Yliopiston etusivulle Suomeksi På svenska In English
Helsingin yliopisto XXX tiedekunta
 

Tietosuojaryhmä

Tietoa tietosuojaryhmästä:

  Etusivu
  Tietosuoja yliopistossa
  Henkilötietoja sisältävät   asiakirjat
  Kameravalvonta
  Virkojen hakuprosessi
  Tietoturvallisuus
  Linkkejä

Yhteystiedot:

sähköposti: tietosuoja@helsinki.fi

Tietosuoja yliopistossa

Päivitetty 25.6.2009

Tämän "Asiaa tietosuojasta Helsingin yliopistossa" -koosteen tarkoituksena on tuoda esille eräitä keskeisiä näkökohtia yksityisyyden suojasta ja sen merkityksestä Helsingin yliopiston toiminnassa. Tietosuoja-asiat ovat osa yliopiston päivittäistä toimintaa, joten niitä tulee käsitellä myös tulosneuvottelu- ja yhteistoimintaprosesseissa.

Merkittävimmät tietosuojaa säätelevät lait ovat:

Yliopisto on viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) tarkoittama viranomainen ja yliopiston palveluksessa olevat henkilöt lain tarkoittamia virkamiehiä, riippumatta siitä ovatko he virka- vai työsuhteessa. Myös yliopiston lukuun tehtävä palvelutoiminta, esim. yliopiston ostaessa tietotekniikkapalveluita ulkopuolisilta toimittajilta, on viranomaistoimintaa.

Yliopiston tulee huolehtia siitä, että sen palveluksesa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta ja tietosuoja- ja tietoturvallisuusjärjestelyistä sekä huolehtia hyvän tiedonhallintatavan toteuttamiseksi annettujen ohjeiden noudattamisesta. Yliopiston pyrkimyksenä on noudattaa kaikessa tietojenkäsittelyssä hyvää tiedonhallintatapaa.


Julkisuus

Yksityisyys

Tietosuoja ja henkilötiedot

Työelämän tietosuoja yliopistossa

Yhteistoimintamenettely tietosuoja-asioissa

Tietosuoja ja julkisuus opintohallinnossa

Vastauksia opiskelijatietojen antamisesta tehtyihin kysymyksiin

Tietosuoja ja tieteellinen tutkimus

Tietosuojaopetus

Tietoturva

Julkisuus

Yliopiston toimintaa viranomaisena säätelee julkisuuslaki ja sen sisältämä julkisuusperiaate: Viranomaisen hallussa oleva tieto on julkista, jollei laissa erikseen toisin säädetä. Suomen perustuslain (731/99) 12 §:n 2 momentin mukaan "viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta".

Julkisuuslaki vahvistaa julkisuusperiaatetta hallinnon keskeisenä periaatteena. Tietojensaantioikeuden avulla edistetään viranomaistoiminnan avoimuutta: kaikilla on mahdollisuus saada tietoa viranomaisten toiminnasta yleensä ja erityisesti niistä asioista, joita viranomaiset kulloinkin käsittelevät. Viranomaisilla on myös velvollisuus edistää tiedonsaantia ja hyvää tiedonhallintatapaa.

Vaikkakin asiakirjat ovat yleensä julkisia, niin julkisina yliopiston asiakirjoina ei pidetä seuraavia (JulkL 5 §):

  • yliopiston palveluksessa olevalle tai luottamushenkilölle hänen muun tehtävänsä tai asemansa vuoksi lähetettyä kirjettä tai muuta asiakirjaa
  • yliopiston palveluksessa olevan tai yliopiston toimeksiannosta toimivan laatimia muistiinpanoja taikka sellaisia luonnoksia, joita laatija ei ole vielä antanut esittelyä tai muuta asian käsittelyä varten.
    Asian käsittelyn jälkeenkin tällaiset muistiinpanot voivat jäädä salaisiksi julkisuuslain 24 §:n nojalla
  • yliopiston sisäistä koulutusta, tiedonhakua tai muuta niihin verrattavaa sisäistä käyttöä varten hankittuja asiakirjoja
  • asiakirjaa, joka on annettu yliopistolle yksityisen lukuun suoritettavaa tehtävää varten tai laadittu sen suorittamiseksi.
    Esim. tilaustutkimuksiin liittyvät asiakirjat.
  • yliopistolle löytötavarana jäänyttä tai toimitettua asiakirjaa

Virkamiesten, viranomaisten ja niiden lukuun toimivien yksityisten ja yhteisöjen välisiä neuvotteluja, yhteydenpitoa ja muuta niihin verrattavaa yliopiston sisäistä työskentelyä varten laaditut asiakirjat ovat julkisia vain, jos asiakirjat sisältävät sellaisia tietoja, että ne arkistolainsäädännön mukaan on liitettävä arkistoon. Tällöinkin yliopisto voi määrätä, että tietoja niistä saa antaa vain yliopiston luvalla.

Keskeneräinen asiakirja ei ole julkinen ennen kuin se on valmistunut tai se muuten on valmis käyttötarkoitukseensa taikka kun asia on käsitelty loppuun viranomaisessa. Keskeneräisessäkin asiassa laajemmasta kokonaisuudesta itsenäisen osan muodostava vaihtoehtoja, niiden perusteita ja vaikutuksia kuvaava selvitys on puolestaan julkinen kun se on valmis käyttötarkoitukseensa (Ks. JulkL 6 §).

Asiakirja on pidettävä salassa, jos se on säädetty salassa pidettäväksi tai jos viranomainen lain nojalla on määrännyt sen salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus (JulkL 22 §). Salassa pidettävää asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sitä teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.

Julkisessa asiakirjassa voi olla salaisia (JulkL 24 §) tai arkaluonteisia (HetiL 11 §) tietoja.

Viranomaisen asiakirjan salassapidon lakkaamisesta on säännös julkisuuslain 31 §:ssä. Viranomaisen asiakirjaa ei saa pitää salassa, kun salassapidolle laissa säädetty tai lain nojalla määrätty aika on kulunut tai kun viranomainen on peruuttanut salassapitoa koskevan määräyksen.

Viranomaisen asiakirjan salassapitoaika on 25 vuotta, jollei toisin ole säädetty tai määrätty. Yksityisyyden suojasta työelämässä annetun lain 24 §:n 1 momentin 24 - 32 kohdassa salassa pidettäväksi säädetyn asiakirjan tai niitä vastaavan muussa laissa salassa pidettäväksi säädetyn tai muun lain nojalla salassa pidettäväksi määrätyn asiakirjan salassapitoaika on 50 vuotta sen henkilön kuolemasta, jota asiakirja koskee tai, jollei tästä ole tietoa, 100 vuotta. (alkuun)

Yksityisyys

Perusoikeuksiin kuuluu oikeus yksityiselämään. Yksilöiden perhe-elämään, vapaa-aikaan ja ystävyyssuhteisiin ei saa puuttua. Suojaan kuuluu myös suojattu kommunikointi yksityiselämään kuuluvissa asioissa sekä tällaisten tietojen luottamuksellisuus.

Yliopiston toimintaan liittyy tarve kerätä työntekijöiden ja opiskelijoiden henkilötietoja. Yksityisyyden suojaan taas kuuluu työnhakijan, työntekijän, virkamiehen ja opiskelijan mahdollisimman suuri oikeus tietää omien henkilötietojensa käsittelystä ja sisällöstä sekä oikeus tulla arvioiduksi oikeiden henkilötietojen perusteella. Siksi osapuolien on tärkeätä tietää, miten henkilötietojen käsittelyyn liittyviä kysymyksiä ratkaistaan. (alkuun)

Tietosuoja ja henkilötiedot

Henkilötietoja sisältävien asiakirjojen käsittely

Hallintojohtaja on päätöksellään 27.5.2003 (09/2003) antanut menettelyoheet henkilötietoja sisältävien asiakirjojen - perinteisten paperiasiakirjojen ja sähköisessä muodossa olevan informaation - käsittelystä. Ohjeistusta on annettu

  • henkilötietojen keräämisestä ja henkilötietoja sisältävien asiakirjojen laatimisesta
  • henkilötietoja sisältävien asiakirjojen jakelusta, käsittelemisestä ja säilyttämisestä
  • henkilötietojen antamisesta ja luovuttamisesta sekä
    henkilötietoja sisältävien asiakirjojen seulonnasta ja hävittämisestä.

