Henkilötietojen käsittely lukiokoulutuksessa

Lukiokoulutuksen järjestämisen kannalta välttämättömien henkilötietojen käsittely perustuu lakisääteisen velvoitteen noudattamiseen. Osa tietojen käsittelystä perustuu suostumukseen. Opiskelijan kuvia, videoita ja tuotoksia käsitellään opiskelijan suostumuksella ja vain siinä määritellyllä tavalla. Suostumus pyydetään kirjallisesti erillisellä kuvaus- ja julkaisuluvalla. Suostumuksen antaminen on vapaaehtoista ja sen voi peruuttaa milloin tahansa.

Käsittelyn oikeusperuste:

• EU:n yleisen tietosuoja-asetuksen (2016/679) 6 artiklan 1 kohdan c alakohta
• Tietosuojalaki (1020/2018) 6 §
• Lukiolaki (10.8.2018/714)
• Valtioneuvoston asetus lukiokoulutuksesta (810/2018)
• Opetusministeriön asetus opiskelijaksi ottamisen perusteista lukiokoulutuksessa (856/2006) 
• Laki ylioppilastutkinnosta (502/2019) 
• Valtioneuvoston asetus ylioppilastutkinnosta 

Lukiokoulutuksen järjestämistä varten tarvitaan esimerkiksi opiskelijan nimi, henkilötunnukset sekä yhteystiedot. Vantaan kaupunki saa tarvittavat tiedot ensisijaisesti Digi- ja väestövirastolta (DVV) sekä opiskelijalta ja hänen huoltajiltaan. Lukiokoulutuksen järjestämisen aikana kertyy myös muita tietoja (mm. opiskelijan poissaolotiedot ja arviointitiedot) sekä opiskelijaa koskevia asiakirjoja kuten opiskelijaa koskevia päätöksiä. Vantaan kaupunki voi myös pyytää lukiokoulutuksen järjestämiseksi välttämättömiä tietoja muilta viranomaisilta kuten aiemmalta opetuksen järjestäjältä laissa säädettyjen edellytysten täyttyessä. Koulutuksen järjestäjällä on lisäksi oikeus saada tiedot ylioppilastutkinnon suorittamiseen liittyvistä seikoista.

Kyllä. Lukiokoulutuksen järjestäminen edellyttää välttämättömien tietojen saamista sekä lukiokoulutuksen aikana kertyvien tietojen käsittelyä.

Vantaan kaupunki voi luovuttaa vain sen opiskelijan tai hänen huoltajansa suostumuksella tai lain nojalla. Tietoja voidaan luovuttaa esimerkiksi opiskelun turvallisuuden varmistamiseksi tai tukipalveluihin ohjaamiseksi. Välttämättömät tiedot luovutetaan myös Vantaan ja Keravan hyvinvointialueen opiskeluhuoltotyöhön. Tietoja ei koskaan luovuteta ulkopuolisille tahoille markkinointi- tai muihin kaupallisiin tarkoituksiin.

Yksityisyyden takaamiseksi henkilötietojen tietoturva ja tietosuoja on varmistettu erilaisin teknisin ja organisatorisin toimenpitein. Henkilötietoja saavat esimerkiksi käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin yksittäinen tehtävä sitä edellyttää. Asiakastietojärjestelmässä tätä valvotaan mm. lokitietojen avulla. Paperisia asiakirjoja säilytetään kaupungin eri arkistotiloissa turvallisessa paikassa, jonne kukaan ulkopuolinen ei pääse.

Henkilökunnalla on salassapito- ja vaitiolovelvollisuus, joka jatkuu työ- ja virkasuhteen päättymisen jälkeen.

Tapauksissa, joissa henkilötietojen käsittelijä käsittelee henkilötietoja Vantaan kaupungin lukuun, asianmukaisesta tietoturvan ja tietosuojan tasosta on sovittu käsittelijän kanssa tehdyssä sopimuksessa. Pääsääntöisesti tietoja käsitellään vain EU:n tai ETA:n alueella, mutta käsittelijä voi siirtää tietoja myös EU:n tai ETA:n ulkopuolelle. Siirto on kuitenkin sallittu vain, kun siirto täyttää sille tietosuojalainsäädännössä ja sopimuksessa asetetut vaatimukset, joilla varmistetaan riittävä henkilötietojen suojan taso.

