TIETOSUOJASELOSTE
EU:n yleinen tietosuoja-asetus (2016/679)
Tietosuojalaki (2018/1050)
Muokkaamispäivä: 26.9.2024
1 Rekisterin nimi
Opetuksen asiakasrekisteri
2 Rekisterinpitäjä
Nurmijärven kunta, Sivistyslautakunta / Nurmijärven kunnan peruskoulut ja lukiot
Keskustie 2 b, 01900 Nurmijärvi
Puhelin 09250021, kunta@nurmijarvi.fi
3 Rekisterin vastuuhenkilö
Tehtävänimike: Sivistysjohtaja
4 Yhteyshenkilö rekisteriä koskevissa asioissa
Tehtävänimike: Opetuspäällikkö Kati Luostarinen, sivistystoimen johtaja Tiina Hirvonen
Osoite: Keskustie 2 B, 01900 Nurmijärvi
Muut yhteystiedot (esim. puhelin virka-aikana, sähköpostiosoite): 040 3172401 kati.luostarinen@nurmijarvi.fi, 040 317 4410 tiina.hirvonen@nurmijarvi.fi
5 Kunnan tietosuojavastaava
Tiedonhallinnan erityisasiantuntija
Keskustie 2 b, 01900 Nurmijärvi
tietosuoja@nurmijarvi.fi
6 Rekisterin tietosisältö
Rekisteriä käytetään perusopetuksen järjestämiselle välttämättömien sekä toiminnassa syntyvien tietojen hallintaan. Rekisteriin tallennetaan oppilaiden ja opiskelijoiden koulunkäyntiä, opetuksen järjestämistä, erityisiä opetusjärjestelyitä ja oppimistuloksia koskevia tietoja. Rekisterissä hallitaan opetuksen järjestämiseen ja koululaisten aamu- ja iltapäivätoimintaan liittyviä yleisen, tehostetun ja erityisen tuen pedagogisia asiakirjoja sekä opetuksen järjestämistä koskevia päätöksiä.
Asiakasrekisteriin tallennetaan seuraavat tiedot:
- oppilaan, opiskelijan, huoltajan ja koulun henkilökuntaan kuuluvan henkilön henkilö- ja yhteystiedot
- oppilaan, opiskelijan, huoltajan ja koulun henkilökuntaan kuuluvan henkilön oppilashallintojärjestelmän käyttäjätunnus ja käyttöoikeusryhmä
- oppilaan ja opiskelijan sukupuoli, kansalaisuus, äidinkieli, kotikunta, S2-opetus, katsomusaineen opetukseen osallistuminen, maahanmuuttajien valmistavaan opetukseen osallistuminen ja oppijanumero
- oppilaan ja opiskelijan koulunkäyntihistoria (esiopetukseen ja kouluun ilmoittautuminen, valmistavaan ja lisäopetukseen liittyvät tiedot)
- oppilasta ja opiskelijaa koskevat päätökset
- oppilasta ja opiskelijaa koskevat tapahtumat, mm. läsnäolotieto
- oppilaan tukeen liittyvät pedagogiset asiakirjat ja päätökset (yleinen tuki, tehostettu tuki, erityinen tuki)
- oppilaan ja opiskelijan luokka-, lukujärjestys- ja ryhmätiedot sekä opettajat
- oppilaan ja opiskelijan tuntimerkinnät eli poissaolot ja huomautukset
- oppilaan ja opiskelijan ainevalinnat, koearvosanat ja kurssi-, väli-, lukuvuosi- sekä päättöarvioinnit ja opinto-ohjelma sekä ylioppilastutkintojen arvosanat
- koulun, opettajan ja muun henkilökuntaan kuuluvan henkilön, huoltajan ja oppilaan/opiskelijan väliset viestit ja tiedotteet
- oppilaan ja opiskelijan koulunkäyntiin liittyvät luvat
- koulukuljetukseen liittyvät tiedot ja hakemukset
- iltapäiväkerhotoimintaan liittyvät tiedot ja hakemukset
- Oppivelvollisten Valpas-ohjaukseen liittyvät tiedot Wilmassa:
- Ennakkotiedot (mm. VALPAS-ilmoituksen tekijän yhteystiedot, opintojen keskeyttämisen syy, mitä tukea on tarjottu ennen keskeyttämistä, miten yhteistyö on sujunut, perusopetuksen tukimuodot)
- Seuranta (mm. ohjauskerrat, keskeyttämisen tarkempi syy, kiinnostuksen kohteet jatkossa, esteet opiskelulle, jatkosuunnitelma, sovitut tutustumiskäynnit, päätös uudesta opiskelupaikasta)
- Moniammatillisen asiantuntijaryhmän muistio: Kokoukseen osallistuneet henkilöt ja heidän asemansa, asian aihe, tukitoimenpiteet tähän mennessä, päätökset jatkotoimenpiteistä ja seuranta.
