OPIT

Opetuksen tietosuojaa opettajille

EN



1 Yleistä

Tämä ohje on tarkoitettu opetushenkilöstölle, ja siinä on kuvattu yleisimpiä tilanteita, joissa opettaja vastaa opiskelijoiden henkilötietojen tietosuojasta kurssin järjestämisen yhteydessä.

Opiskelijoiden henkilötietojen käsittelyyn opetuksessa vaikuttavat lainsäädääntö ja yliopiston omat ohjeet. EU:n yleinen tietosuoja-asetus asettaa minimivaatimukset sille, miten henkilötietoja pitää käsitellä EU-maissa. Keskeisiä säädöksiä ovat EU:n yleinen tietosuoja-asetuksen lisäksi yliopistolaki (558/2009) sekä julkisuuslaki (Laki viranomaisten toiminnan julkisuudesta 621/1999).


Tietosuoja-asetuksesta löydät lisätietoa täältä: Aallon Inside-sivu (vaatii Aalto-kirjautumisen), opiskelijan tietosuojailmoitus (Into)

2 Opetuksen tietosuojaan ja opiskelijoiden opintotietoihin liittyviä määritelmiä       

Rekisterinpitäjä opiskelijoiden opetustehtävää varten yliopistossa käsiteltävien henkilötietojen osalta on Aalto-yliopisto. Yliopisto organisaationa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot ja vastaa käytettävien järjestelmiin ja prosesseihin liittyvästä tietosuojasta. Jokainen henkilötietoja työssään käsittelevä kuten opettaja on myös itse vastuussa tietosuojasta ja hänen tulee noudattaa yliopiston antamia ohjeita henkilötietojen käsittelystä. Opiskelijoiden henkilötietojen suojaamisella pyritään turvaamaan opiskelijoiden yksityisyydensuojaa.

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön eli ihmiseen liittyviä tietoja. Opiskelijan henkilötietoja ovat esimerkiksi nimi, osoite, henkilötunnus, sähköpostiosoite, muu verkkotunniste, valokuva, ilmoittautumistieto kurssille, kurssin suoritustieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain opiskelijasta.

Arkaluonteissa henkilötietoja ovat esimerkiksi opiskelijan terveystiedot ja henkilökohtaisia opintojärjestelyitä koskevat tiedot kuten suositus tenttiajan pidennyksestä. Opettaja ei yleensä käsittele työtehtävissään opiskelijan arkaluonteisia tietoja. Arkaluonteisten tietojen käsittely on sallittu vain hyvin rajatuissa tilanteissa.

Henkilötietojen käsittelyä ovat kaikki toimet, jotka kohdistetaan henkilötietoihin, esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, muuttaminen, haku, yhdistäminen sekä tietojen luovuttaminen ja tuhoaminen. Esimerkiksi kurssin ilmoittautumislistan luominen ja viestiminen kurssin muille opettajille ja säilyttäminen sähköisenä tai paperitulosteena ovat kaikki henkilötietojen käsittelytoimia.


Tietosuoja-asetuksen määritelmien lisäksi olennaisia ovat seuraavien opiskelijoiden henkilötietoja sisältävien asiakirjojen määritelmät:


Yliopistolaissa käytetään termiä opintosuoritus.

Opintosuorituksella tarkoitetaan tässä ohjeessa opiskelijan tenttivastausta, harjoitustyötä, esseetä, luentopäiväkirjaa tai muuta arvosteltavaa suoritusta. Opintosuoritukset ja niiden arvosanat (opintosuoritusmerkinnät) merkitään Aallon opintotietorekisteriin. Kurssilla voi olla osaopintosuorituksia, jolloin opiskelija saa opintosuoritusmerkinnän vasta kun osaopintosuoritukset on tehty kurssilla edellytetyllä tavalla.

Julkisuuslaissa käytetään termiä oppilaan tai kokelaan koesuoritus:

Koesuoritus on julkisuuslain mukaan salassapidettävä asiakirja. Opiskelijan opintosuoritukset kuten tenttivastaukset ovat yleensä myös salassapidettäviä koesuorituksia.


