Opetushallituksen ylläpitämä MPASSid-tunnistuksenvälityspalvelu on toiminut tähän asti sopimusperustaisesti. Opetushallitus on päättänyt, että palvelu tuotetaan ja ylläpidetään jatkossa viranomaispalveluna. Palvelu säilyy entisen sisältöisenä ja maksuttomana. Uudet käyttäjät tulevat viranomaispalvelun piiriin heti liittyessään ja nykyiset sopimuksen perusteella palvelua käyttävät organisaatiot irtisanomisajan jälkeen 1.8.2024 lukien.
Kaikkien MPASSid-osapuolten täytyy hyväksyä ja sitoutua noudattamaan MPASSid:n käyttöehtoja. Mikäli organisaatio arvioi, että MPASSid:n käyttöehdot ovat riittävät suhteessa hankittavaan palveluun, ei erillistä DPA-sopimusta tarvitse tehdä palveluntarjoajan kanssa.
Organisaatiolla on rekisterinpitäjän roolissa lisäksi velvollisuus arvioida tarve tehdä tietosuojalainsäädännön mukainen tietosuojavaikutusten arviointi (DPIA). Rekisterinpitäjän pitää tehdä DPIA, mikäli palvelussa käsitellään erityisiä, arkaluonteisia henkilötietoja tai palvelun käyttöön sisältyy muita korkean riskin toimintoja esim. automaattista päätöksentekoa. Opetushallituksen MPASSid-palvelun käyttöehdot eivät poista tätä rekisterinpitäjän velvollisuutta. MPASSid:n välittämät tietomallin mukaiset tiedot käyttäjästä eivät sisällä erityisiä tai arkaluonteisia henkilötietoja.
Opetushallitus ylläpitää ajantasaista tietomallia ja teknistä dokumentaatiota palvelun osapuolille
wikisivuillaan: https://wiki.eduuni.fi/display/OPHPALV/MPASSid
Jos haluat kysyä lisää MPASSid:stä, voit laittaa viestiä osoitteeseen mpass@oph.fi
Kivasti on saatu mukavasti uusia softia GDPR-datoineen viime viikkojen aikana. Kirjastosta löytyvät nyt myös näiden palveluiden GDPR-data selväkielisessä ja saavutettavassa muodossa:
Tinkercad, LimeSurvey GmbH, Geogebra, WiseFlow, Spoken, Blender, Vihta-ajanvaraus, Turnitin (iThenticate, Feedback Studio, Simcheck, Similarity, iThenticate 2.0, Originality), AV1-robot, Adobe Express, Maxtech Pro and Easy, Duolingo, Cryptomator, Replit, Book Creator, Frends ja LanSchool.
Muistathan, että voit myös itse ehdottaa valmistajalle, että he syöttäisivät GDPR-tiedot Kirjastoon. Se ei maksa valmistalle mitään ja tunnukset he voivat tilata tällä lomakkeella:
Uuden DPIA-työkalun julkaisemisen myötä olemme päivittäneet myös tietosuojaselosteen, käyttöehdot ja palvelukuvauksen. Keskeisin muutos löytyy käyttöehtojen kohdasta 8.1. Immateriaalioikeudet, johon on lisätty seuraava lause:
"Käyttäjän työn tuloksina syntyvät DPIA/ vaikutustenarvioinnit kuuluvat käyttäjälle ja palveluntarjoaja
käsittelee niitä vain palveluntarjoajan palvelun tarjoamiseksi kyseiselle käyttäjälle."
Tietosuojakuvauksen ja käyttöehdot löydät Sovelluskirjaston pääsivulta "Osta jäsenyys"-alkuisesta tekstikentästä. Palvelukuvauksen lähetämme tarjouksen liitteenä tai saat sen lähettämällä viestin: soili at sovelluskirjasto.fi
Uusi DPIA-työkalu julkaistiin 29.2.
Työkalu löytyy GDPR-sovelluskirjaston ylävalikosta. Sen avulla tietosuojan vaikutustenarviointiprosessit nopeutuvat ja tehostuvat. DPIA-työkalu:
* hyödyntää Tietosuojavaltuutetun lomakepohjien tietorakennetta,
* hakee softakohtaiset tiedot suoraan GDPR-kirjastosta,
* kysyy täyttäjältä oikeat kysymykset oikeassa kohdassa prosessia ja
* tarjoaa valmiita mallivastausvaihtoehtoja muokattavaksi.