Henkilötietojen käsittelyn yleiset periaatteet

Henkilötietolain tarkoittamat henkilötietojen käsittelyn yleiset lähtökohdat ovat seuraavat:

Suunnitteluvelvollisuus (HetiL 6 §) Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitus sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Käyttötarkoitussidonnaisuus (HetiL 7 §) Henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 §:ssä tarkoitetun käsittelyn tarkoituksen kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei pidetä yhteensopimattomana alkuperäisen käsittelyn tarkoituksen kanssa.

Huolellisuusvelvoite (HetiL 5 §) Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

Tietojen laatua koskevat tarpeellisuus- ja virheettömyysvaatimus (HetiL 9 §) Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus).

Suojaamisvelvoite (HetiL 32 §) Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Henkilötietojen käsittelyn yleiset edellytykset on säädelty henkilötietolain 8§:ssä. Sen mukaan henkilötietoja saa käsitellä ainoastaan:

  • rekisteröidyn yksiselitteisesti antamalla suostumuksella
  • rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
  • jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi
  • jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta
  • jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus)
  • jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä
  • jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten
  • jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi, tai
  • jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan

Arkaluontoisten tietojen käsittely

Arkaluontoisten tietojen käsittely on kielletty (HetiL 11 §). Arkaluontoisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan

  • rotua tai etnistä alkuperää
  • yhteiskunnallista, poliittista tai uskonnollista vakaumusta
  • ammattiliittoon kuulumista
  • rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
  • terveydentilaa, sairautta tai vammaisuutta koskevaa tietoa
  • henkilöön kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia
  • seksuaalista suuntautumista tai käyttäytymistä
  • sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

Arkaluonteisia tietoja voidaan kuitenkin poikkeuksellisesti käsitellä mm. (HetiL 12 §)

  • jos rekisteröity on antanut siihen suostumuksensa
  • jos henkilö itse saattanut julkiseksi yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon,
  • oikeusvaateen käsittelyssä
  • lailla rekisterinpitäjälle säädetyssä tehtävässä
  • historiallista tai tieteellistä tutkimusta tai tilastointia varten
  • ammattiliittoon kuulumista koskevan tiedon käsittelyssä ammattiyhdistysten ja niiden liiton toiminnassa
  • terveydenhuollossa rekisteröidyn hoidon kannalta välttämättömiä tietoja käsiteltäessä

Arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole em. poikkeuksen antamaa perustetta.

Henkilötunnuksen käsittely

Henkilötietolain 13 §:n mukaan henkilötunnusta saa käsitellä

  • rekisteröidyn yksiselitteisesti antamalla suostumuksella
  • jos käsittelystä säädetään laissa
    Esim. nimikirjalain (1010/1989) 9 §:ssä on määritelty, milloin henkilötunnus merkitään nimikirjanotteeseen
  • jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:
    • laissa säädetyn tehtävän suorittamiseksi
    • rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi tai
    • historiallista tai tieteellistä tutkimusta taikka tilastointia varten

Tieteellisessä tutkimuksessa henkilötunnusten kerääminen voi olla perusteltua vain jos henkilötietoja kerätään eri lähteistä ja tietoja ei riittävän luotettavasti voida yhdistää ilman henkilötunnusta.
Lisäksi henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.
Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin asiakirjoihin.

Henkilörekisteri, rekisteriseloste ja tietojärjestelmäseloste

Viranomaisen tulee edistää toimintansa avoimuutta laatimalla päätöksentekoa, muuta toimintaa ja kehitystä kuvaavia tietoaineistoja oppaita, tilastoja ja muita julkaisuja sekä tietoaineistoja palveluistaan ja ratkaisukäytännöstään (JulkL 20 §).

Henkilötietolain mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta. Lain mukaan henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietoja kerättäessä on huolehdittava siitä, että rekisteröity saa tiedon rekisterinpitäjästä, rekisterin säännönmukaisista tietolähteistä, henkilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja säännönmukaisesti luovutetaan.

Henkilörekisteristä tulee laatia rekisteriseloste ja rekisterinpitäjä on velvollinen asettamaan sen nähtäville yksikkönsä www-sivuille. Se tulee toimittaa myös kirjaamoon. Asiaa koskevaa ohjeistusta löytyy tietosuojavaltuutetun kotisivuilta www.tietosuoja.fi.

Seuraavassa on eräitä esimerkkejä yliopiston keskeisimmistä henkilörekistereistä ja niiden käyttötarkoituksesta.

  • Helmi-henkilöstörekisteri, jonka käyttötarkoitus on
    • henkilötietojen ylläpito
    • palvelussuhdetietojen ylläpito
    • virkojen ja työsopimussuhteisten tehtävien tietojen ylläpito
    • poissaolot ja virkavapaudet
    • nimikirjatietojen ylläpito
    • palvelusaikalaskenta
    • vuosiloma-asioiden hoito
    • tuottaa Helmi-palkka järjestelmään henkilötietojärjestelmässä syntyvät palkkaperusteet

    Muita käyttötarkoituksia ovat tilastointi ja henkilöstöasioiden suunnittelu.

  • Helmi-palkkarekisteri, jonka käyttötarkoitus on
    • palkan- ja apurahojen/stipendien laskenta ja maksatus
    • tietojen tuottaminen sidosryhmille (verottaja, ammattiyhdistykset, valtiokonttori)
    • tilastointi.

  • Helmi-inforekisteri, jonka käyttötarkoitus on
    • neuvottelutoiminta
    • palkkausmenojen ennakointi
    • työvoimakustannusten laskentaa ja henkilötietojen raportointi tukeva järjestelmä.

  • Oodi opintohallintojärjestelmärekisteri, jonka käyttötarkoitus on
    • opiskelijoita ja opintoja koskeva hallinto, johon liittyy myös Helsingin yliopiston ylioppilaskunnan ja osakuntien jäsenmaksutarkkailu, sekä erilaisten opiskelua ja opintoja koskevien otteiden ja todistusten antaminen opiskelijoille
    • palvelee myös osoitepalvelua, tilastointia ja tieteellistä tutkimustoimintaa.

Yleisimpiä henkilörekistereitä ovat henkilöstöhallinnon ja opintohallinnon rekistereiden lisäksi taloushallinnon ja tutkimustoiminnan rekisterit.

Työnhakijoista muodostuu omassa käyttötarkoituksessaan henkilöstörekisteri. Työnhakijoista tulee laatia yksi yhteinen "tyyppirekisteriseloste."

Julkisuuslain määrittelemä hyvä tiedonhallintapa (JulkL 18 §) sisältää myös suosituksen, että tietojärjestelmistä laaditaan tietojärjestelmäseloste, joka ollessaan yleisön saatavilla edistää julkisen tiedon löytymistä ja käyttämistä. Siinä kuvataan järjestelmän rekisterit ja niiden sisältämät tiedot ryhminä (julkiset/salaiset).

Rekisteröidyn tarkastusoikeus

Henkilöä koskevien tietojen käsittelyssä yksilölle on varattu mahdollisuus tarkistaa itseään koskevien tietojen oikeellisuus ja vaikuttaa omien tietojensa käyttöön.

Jokaisella on salassapitosäännösten estämättä oikeus tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Tätä tarkastusoikeutta on lainsäädännössä jossain määrin rajoitettu.

Tiedon korjaaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.

Henkilötietojen luovuttaminen ulkopuoliseen käyttöön

Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. (JulkiL 16 § 3 mom.).

Kieltäytyminen tiedon luovuttamisesta

Tiedon asiakirjan sisällöstä antaa se viranomaisen henkilöstöön kuuluva, jolle viranomainen on tämän tehtävän määrännyt tai jolle se hänen asemansa ja tehtäviensä vuoksi muuten kuuluu.