”Koesuoritus käsittää paitsi koevastauksen myös sen arvioinnin. Julkisuuslain tarkoittama koesuoritus kattaa perinteisen tenttitilaisuudessa tehdyn suoritusten lisäksi mm. harjoitustyöt sekä kotitehtävät, jollei opintosuorituksen luonteeseen kuulu, että se tulee opintosuorituksen tekemisen yhteydessä osittain tai kokonaan julkiseksi (esim. opintosuoritus on taideprojektin tekeminen  näyttelyyn).” Lähde: Korkeakoulujen opintotietojen tietosuojan käytännesäännöt 2017, s.7 https://wiki.eduuni.fi/display/CSCKOOTUKI/Korkeakoulujen+opintotietojen+tietosuojan+kaytannesaannot


3 Opintotietojen julkisuus ja säilytysaika

Yliopiston opiskelijoiden opintotietojen julkisuus ja salassapito määräytyy julkisuuslain mukaan.

Tietosuoja-asetuksessa mainitut erityiset henkilötietoryhmät eli arkaluonteiset henkilötiedot kuten opiskelijan terveystiedot ovat myös julkisuuslain perusteella salassapidettäviä tietoja. Kurssien opintosuoritukset kuten tenttivastaukset, harjoitustyöt, esseet ja luentopäiväkirjat ovat yleensä salassapidettäviä asiakirjoja. Kaikki henkilötiedot eivät ole julkisuuslain mukaan salassapidettäviä. Opintosuoritusten arvostelun tulostiedot eli esimerkiksi opiskelijan tentistä saamat yhteispisteet tai kurssista saatu arvosana ovat puolestaan julkisuuslain nojalla julkisia tietoja. Koska tulostiedot ovat myös henkilötietoja, niin niitä ei voi kuitenkaan vapaasti julkaista verkossa tai antaa muille henkilöille Aallossa kuin tietoja työtehtävissään tarvitseville. Kaikkia opiskelijan henkilötietoja tulee käsitellä luottamuksellisesti ja huolellisesti. Katso kohta Joku muu pyytää opiskelijan tietoja

Osa yliopiston opiskelijoiden opintotietojen säilytysajoista on säädetty laissaa. Säilytysajaton määrätty kattavammin yliopiston tiedonohjaussuunnitelmassa.

Kurssin aikana tehdyt opintosuoritukset kuten tenttivastaukset, harjoitustyöt, esseet, luentopäiväkirjat tulee säilyttää vähintään 6 kuukautta opintosuorituksen arvostelun valmistumisesta. Pääsääntöisesti opintosuoritukset tulee tuhota viimeistään 1 vuoden kuluttua kurssin päättymisvuodesta, jollei niiden säilytyksestä ole vahvistettu Aalto-yliopistossa pidempi aika tai suoritusten säilyttämiseen on muu lainmukainen peruste.

Suoritettujen kurssien arvostelun tulokset eli opintosuoritusmerkinnät säilytetään opintotietorekisterissä (nyk. Oodi) pysyvästi.

Kurssin aikana tehtyjen osaopintosuoritusten arvostelun tulokset tulee säilyttää niin kauan kuin ne ovat tutkintosäännön tai opetussuunnitelman mukaan käytettävissä kurssin suorittamiseksi. Osasuoritusten arvostelun tuloksille voi olla paikallisesti määritelty pidempikin säilytysaika.

4 Opintotietojen käsittely digitaalisissa oppimisympäristöissä ja työkaluilla

Aalto-yliopistossa on digitaalisia oppimisympäristöjä sekä erilaisia opetusta tukevia sähköisiä työkaluja, joissa käsitellään opiskelijoiden henkilötietoja.

4.1 WebOodi

Kurssi-ilmoittautumiset tehdään lähtökohtaisesti WebOodin kautta. Opettaja saa listan kurssille ilmoittautuneista opiskelijoista sekä tarvittaessa kurssin järjestämisen kannalta tarpeelliset taustatiedot kuten tiedon esitietovaatimuksen täyttymisestä.

Kurssin arvioinnin tulokset voidaan myös viedä WebOodin kautta opintotietorekisteriin.

4.2 MyCourses

MyCourses on Aallon kurssinaikaiselle toiminnalle tarkoitettu oppimisympäristö opettajille ja opiskelijoille. Jokaiselle uudelle kurssille tulee luoda uusi työtila MyCoursesiin, eikä edellisten kurssien työtiloja tule käyttää uudelleen.

Kurssille ilmoittautuneiden opiskelijoiden tiedot siirretään automaattisesti Oodista MyCourses-työtilaan.