Valpas-palvelu (oppivelvollisuuden seuranta- ja valvontapalvelu)
– Oppivelvollisen hakeutumiseen, opiskeluoikeuteen ja maksuttomuuteen liittyvät tiedot.
– Oppivelvollisuuden keskeyttämiseen liittyvät tiedot.
– Tehdyt ilmoitukset.
Microsoft O365
Järjestelmään tallennetaan käyttäjätunnus, joka muodostuu etunimestä ja sukunimestä.
Järjestelmässä on tallennettuna käyttäjästä seuraavat tiedot:
Etunimi, Sukunimi, Sähköpostiosoite, OppilasID, Vuosiryhmä, Koulun nimi, Rooli (oppilas/opettaja), Luokkatieto.
Käyttäjän itse tuottamat sisällöt tai lisäämät tiedot. Käyttäjän itse tuottamilla sisällöillä tarkoitetaan järjestelmään vietyjä kuvia, tekstejä, linkkejä, videoita ja äänitiedostoja. Käyttäjä voi esim. lisätä kaikille / rajoitetuille käyttäjille palveluun mm. oman kuvauksen itsestään ja vastuualueestaan, matkapuhelinnumeron, sijaintitiedon, osaamistiedot, syntymäpäivän, sekä muut kiinnostuksen kohteet. Käyttäjällä on mahdollisuus halutessaan sallia tuottamansa tietosisällön hyödyntämistä ja saada tietoja verkostoitumisestaan ja lähimmistä kavereistaan.
Google Workspace for Education:
Järjestelmään tallennetaan käyttäjätunnus, joka muodostuu etunimestä ja sukunimestä.
Järjestelmässä on tallennettuna käyttäjästä seuraavat tiedot:
Etunimi, Sukunimi, Sähköpostiosoite, OppilasID, Vuosiryhmä, Koulun nimi, Rooli (oppilas/opettaja), Luokkatieto.
Käyttäjän itse tuottamat sisällöt tai lisäämät tiedot. Google kerää loppukäyttäjiltä tietoja, joiden syöttäminen perustuu käyttäjän itse syöttämään tietoon mm: puhelinnumero, käyttäjän valokuva, syntymäaika, käyttäjän laitekohtaiset tiedot muun muassa laitteiston malli, käyttöjärjestelmän versio, yksilöllinen laitetunniste sekä käytetty mobiiliverkko, mukaan lukien matkapuhelinnumero. Google voi yhdistää laitetunnisteen tai puhelinnumeron Googletiliin.
Osa rekisterin tiedoista on salassa pidettäviä. Salassa pidettäviä ovat viranomaisen julkisuudesta annetun lain 24 §:n (kohtien 23–25, 30–32) mukaan muun muassa kaikki opiskeluhuoltoa, terveydentilaa, turvakieltoa, yksityiselämää ja varallisuutta koskevat tiedot.
Jokaisella työntekijällä on oikeus käsitellä vain niitä henkilötietoja, joita hän välittömästi tarvitsee työtehtävissään. Tietoja käsitteleviä työntekijöitä koskee vaitiolovelvollisuus, joka jatkuu myös palvelussuhteen päätyttyä.
