Tietoaineistojen luokittelu ja niiden käsittely

Julkinen tieto

Laurean toiminta on lähtökohtaisesti julkista ja vain erikseen lainsäädännössä määritellyin osin salassa pidettävää. Kaikkea julkista tietoa ei tarvitse julkaista, mutta on pystyttävä huolehtimaan siitä, että tiedot on tarvittaessa annettavissa Laurean ulkopuolelle.

Julkinen henkilötieto

Laureassa käsiteltävät henkilötiedot voivat olla luonteeltaan julkisia, mutta niiden käsittelyssä on aina otettava huomioon henkilötietolainsäädäntö. Myös julkisten henkilötietojen käsittelylle on oltava tarkoitus, ja niiden käsittely on turvattava. Julkisiakaan henkilötietoja ei siksi ole syytä tallentaa esimerkiksi pilvipalveluihin, jotka tallentavat tietoja suojaamattomasti erityisesti EU:n lainsäädännön ulkopuolelle. 

Esimerkkejä julkisista tiedoista

• Tiedotteet ja julkaisut
• Hallituksen ja johtoryhmän pöytäkirjat ja päätökset
• Esitysmateriaali, jossa ei ole salassa pidettävää tietoa ja jonka julkaisemiseen on pyydetty lupa tekijöiltä
• Laurean henkilöstön sähköposti ja puhelinnumero

Sisäinen tieto

Sellaista tietoa, jolle on tarve koko Laureassa tai yksittäisissä työryhmissä, voidaan käsitellä sisäisesti. Se on pääsääntöisesti tietoa, jota voidaan tarvittaessa antaa julkisuuslain perusteella nähtäväksi myös Laurean ulkopuolelle. Sisäistä tietoa voidaan käsitellä ja jakaa Laurean tarjoamilla alustoilla, joita käytetään Laurean käyttäjätunnuksilla.

Sisäinen henkilötieto

Sisäistä henkilötietoa käytetään vain tiettyä käyttötarkoitusta varten. Sen takia sitä ei voi tallentaa julkisiin pilvipalveluihin tai www-sivuille, jossa tiedon käyttöä ei pysty seuraamaan.

Esimerkkejä sisäisistä tiedoista

• Tiimien muistiot
• Sisäiset tiedotteet
• Sisäiseen käyttöön tarkoitettu opetusmateriaali
• Opiskelijoiden opintosuoritustiedot

Luottamuksellinen tieto

Luottamuksellista tietoa saa käsitellä vain henkilöt, jotka tarvitsevat sitä tehtäviensä vuoksi ja jotka osaavat käsitellä tietoa oikein. Tällainen tieto pitää aina suojata esimerkiksi salauksella ja oikeilla käyttöoikeuksilla.  

Luottamuksellinen henkilötieto

Luottamuksellista henkilötietoa ovat sellaiset tiedot, joiden väärinkäyttö voisi aiheuttaa vahinkoa henkilölle. Siksi näitä tietoja ei saa jakaa palveluissa tai pilvipalveluissa, jotka eivät ole Laurean hallinnassa tai eivät kuulu Laurean käyttäjähallintaan.

Esimerkkejä luottamuksellisista tiedoista

• Henkilötunnukset
• Liikesalaisuudet
• Tutkimussuunnitelmat
• Henkilöihin kohdistuva sanallinen arviointi  (esim. käytöksen tai luonteenpiirteiden arviointi)
• Henkilön palkkaan liittyvät tiedot

Luottamuksellinen tieto = tieto, jota ei saa jakaa muille ilman hyvää syytä.
Jos käsittelet tällaista tietoa, käytä vain Laurean omia palveluita (kuten OneDrive, Teams, SharePoint). Älä koskaan tallenna tai jaa sitä palveluissa, joita Laurea ei hallitse (kuten Dropbox, Google Drive tai omat yksityiset sovellukset).

Luottamuksellinen henkilötieto voi olla esimerkiksi jonkun palkkatieto, henkilötunnus tai henkilöön kohdistuva arvio. Siksi sitä täytyy käsitellä huolellisesti ja vain turvallisissa ympäristöissä.

Salainen tieto

Salaiset tiedot ovat kaikkein arkaluonteisimpia tietoja. Niihin voi kuulua esimerkiksi turvallisuuteen liittyviä suunnitelmia, rikosasioita tai hyvin henkilökohtaisia terveystietoja. Jos tällaiset tiedot päätyvät vääriin käsiin, siitä voi aiheutua vakavaa haittaa sekä Laurealle että yksittäiselle henkilölle.