Julkisuuslain 16 §:n mukaan tieto voidaan aina antaa suullisesti tai antamalla rekisteri viranomaisen luona nähtäväksi ja jäljennettäväksi (rajoitteet JulkL:n 16 § 3 mom. ja JulkL:n 24 §:n määrittelemä salassapidettävyys).

Jos virkamies tai muu julkisuuslain 14 §:n 2 momentissa tarkoitettu henkilö kieltäytyy antamasta pyydettyä tietoa, hänen on:

  • ilmoitettava tiedon pyytäjälle kieltäytymisen syy
  • annettava tieto siitä, että asia voidaan saattaa viranomaisen ratkaistavaksi
  • tiedusteltava asian kirjallisesti vireille saattaneelta tiedon pyytäjältä, haluaako hän asian siirrettäväksi viranomaisen ratkaistavaksi sekä
  • annettava tieto käsittelyn johdosta perittävistä maksuista (JulkL 14 § 2 ja 3 mom.).

Nimikirja

Jokainen valtion virasto ja laitos on nimikirjalain (1010/1989) mukaan velvollinen henkilöstön valintaa palvelussuhteeseen perustuvien etuuksien ja velvollisuuksien määräämistä ja muiden henkilöstöasioiden hoitamista varten pitämään - eräin poikkeuksin - palveluksessaan olevista virkamiehistä ja työntekijöistä nimikirjaa.

Nimikirjaan henkilötietoja kerättäessä, tallennettaessa, käytettäessä ja luovutettaessa on muun lainsäädännön lisäksi noudatettava nimikirjalakia. Siinä on myös säännelty (7 §) mitä tietoja nimikirjaan tulee merkitä sekä todetaan että virkamies ja työntekijä ovat velvollisia antamaan virastolle tai laitokselle nimikirjaan tehtäviä merkintöjä varten tarvittavat tiedot ja ilmoittamaan niiden muuttumisesta. (alkuun)

Työelämän tietosuoja yliopistossa

Keskeisimmät henkilöstön yksityisyyden suojaa työelämässä koskevat säännökset ovat:
  • Suomen perustuslaki (731/1999) 10§
  • laki viranomaisten toiminnan julkisuudesta (621/1999)
  • henkilötietolaki (523/1999)
  • laki yksityisyyden suojasta työelämässä (759/2004)
  • www.helsinki.fi/tietosuoja
  • nimikirjalaki (1010/1989)
  • yhteistoimintamenettelylain (651/1988) eräät säännökset

Laki yksityisyyden suojasta työelämässä tuli voimaan 1.10.2004. Tähän erityislakiin on koottu keskeisimmät työelämän tietosuojakysymykset luomalla erityisesti työelämän tarpeita varten menettelytapoja. Laki täydentää henkilötietolakia. Julkisuuslaissakin on tietosuojaa koskevaa sääntelyä. Myös yhdenvertaisuuslaki (21/2004) on tietosuojan kannalta merkittävä.

Voimassa olevassa lainsäädännössämme on myös nimenomaisesti säännelty syrjintäkielto. Työnantaja ei saa ilman hyväksyttävää perustetta asettaa työntekijöitä eri asemaan iän, terveydentilan, kansallisen tai etnisen alkuperän, sukupuolisen suuntautuneisuuden, kielen, uskonnon, mielipiteen, perhesuhteiden, ammattiyhdistystoiminnan, poliittisen toiminnan tai muun näihin verrattavan seikan vuoksi.

Sukupuoleen perustuvan syrjinnän kiellosta säädetään naisten ja miesten välisestä tasa-arvosta annetussa laissa.

Yksityisyyden suojaa harkittaessa ovat merkittäviä säännösperustan lisäksi tarkoitussidonnaisuus-, yhdenvertaisuus-, suhteellisuus- ja objektiviteettiperiaatteet.

Laki yksityisyyden suojasta työelämässä

Lailla yksityisyyden suojasta on muun muassa seuraavia tavoitteita:

  • turvata mahdollisimman hyvä yksityisyyden suoja työnhakijalle, työntekijöille ja virkamiehille ottaen huomioon työelämän erityistarpeet ja -piirteet
  • toteuttaa osaltaan yksityisyyden suojaa koskevia perusoikeuksia ja säännellä eräitä menettelytapoja kerättäessä henkilötietoja työelämässä
  • että tietojen käsittely olisi mahdollisimman avointa ja että vain välittömästi työsuhteen kannalta tarpeellisia tietoja kerättäisiin
  • vähentää epäluotettavien soveltuvuustestien käyttämistä
  • lisätä tietosuojan toteutumisen valvontaa työelämässä.

Lain 4§:n ja 3 momentissa ja 9§:ssä säädetyt työnantajan velvollisuudet on täytettävä viimeistään kuuden kuukauden kuluessa lain voimantulosta. Lain 10§:n mukaan työnantajan on pidettävä tämä laki nähtävillä työpaikoilla.

Lain soveltamisala

Lakia yksityisyyden suojasta työelämässä sovelletaan:

  • työsuhteessa olevaan työntekijään
  • virkamieheen ja
  • virkasuhteessa olevaan sekä
  • niihin verrattavassa julkisoikeudellisessa palvelussuhteessa olevaan.

Työntekijällä tarkoitetaan tässä laissa myös työnhakijaa ja työsuhteella myös muuta palvelussuhdetta.

Henkilötietojen käsittelyyn sovelletaan lisäksi henkilötietolakia (523/1999), jollei tässä laissa toisin säädetä.

Tarpeellisuusvaatimus

Työnantaja saa käsitellä vain välittömästi työntekijän kannalta tarpeellisia henkilötietoja, jotka liittyvät
  • työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai
  • työnantajan työntekijöille tarjoamiin etuuksiin taikka
  • johtuvat työtehtävien erityisluonteesta.

Tästä ei voida poiketa työntekijän suostumuksella.

Työntekijän henkilötietojen kerääminen ja työnantajan tiedonantovelvollisuus

Työnantajan on kerättävä työntekijää koskevat henkilötiedot ensi sijassa työntekijältä itseltään. Jos työnantaja kerää henkilötietoja muualta kuin työntekijältä itseltään, työntekijältä on hankittava suostumus tietojen keräämisen. Suostumus ei kuitenkaan ole tarpeen silloin,

  • kun viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai
  • kun työnantaja hankkii rikosrekisteritietoja tai henkilöluottotietoja työntekijän luotettavuuden selvittämiseksi.

Tietojen luovuttamisesta rikosrekisteristä on säädetty erikseen. Muutoksen luotettavuuden selvittämiseksi on annettu erityissäännöksiä. Laki turvallisuusselvityksestä ja liittyvistä laeista astuu voimaan 1.9.2002. Näissä säännöksissä useimmissa tapauksissa edellytetään, että asianomainen henkilö on antanut suostumuksen tietojen luovuttamiseen.

Työnantajan on ilmoitettava työntekijälle etukäteen tätä koskevien tietojen hankkimisesta luotettavuuden selvittämistä varten. Jos työntekijää koskevia tietoja on kerätty muualta kuin työntekijältä itseltään, työnantajan on ilmoitettava työntekijälle saamistaan tiedoista ennen kuin niitä käytetään työntekijää koskevassa päätöksenteossa. Työnantajan tiedonantovelvollisuudesta ja työntekijän oikeudesta tarkastaa itseään koskevia henkilötietoja on lisäksi voimassa, mitä muualla laissa säädetään.

Henkilö- ja soveltuvuusarviointitestit

Työntekijää voidaan hänen suostumuksellaan testata

  • henkilö- ja soveltuvuusarvioinnein
  • työtehtävien hoidon edellytysten tai
  • koulutus- ja muun ammatillisen kehittämisen tarpeen selvittämiseksi.

Työnantajan on varmistettava , että

  • testejä tehtäessä käytetään luotettavia testausmenetelmiä,
  • niiden suorittajat ovat asiantuntevia ja
  • testauksella saatavat tiedot ovat virheettömiä.

Tietojen virheettömyyttä varmistettaessa on otettava huomioon testausmenetelmä ja sen luonne.

Työnantajan tai tämän osoittaman testaajan on työntekijän pyynnöstä annettava työntekijälle maksutta henkilö- tai soveltuvuusarvioinnissa annettu kirjallinen lausunto .