Perusteet:
- Laki viranomaisten toiminnan julkisuudesta 24 § (621/1999)
- EU:n tietosuoja-asetus ja tietosuojalaki
- Oppivelvollisuuslaki (1214/2020)
- Perusopetuslaki 40 § (628/1998)
- Lukiolaki (714/2018)
Tietojen yhdistäminen muihin henkilörekistereihin: ei yhdistetä
7 Henkilörekisterin sisältämien henkilötietojen säilytysaika
Tietojen säilyttämisessä ja hävittämisessä noudatetaan kulloinkin voimassa olevia lakeja ja määräyksiä sekä kunnan arkistonmuodostussuunnitelmaa.
Käyttäjätunnusten voimassaolo päättyy opettajien kohdalla työsuhteen päättymiseen ja oppilailla/opiskelijoilla perusopetuksen tai lukio-opintojen päättymiseen tai kun oppilas/opiskelija siirtyy toiselle opetuksen järjestäjälle.
Google Workspace for Education (GWE) sekä Microsoft O365:
Oppilastietojärjestelmässä arkistoidut tunnukset lukittuvat kunnan käyttäjähallinnassa, jolloin ne lukittuvat myös käyttäjien käytössä olevissa pilvipalveluissa (O365 ja GWE). 4 kuukautta lukittuna olleet tilit poistetaan kokonaan kunnan käyttäjähallinnasta, jolloin ne poistuvat kokonaan myös pilvipalveluista (O365 ja GWE).
8 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Perusopetuslain ja lukiolain mukaisen opetuksen järjestäminen ja toteuttaminen sekä oppilassuhteeseen liittyvien tehtävien hoitaminen.
Perusopetuksen oppilaiden ja henkilöstön opetusverkon ja opetuskäytössä olevien ohjelmistojen käyttäjätunnusten hallinta.
Huoltajien, oppilaiden ja henkilöstön Wilma-käyttäjätunnusten hallinta.
Henkilötietojen käsittelyn oikeusperusteena on EU:n yleisen tietosuoja-asetuksen (2016/679) 6 (1) artiklan seuraava alakohta:
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
Perusopetuksen järjestäminen ja oppivelvollisuuden suorittamisen sekä esiopetukseen osallistumisen valvonta (perusopetuslaki 4 § ja 26 § ja 26 a §).
Lukiolain mukainen lukiokoulutuksen järjestäminen, toteuttaminen sekä oppivelvollisuuden suorittamisen valvonta (lukiolaki 3–4 §, 19–24 §, oppivelvollisuuslaki 12 §, lukiolaki 21.8.1998/629). Oppilassuhteeseen liittyvien tehtävien hoito (henkilötietolaki 8 § 1 mom. 5 kohta).
Asuinkunnan ohjaus- ja valvontavastuun dokumentointi opintonsa keskeyttäneiden oppivelvollisten osalta (ennakkotiedot/ohjauksen seurantalomake/monialaisen asiantuntijaryhmän kokousmuistiot) (oppivelvollisuuslaki 14–15 §)
Oppilasmäärätietojen lakisääteinen luovutus valtion tiedonkeruuseen (Laki opetus- ja kulttuuritoimen rahoituksesta, laki kunnan peruspalvelujen valtionosuudesta).
Järjestelmästä saatavien tilastointitietojen käyttö Nurmijärven kunnassa. Tilastoinnissa tietoja käsitellään ilman tunnisteita.
Asiakasrekisteri sisältää perusopetuslain mukaiset yksittäistä oppilasta koskevat pedagogiset tukitoimet (perusopetuslain 16-17 a §:n mukaisen kolmiportaisen tuen toteuttaminen).
Tiedon tuottaminen Koski-järjestelmään (Laki valtakunnallisista opinto- ja tutkintorekistereistä).