Opettaja- ja assistentioikeuksilla on pääsy työtilan opiskelijatietoihin. Antaessasi työtilaan opettaja-tason oikeuksia, kiinnitä huomiota siihen, että kaikilla opettajan oikeudet saavilla tulisi olla työhön liittyvä peruste nähdä opiskelijoiden osallistumistiedot, kurssin aikainen toiminta työtilassa ja suoritukset arviointitietoineen. Saman kurssin opiskelijoilla ei ole yleensä perustetta nähdä muiden kurssin opiskelijoiden opintosuorituksia lainkaan ja muitakin henkilötietoja vain rajatusti. Ryhmätöitä ja vertaisarviointeja tms. tehtäviä varten opiskelijoille tulisi antaa pääsy vain kyseisten tehtävien tekemistä varten tarpeellisiin muiden opiskelijoiden henkilötietoihin, ks. kohta opiskelijan henkilötietojen jakaminen kurssin muille opiskelijoille.

Noudata tenttien ja muiden opintosuoritusten arvostelun tulosten ilmoittamisessa opiskelijoille MyCoursesin ohjetta ”Publishing grades”. Ks. tästä aiheesta myös kohta tenttitulosten ja muiden opintosuoritusten arvostelun tulosten ilmoittaminen.

Jos tulostat työtilasta kurssien suoritus- tai arvostelulistat, ja tallennat niitä omalle koneellesi ja/tai välität opiskelijarekisteriin, ks. kohta opintotietojen huolellinen käsittely kurssilla ja sen jälkeen.

4.3 Muut sähköiset opetusvälineet

Muita opetusvälineitä verkko-opetuksessa ovat esimerkiksi Panopto, wiki, Turnitin, blogs.aalto.fi, OpenLearning, Presemo, Officen työkalut, kurssipalautejärjestelmä, Exam. Tutustu opetusvälineen tietosuojaohjeisiin ennen kuin otat sen käyttöön opetuksessa. Jos haluat käyttää jotain muuta kuin Aallon IT:n suosittelemia palveluita henkilötietojen käsittelyyn, kysy ensin neuvoa security@aalto.fi.

5 Opintotietojen huolellinen käsittely kurssilla ja sen jälkeen

Käsittele henkilötietoja aina huolellisesti. Käsittele henkilötietoja aina kun mahdollista alkuperäisessä tietojärjestelmässä – Älä siirrä henkilötietoja tarpeettomasti alkuperäisen järjestelmän ulkopuolelle esim. excel-taulukkoihin. Säilytä henkilötiedot turvallisesti. Tuhoa tarpeeton ja vanhentunut henkilötieto – Älä säilytä henkilötietoja vain varmuuden vuoksi.

Kurssin vastuuopettaja on velvollinen huolehtimaan, että opintosuoritukset sekä niiden arvostelun tulokset, joita ei ole toimitettu kurssin aikana MyCoursesiin tai opintotietorekisteriin (nyk. Oodi), säilytetään sivullisilta suojattuna opetusta järjestävän yksikön ohjeistusten mukaisesti. Jos olet epätietoinen yksikkösi ohjeista, ota yhteys koulusi opintoasiainpäällikköön.

Ilmoittautumista ja MyCoursesiin tallennetut kurssin aikaista toimintaa koskevat tiedot säilyvät tietojärjestelmissä Aalto-yliopiston tiedonohjaussuunnitelmassa määritellyn ajan. Harkitse, että missä tilanteissa sinun tarvitsee säilyttää erikseen opiskelijoiden henkilötietoja koskevia listoja kurssin päättymisen jälkeen, jos kaikki tarpeelliset tiedot on jo tallennettu MyCoursesiin.

Säilytä opiskelijoiden henkilötietoja sisältävät asiakirjat riittävän tietoturvatason paikoissa (esim. suojattu Aallon verkkokansio). Huolehdi hävittämisestä sen jälkeen kun tietojen säilyttäminen ei ole enää välttämätöntä. Paperisessa muodossa olevat opiskelijoiden henkilötietoja sisältävät asiakirjat tulee hävittää tietoturvaroskikseen.

Ilmoita henkilötiedoille mahdollisesta tapahtuneesta vahingosta tai epäilyttävästä toiminnasta –  Toimi nopeasti. Paras tapa paikata virhe tai torjua uhka on kertoa siitä heti. Vahinkojen minimoinnissa aika ratkaisee.

Jos huomaat aukkoja WebOodin, MyCoursesin tai muun järjestelmän tietoturvallisuudessa tai huomaat oman tai jokun muun henkilön toimesta henkilötietojen tulleen vahingossa sivullisten saataville tai muutoin mahdollisesti vuotaneen, ilmoita siitä välittömästi Aalto-yliopiston tietoturvalle osoitteeseen : security@aalto.fi.