Jos lausunto on annettu työnantajalle suullisena työntekijän tulee saada selvitys lausunnon sisällöstä.

Terveydenhuollon palvelujen käyttäminen

Työntekijöiden terveydentilaa koskevien tarkastusten ja testien suorittamiseen sekä näytteiden ottamiseen tulee käyttää

  • terveydenhuollon ammattihenkilöitä
  • asianomaisen laboratoriokoulutuksen saaneita henkilöitä ja
  • terveydenhuollon palveluja

siten, kuin terveydenhuollon lainsäädännössä säädetään.

Työntekijän velvollisuudesta osallistua terveydentilaa koskeviin tarkastuksiin ja testeihin säädetään erikseen.

Edellä sanottu koskee myös alkoholi- ja huumetestejä.

Tiedot työntekijän terveydentilasta

Työnantajalla on oikeus käsitellä työntekijän terveydentilaa koskevia tietoja, jos

  • tiedot on kerätty työntekijältä itseltään tai
  • hänen kirjallisella suostumuksellaan muualta ja hänen tietojen käsittely on tarpeen
  • sairausajan palkkaan tai
  • siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi taikka
  • sen selvittämiseksi, onko työstä poissaoloon perusteltu syy, taikka jos työntekijä nimenomaisesti haluaa selvitettävän työkykyisyyttään terveydentilaa koskevien tietojen perusteella.

Lisäksi työnantajalla on oikeus käsitellä näitä tietoja niissä tilanteissa ja siinä laajuudessa, kuin muualla laissa erikseen säädetään.

Terveydentilaa koskevia tietoja saavat käsitellä vain ne henkilöt, jotka näiden tietojen perusteella valmistelevat tai tekevät työsuhdetta koskevia päätöksiä taikka panevat niitä toimeen. Työnantajan on nimettävä nämä henkilöt tai määriteltävä tehtävät, joihin sisältyy terveydentilaa koskevien tietojen käsittelyä. Tietoja käsittelevät henkilöt eivät saa ilmaista näitä tietoja sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.

Työnantajan on säilytettävä työntekijän terveydentilaa koskevat tiedot erillään muista työnantajan keräämistä henkilötiedoista.

Palkkojen julkisuus

Tiedot virkamiehelle, viran- tai toimenhaltijalle ja työntekijälle henkilökohtaisen suorituksen perusteella tai muutoin henkilökohtaisesti määräytyneestä palkan osasta, sijoituspalkkausluokasta tai vaativuusryhmää vastaavasta palkasta taikka muusta mahdollisesta palkkauksen osasta sekä palkan kokonaismäärästä ovat julkisia.

Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä

Työntekijöihin kohdistuvan, työnantajan työnjohto- ja valvontaoikeuteen perustuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö kuuluvat yhteistoiminnasta yrityksissä annetussa laissa sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa tarkoitetun yhteistoimintamenettelyn piiriin.
Yliopiston yhteistoimintaneuvosto käsitteli edellä sanottuja asioita kokouksessaan 6.2.2002.
Yhteistoiminta- tai kuulemismenettelyn jälkeen työnantajan on määriteltävä

  • työntekijöihin kohdistuvan teknisen valvonnan käyttötarkoitus ja
  • siinä käytettävät menetelmät sekä tiedotettava työntekijöille
  • teknisen valvonnan tarkoituksesta
  • käyttöönotosta ja
  • siinä käytettävistä menetelmistä sekä
  • sähköpostin ja tietoverkon käytöstä.

Hallintojohtaja antoi 31.3.2005 päätöksen kameravalvonnasta yliopistossa (14/2005).
Työnantajan oikeudesta käyttää teknistä valvontaa ja valvoa sähköpostin ja tietoverkon käyttöä säädetään erikseen.
Hallintojohtaja on antanut päätöksen sähköpostin käyttöpolitiikasta yliopistossa (7/2002) 10.5.2002.
Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien salaisuutta sähköpostin ja tietoverkon käytössä. (alkuun)

Yhteistoimintamenettely tietosuoja-asioissa

Yhteistoimintamenettely tietosuoja-asioissa

Laissa yhteistoiminnasta on tietosuojaa koskevien säännöksiä.

Lain 6§:n mukaan yhteistoimintamenettelyn piiriin kuuluvat asiat ovat:

  • työhönoton periaatteet, sen menetelmät, työhönoton yhteydessä ja työsuhteen aikana kerättävät ja työhön tulijalle annettavat tiedot sekä työhön perehdyttämisen järjestelyt
  • henkilöstöön kohdistuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö.

Lain 7§:n mukaan yhteistoimintamenettelyn piiriin kuuluvat asiat ovat:

  • valtion palvelukseen tulon yhteydessä ja palvelussuhteen aikana kerättävät ja palvelukseen tulevalle annettavat tiedot sekä tehtäviin perehdyttämisen järjestelyt
  • henkilöstöön kohdistuvan teknisen valvonnan tarkoitus, käyttöönotto ja siinä käytettävät menetelmät sekä sähköpostin ja tietoverkon käyttö.

Yhteistoimintalain mukaan:

  • työnantajan on neuvoteltava henkilöstön edustajien kanssa yhteistoimintamenettelyssä esimerkiksi päättäessään uusien henkilötietojärjestelmien käyttöönotosta
  • työnantajan on neuvoteltava testausmenetelmistä ja niiden käyttöönotosta työnhakutilanteessa tai työsuhteen aikana
  • teknistä valvontaa koskevia asioita käsiteltäessä on henkilöstön kanssa käytävä yhteistoimintamenettely käyttöön otettavan teknisen valvonnan tarkoituksesta, käyttöönotosta ja menetelmistä sekä sähköpostin ja tietoverkon käytöstä
  • ennen asian ratkaisua työnantajan on neuvoteltava toimenpiteen perusteista, vaikutuksista ja vaihtoehdoista niiden työntekijöiden ja toimihenkilöiden tai henkilöstön edustajien kanssa, joita asia koskee
  • myös teknisen valvontamenetelmän oleelliset muutokset on käsiteltävä yhteistoimintamenettelyssä
  • yhteistoimintamenettelyllä ei voida laajentaa tarpeellisuusvaatimusta tai korvata työntekijältä itseltään erikseen edellytettyä suostumusta

Opiskelijoita koskevissa tietosuoja-asioissa ylioppilaskunta on merkittävä yhteistyötaho. (alkuun)

Tietosuoja ja julkisuus opintohallinnossa

Opt (opiskelijatietojen)-luovutus - työryhmän ohjeet

Tietosuojasta ja julkisuudesta opintohallinnossa on koottu ohjeita Tampereen yliopiston www-sivuille: http://www.uta.fi/opiskelu/tietosuoja/index.html . Sivuille pääsy edellyttää käyttäjätunnusta (tieto) ja salasanaa (suoja). Sivuilla on myös linkkejä verkossa oleviin tiedonlähteisiin sekä luettelo sivujen valmistelussa käytetyistä kirjallisista lähteistä.

Sivuja ylläpidetään Tampereen yliopiston opinto- ja kansainvälisten asiain yksikössä. Sivujen sisällön tuottamiseen osallistui työryhmä Opt-luovutus (opiskelijatietojen luovutus), johon kuului edustajia useista eri yliopistoista.

Opiskelijatietojärjestelmä

Opiskelijatietojärjestelmä on julkinen asiakirja, josta jokaisella on oikeus saada tieto. Sen rekistereistä voidaan antaa tieto suullisesti taikka antamalla asiakirja nähtäväksi ja jäljennettäväksi (JulkL 16 § 1 mom). Kun kysymys on nähtäväksi saamisesta, ei perusteluja tai tietojen käyttötarkoitusta eikä myöskään pyytäjän henkilöllisyyttä ole tarvetta selvittää.

Sen sijaan kopion tai tulosteen tai tiedot sähköisessä muodossa voi antaa vain, jos luovutuksen saajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Luovutusta koskevasta pyynnöstä on selvittävä mm. perustelut, pyydettyjen tietojen käyttötarkoitus, pyytäjän henkilöllisyys ja henkilötietojen suojauksen järjestäminen.