Asiakasrekisteriin sisältyvät myös kaikki ne tiedot, jotka syntyvät niiden yhdistysten ja yritysten toiminnasta, joiden kanssa Nurmijärven kunta on tehnyt toimeksiantosopimuksen perusopetuslain mukaisen toiminnan tuottamisesta. Nurmijärven kunta on tietosuoja-asetuksen mukainen rekisterinpitäjä näissä palveluissa syntyvien henkilötietojen osalta ja vastaa niiden lainmukaisesta käsittelystä.
Hankkeiden rahoittajien määrittämät tiedot hankkeiden raportoinnissa.
Opetustoimessa on käytössä seuraavat kuntatasoiset järjestelmät ja sähköiset ympäristöt, joissa käsitellään oppilaiden ja mahdollisesti huoltajien henkilötietoja:
- oppilashallintojärjestelmä Primus ja Kurre (sis. Wilman, joka on Primus ja Kurren selainpohjainen käyttöliittymä)
- Sähköinen työskentely-ympäristö Google Workspace for Education (GWE)
- Sähköinen työskentely-ympäristö Microsoft O365
Nurmijärven kunnan opetushenkilöstö ja koulujen oppilaat ovat samassa Microsoft O365 tenantissa. Oppilaan nimi, sähköposti, luokka-aste ja koulu näkyvät ympäristön käyttäjille hakutoimintoa käytettäessä esimerkiksi Outlookissa, OneDrivessa ja Drivessa.
Henkilötietoja käsitellään järjestelmissä ja sähköisissä ympäristöissä seuraaviin tarkoituksiin:
Microsoft O365
- Perusopetuksen ja lukio-opintojen järjestäminen (O365 sisältää sähköisiä työvälineitä ja käyttäjien tuottamaa sisältöä)
- O365:n käyttöoikeuksien hallinta
- Käyttäjien välisen vuorovaikutuksen mahdollistaminen omien ryhmien sisällä
- Sähköpostipalvelun käyttö
Google Workspace for Education (GWE)
- Perusopetuksen ja lukio-opintojen järjestäminen (GWE sisältää sähköisiä työvälineitä ja käyttäjien tuottamaa sisältöä)
- GWE:n käyttöoikeuksien hallinta
- Käyttäjien välisen vuorovaikutuksen mahdollistaminen
-Palveluun liitettävien laitteiden ja niissä käytettävien ohjelmien ja sovellusten asetusten hallinnointi (esim. Chrome, Classroom ja Drive)
9 Säännönmukaiset tietolähteet
- Väestötietojärjestelmä (laki väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista)
- Toisten koulujen oppilashallintojärjestelmät, joista tieto siirtyy oppilasrekisteriin joko sähköisesti (kunnan sisällä) tai se siirretään rekisteriin manuaalisesti paperitulosteista (perusopetuslaki 40 § 4 mom.)
- Huoltajat, oppilaat/opiskelijat ja koulun henkilöstö
- Oppilasilmoitukset uusista oppilaista huoltajilta
- Vuosittain tehtävät oppilastietojen tarkastukset huoltajilta
- Valtakunnallinen tietovaranto Koski (laki valtakunnallisista opinto- ja tutkintorekistereistä)
- Ylioppilastutkintolautakunta
- Varhaiskasvatuksen asiakasrekisteri
- Viranhaltijoiden päätöspöytäkirjat
- Valpas: Koulutukseen hakeutuminen, opiskeluoikeus, koulutuksen maksuttomuus, ilmoitukset. Valpas-palvelu koostaa tietoa muista Opintopolun palveluista näyttämistä varten. Näistä keskeisimpiä ovat opiskelijavalintarekisteri, KOSKI-tietovaranto, oppijanumerorekisteri ja oppivelvollisuusrekisteri.
10 Tietojen säännönmukaiset luovutukset
Yksilöinti-, yhteys- ja koulutietojen siirto tarvittaessa varhaiskasvatuksen, kouluterveydenhuollon, psykologien ja kuraattoreiden asiakassovelluksiin.