Microsoft O365 , Google Workspace for Education, Zoom ja Studeo ovat palveluja/järjestelmiä, joiden osalta henkilötietoja siirretään Yhdysvaltoihin. Siirto perustuu Euroopan komission 10.7.2023 hyväksymään päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta. Yhdysvaltalaiset yritykset, joille tietoja siirretään ovat sertifioituneita yrityksiä, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen kesken sovittuihin suojatoimiin.

Google käyttää Euroopan komission hyväksymiä vakiolausekkeita datansiirroissaan tarvittaessa ja silloin, kun päätös suojan riittävyydestä ei koske siirtoja. Googlella on myös lisäsopimuslauseke.

Microsoft noudattaa myös UK:n laajennusta Euroopan komission 10.7.2023 hyväksymään päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta ja Sveitsin ja Yhdysvaltojen tietosuojaviitekehystä (Swiss-U.S. DPF). Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle perustuu lisäksi Microsoftin sopimusehtoihin.

On mahdollista, että suojauksesta huolimatta henkilötiedot voivat poikkeustapauksessa joutua tietoturvaloukkauksen kohteeksi sekä ulkopuolisen haltuun. Näissä tilanteissa Vantaan kaupunki ryhtyy välittömästi toimenpiteisiin tilanteen korjaamiseksi ja tekee tarvittavat ilmoitukset kansalliselle tietosuojavaltuutetulle ja rekisteröidyille.  Vantaan kaupunki ilmoittaa loukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä heti ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Mikäli loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, Vantaan kaupunki ilmoittaa loukkauksesta rekisteröidyille ilman aiheetonta viivytystä. Tällöin kaupunki ilmoittaa tietojen vuotamisesta niille rekisteröidyille, joiden tietoihin tietoturvaloukkaus kohdistuu. Jos tietovuoto koskee suurta ihmisjoukkoa, eikä asia vaadi rekisteröidyiltä välittömiä toimenpiteitä, tietoturvaloukkauksesta voidaan ilmoittaa myös yleisellä tiedotteella.

Tiedot säilytetään ja hävitetään Vantaan kaupungin tiedonohjaussuunnitelman mukaisesti.

Tiedonohjaussuunnitelmassa määritellyt asiakirjojen säilytysajat perustuvat lainsäädäntöön, Kansallisarkiston (ent. Arkistointilaitos) määräyksiin pysyvästi säilytettävistä asiakirjoista sekä Kuntaliiton suosituksiin määräajan säilytettävistä asiakirjoista. Säilytysajan päätyttyä tiedot hävitetään. Lukiokoulutuksen asiakirjojen säilytysajat vaihtelevat, osa tiedoista säilytetään pysyvästi.

Tietoja ei käytetä profilointiin tai automaattiseen päätöksentekoon. 

Rekisteröidyllä tarkoitetaan luonnollista henkilöä, jonka henkilötietojen käsittelystä on kyse. Rekisteröidyllä on käsittelyperusteesta riippuen oikeus

• tarkastaa, mitä tietoja sovelluksessa käsitellään,
• vaatia virheellisten tai epätarkkojen tietojen oikaisemista,
• vaatia tietojen poistamista,
• vaatia tietojen käsittelyn rajoittamista,
• vastustaa tietojen käsittelyä, sekä
• oikeus saada tiedot ja siirtää ne toiselle rekisterinpitäjälle sekä peruuttaa antamansa suostumus milloin tahansa, jos käsittely perustuu suostumukseen.

Tarkastuspyyntö tehdään erillisellä lomakkeella, joka on saatavilla vantaa.fi -sivustolta ja Vantaa-infoista. Mikäli haluat käyttää rekisteröidyn muita oikeuksia tai kysyä lisätietoja henkilötietojen käsittelystä, olethan yhteydessä alla kohdassa 15 mainittuun yhteyshenkilöön. Laissa säädetyt edellytykset oikeuksien käyttämiseksi tarkistetaan tapauskohtaisesti. Oikeuksien käyttäminen voi edellyttää henkilöllisyyden todistamista.