Tenttitulokset

Todistukset ja muut asiakirjat, jotka sisältävät oppilaan henkilökohtaisten ominaisuuksien sanallista arviointia koskevia tietoja ovat salassa pidettäviä viranomaisen asiakirjoja, jollei erikseen toisin säädetä (JulkL 24§ 1 mom. 30 kohta). Sen sijaan numeraaliset oppilaitoksen antamat todistukset ovat julkisia (HE 30/1998).

Oppilaan ja kokelaan koesuoritukset ovat salassa pidettäviä. Koesuoritus on käsitteenä laajempi kuin JulkL 11 § 2 mom. 3-kohdassa tarkoitettu koevastaus ja sillä tarkoitetaan paitsi koevastausta myös sen arviointia. Yksittäisten koesuoritusten arvosanat ovat siten salassa pidettäviä. Tieto siitä, kenellä on ollut hyväksytty koesuoritus, on sen sijaan julkinen. Koska yliopistoissa koesuoritukset arvosanoineen sisältyvät sellaisenaan tutkintotodistukseen, joka on julkinen, tutkintoon kuuluvien koesuoritusten julkisuutta voitaisiin puolustaa. Koska tällaisia tietoja sisältävien listojen esillepanoon ilmoitustaululla vaikuttavat kuitenkin myös henkilötietojen suojaa koskevat säännökset, suositeltavaa on, että tenttitulosten julkaisemistavoista vähintäänkin tiedotetaan ennakolta opiskelijoille. (Anna-Riitta Wallin - Timo Konstari: Julkisuus- ja salassapitolainsäädäntö, s. 176)

Numeraaliset ja muut oppilaitoksen antamat todistukset ovat julkisia. Numeraalisiin arvosanoihin rinnastuvat osaamistasoa kuvaavat sanalliset ilmaukset, esim. "hyvät tiedot". (Anna-Riitta Wallin - Timo Konstari: Julkisuus- ja salassapitolainsäädäntö, s. 177)

Tenttitulosten ja muiden opintosuoritusten ilmoittaminen

Tietosuojavaltuutetun asiasta antaman ohjeen perusteella henkilötietojen ja opintosuoritusten arvostelun julkistamisessa noudatetaan seuraavia sääntöjä:

  • opiskelijanumeroa ja opiskelijan nimeä ei saa yhdistää julkisessa luettelossa, kuten tenttituloksia julkistettaessa
  • opintosuoritusten tulokset ilmoitetaan käyttäen opiskelijanumeroa
  • jos tuloksia julkistetaan internetissä, saa käyttää vain opiskelijanumeroa
  • laitoksen johtajan asiana on valvoa, että laitoksen henkilöstö noudattaa henkilötietoja koskevaa lainsäädäntöä ja sen perusteella annettuja ohjeita.

Erilaisia tiedostoja luotaessa on huolehdittava siitä, ettei opiskelijanumeroa ja nimeä yhdistetä julkisessa luettelossa. Tässä yhteydessä on syytä huomata, että yliopiston sisäisessä käytössä saatetaan käytännön syistä tarvita sekä opiskelijanumeroa että opiskelijan nimeä samassakin luettelossa. Niitä ei kuitenkaan julkisteta yhdessä ilmoitustaululla.

Opiskelijavalinta

Hakemus on viranomaiselle toimitettu asiakirja, joka on julkinen. Valintapisteisiin vaikuttavat tiedot, valintapisteet ja valintakoetulokset ovat julkisia. Valintapäätöksen tiedottaminen internetissä edellyttää kuitenkin hakijalta saatua suostumusta.

Asiakirjat, jotka sisältävät tietoja pääsy- tai muusta kokeesta tai testistä, ovat salaisia, jos tiedon antaminen vaarantaisi kokeen tai testin tarkoituksen toteutumisen tai testin käyttämisen vastaisuudessa (JulkL 24.1 § 22 kohta).

Asiakirjat, jotka sisältävät tietoja henkilölle suoritetusta psykologisesta testistä tai muusta vastaavasta soveltuvuuskokeesta tai sen tuloksesta, ovat salaisia (JulkL 24.1 § 29 kohta). (alkuun)

Vastauksia opiskelijatietojen antamisesta tehtyihin kysymyksiin

Kysymys: Onko henkilötietojen antamisessa eroa sillä, onko pyytäjä yksityinen vai viranomainen?

Julkisuus ja yksityisyys ovat perusoikeuksia

Suomen perustuslaissa säädetään, että viranomaisen hallussa olevat asiakirjat ovat julkisia, jollei julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu ja että jokaisella on oikeus saaada tieto julkisesta asiakirjasta. Oikeus saada tieto on sellaisestakin asiakirjasta, joka ei koske henkilöä hänen omassa asiassaan.

Suomen perustuslaki turvaa myös jokaisen yksityiselämän ja velvoittaa säätämään henkilötietojen suojasta lailla. Tietosuojassa on kysymys (julkistenkin) henkilötietojen käsittelyn edellytyksistä. Henkilötietolaki kertoo, milloin henkilötietoja voi kerätä ja muutoin käsitellä.

Viranomaisen asiakirjojen julkisuus ja yksityiselämän suoja ovat samanlaisia itsestään selviä perusoikeuksia kuin esimerkiksi liikkumisvapaus, uskonnonvapaus, kokoontumis- ja yhdistymisvapaus sekä sananvapaus.

Käytännössä julkisuusperiaatteen toteuttamienn merkitsee oppilaitoksissa sitä, että jokaiselle ulkopuoliselle on hänen pyynnöstään annettava tieto julkisesta asiakirjasta. Asiakirjojen julkisuus ei merkitse sitä, että oppilaitoksella olisi oma-aloitteisesti yleinen velvollisuus tarjota hallussan olevia asiakirjoja sivullisille tai julkistaa niitä.

Viranomaisten henkilörekisterienkin henkilötietojen julkisuus ja salassapito ratkeaa julkisuuslain mukaan, samoin niiden antaminen ja luovuttaminen. Salassapidosta on tosin säännöksiä myös erityislainsäädännössä.

Lähde: Vehkamäki, Tamminen-Dahlman, Julkisuus ja tietosuoja opetustoimessa

Henkilötietojen antaminen ja luovuttaminen

Julkisuuslaki tekee eron tietojen nähtäväksi ja jäljennettäväksi antamisen ja tietojen luovuttamisen välillä. Kenelle tahansa ei siis voi antaa esimerkiksi kopioita pääsykokeen osallistujaluettelosta, vaikka kuka tahansa voi sitä silmäillä ja jäljentää yliopistolla.

Tietojen antamista on antaminen suullisesti paikan päällä tai puhelimesa tai antamista paikan päällä nähtäväksi ja jäljennettäväksi. Jos pyytäjä jäljentää suuren määrän tietoja, on aiheellista informoida häntä siitä, millä edellytyksillä henkilötietoja saa käsitellä ja rekisterejä pitää. Sama varovaisuus on paikallaan, jos annetaan suuri määrä henkilötietoja puhelimitse. Henkilörekisterien julkisia henkilötietoja voidaan antaa kenelle tahansa kuten muitakin julkisia tietoja.

Sen sijaaan luovuttamista on henkilötietojen luovuttaminen kopiona, tulosteena tai sähköisesti. Julkisten henkilötietojen luovuttaminen oppilaitoksen ulkopuolelle on mahdollista vain, jos luovutuksensaajalla itselläänkin on oikeus käsitellä ao. henkilötietoja.

