Oamkin tietojärjestelmissä tärkein suojattava asia ovat henkilötiedot. Miten henkilötietoja tulisi käsitellä?

Viime aikoina uutisissa on ollut juttua niin muuttuneesta tietosuojalainsäädännöstä, urkintarikoksista kuin identiteettivarkauksista. Uutiset ovat syystä herätelleet miettimään henkilötietojen käsittelyä.

Oletus on, että Oamkin työntekijät käsittelevät henkilötietoja työtehtäviensä edellyttämällä tavalla. Esimerkiksi opettajat käsittelevät opiskelijoiden henkilötietoja arvosanoja kirjatessaan ja järjestelmien ylläpitäjät ja tukihenkilöt ylläpito- ja tukitehtävien vaatimissa rajoissa (ks. ylläpitosääntö). Pelkästä uteliaisuudesta ei saa mennä katsomaan vaikkapa henkilön syntymäpäivää tai kansalaisuutta, vaan henkilötietojen katselu tulee liittyä työtehtävään. Henkilötietojen tietosuojasta on säädetty laissa: Työtehtäviin kuulumaton henkilötietojen katselu on rikos, josta voi seurata lain mukaan rangaistus. Henkilötietojen käsittely, niin omien kuin muidenkin, vaatii huolellisuutta. Suurin syy tietosuojan (kuten myös tietoturvan) vaarantumiseen on ihmisten huoleton käytös, eikä suinkaan jonkin sähköisen järjestelmän ongelma, vaikka nekin saattavat ongelmia aiheuttaa.

Mitä se huolellinen toiminta sitten tarkoittaa käytännössä? Tässä muutama konkreettinen ohje:

  • Lukitse näyttö (Windowsissa Windows-painike + L, Macissa, ks. ohje), kun poistut koneeltasi lyhyeksikin ajaksi.
  • Jos tulostat opiskelijoiden tietoja esim. luokassa kierrätettäväksi läsnäololistaksi, tuhoa lista asianmukaisella tavalla (esim. silppurissa tai tietosuojaroskikseen viemällä) välittömästi, kun et enää tarvitse sitä. Henkilötietoja sisältäviä tulosteita saa säilyttää vain lukitussa tilassa, ja jos huoneeseen pääsee muitakin kuin sinä, tarvitaan lukittava kaappi/laatikosto.
  • Jos teet Excel-tiedostoja väliaikaiseen tulosten keräämiseen tms., tuhoa ko. tiedostot heti, kun et tarvitse niitä enää. Korkeakouluissahan arvosanat ovat perinteisesti julkisia ja esim. tenttituloksia on etenkin ennen Internetin aikakautta tavanomaisesti julkistettu ilmoitustauluilla. Tietosuojavaltuutetun kanta kuitenkin on, että nimen sijasta tenttituloksista ilmoitettaessa tulisi käyttää opiskelijanumeroa. (Silloin tuloslista ei enää ole henkilörekisterin osarekisteri, jos opiskelijanumerosta ei voi päätellä, kenestä on kyse.) Lisäksi tietosuojavaltuutettu mainitsee erikseen, ettei hylättyjen nimiä tulisi laittaa esille.
  • Vaikka teknisesti käyttöoikeutesi antaisivatkin sinun katsoa esim. jonkin opiskelijan henkilötiedot, saat katsoa niitä vain silloin, kun työtehtäväsi sitä edellyttää. (Muistanette varmaan poliisilaitoksella tapahtuneet tietosuojarikokset, kun Mika Myllylän tietoja olivat lukeneet sellaisetkin henkilöt, joiden työtehtäviin se ei liittynyt, tästä seurasi sakkorangaistuksia urkkijoille.)
  • Älä anna muiden käyttää työkonettasi.
  • Sijoita näyttösi niin, että muut huoneessa olijat eivät näe näytöllesi, tarvittaessa pyydä näytöllesi suojakalvo, joka estää näkyvyyden sivustakatsojalta.
  • Älä jätä henkilötietoja sisältäviä papereita lojumaan pöydällesi tavalla, että muut huoneessa olijat voisivat lukea niistä tietoja.
  • Älä käsittele oamkilaisten henkilötietoja millä tahansa tietokoneella, vaan ensisijaisesti Oamkin sinulle tarjoamilla työkaluilla.
  • Älä tallenna henkilötietoja sisältäviä tietoja USB-tikuille yms. helposti hukattaville siirtomuisteille, ellet ainakin salaa tietoja ensin.
  • Jos käytät Oamkin sähköisiä palveluita puhelimellasi, hukkaamalla sen saatat aiheuttaa ikäviä tietosuoja tai tietoturvaongelmia, etenkin, jos et ole toiminut tietoturvallisella tavalla. Jos olet esim. opettaja, ja olet tallentanut puhelimesi sovelluksiin käyttäjätunnuksesi ja salasanasi Oamkin palveluihin, saattaa puhelimen löytänyt henkilö päästä selaamaan sovelluksia sinun oikeuksillasi. Aseta siis puhelimeesi nopeasti voimaan astuva automaattinen lukitus ja hyvät puhelimen suojakoodi (esim. 123456 ei ole sellainen!) sekä SIM-kortin PIN-koodi. (Luethan it.oamk.fi:stä ohjeen sille varalle, että hukkaat puhelimesi!)
  • Huolehdi koneesi ja älylaitteidesi tietoturvasta!

