Henkilötietojen käsittely perusopetuksessa

Asiasanat

KoulutusTieto- ja hallintopalvelutOppilaat

EU:n yleisen tietosuoja-asetuksen mukaisesti henkilölle on annettava tieto, jos hänen henkilötietojaan kirjataan johonkin henkilörekisteriin. Henkilötietoja ovat muun muassa nimi- ja osoitetiedot. Rekisteröidylle on myös kerrottava henkilötietojen käsittelyn tarkoituksesta, mihin tietoja säännönmukaisesti luovutetaan ja rekisteröidyn oikeuksista. Tällä sivulla kerrotaan yleisesti, millä tavoin Vantaan kaupunki käsittelee henkilötietoja perusopetuksessa.

1. Mihin tarkoitukseen henkilötietoja käsitellään?

Henkilötietoja kerätään ja käsitellään perusopetuksessa vain siltä osin kuin se on välttämätöntä palvelun järjestämiseksi. Vantaan kaupunki kerää välttämättömät henkilötiedot sinulta ja perheeltäsi perusopetuksen järjestämiseksi ja siihen liittyvien tehtävien hoitamiseksi. Rekisterissä olevia henkilötietoja voidaan käsitellä myös silloin, kun se on tietojärjestelmien testaamisessa välttämätöntä esimerkiksi silloin, kun opetuksen järjestäjä ottaa käyttöön uuden tietojärjestelmän. Vantaan kaupunki ei koskaan käytä näitä tietoja muuhun tarkoitukseen, kuten esimerkiksi suoramarkkinointiin tai kaupallisiin tarkoituksiin.

2. Mihin henkilötietojen käsittely perustuu?

Perusopetuksen järjestämisen kannalta välttämättömien henkilötietojen käsittely perustuu lakisääteisen velvoitteen noudattamiseen. Lapsen kuvia, videoita ja tuotoksia käsitellään lapsen huoltajan antamalla suostumuksella ja vain siinä määritellyllä tavalla. Suostumus pyydetään kirjallisesti erillisellä kuvaus- ja julkaisuluvalla. Osa tietojen käsittelystä perustuu suostumukseen. Suostumuksen antaminen on vapaaehtoista ja sen voi peruuttaa milloin tahansa.

Käsittelyn oikeusperuste:

  • EU:n yleisen tietosuoja-asetuksen (2016/679) 6 artiklan 1 kohdan a ja c alakohta
  • Tietosuojalaki (1020/2018) 6 §
  • Perusopetuslaki (21.8.1998/628)
  • Lastensuojelulaki (417/2007)
  • Laki lasten kanssa työskentelevien rikostaustan selvittämisestä (504/2002) 
  • Perusopetusasetus (852/1998)  
  • Valtioneuvoston asetus perusopetuslaissa tarkoitetun opetuksen valtakunnallisista tavoitteista ja perusopetuksen tuntijaosta (422/2012)  

3. Mitä henkilötietoja perusopetuksessa kerätään ja keneltä tiedot saadaan?

Perusopetuksen järjestämistä varten tarvitaan esimerkiksi lapsen ja tämän huoltajien nimet, henkilötunnukset sekä yhteystiedot. Vantaan kaupunki saa tarvittavat tiedot ensisijaisesti Digi- ja väestövirastolta (DVV) ja lapsen huoltajilta. Perusopetuksen järjestämisen aikana kertyy myös muita tietoja (mm. lapsen arviointitiedot), tietoja koulukuljetusten järjestämisestä, kouluruokailun järjestämisestä (erityisruokavaliot) sekä lasta koskevia asiakirjoja kuten oppilaita koskevat päätökset. Vantaan kaupunki voi myös pyytää perusopetuksen järjestämiseksi välttämättömiä tietoja muilta viranomaisilta kuten aiemmalta varhaiskasvatuksen tai perusopetuksen järjestäjältä laissa säädettyjen edellytysten täyttyessä.

4. Onko henkilötietojen antaminen välttämätöntä?

Kyllä. Perusopetusta ei voida toteuttaa ilman henkilötietoja, eli tiedot ovat välttämättömiä toiminnan järjestämiseksi.

5. Luovutetaanko henkilötietoja eteenpäin?

Vantaan kaupunki voi luovuttaa tietojasi tai lapsesi tietoja vain suostumuksellasi, tai jos tietojen luovutuksesta on säädetty laissa. Esimerkiksi lapsen siirtyessä perusopetukseen tai lapsen koulun vaihtuessa kunnalla on velvollisuus luovuttaa toiminnan järjestämisen kannalta välttämättömät tiedot uudelle perusopetuksen järjestäjälle laissa säädetyllä tavalla. Kunnalla on velvollisuus luovuttaa tietoja valtakunnallisiin opinto- ja tutkintorekistereihin sekä tietyin edellytyksin etsivälle nuorisotyölle. Välttämättömät tiedot luovutetaan myös Vantaan ja Keravan hyvinvointialueen opiskeluhuoltotyöhön.