Yksilöintitietojen reaaliaikainen päivittäminen oppilashallintojärjestelmästä opetusverkon käyttäjähallintaan (AD). Käyttäjähallintaa hyödyntävät opetuksen työpöytä- ja oppimisympäristösovellukset (Desku) kokonaisuudessaan käytössä olevien pilvipalveluiden (O365 ja GSE) kautta.
MPASSid-tunnistuksenvälityspalvelu on Opetushallituksen omistama ja ylläpitämä tietojärjestelmä, joka välittää henkilörekisterin sisältämiä MPASSid-tietomallin mukaisia käyttäjäidentiteettejä opetuskäytön sähköisille palveluille. Lisätietoja MPASS-palvelusta https://mpass.fi/
Perusopetuslainsäädännön mukaisesti oppilaan siirtyessä toisen opetuksenjärjestäjän perusopetuslain mukaisesti järjestämään opetukseen tai toimintaan toimitetaan uudelle opetuksenjärjestäjälle järjestämisen kannalta välttämättömät tiedot Perusopetuslain (628/1998) 40 §:n perusteella.
Koulukuljetusten järjestäjät.
Aamu- ja iltapäivätoiminnan järjestäjät.
Luovutukset tilastokeskukselle. (Peruskoulut siirtävät tiedot ilman henkilötunnisteita. Tiedonsiirto sisältää oppilasmäärät, eritysisopetukseen osallistumisen tiedot, ainevalinnat ja tietoja oppilaitosten tietoteknisistä laitteista. Lukiot lähettävät lukion opiskelijoiden henkilö- ja läsnäolotiedot)
Luovutukset Koski-järjestelmään perusopetuksessa ja lukiossa (laki valtakunnallisista opinto- ja tutkintorekistereistä):
- Oppilaan/opiskelijan nimi, yhteystiedot, henkilötunnus ja oppijanumero
- Opetus, johon oppilas/opiskelija osallistuu
- Opintojen aloittaminen, väliaikainen keskeytyminen ja päättyminen
- Suoritetut opinnot ja niiden arvosanat sekä päättöarviointi
- Opetus- ja kulttuuritoimen rahoituksesta annetussa laissa tarkoitetun rahoituksen laskentaperusteena olevat opetuksen järjestämistä koskevat tiedot
- Perusopetuksen mukaisesti järjestettyyn opetukseen osallistumistiedot
- Tieto erityisen tutkinnon suorittamisesta ja arvioinnista perusopetuksessa
- Tieto kokeiden suorittamisesta ja opiskelijan arvioinnista lukioissa
Luovutukset Ylioppilastutkintolautakunnalle lukioissa:
- Ylioppilaskirjoituksiin osallistuvien henkilötiedot, kirjoitusaineet ja suoritettujen kurssien määrät.
Hankkeiden rahoittajien vaatimat rahoitukseen liittyvät tiedot.
Kunnan toiminnan kehittämistä, laskutusta, tilastointia ja järjestelmien testausta varten tietoja voidaan yhdistää muihin tietoihin.
Asiakas voi milloin tahansa peruuttaa antamansa suostumuksen tietojen luovuttamiseen.
11 Tietojen siirto EU:n tai ETA:n ulkopuolelle
Tietojen siirtoa EU:n tai Euroopan talousalueen ulkopuolelle ei tapahdu.
Henkilötietoja voidaan joistakin palveluista siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle EU:n yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan mukaisen riittävyyspäätöksen perusteella tai 46 artiklassa mainittuja Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen.
12 Rekisterin suojauksen periaatteet
A Paperiaineisto
Arkistoitavat asiakirjat säilytetään lukitussa tilassa noudattaen Nurmijärven kunnan arkistointiohjeistusta ja Kansallisarkiston määräyksiä.
B Sähköiset tiedot
- Asiakasrekisterin tiedot ovat salassa pidettäviä.
- Tietoja käsittelevät työntekijät ovat vaitiolovelvollisia ja sitoutuvat noudattamaan salassapitosopimusta.