Vantaan kaupunki toteuttaa pyydetyt toimenpiteet ilman aiheetonta viivytystä mutta kuitenkin viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Jos määräaikaa jatketaan, Vantaan kaupunki ilmoittaa viivästymisestä ja sen perusteesta pyynnön esittäjälle kuukauden kuluessa pyynnön vastaanottamisesta.

Oikeuksien käyttäminen on lähtökohtaisesti maksutonta. Vantaan kaupunki voi kuitenkin periä pyynnön toteuttamisesta sen hallinnollisia kustannuksia vastaavan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimenpidettä, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia ja jos niitä esitetään toistuvasti. Jos pyynnön toteuttamisesta aiotaan periä maksu, Vantaan kaupunki on yhteydessä pyynnön esittäjään ennen pyynnön toteuttamista. Mikäli Vantaan kaupunki kieltäytyy suorittamasta pyydettyä toimenpidettä, pyynnön esittäjälle ilmoitetaan kirjallisesti kieltäytymisen perusteet sekä tieto mahdollisuudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi ja käyttää muita oikeussuojakeinoja.

Jos epäilet, että henkilötietojasi käsitellään lainvastaisesti, voit tehdä valituksen valvontaviranomaiselle siinä EU:n jäsenvaltiossa, jossa vakituinen kotipaikkasi tai työpaikkasi on tai jossa katsot säännösten rikkomisen tapahtuneen. Suomessa valvontaviranomainen on tietosuojavaltuutettu.  Lisätietoa ja ohjeita valituksen tekemiseen saat tietosuojavaltuutetun toimiston verkkosivuilta ja puhelinneuvonnasta:

Tietosuojavaltuutetun toimisto / www.tietosuoja.fi

Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki

Postiosoite: PL 800, 00531 Helsinki

Sähköposti: tietosuoja(at)om.fi

Puhelin (vaihde): 029 566 6700

Puhelin (neuvonta yksityishenkilöille): 029 566 6777

Lisätietoja henkilötietojen käsittelystä saat alla mainitulta yhteyshenkilöltä. Otathan ystävällisesti huomioon, että sähköposti ei ole turvallinen väline henkilötietojen käsittelyyn, joten ethän lähetä esimerkiksi henkilötunnusta tai arkaluonteista tietoa sähköpostilla.

Rekisterin yhteyshenkilö

Lukioiden rehtorit:

• Lumon lukio: Mikko Ristimäki, 050 312 4447, etunimi.sukunimi(at)vantaa.fi
• Martinlaakson lukio, Salme Sulander, 043 825 719, etunimi.sukunimi(at)vantaa.fi
• Sotungin lukio: Esa Partanen, 0400 633 865, etunimi.sukunimi(at)vantaa.fi
• Tikkurilan lukio: Marianna Sydänmaanlakka, 040 595 1530 m.sydanmaanlakka(at)vantaa.fi
• Vaskivuoren lukio: Elina Arokannas, 043 827 2331, etunimi.sukunim(a)vantaa.fi
• Helsinge Gymnasium: Johanna Blomstedt, 040 749 2532 etunimi.sukunimi(at)vantaa.fi‍

Rekisterinpitäjä on Vantaan kaupungin kasvatuksen ja oppimisen lautakunta. Rekisterinpitäjän ja Vantaan kaupungin tietosuojavastaavan yhteystiedot löydät alta:

Rekisterinpitäjä

Vantaan kaupunki

Kasvatuksen ja oppimisen lautakunta

Y-tunnus 0124610-9

Asematie 7, 01300 Vantaa

Tietosuojavastaava

tietosuojavastaava@vantaa.fi

puh. 040 071 3358

Kirjaamo:     

Postiosoite: PL 1100, 01030 Vantaan kaupunki

Käyntiosoite: Tikkurilan Vantaa-info, Dixi, Ratatie 11,

2. krs, 01300 Vantaa.

Puhelin (vaihde): 09 839 11

Faksi 09 8392 4163, sähköposti: kirjaamo(at)vantaa.fi