Henkilötietojen käsittely opettaja työssä

Opettajan työssä käsitellään päivittäin oppilaiden henkilötietoja erilaisissa tietojärjestelmissä, kuten Wilmassa ja muissa tietojärjestelmissä. Henkilötietojen käsittelyä säätelee EU:n yleinen tietosuoja-asetus (GDPR), jonka noudattaminen on sekä työnantajan että työntekijän velvollisuus.

Laki
16.12.2025 - 14.24

Opettajan vastuut ja velvollisuudet

Kirjaamisen lisääntyminen ja tietojärjestelmien monipuolistuminen edellyttävät, että jokainen opetustehtävissä toimiva tuntee henkilötietojen käsittelyn rajat, vastuut ja oikeudet.

Olemme koonneet kysymyksiä ja vastauksia, jotka auttavat sinua toimimaan turvallisesti ja lainmukaisesti sekä tuntemaan omat oikeutesi ja velvollisuutesi. Opetushallitus ohjeistaa myös kattavasti tietosuojasta ja henkilötietojen käsittelystä.

Lue lisää Opetushallituksen tietosuojaoppaasta

Mitä tarkoitetaan tietoturvalla?  

Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla tiedot suojataan väärinkäytöltä, muuttamiselta ja katoamiselta. Periaatteet muodostuvat kolmesta osa-alueesta:

  • Luottamuksellisuus: tiedot ovat saatavilla vain niille, joilla on siihen oikeus.
  • Eheys: tiedot pysyvät luotettavina ja niitä voivat muuttaa vain valtuutetut henkilöt.
  • Käytettävyys: tiedot ovat oikeutettujen käyttäjien saatavilla silloin, kun niitä tarvitaan työssä.

Mitkä ovat tietosuojattuja henkilötietoja?

Henkilötietoja ovat kaikki sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa henkilön tunnistamisen.

Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, osoite, yhteystiedot, valokuva, ääni sekä varhaiskasvatuksen asiakastiedot ja oppilastiedot.

Henkilötietojen käsittely ja säilytys

Henkilötietojen käsittelyssä on noudatettava tietosuojaperiaatteita, jotka ohjaavat sekä tiedonkeruuta että sen myöhempää käyttöä. Kerättävien tietojen on rajoituttava vain siihen, mikä on käsittelyn tarkoituksen kannalta välttämätöntä. Tietoja saa käsitellä ainoastaan laillisin perustein ja tavalla, joka on sekä asianmukainen että rekisteröidylle selkeä ja läpinäkyvä.

Käsittelylle on oltava täsmällinen, etukäteen määritelty ja lain mukainen käyttötarkoitus. Lisäksi rekisterinpitäjän on huolehdittava siitä, että tiedot pidetään ajan tasalla: virheelliset tai tarpeettomat tiedot tulee korjata tai poistaa ilman aiheetonta viivettä.

Henkilötietoja ei saa säilyttää pidempään kuin mitä alkuperäisten käsittelytarpeiden toteuttaminen edellyttää, ja niiden käsittelyn on tapahduttava tavalla, joka varmistaa tietojen turvallisuuden ja luottamuksellisuuden.

Erityiset henkilötiedot ja niiden käsittely

Tietosuoja-asetuksessa tarkoitettuja erityisiä henkilötietoja ovat etninen alkuperä, poliittiset näkemykset, terveystiedot, uskonnolliset tai elämänkatsomukselliset vakaumukset, ammattiliiton jäsenyys tai seksuaalinen suuntautuminen.

Näihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä, ellei käsittelylle ole perustetta esimerkiksi nimenomaisen suostumuksen tai lain säännöksen nojalla.

Mitkä ovat lapsen kannalta erityisiä salassa pidettäviä tietoja?

Lapsen kannalta keskeisiä salassa pidettäviä tietoja ovat:

  • Lapsen tuen tarvetta koskevat tiedot
  • Lapsen tukitoimia ja niiden toteuttamista kokevat tiedot eli tuen päätökset
  • Lapsen henkilökohtaisten ominaisuuksien arviointia koskevat tiedot
  • Lapsen varhaiskasvatussuunnitelma
  • Lapsen opiskeluhuoltokertomus
  • Terveyttä, varallisuutta tai henkilökohtaisia oloja koskevat tiedot
  • Harrastukset.

Opetushallituksen ohjeistusta aiheeseen löydät täältä

Mikä on opettajan vastuu tietosuojasta? 

Käytännöt tai toimintaohjeet voivat hieman vaihdella oppilaitoksissa ja koulutuksen järjestäjien kesken, mutta yleinen tietosuoja-asetus koskee yhtä lailla kaikkia.

Yleisesti ottaen sinulla opettajana on vastuu oppilaiden tiesuojasta seuraavilta osin:

  • Oppilaan henkilötietoja ei saa julkaista tai luovuttaa ilman suostumista, mutta opiskelijaryhmän kesken nimien julkaisu on sallittua samoin kuin opetukseen liittyvien yhteystietojen jakaminen.
  • Et ole vastuussa siitä, jos oppilaat oma-aloitteisesti jakavat henkilötietoja keskenään.
  • Sinulla on salassapito ja vaitiolovelvollisuus oppilaiden henkilökohtaisista asioista ja henkilötiedoista sekä oppilaan ja hänen perheensä yksityiselämää ja taloudellista tilannetta koskevista asioista.

Tutustu Opetushallituksen laatimaan ohjeeseen tietosuojasta

Kenellä on vastuu tietoturvasta?