- Oppilashallintojärjestelmän käyttämä tietoturva on SSL-tasoista eli samaa tasoa kuin mm. pankkien käyttämä salaus. Huoltaja näkee vain oman huollettavansa tiedot.
- Opetuksen järjestämisen kannalta välttämätön tieto siirtyy koulusta toiseen perusopetuksen aikana.
- Oppilaan henkilötiedot siirtyvät järjestelmän sisällä lukioon, mutta muut oppilasta koskevat tiedot eivät seuraa toiselle asteelle
- Järjestelmien käyttö edellyttää henkilökohtaista käyttäjätunnusta ja salasanaa.
- Jokainen työntekijä voi käsitellä vain niitä henkilötietoja, joita hän tarvitsee työtehtävissään.
- Käyttöoikeudet perustuvat käyttäjärooleihin
- Käyttöoikeus päättyy, kun työntekijä ei toimi tehtävässä, jota varten hänelle on myönnetty käyttöoikeus.
- Lisäksi rekisterin suojauksessa noudatetaan tietosuojavaltuutetun kulloinkin voimassa olevaa ohjeistusta.
- •GWE ja O365 ympäristöissä on nimetyt pääkäyttäjät. Pääkäyttäjien pääsynhallinta henkilörekisteriin on toteutettu vahvan tunnistamisen menetelmiä hyödyntäen.
13 Mahdollisen automaattisen päätöksenteon olemassaolo
Tietoja ei käytetä automaattisessa päätöksenteossa.
14 Rekisteröidyn oikeudet
Rekisteröidyillä on EU:n yleisessä tietosuoja-asetuksessa määritellyt oikeudet:
- saada tietoa henkilötietojesi käsittelystä
- saada tutustua tietoihin
- oikaista tietoja
- poistaa tiedot ja tulla unohdetuksi
- rajoittaa tietojen käsittelyä
- siirtää tiedot järjestelmästä toiseen
- vastustaa tietojen käsittelyä
- olla joutumatta automaattisen päätöksenteon kohteeksi.
Rekisteröidyllä on oikeus tarkastaa itseään koskevat henkilörekisteritiedot. Alaikäisen henkilön tietojen tarkastusoikeus on hänen huoltajallaan. Tarkastusoikeuden käyttäminen on maksutonta kerran vuoden aikana toteutettuna. Ohjeet ja lomake tarkastuspyynnön tekemiseen löytyvät kunnan verkkosivuilta (https://www.nurmijarvi.fi/kuntatieto_ja_paatoksenteko/tietosuoja).
Rekisteröidyn henkilöllisyys varmistetaan ennen tietojen antamista. Tarkastusoikeus toteutetaan pääsääntöisesti neljän viikon kuluessa tarkastuspyynnön esittämisestä. Jos tarkastusoikeus evätään, rekisteröidylle annetaan kirjallinen kieltäytymistodistus. Rekisteröidyllä on tämän jälkeen oikeus saattaa asia tietosuojavaltuutetun ratkaistavaksi.
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee häntä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötiedot täydennettyä.
Mikäli haluat käyttää rekisteröidyn muita oikeuksia, olethan yhteydessä kohdassa 4 mainittuun yhteyshenkilöön. Laissa säädetyt edellytykset oikeuksien käyttämiseksi tarkistetaan tapauskohtaisesti.
15 Rekisteröidyn valitusoikeus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle henkilötietojen käsittelyyn liittyen. Valvontaviranomainen on tietosuojavaltuutettu.
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
Sähköposti (kirjaamo): tietosuoja(at)om.fi
16 Muu informaatio
Lisätietoa henkilötietojen käsittelystä on saatavilla kunnan verkkosivustolla https://www.nurmijarvi.fi/kuntatieto_ja_paatoksenteko/tietosuoja sekä kunnan palvelupisteestä virka-aikaan (Keskustie 2b, 01900 Nurmijärvi).