Julkisia henkilötietoja voidaan luovuttaa opiskelijarekisteristä:

1) tavanomaisiin yksityisiin tarkoituksiin taikka toimituksellisia sekä taiteellisen ja kirjallisen ilmiasun tarkoituksia vasten kuten teoksen käsikirjoitusta, muistelmia ja historiikkeja varten (ei sen sijaan henkilömatrikkeleja varten).
2) laissa määriteltyihin erityisiin tarkoiutksiin eli tutkimusta, tilastointia, viranomaisen suunnittelu- ja selvitystehtäviä, henkilömatrikkeleita, sukututkimusta sekä suoramarkkinointia ja markkina- ja mielipidetutkimusta varten. Luovuttamiseen suoramarkkinoinita ja mielipide- ja markkinatutkimusta varten tarvitaan opiskelijan suostumus. Opiskelijalla on oikeus kieltää tietojensa luovuttaminen henkilömatrikkeleita ja sukututkimusta varten.
3) toisen oppilaitoksen tai muun luovutuksensaajan oman toiminnan tarpeisiin, jolloin sen täytyy olla asiallisesti perusteltua luovutuksensaajan oman toiminnan kannalta, sille on määriteltävä luovutuksensaajan tehtävistä johtuva tarkoitus, tietojen täytyy olla tähän tarkoitukseen tarpeellisia ja luovutukselle on oltava lain mukainen peruste eli oppilaitoksessa yleensä asiayhteys.

Koska henkilötietojen luovuttamista henkilörekistereistä koskevat kysymykset ovat usein hyvin monimutkaisia, tulee päätöstoimivalta antaa sellaiselle viranomaiselle, jolla on edellytykset asian harkitsemiseen. Helsingin yliopistossa hallintoviraston opiskelijarekisteriyksikön päällikkö tekee opiskelijatietojen luovuttamista koskevat päätökset.

Henkilötietolaissa on erikseen säädetty henkilötunnuksen käsittelystä. Henkilötunnus ei ole julkisuuslain perusteella (käsitteellisesti) salassa pidettävä tieto, mutta sen kerääminen ja muu käsittely on varsin rajoitettua henkilötietolain 13 §:n mukaisesti.

Lähde: Vehkamäki, Tamminen-Dahlman, Julkisuus ja tietosuoja opetustoimessa


Henkilörekiteriin sisältyvien henkilötietojen antaminen puhelimitse

Puhelimitse pyydetyn tiedon osalta on arvioitava, onko tietojen antaminen puhelimessa nähtäväksi antamista tai siihen verrattava tapa antaa tiedot vai henkilötietojen luovuttamista. Koska JulkL:n 16.3 §:ssä suullista tietojenantamista ei mainita, asiaa voidaan pitää tulkinnanvaraisena.

Henkilötietojen kertomista puhelimessa on syytä kuitenkin arvioida myös virheettömyys- ja huolellisuusvaatimuksen kannalta. Käytännössä vain pyydettyjen tietojen käyttötarkoituksenperusteella voidaan arvioida, voidaanko tietoja em. vaatimukset huomioon ottaen kerota puhelimitse. Tästä syystä käyttötarkoitusta ja tietojen kysyjää olisi käytännössä tietyissä tilanteissa voitava kysyä. Tämä on tarpeen esimerkiksi, jos puhelimitse pyydetään henkilötunnusta tai jos on syytä epäillä sitä, että tietoja käytetään päätöksenteossa tai muualla yksityisen henkilön oikeusturvaan vaikuttavalla tavalla. Tällöin myös sekä tietojen luovutuksista ja vastaanottamisesta tulee tehdä merkintä.

Jos tietoja puhelinpyynnön perusteella luovutetaan kopioina tai otteina, tietojen saajasta ja käyttötarkoituksesta voidaan ja on syytä normaalisti varmistua. Käytännössä on näissä tilanteissa aina tarpeellista arvioida, voidaanko useita tietoja koskevaa puhelimitse esitettyä pyyntöä hyväksyä, vaan edellytetäänkö kirjallista pyyntöä.

Jos viranomainen oma-aloitteisesti kertoo puhelimitse tietoja, menettelyä voitanee pitää henkilötietojen luovuttamisena, jolloin 16.3 §:n edellytykset tulisi huomioida.

Viranomainen joutuu antaessaan tietoja puhelimitse tai muutoin myös arvioimaan, aiheuttaako se kohtuutonta haittaa viranomaisten tehtävien hoidolle. Viranomaisella on mahdollisuus rajata puhelimitse tapahtuva tietojen kertominen, jos se haittaa julkisuuslaissa tarkoitetulla tavalla viranomaisen tehtävien hoitoa.

Lähde: Asiaa tietosuojasta 10/1999, 29.12.1999, Henkilötietojen luovuttaminen viranomaisten henkilörekisteristä, Tietosuojavaltuutetun toimiston esite

Kysymys: Saako puhelimitse antaa opiskelijan puhelin- ja osoitetietoja?

Osoite- ja puhelinnumerotietoja ei tarvitse antaa, koska yhteystietojen antaminen ei ole yliopiston opiskelijajärjestelmän varsinainen käyttötarkoitus. Julkisuuslain (621/1999) 15 § koskee asiakirjan pyytämistä koskevan asian siirtämistä toiselle viranomaiselle. Jos viranomaiselta pyydetäänn hnekilöä koskevia yksilöinti- tai osoitetietoja, joita toinen viranomainen tallettaa yleiseen käyttöön tarkoitettuun rekisteriin, viranomainen voi 15 §:n 2 momentin mukaan siirtää tiedonsaantia koskevan pyynnön asianomaisen rekisteriviranomaisen käsiteltävksi.

Salainen puhelinnumero sekä muutkin puhelin- ja osoitetiedot ovat salassa pidettäviä, jos henkilö on pyytänyt salassapitoa ja jos hänelä on perusteltu syy pelätä turvallisuutensa tulevan uhatuksi (turvakielto). Väestörekisterikeskus on pyytänyt kehottamaan henkilöä, joka esittää turvakieltopyynnön virastolle, ottamaan yhteyden tällöin myös maistraattiin ja pyytämään sieltäkin turvakieltoa. Turvakieltoa ei sovelleta viranomaisten välillä eli viranomaiselta toiselle henkilön yhteystietoja voi antaa.

Väestörekisterin osoitepalvelu on helppo ja nopea tapa selvittää yksittäisten henkilöiden ajantasaiset osoitetiedot. Henkilön osoite löytyy henkilön nykyisen tai entisen nimen avulla. Henkilön yksilöimiseksi voidaan tarkentavina tietoina käyttää lisäksi syntymä- ja asuinkuntaa sekä entisiä asuinpaikkoja. Palvelu on avoinna joka päivä 24 tuntia vuorokaudessa.

Palvelunumero on 0600 0 1000 ja hinta 1,67 euroa/min. + pvm. ruotsinkielinen palvelu toimii arkisin numerossa 0600 0 1001.

Osoitepalvelu toimii myös internetissä.

Kysymys: Saako puhelimitse antaa opiskelijan tutkinto- ja läsnäolotietoja?

Arvosanatietojen julkisuutta on tarkasteltu julkaisussa Vehkamäki, Tamminen-Dahlman, "Julkisuus ja tietosuoja opetustoimessa" sekä tietosuojavaltuutetun toimiston esitteessä "Opinnäytetyöt ja tietosuoja", Hyvä tietää 2/2004 (24.8.2004).

Tenttitulosten julkisuus

Tenttituloksia ja vastaavasti koesuoritusten arvosanoja koskevien tietojen julkisuus on tulkinnanvarainen. Mainitut tiedot lienevät julkisia ja niistä annetaan pyynnöstä tietoja. Opintosuoritusrekisteri on julkinen asiakirja.

Tenttitulokset ja muut opintosuoritukset voidaan julistaa yksinomaan opiskelijanumerolla yksilöiden. Edellytyksenä on, että oppilaitoksessa ei ole missään muodossa saatavissa tietoa (esim. opiskelijaluettelosta), joka yhdistää opiskelijanumeron ja opiskelijan. Ilman tunnistetietoja tenttitulokset voidaan ilmoittaa myös Internetissä tai intranetissä ilmna suostumustakin.

Lähde: Vehkamäki, Tamminen-Dahlman, Julkisuus ja tietosuoja opeustoimessa

Opiskelijaneuvonnan ei tarvitse antaa opiskelijoiden tenttituloksia, koska tenttitulosten julkistaminen kuuluu opintosuorituksen hyväksyneen yksikön tehtäviin. Kysyjä voidaan ohjata kysymään asiaa suorituksen hyväksyneestä yksiköstä.