DPIA-työpajoissa työstetään tietosuojan vaikutustenarviointeja
Maksuttomat DPIA-työpajat on tarkoitettu GDPR-sovelluskirjaston ja siihen liittyvän DPIA-työkalun käyttäjille. Huhti-toukokuussa kokoonnutaan DPIA-työpajoihin tekemään vaikutustenarviointeja yhdessä torstaisin klo 10-11.30. Työpajoihin ei tarvitse ilmoittautua ennakkoon, klikkaa sisään: https://ilonait.adobeconnect.com/gdpr/
Työpajoissa kukin osallistuja aloittaa tai jatkaa oman DPIA-työskentelyn . Ideana on, että työskentelyn aikana voi kysyä neuvoa ja voidaan yhdessäkin pohtia vastauksia ja askarruttavia kysymyksiä. Työpajojen fasilitaattorina toimii Soili Meklin, joka kokoaa myös mahdolliset auki jääneet kysymykset, kysyy niihin vastaukset ja toimittaa osallistujille työpajan jälkeen.
Yhteistyöskentelyssä syntyneitä DPIA-pohjia on mahdollista jakaa muiden käyttäjien kesken idealla "tee itse yksi DPIA, saat kollegoilta monta mallipohjaa".
Opetushallitus on antanut Espoon kaupungin pyynnöstä lausunnon korkeimmalle hallinto-oikeudelle tietosuojaa koskevassa valitusasiassa ns. Google-casessa (dnro: 2181/03.04.04.04.01/2023). Julkaisemme lausuntolinkin tässä sen ennakkotapausmerkityksen vuoksi.
Valtionhallinnon eOppiva-ympäristössä on julkaistu kaksi kaikille avointa hankintojen tietosuojaan liittyvää koulutusta:
Tietosuoja hankinnoissa >>
Tietosuojan vaikutustenarvioinnit osana hankintaa >>
Kirjastoon on lisätty ominaisuus, jolla tuotteita voi merkata käyttäjäkohtaisesti suosikeiksi. Tämä tapahtuu tuoterivin lopussa olevaa tähteä klikkaamalla.
Tämän jälkeen voi tuotteet järjestää yksilölliseen järjestykseen siten, että omat suosikkituotteet ovat listan yläosassa eikä niitä tarvitse etsiä muiden tuotteiden joukosta.
Miten tietoturvaloukkauksen vakavuus arvioidaan?
Milloin loukkauksesta on ilmoitettava valvontaviranomaiselle ja rekisteröidyille?
Mihin muihin toimenpiteisiin rekisterinpitäjän on ryhdyttävä?
Mm. näihin kysymyksiin saat vastauksen katsomalla tallenteen, joka on tehty 19.10.2023 tietosuoja-asiantuntija Harto Pönkän pitämästä webinaarista: https://ilonait.adobeconnect.com/p7bmqak3x4f7/
Materiaalilinkki tässä >>
Generation AI (GenAI) STN-hanke on julkaissut syksyllä 2023 oppaan Henkilötietojen käsittely alakoulussa. Kyseessä on hankkeessa työskentelevien alan johtavien tutkijoiden tekemä tiivistelmä lainsäädännöstä tällä alueella.
Sisällysluettelo
1. Lasten henkilötietojen käsittely perusopetuksessa
1.1 Rekisterinpitäjä huolehtii tietosuojaperiaatteiden toteutumisesta
1.2. Henkilötietojen käsittelyperusteena perusopetuksessa on lähtökohtaisesti laki
1.3. Suostumus käsittelyperusteena ja lapsen suostumus
2. Kolmannen tahon tarjoaman sovelluksen käyttö opetuksessa
2.1 Henkilötietojen käsittelyperuste sovellusten kohdalla
2.2 Huolellinen informointi
3. Käytännön esimerkkejä
3.1 Sähköiset opetusohjelmat ja henkilötietojen käsittelyperuste
3.2 Sovellukset opetuksessa – kuka päättää?
Opas löytyy tästä linkistä >>
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä tilanteissa, joissa riskit on arvioitava korkeiksi. Tässä tallennelinkki 13.10.2023 pidettyyn webinaariin, jossa tietosuoja-asiantuntija Harto Pönkä kävi lyhyesti läpi vaikutustenarvioinnin mallin ja siihen liittyviä kysymyksiä: https://ilonait.adobeconnect.com/pwr8p4zrzohm/
Materiaalilinkki tässä >>
Tässä 26.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä kertoo tietosuojaperiaatteista sekä perehdyttää riskianalyysiin, jonka avulla rekisterinpitäjä tunnistaa jo suunnitteluvaiheessa ne toimenpiteet, joihin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.
Tallenne: https://ilonait.adobeconnect.com/puwoddcwsvwg/
Tässä 21.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä käy läpi rekisterinpitäjän velvollisuuksia, jotka liittyvät verkkopalvelujen ja sovellusten käyttöön. Erityishuomio on siinä, mitä asioita tulee selvittää ja huomioida osoitusvelvollisuuden täyttämiseksi. Webinaarissa sivutaan myös henkilötietojen siirtoa EU- ja ETA-alueen ulkopuolelle.
Tallenne: https://ilonait.adobeconnect.com/pkdrvukm2ogk/
GDPR-sovelluskirjasto