GDPR – yhteenveto

EU:n yleinen tietosuoja-asetus astui voimaan 25.5.2018. Tässä artikkelissa on koottu yhteen ne toiminnot, jotka olemme luoneet vastataksemme GDPR:n luomiin tarpeisiin.

Rekisteröidyn oikeutettujen pyyntöjen täyttämiseen liittyvät toimenpiteet

Kun rekisterinpitäjä vastaanottaa ja hyväksyy rekisteröidyn pyynnön, kannattaa ottaa yhteyttä itslearning-tukeen.

Olemme kehittäneet asiakkaittemme tueksi GDPR-työkalun, jonka avulla järjestelmänvalvojat voivat suorittaa tarvittavat toimenpiteet. Työkalu otetaan käyttöön, kun tukeen on otettu yhteyttä. Sen jälkeen työkalu on järjestelmänvalvojan käytettävissä. Käytettävissä olevat toiminnot auttavat antamaan tietoja siitä, mitä tietoja rekisteröidystä on tallennettu, muokkaamaan hänen tietojaan ja rajoittamaan tai poistamaan tietoja.

GDPR-työkalun käyttö edellyttää, että järjestelmänvalvoja menee hallintavalikon kohtaan Käyttäjät ja käyttöoikeudet, hakee kyseessä olevan rekisteröidyn ja napsauttaa oikealla olevaa kilpikuvaketta, joka näkyy alla olevassa kuvaruutukaappauksessa:

Kun napsautat kuvaketta, sinun on ensin vahvistettava, että olet valinnut oikean käyttäjän (jos monella käyttäjällä on sama nimi).

Kun olet vahvistanut käyttäjän oikeaksi, eri vaihtoehdot auttavat seuraavissa vaiheissa.

Jokainen näistä toiminnoista edellyttää, että järjestelmänvalvoja antaa toiminnon suorittamiseen syyn, joka kirjataan lokiin.

Yleisesti ottaen kyseessä on ”pikatyökalu”, toisin sanoen toimenpiteet käsitellään viipymättä. Joidenkin toimintojen suorittaminen saattaa kuitenkin kestää jonkin aikaa. Näin varmistetaan järjestelmän suorituskyky tilanteissa, joissa pyyntöön sisältyy suuria tietomääriä.

 

Oikeus tietojen käyttöön ja siirrettävyyteen

Rekisteröidyllä on oikeus saada rekisterinpitäjältä tietoja siitä, mitä henkilötietoja käsitellään, miten ja miksi. Joissain tapauksissa rekisteröidyllä voi myös olla oikeus siirtää tietonsa toiselle rekisterinpitäjälle. Tämä on kuvattu henkilötietojen käsittelysopimuksessa.

Lisätietoja näistä oikeuksista löytyy tietosuoja-asetuksen 15. artiklasta (https://gdpr-info.EU/Art-15-gdpr/) ja 20. artiklasta (https://gdpr-info.EU/Art-20-gdpr/).

Jos haluaa päästä rekisteröidystä tallennettuihin tietoihin itslearningissa, järjestelmänvalvojan tulee käyttää GDPR-työkalua ja valita ESIKATSELU/LATAA. Tämä luo XML-muotoisen tiedoston, jossa on kaikki rekisteröidystä tallennetut tiedot. Huomaa, että tiedoston luominen saattaa kestää jonkin aikaa riippuen tallennettujen tietojen määrästä. Tiedosto on ladattavissa heti, kun se on valmis.

”Sisäinen logiikka” -ryhmän tietoja ei sisällytetä.

 

Oikeus tietojen oikaisemiseen

Jos rekisteröidystä olevat henkilötiedot ovat virheellisiä, puutteellisia tai epätarkkoja, hänellä on oikeus saada rekisterinpitäjä korjaamaan ne.

Lisätietoja tästä oikeudesta on tietosuoja-asetuksen 16. artiklassa (https://gdpr-info.EU/Art-16-gdpr/).

Monissa tapauksissa käyttäjä voi korjata tietonsa itse itslearningin käyttöliittymässä. Muissa tapauksissa, ja yleisimmin, henkilötiedot, kuten nimi, sähköpostiosoite jne. korjataan ulkoisessa opiskelijatietojärjestelmässä ja synkronoidaan itslearningiin. Opettajat ja järjestelmänvalvojat voivat korjata muita tietotyyppejä itslearning-järjestelmässä. Olemme sisällyttäneet linkin, jonka kautta saa lisäohjeita tietojen oikaisuun GDPR-työkalulla.