Internet ja opinnäytetyöt


Julkisia ovat pääsääntöisesti opinnäytetöistä annetut numeeriset sekä sanalliset arvioinnit ellei nimenomaisesta lainsäädöksestä muuta johdu. Sen sijaan ehdottomasti salassa pidettäviä ovat julkisuuslain mukaan mm. sellaiset oppilaitoksen antamat todistukset ja muut asiakirjat, jotka sisältävät oppilaan henkilökohtaisten ominaisuuksien sanallista arviointia koskevia tietoja (julkisuuslaki 24.1 § 30 k).

Useat yliopiston yksiköt siirtävät tiedottamisen tarkoituksessa hallintoelimiensä päätöspöytäkirjoja kotisivuilleen internetiin. Näissä tiedekuntaneuvostojen tai laitosten johtoryhmien pöytäkirjoissa ilmenevät yleensä perustiedot hyväksytyistä opinnäytetyöistä ja niille annetuista arvosanoista. Julkishallinnollisen toimielimen pöytäkirjat eivät yleensä muodosta henkilörekisteriä. Näiden pöytäkirjojen laittaminen kotisivuille tiedotuksellisessa tarkoituksessa sellaisenaan on siten mahdollista huomioon ottaen, mitä jäljempänä on esitetty.

Opinnäytetyöstä annettu arvosana on henkilötietolain kannalta tekijäänsä usein vahvasti liitettävä henkilötieto, jolla saattaa olla joissain tapauksissa merkittävää vaikutusta opinnäytetyön laatijan yksityisyyden suojan kannalta. Yliopiston yksikön onkin syytä tiedottamisperiaatteitaan suunnitellessa arvioida tietojenkäsittelyn tarkoitusta ja tietojen käyttötarkoitussidonnaisuutta sekä asian merkitystä yksityisyyden suojan ja toisaalta julkisuusperiaatteen kannalta. Tiedekuntaneuvoston tai muun opinnäytetöiden hyväksymisestä päättävän hallintoelimen päätökseen sisältyvistä opinnäytetöiden arvosanoista ei ole tarpeen tiedottaa internetissä. Tiedon julkisuus tältäkin osin toteutuu joka tapauksessa, sillä internetiin mahdollisesti laitettavat perustiedot opinnytetyöstä antavat kenelle tahansa asiasta todella kiinnostuneelle mahdollisuuden erikseen pyytämällä saada tiedon kyseisen opinnäytetyön arvostelusta tiedekunnan kansliasta tai muusta tietoja hallinnoivasta yksiköstä. Tällä menettelytavalla oppilaitos huolehtii parhaalla tavalla julkisuuden lisäksi myös toisen perusoikeuden, Suomen perustuslain 10 §:ssä vahvistetun yksityisyyden suojan toteutumisesta.

Henkilötietolainsäädännön kannalta tiedekuntaneuvoston tai muun päättävän elimen päätökseen sisältyvät opinnäytetöiden nimet tekijä-ja arvosanatietoineen ovat verkkosivuille laitettuina henkilötietojen automaattista käsittelyä. Tällaiselle käsittelylle tulee olla henkilötietolaissa säädetty peruste. Lain 8.1 §:n 4 kohdassa tarkoitettuna käsittelyn oikeuttavana perusteena on mahdollista tässä tapauksessa pitää julkisuusalin 20 §:ssä viranomaiselle säädettyä tiedottamisvelvoitetta, kun otetaan huomioon opinnäytetöiden asema ja merkitys yliopistojen ja korkeakoulujen toiminnassa.

Tietosuojavaltuutetun näkemyksen mukaan opinnäytetyön arvioinnit, sekä numeeriset että sanallisessa muodossa olevat, eivät kuitenkaan ole siinä määrin kiinteä osa opinnäytetyön julkisuutta, että niiden liittäminen internetissä käsiteltävään tietoon opinnäytetyöstä olisi automaattisesti sallittua. Tässä tilanteessa yksilön itsemääräämisoikeus ja yksityisyyden suoja tulisi asettaa arvostelutiedon rajoittamattoman julkisuuden edelle.

Lähde: Opinnäytetyöt ja tietosuoja, Hyvä tietää 2/2004 (24.8.2004), Tietosuojavaltuutetun toimiston esite

Yhteenveto: Opiskelijan opintoviikko- ja arvosanatiedot ovat julkisuualin mukaisia julkisia tietoja, joten niitä saa antaa puhelimessa. Jos kysyjä pyytää suurta määrää tietoja, on otettava huomioon myös kohdassa "Henkilörekisteriin sisältyvien henkilötietojen antaminen puhelimitse" esitetyt näkökohdat.

Kysymys: Saako opintorekisteriotteen antaa toiselle ihmiselle ilman valtakirjaa?
Henkilötietojen luovuttaminen kopiona, tulosteena tai sähköisesti on tietojen luovuttamista. Julkisten henkilötietojen luovuttaminen oppilaitoksen ulkopuolelle on mahdollista vain, jos luovutuksensaajalla itselläänkin on oikeus käsitellä ao. henkilötietoja.

Henkilötietojen luovuttamiseen oppilaitoksen opiskelijarekisteristä sovelletaan julkisuuslain 16.3 §:ää, jonka mukaan oppilasrekisterin henkilötietoja voi luovuttaa vain opiskelijan suostumuksella tai muuhun henkilötietolain 8.1 §:ssä mainittuun perusteeseen nojaten (julkisuuslaki 16.3 §).

Henkilötietolain 3 §:n 7 kohdan mukaan suostumuksella tarkoitetaan "kaikenlaista vapaaehtoista, ykislöityä ja tietoista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn". Suostumuksen edellyttämisen taustalla on periaatteellisella tasolla ykistyisyydene suojaan elimellisesti liittyvä itsemääräämisoikeuden käsite. Suostumuksesta ja sen hankkimisesta tarkemmin, ks. tietosuojavaltuutetun ohje "Henkilötietojen käsittely suostumuksen perusteella", Hyvä tietää 2/2001.

Lähde: Vehkamäki, Tamminen-Dahlman, Julkisuus ja tietosuoja opetustoimessa

Kysymys: Saako läsnäolotodistuksen antaa toiselle ilman valtakirjaa?

Katso edellinen kohta.

Kysymys: Pitääkö tarkistaa että soittaja on ao. henkilö, miten?

Antaessaan tietoja puhelmiessa tai paikan päällä nähtäväksi ja jäljennettäväksi ei pyytäjän henkilöllisyyttä yleensä tarvitse tarkistaa. Puhelimitse pyydetyn tiedon osalta on arvioitava, onko tietojen antaminen puhelimessa nähtäväksi antamista tai siihen verrattava tapa antaa tiedot vai henkilötietojen luovuttamista. Jos pyytäjä pyytää suuren määrän tietoja, on aiheellista informoida häntä siitä, millä edellytyksillä henkilötietoja saa käsitellä ja rekisterejä pitää. Katso myös kohta: "Henkilörekisteriin sisältyvien henkilötietojen antaminen puhelimitse".(alkuun)

Tietosuoja ja tieteellinen tutkimus

Tietosuojavaltuutetun yleisohje tutkijoille

Seuraavassa on otettu esille tieteellisen tutkimuksen osalta eräitä tietosuojan perusasioita. Tavoitteena on parantaa yliopiston tutkijoiden tietosuoja-asioiden tuntemusta, josta ohjeina merkittävin on tietosuojavaltuutetun toimiston 1.6.2001 päivitetty ohje ( http://www.tietosuoja.fi/3147.htm ). Ohjeessa neuvotaan:

  • selvittämään, tuleeko henkilötietolaki sovellettavaksi tutkimuksessa
  • arvioimaan käsittelyn edellytykset henkilötietolain kannalta
  • määrittelemään rekisterinpidon vastuut
  • suunnittelemaan ja kuvaamaan etukäteen tutkimuksessa tarpeellisten henkilötietojen käsittely
  • suunnittelemaan tietojen säilyttämistarve
  • noudattamaan hyvää tietojenkäsittelytapaa
  • varmistamaan suojaamisvelvoitteiden ja mahdollisten salassapitovelvoitteiden noudattaminen
  • suunnittelemaan, millä tavoin toteutat rekisteröityjen oikeudet
  • laatimaan rekisteriseloste
  • tekemään tarvittaessa ilmoituksen tietosuojavaltuutetulle
  • selvittämään etukäteen mahdollisuus saada tarvittaessa henkilötietoja eri henkilörekistereistä ja asiakirjoista
  • selvittämään oikeus saada tietoja oikeus käsitellä tietoja henkilötietolain mukaan
  • oikeus saada käyttöön eri tutkimusrekisterien tietoja.