6. Millä tavoin henkilötiedot on suojattu?

Perheesi yksityisyyden takaamiseksi henkilötietojen tietoturva ja tietosuoja on varmistettu erilaisin teknisin ja organisatorisin toimenpitein. Henkilötietoja saavat esimerkiksi käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin yksittäinen tehtävä sitä edellyttää. Asiakastietojärjestelmässä tätä valvotaan mm. lokitietojen avulla. Paperisia asiakirjoja säilytetään kaupungin eri arkistotiloissa turvallisessa paikassa, jonne kukaan ulkopuolinen ei pääse.

Henkilökunnalla on salassapito- ja vaitiolovelvollisuus, joka jatkuu työ- ja virkasuhteen päättymisen jälkeen. Koulu huolehtii omien tiedostojensa ja saamiensa kopiokappaleiden tuhoamisesta.

7. Siirretäänkö henkilötietoja EU- tai ETA-alueen ulkopuolelle?

Tapauksissa, joissa henkilötietojen käsittelijä käsittelee henkilötietoja Vantaan kaupungin lukuun, asianmukaisesta tietoturvan ja tietosuojan tasosta on sovittu käsittelijän kanssa tehdyssä sopimuksessa. Pääsääntöisesti tietoja käsitellään vain EU:n tai ETA:n alueella, mutta käsittelijä voi siirtää tietoja myös EU:n tai ETA:n ulkopuolelle. Siirto on kuitenkin sallittu vain, kun siirto täyttää sille tietosuojalainsäädännössä ja sopimuksessa asetetut vaatimukset, joilla varmistetaan riittävä henkilötietojen suojan taso.

 

Microsoft O365 ja Google  Workspace for Education ovat palveluja/järjestelmiä, joiden osalta henkilötietoja siirretään Yhdysvaltoihin. Siirto perustuu Euroopan komission 10.7.2023 hyväksymään päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta. Yhdysvaltalaiset yritykset, joille tietoja siirretään ovat sertifioituneita yrityksiä, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen kesken sovittuihin suojatoimiin.

Google käyttää Euroopan komission hyväksymiä vakiolausekkeita datansiirroissaan tarvittaessa ja silloin, kun päätös suojan riittävyydestä ei koske siirtoja. Googlella on myös lisäsopimuslauseke.

Microsoft noudattaa myös UK:n laajennusta Euroopan komission 10.7.2023 hyväksymään päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta ja Sveitsin ja Yhdysvaltojen tietosuojaviitekehystä (Swiss-U.S. DPF). Henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle perustuu lisäksi Microsoftin sopimusehtoihin.

ios-sovelluksen osalta henkilötietojen siirto EU- tai ETA-alueen ulkopuolelle perustuu Applen palvelujen sopimusehtoihin ja Euroopan komission hyväksymiin vakiolausekkeisiin.

8. Miten kaupunki toimii tietoturvaloukkauksen sattuessa?

On mahdollista, että suojauksesta huolimatta henkilötiedot voivat poikkeustapauksessa joutua tietoturvaloukkauksen kohteeksi sekä ulkopuolisen haltuun. Näissä tilanteissa Vantaan kaupunki ryhtyy välittömästi toimenpiteisiin tilanteen korjaamiseksi ja tekee tarvittavat ilmoitukset kansalliselle tietosuojavaltuutetulle ja rekisteröidyille.  Vantaan kaupunki ilmoittaa loukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä heti ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Mikäli loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, Vantaan kaupunki ilmoittaa loukkauksesta rekisteröidyille ilman aiheetonta viivytystä. Tällöin kaupunki ilmoittaa tietojen vuotamisesta niille rekisteröidyille, joiden tietoihin tietoturvaloukkaus kohdistuu. Jos tietovuoto koskee suurta ihmisjoukkoa, eikä asia vaadi rekisteröidyiltä välittömiä toimenpiteitä, tietoturvaloukkauksesta voidaan ilmoittaa myös yleisellä tiedotteella.

9. Kuinka pitkään tietoja säilytetään?

Tiedot säilytetään ja hävitetään Vantaan kaupungin tiedonohjaussuunnitelman mukaisesti.

Tiedonohjaussuunnitelmassa määritellyt asiakirjojen säilytysajat perustuvat lainsäädäntöön, Kansallisarkiston (ent. Arkistointilaitos) määräyksiin pysyvästi säilytettävistä asiakirjoista sekä Kuntaliiton suosituksiin määräajan säilytettävistä asiakirjoista. Säilytysajan päätyttyä tiedot hävitetään. Perusopetuksen asiakirjojen säilytysajat vaihtelevat, osa tiedoista säilytetään pysyvästi.

10. Käytetäänkö tietoja profilointiin tai automaattiseen päätöksentekoon?

Tietoja ei käytetä profilointiin tai automaattiseen päätöksentekoon.