Oikeus käsittelyn rajoittamiseen

Lisätietoja tästä oikeudesta on tietosuoja-asetuksen 18. artiklassa gdpr (https://gdpr-info.EU/Art-18-gdpr/).

Rajoittaminen tapahtuu ”soft deletenä” eli roskakorin kautta, kun järjestelmänvalvoja valitsee GDPR-työkalussa RAJOITA. Vaikutus on sama kuin jos käyttäjä siirrettäisiin roskakoriin itslearningissa. Kaikki käyttäjän tiedot poistetaan käyttöliittymästä, mutta niitä ei poisteta peruuttamattomasti.

Tämä saattaa joissakin tapauksissa tarkoittaa, että käyttäjänimi on anonymisoitu, mutta sisältö pidetään saatavilla (pseudonymisointi). Seuraavassa taulukossa esitetään, miten eri henkilötietoryhmien rajoittaminen käsitellään:

 

Ryhmä RAJOITA-valinnan vaikutus
Henkilötiedot (yhteystiedot) Ei näkyvissä
Viestintä Anonymisoidaan
Kurssimateriaali (käyttäjän tuottama opetuksen yhteydessä) Anonymisoidaan, ellei aineisto ole vain kyseisen rekisteröidyn saatavilla.
Arvioinnit (opettajalta opiskelijalle) Edelleen näkyvissä. Eivät ole nimettömiä, jos opettajan tietoja on rajoitettu, koska arvioinnit ovat edelleen arvokkaita ja vaikuttavat opiskelijan oikeuksiin.
Kalenterimerkinnät Henkilökohtaiset tapahtumat eivät ole enää näkyvissä, jaetut tapahtumat anonymisoidaan.
Opiskelijoiden vastaukset Ei näkyvissä
Sisäinen logiikka Ei koskaan näkyvissä

 

Rajoitus on peruutettavissa, ja se voidaan suorittaa palauttamalla rekisteröity (käyttäjä) roskakorista. Kun rajoittaminen perutaan, rekisterinpitäjällä on velvollisuus ilmoittaa siitä rekisteröidylle.

 

Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)

Lähes kaikissa tapauksissa käyttäjän ja häneen liittyvien tietojen poistaminen tehdään, koska tietoja ei enää tarvita alkuperäiseen käsittelytarkoitukseen. Yleisin tilanne on, että opiskelija lähtee koulusta, opettaja vaihtaa työpaikkaa tai asiakas on irtisanonut sopimuksensa itslearningin kanssa. Näissä tapauksissa suosittelemme normaalia käyttäjien poistamistapaa:

  1. Siirrä käyttäjä(t) roskakoriin tai merkitse ne poistetuksi ulkoisessa järjestelmässä.
  2. Viimeistele prosessi tyhjentämällä roskakori, minkä jälkeen käyttäjä(t) ja heidän tietonsa poistetaan pysyvästi itslearning-järjestelmästä.

Tietyn rekisteröidyn tietojen poistaminen GDPR:ssä määritellyn oikeuden perusteella voidaan tehdä avaamalla GDPR-työkalu ja valitsemalla POISTA. Lisätietoja tästä oikeudesta on tietosuoja-asetuksen 17. artiklassa gdpr (https://gdpr-info.EU/Art-17-gdpr/). Tämä poistaa itslearning-alustasta kokonaan kaikki tiedot, jotka liittyvät rekisteröityyn, lukuun ottamatta edellä kohdassa Roolit ja vastuut mainittuja poikkeuksia.

Esimerkkinä tästä ovat opettajan opiskelijalle antamat arvioinnit. Jos opettaja poistetaan, nämä tiedot pysyvät edelleen järjestelmässä, jotta opiskelijan oikeudet säilyvät.

Huomaa, että tämä toiminto ei ole palautettavissa.

Ryhmä POISTA-valinnan vaikutus
Henkilötiedot (yhteystiedot) Poistetaan pysyvästi
Viestintä Poistetaan pysyvästi, kun kaikki viestintään osallistuneet käyttäjät poistetaan. Esimerkiksi viestijärjestelmässä oleva ryhmäkeskustelu poistetaan, kun kaikki kyseisen keskustelun osallistujat on poistettu.

Ilmoitukset ja keskustelut poistetaan, kun kurssi, johon ne kuuluvat, poistetaan.