Siksi salaisia tietoja saa käsitellä vain tarkasti nimetyt henkilöt, erityisissä järjestelmissä – ja yleensä aina salattuna.

Salaiset henkilötiedot

Salaiset henkilötiedot ovat kaikkein yksityisimpiä tietoja, kuten terveys- tai sosiaalihuollon tiedot. Niitä saa käsitellä vain lain sallimissa tilanteissa ja ainoastaan turvallisilla, salaisen tiedon käsittelyyn hyväksytyillä alustoilla.

Esimerkkejä salaisista tiedoista

• Turvallisuussuunnitelmat
• Henkilöt, joilla on turvakielto
• Lääkärintodistukset
• Asiakirjat, joissa näkyy sosiaali- tai terveyspalveluiden asiakkuus

Henkilökohtainen tieto – opiskelijaa koskeva huomio

Henkilökohtainen tieto tarkoittaa omaan yksityiseen käyttöön tallennettua materiaalia (ei työhön tai opiskeluun liittyvää).
Laurean säännöt sallivat henkilökohtaisten tiedostojen säilyttämisen, mutta niiden tulee olla selvästi erillään opiskeluun tai työhön liittyvistä tiedoista.

Vinkki:
Luo omat kansiot henkilökohtaisille tiedoille ja nimeä ne niin, että ne erottuvat selkeästi muusta materiaalista.

Laurean tietoaineistojen luokittelun mukaiset käsittelypaikat perustuvat tietoturvaan ja tietosuojaan liittyviin vaatimuksiin, jotka on käyty yksityiskohtaisesti läpi jokaisen Laurean tarjoaman työvälineen ja alustan osalta. Mitä aremmasta tiedosta on kysymys, sitä korkeampia turvajärjestelyjä edellytetään muun muassa tiedon tekniseen salaukseen tai maantieteelliseen sijantiin liittyen.

Tallennus fyysiselle laitteelle

Tallennus ja jakaminen pilvipalvelussa

Jakaminen sähköpostissa ja pikaviestimissä

Jakaminen verkkolevyasemilla ja yhteistyöalustoilla

Kyselyjen ja kartoitusten tekeminen

Tiedon käsittely tekoälytyökaluilla

Tiedon jakaminen ja työstäminen yhteiskehittämisen välineillä

Jaathan tiedostoja Laurean tietoaineiston luokittelun mukaisten ohjeiden (lisää linkki) mukaisesti.

OneDrive

OneDrive for Business on paikka, jossa voit tallentaa ja jakaa tiedostojasi.  Voi päivittää ja jakaa tiedostoja mistä tahansa ja käyttää Office-asiakirjoja muiden käyttäjien kanssa yhtä aikaa. OneDrive for Business on Laurean tukema ja suosittelema työkalu, jonka löydät Office 365- työkalupakista Linkin vasemmasta yläkulmasta.

FileSender – helppo tapa lähettää isot tiedostot

FileSender on palvelu, jonka avulla voit lähettää todella suuria tiedostoja (jopa useita gigatavuja) ilman, että vastaanottajan sähköposti täyttyy. Palveluun kirjaudutaan HAKA-tunnistautumisella, eli Laurean opiskelijana käytät suoraan omia Laurea-tunnuksiasi – ei erillisiä tunnuksia.

Milloin FileSenderiä kannattaa käyttää?

Käytä FileSenderiä, kun tiedosto on liian suuri lähetettäväksi sähköpostilla, esimerkiksi:

• videot
• äänitiedostot
• opinnäytetyö, jossa paljon kuvia
• muut isot tai erikoisohjelmaa vaativat tiedostot

Miten FileSender toimii?

1. Lataat tiedoston FileSenderiin (FUNET-palvelimelle).
2. Lisäät vastaanottajien sähköpostiosoitteet.
3. Palvelu lähettää heille ilmoituksen, jossa on linkki tiedoston lataamiseen.
4. Valitset tiedostolle eräpäivän, jonka jälkeen se poistuu palvelusta automaattisesti.

Muistathan!

• FileSenderiin tallennetuista tiedostoista kannattaa pitää varmuuskopio muualla, jotta tärkeä materiaali ei katoa, jos palvelu on hetkellisesti poissa käytöstä.