11. Mitä oikeuksia rekisteröidyllä on ja miten oikeuksia voi käyttää? Kuinka kauan asian käsittely kestää?

Rekisteröidyllä tarkoitetaan luonnollista henkilöä, jonka henkilötietojen käsittelystä on kyse. Rekisteröidyllä on käsittelyperusteesta riippuen oikeus

  • tarkastaa, mitä tietoja sovelluksessa käsitellään,
  • vaatia virheellisten tai epätarkkojen tietojen oikaisemista,
  • vaatia tietojen poistamista,
  • vaatia tietojen käsittelyn rajoittamista,
  • vastustaa tietojen käsittelyä, sekä
  • oikeus saada tiedot ja siirtää ne toiselle rekisterinpitäjälle sekä peruuttaa antamansa suostumus milloin tahansa, jos käsittely perustuu suostumukseen.

Tarkastuspyyntö tehdään erillisellä lomakkeella, joka on saatavilla vantaa.fi -sivustolta ja Vantaa-infoista. Mikäli haluat käyttää rekisteröidyn muita oikeuksia tai kysyä lisätietoja henkilötietojen käsittelystä, olethan yhteydessä alla kohdassa 15 mainittuun yhteyshenkilöön. Laissa säädetyt edellytykset oikeuksien käyttämiseksi tarkistetaan tapauskohtaisesti. Oikeuksien käyttäminen voi edellyttää henkilöllisyyden todistamista.

Vantaan kaupunki toteuttaa pyydetyt toimenpiteet ilman aiheetonta viivytystä mutta kuitenkin viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Jos määräaikaa jatketaan, Vantaan kaupunki ilmoittaa viivästymisestä ja sen perusteesta pyynnön esittäjälle kuukauden kuluessa pyynnön vastaanottamisesta.

12. Onko rekisteröidyn oikeuksien käyttö maksullista?

Oikeuksien käyttäminen on lähtökohtaisesti maksutonta. Vantaan kaupunki voi kuitenkin periä pyynnön toteuttamisesta sen hallinnollisia kustannuksia vastaavan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimenpidettä, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia ja jos niitä esitetään toistuvasti. Jos pyynnön toteuttamisesta aiotaan periä maksu, Vantaan kaupunki on yhteydessä pyynnön esittäjään ennen pyynnön toteuttamista. Mikäli Vantaan kaupunki kieltäytyy suorittamasta pyydettyä toimenpidettä, pyynnön esittäjälle ilmoitetaan kirjallisesti kieltäytymisen perusteet sekä tieto mahdollisuudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi ja käyttää muita oikeussuojakeinoja.

13. Miten voin tehdä valituksen valvontaviranomaiselle?

Jos epäilet, että henkilötietojasi käsitellään lainvastaisesti, voit tehdä valituksen valvontaviranomaiselle siinä EU:n jäsenvaltiossa, jossa vakituinen kotipaikkasi tai työpaikkasi on tai jossa katsot säännösten rikkomisen tapahtuneen. Suomessa valvontaviranomainen on tietosuojavaltuutettu.  Lisätietoa ja ohjeita valituksen tekemiseen saat tietosuojavaltuutetun toimiston verkkosivuilta ja puhelinneuvonnasta:

  • Tietosuojavaltuutetun toimisto / www.tietosuoja.fi
  • Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
  • Postiosoite: PL 800, 00531 Helsinki
  • Sähköposti: tietosuoja(at)om.fi
  • Puhelin (vaihde): 029 566 6700
  • Puhelin (neuvonta yksityishenkilöille): 029 566 6777

14. Mistä voin pyytää lisätietoja ja kuka on rekisterinpitäjä?

Lisätietoja henkilötietojen käsittelystä saat alla mainitulta yhteyshenkilöltä. Otathan ystävällisesti huomioon, että sähköposti ei ole turvallinen väline henkilötietojen käsittelyyn, joten ethän lähetä esimerkiksi henkilötunnusta tai arkaluonteista tietoa sähköpostilla.

Rekisterin yhteyshenkilö

Liitteen mukaiset perusopetuksen rehtorit

Rekisterinpitäjä on Vantaan kaupungin kasvatuksen ja oppimisen lautakunta. Rekisterinpitäjän ja Vantaan kaupungin tietosuojavastaavan yhteystiedot löydät alta:

Rekisterinpitäjä

Vantaan kaupunki

Kasvatuksen ja oppimisen lautakunta

Y-tunnus 0124610-9

Asematie 7, 01300 Vantaa

Tietosuojavastaava

tietosuojavastaava@vantaa.fi

puh. 040 071 3358

Kirjaamo:    

Postiosoite: PL 1100, 01030 Vantaan kaupunki

Käyntiosoite: Tikkurilan Vantaa-info, Dixi, Ratatie 11,

2. krs, 01300 Vantaa.

Puhelin (vaihde): 09 839 11

Faksi 09 8392 4163, sähköposti: kirjaamo(at)vantaa.fi

Avainsanat

PeruskoulutTietosuoja