Varmaan tuosta listasta jokin asia unohtuikin. (Kerro kommenteissa, mitä listasta mielestäsi puuttuu!) Omia toimintatapoja olisi hyvä tarkastella henkilötietojen suojaamisen näkökulmasta. Voisitko tehdä jonkin asian paremmalla tavalla? Tulevaisuudessa tulet saamaan tähän apua, sillä EU:n lähes vuosi sitten voimaan tullut yleinen tietosuoja-asetus edellyttää, että Oamkissakin on oltava tietosuojavastaava viimeistään 25.5.2018. Myös henkilötietojen käsittelyn on tuolloin täytettävä EU tietosuoja-asetuksen mukaiset vaatimukset. Oamkin johtohan on vastuussa tietosuojan toteutumisesta organisaatiotasolla ja jokainen työntekijä vastaa omasta toiminnastaan. Tietosuojavastaavan tehtävä on asiantuntijatehtävä, eli hän esimerkiksi neuvoo ja opastaa henkilöstöä ja rekisteröityjä, kouluttaa henkilöstöä henkilötietojen asianmukaisessa käsittelyssä, seuraa ja valvoo henkilötietojen käsittelyä, osallistuu henkilötietojen käsittelyä edellyttävien töiden prosessien suunnitteluun sekä raportoi johdolle tietosuojan tilaa.

EU:n tietosuoja-asetus

EU:n tietosuoja-asetus on tullut voimaan viime keväänä ja kahden vuoden siirtymäajan jälkeen eli 25.5.2018 mm. seuraavat asiat astuvat voimaan:

  1. Oamkilla on oltava tietosuojavastaava
  2. mahdollisista väärinkäytöksistä sakotetaan reilusti (jopa 2 % vuoden liikevaihdosta, mutta kuitenkin enintään 1 milj. e, eli Oamkilla enimmäissakko olisi tuo miljoona euroa, kun Oamkin liikevaihto on 56 miljoonaa),
  3. tietomurtotilanteet on ilmoitettava viranomaisille ja rekisteröidyllä on oikeus poistattaa itseään koskevat tiedot (tosin esim. muu lainsäädäntö edellyttää eräiden kansallisten palveluiden vaatimien tietojen säilyttämistä, eli opiskelija ei voi vaatia suoritustietojensa nollaamista, sen sijaan hän voi vaatia kaikkien poistettavissa olevien tietojen kuten yhteystietojensa poistamisen.)

Ks. http://eur-lex.europa.eu/legal-content/FI/TXT/HTML/?uri=CELEX:32016L0680&from=EN 

 

Anna-Liisa Mattila
Sovellussuunnittelija, Tietohallinto

Saatat pitää myös näistä...

Vastaa