FileSender:iin voi kirjautua osoitteessa https://filesender.funet.fi/

Opasvideo ja lyhyt esittely osoitteessa https://www.csc.fi/funet-filesender-tiedostonjakopalvelu

Google – mitä opiskelijan kannattaa tietää

Google‑dokumentit on Googlen ilmainen toimistosovellus, jolla voit tehdä teksti-, taulukko- ja esitystiedostoja suoraan selaimessa. Palvelu vaatii Google‑tilin, ja dokumentteihin pääsee käsiksi millä tahansa laitteella, jossa on internet ja selain.

Voit:

• luoda uusia tiedostoja tai ladata omia dokumentteja palveluun
• jakaa tiedostoja muille ja työstää niitä yhdessä
• muokata samaa dokumenttia usean henkilön kanssa samaan aikaan
• keskustella reaaliajassa muiden kirjoittajien kanssa
• hyödyntää automaattista tallennusta, joka varmistaa ettei työ katoa

Muista kuitenkin tallentaa tärkeät tiedostot myös omalle koneellesi varmuuskopioksi.

Tietoturvahuomio!

Google-palveluiden käyttöehdot antavat Googlelle laajoja oikeuksia tallennettuun sisältöön. Siksi Google‑dokumentteja ei suositella henkilötietojen tai luottamuksellisten tietojen käsittelyyn.

Käyttöehdot voi lukea http://www.google.com/accounts/TOS

Tutustu Google-dokumentteihin osoitteessa https://docs.google.com/

Laurea ei tue Google-työkalujen käyttöä.

Muista, että kuvaaminen ja kuvien julkaiseminen ovat kaksi eri asiaa.  Et voi lähtökohtaisesti jakaa tai julkaista ottamiasi kuvia tai videoita somessa, verkkosivuilla, julkaisuissa tai videonjakopalveluissa ilman kuvattavan lupaa. 

Kuvaaminen ja some-julkaisut

Julkisilla paikoilla kuvaaminen on yleensä sallittua. Voit jakaa esimerkiksi tapahtumakuvia somessa. Jos kuvaat yksittäistä henkilöä, kysy aina lupa ennen julkaisemista.

Tapahtumissa on hyvä huomioida ne, jotka eivät halua tulla kuvatuksi. Tämä voidaan kertoa esimerkiksi opasteilla tai tapahtuman alussa.

Kuvausten käyttö viestinnässä, markkinoinnissa tai projekteissa

Jos kuvia tai videoita käytetään viestintään, markkinointiin tai projektityöhön, kuvattaville täytyy aina kertoa:

• mihin tarkoitukseen kuvia käytetään
• että suostumus on vapaaehtoinen

Tarvittaessa voi käyttää Laurean mediasopimuspohjaa. Kieltäytymisestä ei saa aiheutua haittaa.

Tietoturva ja tallennus

Tarkista, minne puhelimesi kuvat tallentuvat ja varmuuskopioituvat (esim. Google Kuvat, iCloud). Huolehdi, että julkaiset tai jaat kuvia vain turvallisesti ja poistat tarvittaessa turhat kuvat.

Tekijänoikeudet

Jos julkaiset muiden ottamia kuvia, varmista tekijänoikeudet:

• pyydä lupa tarvittaessa
• mainitse kuvaajan nimi

Kuvaaminen opetuksessa

Oppimistehtävissä kuvaaminen voi olla pedagogisesti perusteltua.
Tällöin kuvia käytetään vain sisäisesti, eikä erillistä suostumusta yleensä tarvita – mutta kuvattaville tulee aina kertoa, että kuvaamista tapahtuu.

Kuvaamisen pikaohje opiskelijoille

• Julkisilla paikoilla kuvaaminen on ok, mutta kysy lupa, jos kuvaat yksittäistä henkilöä.
• Tapahtumissa huomioi myös ne, jotka eivät halua kuvaan.
• Jos kuvia käytetään viestinnässä, markkinoinnissa tai projekteissa, kerro kuvattaville käyttötarkoitus ja pyydä suostumus.
• Tarkista, minne kuvat tallentuvat (esim. Google Kuvat / iCloud) ja poista turhat kuvat tarvittaessa.
• Älä julkaise muiden kuvia ilman lupaa ja muista mainita kuvaajan nimi.
• Oppimistehtävissä kuvaaminen on ok, mutta kerro aina osallistujille, että kuvaamista tapahtuu.