6 Tenttitulosten ja muiden opintosuoritusten arvostelun tulosten ilmoittaminen

Tentti- ja muiden opintosuoritusten arvostelun tulokset ilmoitetaan Aalto-yliopiston tätä tarkoitusta varten tarjoamassa suljetussa verkossa kuten MyCourses-työtilassa. Opiskelijoiden tenttisuoritukset tulee ilmoittaa opiskelijanumeroittain ilman nimeä tai muita suoria henkilötietoja ja muutoinkin siten, ettei opiskelijan henkilöllisyys ole tuloslistasta suoraan tunnistettavissa. Suositeltavin toimintatapa on viestiä yksittäisen opiskelijan opintosuorituksen arvostelun tulos vain hänelle itselleen ja viestiä koko kurssille vain yhteenveto hyväksyttyjen ja hylättyjen lukumäärästä arvosanakohtaisesti.

Ilmoita opiskelijakohtaiset tulokset vain opiskelijalle itselleen aina kuin mahdollista. Jos ilmoitat kaikille opiskelijoille heidän tuloksensa koko kurssin tuloslistaa käyttäen, tee se pelkällä opiskelijanumerolla. MyCoursesissa rajaa tiedoston näkyvyys vain kurssin opiskelijoille.

7 Opiskelijan henkilötietojen jakaminen kurssin muille opiskelijoille

Minimoi henkilötiedot

Pohdi aina, mikä on riittävä keino yksilöidä opiskelija henkilötietojen minimointiperiaatteen  kannalta. Huolehdi siitä, etteivät muut opiskelijat voi  jakamiesi aineistojen perusteella yhdistää muiden opiskelijoiden nimiä ja opiskelijanumeroita. Muille opiskelijoille jaettaviin seminaaritöihin tai vertaisarvioitaviin tehtäviin taikka ryhmätöihin ei ole välttämätöntä merkitä opiskelijanumeroa.

Jos muiden kurssin opiskelijoiden on tarpeellista tietää kurssin tai ryhmän muut osallistujat, jaa opiskelijoiden nimet toisille opiskelijoille, älä koskaan opiskelijanumeroita.


Huomio opiskelijan tekijänoikeus työhönsä! Jos haluat esimerkiksi esitellä jonkun opiskelijan tekemää harjoitustyötä tulevilla kursseillasi muille opiskelijoille, niin sinun tulee kysyä harjoitustyön tehneeltä opiskelijalta siihen suostumus. Hyvä toimintatapa on ohjeistaa opiskelijat antamaan kurssilla lupa (esim. CC BY NC  4.0-lisenssi) jo opintosuoritusten tekovaiheessa sellaisten töiden käyttöön, joiden toivotaan olevan avoimesti saatavilla jatkossa.

Tekijänoikeus koskee myös opinnäytteitä, vaikka ne ovat julkisia asiakirjoja. Opiskelija päättää teoksensa saataville saattamisesta. Jos haluat jakaa aaltodoc.fi-palvelussa julkaistua opinnäytettä kurssin opiskelijoille, niin anna kurssin opiskelijoille linkki aaltodoc.fi-palveluun. Jos opiskelija ei ole halunnut julkaista opinnäytettään aaltodoc.fi-palvelussa eikä antanut sinulle erikseen lupaa opinnäytteen jakamiseen sähköisessä muodossa, niin ohjaa kurssin opiskelijat tutustumaan opinnäytteeseen Aalto-yliopiston Oppimiskeskuksessa.

Lisätietoja tekijänoikeudesta löydät  https://libguides.aalto.fi/tekijanoikeusopas –sivustolta.


8 Sähköposti viestinnän välineenä opetuksessa

Siirrä henkilötiedot turvallisesti – Varmista vastaanottaja. Jos lähetät salassa pidettäviä henkilötietoja sähköpostilla, muista lähettää viesti salattuna sähköpostina tai aineisto salattuna liitteenä. 

Opiskelijoiden ohjaaminen ja palautteen antaminen opiskelijoille sähköpostitse aalto.fi-sähköpostiosoitteesta toiseen on lähtökohtaisesti sallittua, samoin kuin opettajien välinen tiedonvaihto opiskelijoita koskevissa asioissa. Mikäli sähköpostissa on arkaluonteisia (esim. opiskelijan terveystiedot) tai muutoin salassapidettäviä (esim. opiskelijan tenttivastaukset) tietoja, tulee näiden tietojen osalta menetellä erityisen huolellisesti.