Kurssimateriaali (käyttäjän tuottama opetuksen yhteydessä) Anonymisoidaan, ellei aineisto ole vain kyseisen rekisteröidyn saatavilla (missä tapauksessa se poistetaan pysyvästi).
Arvioinnit (opettajalta opiskelijalle) EI poisteta, jos opettajan tiedot poistetaan, koska arvioinnit ovat edelleen arvokkaita ja vaikuttavat opiskelijan oikeuksiin.
Kalenterimerkinnät Poistetaan pysyvästi, jos henkilökohtainen, ja anonymisoidaan, jos jaettu
Opiskelijoiden vastaukset Poistetaan pysyvästi
Sisäinen logiikka Poistetaan pysyvästi

 

 

Poistokäytännön muutokset:

Olemme tehneet joitakin muutoksia myös siihen, mitä tapahtuu, kun käyttäjä poistetaan. Poistoja on kahdentyyppisiä:

  • ”Soft Delete”, eli kun käyttäjä siirretään roskakoriin tai GDPR-työkalussa käytetään RAJOITA-valintaa.
  • Pysyvä poisto, eli kun roskakori tyhjennetään tai GDPR-työkalussa käytetään POISTA-valintaa.

Olemme keskustelleet käyttäjätietojen poistamisesta tietosuojavastaavan kanssa ja tehneet parannuksia prosessiin. Jatkossa huomaat, että poistetun käyttäjän nimi ei enää näy käyttöliittymässä (UI) muutamaa poikkeusta lukuun ottamatta. Kun käyttäjä poistetaan, mahdollisia lopputuloksia on kolme:

  1. Tiedot poistetaan kokonaan
  2. Tiedot/sisältö säilytetään, mutta käyttäjä anonymisoidaan – tämä on uutta aikaisempaan toiminnallisuuteen verrattuna!
  3. Tiedot/sisältö säilytetään, ja poistetun käyttäjän nimi näkyy edelleen

Jokaisen säilyttämämme tiedon kohdalla päätetään erikseen GDPR:n perusteella, miten toimitaan. Emme voi poistaa tietoja, jotka vaikuttavat muiden käyttäjien oikeuksiin, ja joissakin tapauksissa niihin kuuluvat myös poistetun käyttäjän nimi. Säilytämme seuraavia tietoryhmiä, joihin kohdistuvat toimenpiteet eri tilanteissa on esitetty seuraavassa:

 

Ryhmä Esimerkkejä Soft delete Pysyvä poisto
Opiskelijoiden vastaukset ·        Vastaus tehtävään (mukaan lukien ladatut tiedostot)

Kokeen suorituskerta

Poistetaan käyttöliittymästä Poistetaan pysyvästi
Henkilöprofiilin tiedot ·        Käyttäjänimi

·        Sähköposti

Tiedot poistetaan käyttöliittymästä Poistetaan pysyvästi
Sisäinen logiikka ·        Viimeksi käytetty valinta tietyissä pudotusvalikoissa

·        Evästeet

(Eivät näy käyttöliittymässä – ei edellytä toimenpiteitä) Poistetaan pysyvästi
Käyttäjän tuottama sisältö opetuksen yhteydessä ·        Muistiinpano

·        Tehtävänanto

·        Ladattu asiakirja

Käyttäjän nimi anonymisoidaan kirjaston jaettuja sisältöjä lukuun ottamatta. Sisältö säilytetään, jos se on jaettu muiden käyttäjien kanssa (kurssit/projektit muiden osallistujien kanssa, Kirjasto). Sisältö poistetaan pysyvästi, jos se ei ole muiden käyttäjien käytettävissä. Poistetaan, kun kurssi/projekti poistetaan.
Viestintä ·        Viestit (pikaviestit/vanhat viestit)

·        Ilmoitukset

Viestit: Käyttäjän nimi anonymisoidaan

Ilmoitukset ja kommentit: Käyttäjän nimi anonymisoidaan

Viestit: poistetaan, kun kaikki ketjun käyttäjät poistetaan.

Ilmoitukset ja kommentit: Poistetaan, kun kurssi poistetaan.

Opettajan antama arviointi ·        Arvioinnit (arvosanat)

·        Läsnäolokommentit

Säilytetään ja näytetään, myös käyttäjän nimi Säilytetään ja näytetään, kunnes opiskelija, johon ne vaikuttavat, poistetaan myös

 

 

 

Marja hoitaa itslearningin markkinointia sekä vastaa asiakkuuksista.

Ei kommentteja

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Näytä tuotekohtaiset artikkelit

Tulevat tapahtumat

Viimeisimmät viserrykset

#itslearning #Release #100 on julkaistu perjantaina 17.8.2018! pic.twitter.com/y44I…

reply · retweet · favorite

Artikkeliarkisto