Ymmärrä, milloin käsittelet henkilötietoja

Henkilötietoja ovat kaikki tiedot, joista ihminen voidaan tunnistaa joko suoraan tai yhdistämällä eri tietoja toisiinsa. Suoria tunnisteita ovat esimerkiksi nimi tai henkilötunnus. Myös epäsuorat tiedot, kuten ikä, asuinkunta tai ammattinimike, voivat yhdessä paljastaa henkilön.

Jos työskentelet projektissa, tutkimuksessa tai kehittämistehtävässä ja henkilö on jossain vaiheessa tunnistettavissa, käsittelet henkilötietoja. Tällöin sinun tulee noudattaa EU:n tietosuoja-asetusta ja käsitellä tietoja huolellisesti ja vastuullisesti.

Suojele erityisiä henkilötietoja

EU:n tietosuoja-asetuksen mukaan erityiset (arkaluonteiset) henkilötiedot ovat tietoja, joiden käsittely voi aiheuttaa vahinkoa henkilölle. Siksi niiden käsittely on yleensä kielletty, eikä niitä saa kerätä esimerkiksi opinnäytetöihin ilman erityistä perustetta.

Erityisiä henkilötietoja ovat:

• rotu tai etninen tausta
• poliittiset mielipiteet
• uskonnollinen tai maailmankatsomuksellinen vakaumus
• ammattiliiton jäsenyys
• geneettiset ja biometriset tunnistetiedot
• terveyteen liittyvät tiedot
• seksuaalinen suuntautuminen ja käyttäytyminen

Milloin niitä saa käsitellä opiskelijana?

Erityisiä henkilötietoja voi käyttää vain poikkeustilanteissa, esimerkiksi:

• henkilön selkeällä, nimenomaisella suostumuksella, tai
• yleisen edun mukaisessa tutkimuksessa, jossa käsittely on välttämätöntä.

Miten toimia, jos käsittelet arkaluontoisiä tietoja?

Jos tutkimuksessasi tai projektissasi joudut käsittelemään arkaluonteisia henkilötietoja, niitä on suojeltava erityisen huolellisesti. Käytännössä tämä tarkoittaa:

• Tietojen käsittely tulee pystyä jälkikäteen todentamaan
  (kuka on tallentanut, muuttanut tai siirtänyt tietoja)
• Tietoja käsittelevillä henkilöillä tulee olla riittävä osaaminen
• Tiedossa on oltava tietosuojavastaava, jolta saa tarvittaessa neuvoja
• Rekisterinpitäjän ja mahdollisten käsittelijöiden välillä on sovittava käytännöistä, joilla estetään ulkopuolisten pääsy tietoihin
• Tiedot on salattava ja tarvittaessa pseudonymisoitava, jotta henkilöä ei voi tunnistaa helposti
• Järjestelmien on oltava turvallisia ja toimittava luotettavasti (luottamuksellisuus, eheys, käytettävyys, vikasietoisuus)
• Tietoturvatoimia on arvioitava ja testattava säännöllisesti

Ennen kuin alat käsitellä arkaluonteisia tietoja, sinun tulee myös arvioida ja dokumentoida, onko käsittely oikeasti tarpeellista ja millaisia riskejä siihen liittyy – sekä miten riskit voidaan minimoida.

Tietojen anonymisointi ja pseudonymisointi

Anonymisointi tarkoittaa sitä, että henkilötiedot käsitellään niin, ettei ketään voi enää tunnistaa.
– Tämä voi tarkoittaa tietojen karkeistamista tai muuttamista tilastomuotoon.
– Pelkkä nimen tai henkilötunnuksen poistaminen ei riitä, jos henkilö voidaan silti tunnistaa muiden tietojen yhdistelmällä.
– Jos aiot jakaa aineiston eteenpäin, sen tulee olla anonymisoitu.

Pseudonymisointi tarkoittaa, että henkilötiedot korvataan esimerkiksi koodeilla tai peitenimillä.
– Henkilö voidaan kuitenkin tunnistaa, jos käytössä on erillinen koodiavain, joka yhdistää tiedot henkilöön.
– Siksi pseudonymisoidut tiedot ovat yhä henkilötietoja.