Vastuiden määrittelyn selkeydellä on tutkimustoiminnassa huomattava merkitys henkilötietojen käsittelyn lainmukaisuuden varmistamisessa. Tämän perusteella on syytä selvittää, kuka on eri tilanteissa henkilötietolain tarkoittama rekisterinpitäjä ja missä roolissa (rahoittajana, opinnäytetyön ohjaajana jne.) tutkimukseen osallistuvat ovat.

Osoitteessa www.fsd.uta.fi on käsitelty tietosuojan ja tutkimusetiikan välistä suhdetta.

Lääketieteellinen tutkimustoiminta

Lääketieteellisen tutkimustoiminnan osalta on olemassa useita lakiin perustuvia eettisiä toimikuntia, jotka käsittelevät henkilötietolain edellyttämiä asioita.

Ennen lääketieteellisestä tutkimuksesta annetussa laissa (488/1999) tarkoitettuun tutkimukseen ryhtymistä on tutkimussuunnitelmasta saatava jonkin sairaanhoitopiirin eettisen toimikunnan tai valtakunnallisen terveydenhuollon eettisen neuvottelukunnan (ETENE) lääketieteellisen tutkimuseettisen jaoston (TUKIJA) myönteinen lausunto. Lain tarkoittamassa tutkimuksessa edellytetään, että tutkimuksen vastuullisena henkilönä on lääkäri tai hammaslääkäri. Lakia ei kuitenkaan sovelleta kysely- ja haastattelututkimuksiin eikä esimerkiksi pelkästään rekisteritietoja hyödyntävään asiakirjoihin tai tilastoihin perustuvaan tutkimukseen.

Lausuntopyynnön yhteydessä tutkijan on selvitettävä mm. seuraavat tietosuojaa koskevat asiat:

  • tietolähteet
  • mitä tietoja tutkimukseen on tarpeen tai välttämätöntä kerätä ja tallettaa
  • miten tietoja käytetään ja käsitellään
  • miten tiedot suojataan eri käsittelyvaiheissa
  • miten rekisteröityjen tietojensaantioikeudet tulee ja voidaan huomioida ja toteuttaa
  • miten tietoja käsitellään analysoinnin aikana
  • purkukoodin säilytys
  • tietojen luovutus, millä perusteella voi tapahtua
  • kuinka kauan tietoja säilytetään
  • tietojen hävittäminen
  • henkilötahot, joilla pääsy potilasasiakirjoihin, tutkimustietoihin ja purkukoodiin.

Lääketieteellistä tutkimusta koskevat ohjeet ja määräykset ovat luettavissa sosiaali- ja terveysministeriön kotisivuilta osoitteesta www.vn.fi/stm . Helsingin ja Uudenmaan sairaanhoitopiirin kuntayhtymän internet-sivuilla http://www.hus.fi/ on tutkijan ohjeistus ja sähköisessä muodossa täytettävä lausuntopyyntölomake.

Tutkimusaineisto ja -suunnitelmat

Opinnäytetyöt ovat julkisia asiakirjoja. Salassa pidettäviä ovat asiakirjat, jotka koskevat opinnäytetyön tai tieteellisen tutkimuksen suunnitelmaa tai perusaineistoa taikka teknologista tai muuta kehittämistyötä tai niiden arviointia, jollei ole ilmeistä, että tiedon antaminen niistä ei aiheuta opinnäytetyön, tutkimuksen tai kehittämistyön suorittamiselle taikka niiden hyödyntämiselle tai sen asianmukaiselle arvioinnille tai tutkijalle taikka tutkimuksen tai kehittämistyön toimeksiantajalle haittaa (JulkL 24.1 § 21 kohta).

Perusaineistot, jotka on vapaaehtoisesti annettu viranomaiselle tutkimusta tai tilastointia varten, ovat salassapidettäviä tietoja (JulkL 24.1 § 16 kohta).

Viranomaisen asiakirjana ei pidetä mm. asiakirjaa, joka on annettu viranomaiselle yksityisen lukuun suoritettavaa tehtävää varten tai laadittu sen suorittamiseksi (JulkL 5.3 § kohta 4). Yliopistossa tällaisia asiakirjoja ovat tilaustutkimukseen liittyvät ulkopuolisten antamat ja tutkimuksen suorittamiseen liittyvät asiakirjat. Julkisuuslakia ei siis sovelleta näiden asiakirjojen käsittelyyn.

Tietojen luovuttaminen tieteellistä tutkimusta ja tilastointia varten

Jokainen viranomainen voi yksittäistapauksissa antaa luvan poiketa sen hallussa olevan asiakirjan salassapidosta tieteellistä tutkimusta, tilastointia taikka viranomaisen suunnittelu- tai selvitystyötä varten, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan (JulkL 28 §). (alkuun)

Tietosuojaopetus

Tietoyhteiskunnassa tietosuojaopetuksen sisällyttäminen on sekä opiskelijoiden oman tietoisuuden lisäämiseksi että heidän työelämävalmiuksiensa kannalta tarpeellista. Tietosuojaopetus on yliopistossa tarpeen ainakin lääketieteen alalla sekä eräillä yhteiskunnallisilla ja humanistisilla aloilla, joissa tehdään kysely- ja haastattelututkimuksia.

Tiedekuntien tulee mahdollisuuksien mukaan selvittää, missä määrin on tarpeen sisällyttää tietosuojaopetusta atk-opetuksen yhteyteen tai muutoin opetussuunnitelmiin.

Yliopiston oikeustieteellisessä tiedekunnassa tietosuojaopetus tapahtuu opiskeluprosessin eri vaiheissa luentokursseilla, metodiseminaareissa ja projekteissa.

Seuraavassa esimerkkejä:

  • IT-oikeus
    • tietoturvajuridiikka
    • sähköinen kaupankäynti ja -hallinto
  • hallinnon informaatio-oikeus
  • informaatio-oikeus ja hallinto-oikeuden yleiset opit

Henkilöstöosasto järjestää yliopiston tutkijoille erikseen kohdennettua tietosuojakoulutusta sekä antaa henkilöstökoulutusta tietosuoja-asioissa siten, että koulutus on jatkuvaa tietosuoja-asioiden osaamisen ylläpitoa.

Yliopiston tietosuoja-asioiden henkilöstökoulutuksen tulee olla jatkuvaa tiedon tason ylläpitoa tietosuojasta ja sen merkityksestä. (alkuun)

Tietoturvallisuus

Tietoturvallisuuden merkitys on oleellinen yliopistossa ja koko yhteiskunnassamme. Tietoturvakysymykset tulee ottaa huomioon kaikissa toimissa ja tietoturvallisuudesta huolehtiminen on jokaisen velvollisuus. Tietosuoja takaa meille suojan yksityisyyteen ja tietoturvallisuus antaa keinot toteuttaa tätä tietosuojan vaatimusta, siksi tietoturvallisuudesta huolehtiminen on jokaiselle yliopistolaiselle, ei vain velvollisuus, vaan myös oikeus.

Yliopiston tasolla tietoturvallisuutta kehittää tietotekniikkaosasto. Lisätietoja tietoturvallisuudesta löytyy tietotekniikkaosaston tietoturvasivuilta tai tietoturvaryhmän palveluosoitteesta.

http://www.helsinki.fi/atk/tietoturva
atk-turva@helsinki.fi

 

Hae yliopiston sivuilta: 
Tietosuojaryhmän etusivulle
Yliopiston etusivulle
Copyright © 2003-2004 Helsingin yliopisto. Kaikki oikeudet pidätetään.