9 Tietopyynnöt opetukseen ja opintosuorituksiin liittyvistä tiedoista ja asiakirjoista

9.1 Opiskelija pyytää omia tietojaan

Opiskelijalla on yleensä oikeus saada tieto kaikista henkilötiedoista, joita opettaja hänestä kurssilla kerää ja käsittelee. Opiskelijalla on oikeus saada tieto omasta arvostellusta kirjallisesta tai muuten tallennettusta opintosuorituksestaan sekä arvosteluperusteiden soveltamisesta opintosuoritukseensa. Kurssin vastuuopettaja vastaa siitä, että opiskelijoille varataan tilaisuus tutustua kurssilla tekemiinsä opintosuorituksiin ja arvosteluperusteiden soveltamiseen näihin opintosuorituksiin.

9.2 Joku muu pyytää opiskelijan tietoja

Älä anna henkilötietoja kenelle tahansa - Henkilötietoja saavat käsitellä vain ne, joiden työtehtäviin se kuuluu.

Opiskelijan opintosuoritukset ovat yleensä salassapidettäviä asiakirjoja eikä niistä silloin saa antaa tietoa kuin sitä työtehtävissään tarvitseville kuten kurssin muille opettajille. Useat opiskelijoiden henkilötiedot kuten nimi tai kurssille ilmoittautumistieto tai kurssin arvosana eivät ole salassapidettäviä tietoja, mutta julkisuuslaki ja tietosuojalainsäädäntö säätelevät niiden käsittelyä. Kurssin opiskelijoiden henkilötietoja ei siten voi esimerkiksi julkaista vapaasti verkossa tai luovuttaa kenelle tahansa kysyjälle.

Jos saat opiskelijan henkilötietoja koskevan tietopyynnön toiselta opiskelijalta tai joltain muulta taholta, ja olet epävarma pyynnön käsittelystä, ole yhteydessä opintoasioiden lakimieheen.

10 Henkilökohtaisia opintojärjestelyjä koskevan tiedon käsittely

Opiskelija voi hakea suosituksen tarpeellisista henkilökohtaisia opintojärjestelyjä koulustaan esimerkiksi todetun lukihäiriön vuoksi. Suosituksia koskevat hakemukset ja niihin liitetyt terveydentilatiedot sekä annetut suositukset ovat salassa pidettäviä asiakirjoja sekä sisältävät arkaluonteisia henkilötietoja. Opiskelija esittää itse kurssin opettajalle suosituksensa, jos haluaa henkilökohtaisia järjestelyitä kurssilla.

Tiedon suosituksesta saa antaa vain niille, jotka sitä työtehtävissään kuten tenttiä järjestäessään tarvitsevat. Olet muutoin vaitiolovelvollinen kirjallisesti tai suullisesti saamastasi henkilökohtaisia opintojärjestelyitä tai opiskelijan terveydentilaa tai toimintakykyä koskevasta tiedosta. Suositusta tai muita arkaluonteisia tietoja ei saa lähettää tavallisessa sähköpostissa. Jos tieto on välttämätönsä lähettää sähköpostilla, tulee viesti lähettää salattuna.

11 Opiskelijapalaute ja sen käsittely

Aalto-yliopistossa on yhteinen kurssipalautejärjestelmä. Coursefeedback.aalto.fi

Opettaja voi lisäksi kerätä muutakin opiskelijapalautetta kurssillaan. Opiskelijapalautetta kerätessä tulee kuitenkin huomioida tietosuojaan liittyvät kysymykset.

Mikäli palautteesta voidaan tunnistaa joko opettaja tai opiskelija, on kyseessä henkilötieto. Silloin on etukäteen määriteltävä, mihin henkilötietoja sisältävää tietoaineistoa on tarkoitus käyttää. Kysely tulee myös suunnitella niin, ettei tarpeettomia henkilötietoja kerätä. Tietoja saa käsitellä vain sellainen henkilö, jonka työtehtäviin kyseisen palautteen käsittely kuuluu. Vastauksia voidaan säilyttää kunnes säilyttäminen ei ole enää toiminnan kannalta välttämätöntä, korkeintaan 5 vuotta. Tämän jälkeen vastaukset tulee hävittää tietoturvallisella tavalla.

Mikäli kerättyä palautetta julkaistaan, ei julkaistavissa tiedoissa saa näkyä kenenkään henkilötietoja ilman asianomaisen henkilön lupaa.


Opettajat voivat ottaa opetuksen tietosuojaan liittyvissä kysymyksissä yhteyttä:  

opintoasioiden lakimies Anna Johansson anna.johansson@aalto.fi

  • No labels