavaksi: luovutus mm. rekisteröidyn
suostumuksella tai erityiseen tarkoitukseen (tutkimus yms.)
• -Myös muissa laeissa on henkilötietojen suojaa koskevia säännöksiä
YDIN YLIOPISTO
28.8.2013
•
• Pääsääntö HetiL 8.1 § 1 kohta: rekisteröidyn yksiselitteinen suostumus
• Opintotietorekisteriin kirjatut suostumukset voimassa siihen asti kun opiskelijan opintooikeus päättyy, Erillinen, tapauskohtainen suostumus muutoin
• Muut HetiL 8.1 § kohdat: ei aina tarvita suostumusta, esim. laissa säädetty tehtävä (yleensä
erityislain perusteella säännönmukaiset luovutukset), asiakkuussuhde (tarpeelliset tiedot,
suostumus yleensä tarvitaan), rekisteröidyn toimeksianto luovutuksensaajalle
• Erityiset käsittelyperusteet (HetiL 14§-18§ ): ei aina tarvita suostumusta
• Historiallinen ja tieteellinen tutkimus, tilasto, viranomaisen suunnittelu- ja
selvitystehtävät
• Henkilömatrikkelit, sukututkimus ->kielto-oikeus!
• Poikkeukset HetiL soveltamisalasta (HetiL 2 §): ei tarvita suostumusta
• Henkilökohtainen tai siihen rinnastettava tavanomainen yksityinen käyttö (esim.
vuosikurssin tapaamista varten voidaan luovuttaa tuloste yhteystiedoista opiskelijalle)
• Toimituksellinen, taiteellinen tai kirjallinen käyttö (esim. toimittaja voi pyynnöstä saada
sähköpostilla tiedot presidenttiehdokkaan suorittamista tutkinnoista yliopistossa)
YDIN YLIOPISTO
• Luovutuksen saajalla tulee olla henkilötietoja koskevan
lainsäädännön perusteella oikeus (tallettaa ja käyttää) käsitellä
tietoja
28.8.2013
Henkilötietojen luovuttaminen

similar documents