Page tree
Skip to end of metadata
Go to start of metadata

Ihmiskeskeinen tiedonhallinta, omadata eli MyData

Meistä kaikista tallennetaan jatkuvasti valtavia määriä tietoa erilaisiin rekistereihin. Tämä aiheuttaa tietysti huolta yksityisyydensuojasta, mutta myös vaikeuttaa pirstaleisen tiedon hyödyntämistä. Näitä haasteita pyritään ratkaisemaan asettamalla ihminen tiedon hallinnan keskiöön.

Ihmiskeskeinen tiedonhallinta (MyData eli omadata) perustuu siihen, että organisaatiot tarjoavat tuottamansa tai keräämänsä yksilöä koskevan tiedon takaisin ihmiselle itselleen. Yksilö voi hyödyntää tietoaan sekä jakaa niitä edelleen itse valitsemiinsa palveluihin. Malli mahdollistaa kokonaan uudenlaisten palveluiden ja toimintamallien kehityksen.

Liikenne- ja viestintäministeriön selvityksessä henkilötiedon hallinta on jaoteltu erilaisiin oikeuksiin:

  • Oikeus tietää – yksilöllä on oikeus tietää, mitä kaikkea henkilötietoa hänestä on olemassa.
  • Oikeus nähdä – yksilö pääsee näkemään itseään koskevan henkilötiedon.
  • Oikeus oikaista – yksilö voi oikaista häntä koskevan väärän henkilötiedon.
  • Oikeus valvoa – yksilö voi tarkistaa, kuka hänen henkilötietoaan käsittelee ja miksi.
  • Oikeus saada – yksilö saa halutessaan tiedon itselleen uudelleenkäytettävässä muodossa ja saa hyödyntää sitä itse haluamallaan tavalla.
  • Oikeus jakaa – yksilö voi julkaista tiedon eteenpäin kolmansille osapuolille, ja tähän on tekniset edellytykset.
  • Oikeus poistaa – yksilö voi poistaa henkilötietonsa sieltä missä ne ovat.

 

Oppijan oikeus saada ja jakaa koulutustietonsa

Oppija on niin opintopolkunsa kuin työuransakin aikana liitoksissa lukuisiin organisaatioihin. Kaikissa niissä käsitellään heidän henkilötietojaan erillisinä prosesseina. Oppijan elämää voidaan helpottaa huomattavasti ihmiskeskeisen tiedonhallinnan avulla. Tavoitetilassa oppijalla on paitsi yllämainitut oikeudet, myös käytännön mahdollisuudet hallita omia tietojaan ja niiden käyttöä. Oppijan oikeus hallita koulutustietojaan on hyvä esimerkki siitä, minkälaisia kysymyksiä digitalisaation ja ihmiskeskeisen tiedonhallinnan murrosvaiheessa nousee vastattavaksi. Nykytasoinen koulutustietojen saatavuus (esim. tulostettu opintorekisteriote, kirjoillaolotodistus tai tutkintotodistus) ei ole riittävää tiedon jatkohyödyntämiselle ja uudenlaisen ihmiskeskeisen tietoarkkitehtuurin syntymiselle.

EU:n yleinen tietosuoja-asetus tuo rekisteröidyille uusia oikeuksia ja rekisterinpitäjille uusia velvoitteita. Asetuksen 20. artiklan mukaan rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu.

Esimerkki: Korkeakoulujen valtakunnallisen tietovarannon VIRTA-opintotietopalvelu

Oppijoiden keskeiset koulutustiedot (opiskeluoikeudet, ilmoittautumistiedot, tutkinnot ja opintosuoritukset) on vuodesta 2014 koottu korkeakouluista VIRTA-opintotietopalveluun. Tietovarannon tietoja voidaan lakiperusteisen käytön lisäksi käyttää luvanvaraisesti korkeakoulujen päättämiin tarkoituksiin. Tällöin kyse on joko A) rekisterinpitäjien antamiin tiedonluovutuslupiin perustuvasta käytöstä tai B) ihmiskeskeisestä tiedonhallinnasta eli tietojen käytöstä rekisteröidyn aloitteesta, tämän nimenomaisella suostumuksella.

Huom! Korkeakoulujen opintotietojen hyödyntämisen edistäminen omadata-periaatteella on siirtynyt OPH:n KOSKI-palvelun kautta tehtäväksi vuonna 2018, kun uusi kansallinen palvelu otettiin käyttöön.

 

Lisätietoa

Avoimia kysymyksiä

Korkeakoulut, OKM ja CSC ovat yhdessä sopineet tietojen hyödyntämiseen liittyvien toimintatapojen kehittämisestä Korkeakoulujen valtakunnallisen tietovarannon ja OKM:n tiedonkeruiden ohjausryhmässä (kokous 8.6.2016, keskustelumuistion kohta 3C).

 20. artiklan soveltaminen; rekisteröidyn oikeudet

  • EU:n oikeus- ja sisäasioiden neuvosto muutti komission ehdotusta 20. artiklan muotoilua viime metreillä niin, että oikeus siirtää tietoja koskeekin vain rekisteröidyn itse rekisterinpitäjälle toimittamia tietoja (data provided by the data subject). Euroopan tietosuojavaltuutettu on ottanut asiaan kantaa: “We further recommend that, in order to be effective, the right to data portability must have a wide scope of application, and not only be applied to the processing operations that use data provided by the data subject." (opinion 3/2015, s. 12, alaviite 34).
  • Kysymys 1: Miten 20. artiklaa tulee tulkita koulutustietojen osalta? Onko estettä toimia kaikkien koulutustietojen osalta artiklan mukaisesti? Tiedot syntyvät tyypillisesti oppijan ja koulutustoimijan vuorovaikutuksessa, joten tietojen toimittamisen määrittely on vaikeaa.

 20. artiklan soveltaminen; rekisterinpitäjän velvollisuudet

  • Tietojen siirtämisen järjestämiseen toisille rekisterinpitäjille liittyy monenlaisia teknisiä järjestelyjä (esim. rajapintojen avaaminen).
  • Kysymys 2: Minkälaisia ehtoja pitää - ja toisaalta voidaan - asettaa toisen rekisterinpitäjän järjestelmille, esim. henkilön tunnistamiseen ja tietoturvallisuuteen liittyen? Kuuluuko, ja millä tavalla, rekisterinpitäjän varmistaa tietoja vastaanottavan toisen rekisterinpitäjän tietoturvallisuus sekä hyvien tiedonhallintatapojen, lainsäädännön ja määräysten noudattaminen?  Riittääkö, että tietovarannon keskitetty tekninen ylläpitäjä toteaa toisten rekisterinpitäjien tietojärjestelmien luotettavuuden sen sijaan, että kukin korkeakoulu-rekisterinpitäjän arvioi asian erikseen?
  • No labels