Organisaatiolla eli esimerkiksi koulutuksen järjestäjällä on oikeudellinen vastuu henkilötietojen käsittelystä ja rekisterien ylläpidosta. Sen tehtäviin kuuluu myös ohjeistaa ja kouluttaa henkilökuntaa tietosuojasta.

Jokainen työntekijä, jolla on työtehtäviensä takia oikeus käsitellä henkilötietoja, vastaa niiden luottamuksellisesta käsittelystä sekä tietojen eheyden ja käytettävyyden säilymisestä.

Opettajana käytät myös julkista valtaa tehtävissäsi ja vastaat oman toimintasi lainmukaisuudesta. Sinun tulee käsitellä vain sellaisia tietoja, jotka ovat välttämättömiä työtehtäviesi hoitamisessa.

Kenellä on vastuu tietoturvakoulutuksista ja henkilötietorekistereistä?

Koulutuksen järjestäjä toimii rekisterinpitäjänä ja vastaa:

  • henkilötietojen asianmukaisesta käsittelystä
  • henkilöstön ohjeistamisesta ja kouluttamisesta
  • tietoturvan toteutumisesta järjestelmissä.

Työnantajan on järjestettävä säännölliset ja riittävät koulutukset järjestelmien käytöstä. Oppilaiden henkilötiedot on aina suojattava niin, etteivät ulkopuoliset pääse niihin käsiksi.

Työnantajalla on lakisääteinen velvollisuus kouluttaa henkilökuntaa käyttämään järjestelmiä oikein ja turvallisesti. Tietosuojakoulutuksien pitää olla kunnollisia ja niitä pitää järjestää säännöllisesti.

Erilaiset koulujen sähköiset järjestelmät ovat työkaluja siinä missä datatykki tai oppikirjakin. Työnantajan täytyy pitää huoli siitä, että henkilöstö tietää, miten niitä käytetään oikein.

Voivatko tietoturvaa tai tietojen katselua koskevat säännöt poiketa eri kouluissa?

Eivät voi. Sääntöjen tulee olla lakien ja asetusten mukaiset. Ohjeet saattavat kuitenkin yksityiskohdiltaan ja muotoilultaan poiketa koulukohtaisesti. Opetushallituksen mukaan jokainen koulutuksen järjestäjä määrittelee oman tietoturvapolitiikkansa, jossa linjataan esimerkiksi:

  • käyttäjien oikeudet ja velvollisuudet
  • roolipohjaiset käyttöoikeudet
  • ohjelmistojen asentamista koskevat periaatteet.

Tietoturvapolitiikka ei kuitenkaan voi olla ristiriidassa EU:n yleisen tietosuoja-asetuksen (General Data Protection Regulation) eli GDPR:n kanssa. Henkilötietojen käsittelyssä pätevät samat periaatteet kaikissa oppilaitoksissa: luottamuksellisuus, eheys ja käytettävyys.

Milloin ja mitä oppilaan tietoja opettaja saa katsella ja mitä ei?

Opettaja saa käsitellä ja katsella vain sellaisia oppilastietoja, jotka ovat välttämättömiä oman työtehtävän hoitamisessa.

Jos katsot henkilötietoja ilman työtehtäviin perustuvaa tarvetta, kyse voi olla tietoturvarikkomuksesta, joka voi johtaa kurinpidollisiin seuraamuksiin ja vakavimmissa tilanteissa olla jopa peruste työsuhteen päättämiselle.

Käytä siis vain niitä tietoja ja toimintoja, jotka liittyvät sinun työrooliisi ja jotka olet saanut käyttöoikeuksina työnantajalta.

Millaisia tietoturva sääntöjä on hyvä kaikkien noudattaa digilaitteilla?

  • Käyttäjätunnus ja salasana ovat henkilökohtaisia. Älä koskaan jaa niitä muiden kanssa.
  • Kirjaudu ulos ohjelmasta aina käytön jälkeen.
  • Tarkastele vain niitä oppilastietoja, jotka liittyvät sinun työtehtäviisi.
  • Älä tallenna tai jaa oppilastietoja omalle laitteelle ilman organisaation lupaa.
  • Noudata koulun tai oppilaitoksen määrittelemiä käyttöoikeuksia ja roolirajoja.

Mikä on työnantajan vastuu opetushenkilökunnan koulutuksesta henkilötietojen käsittelyyn ja tietojen näkyvyydestä?

Työnantajan on:

  • tarjottava säännöllistä ja asianmukaista koulutusta tietojärjestelmien kuten Wilman käyttöön
  • määriteltävä selkeät ohjeet tietojen käsittelystä ja näkyvyydestä
  • varmistettava, että henkilöstö osaa käyttää järjestelmiä ja ymmärtää tietosuojavelvoitteet.

Mitä tietoja opettaja voi oppilaan kohdalta katsoa?

Oppilaan perustietoja ja oppimista koskevia tietoja voi katsoa, jos ne liittyvät opettajan työtehtävään.

Salassa pidettäviä tietoja voi katsoa vain, jos ne ovat välttämättömiä opetuksen, arvioinnin tai opiskeluhuollon toteuttamiseksi.

Esimerkki: Ammatillisessa koulutuksessa hygieniapassin suorittaminen voi edellyttää oppilaan henkilötunnuksen tarkistamista. Opettaja saa käsitellä tätä tietoa vain, jos se on työtehtävän hoitamisen kannalta välttämätöntä.

Saako opettaja katsoa tukisivuilta oman oppilaan tukitoimia? Entä tulevan oman oppilaan?

Oman oppilaan tukitoimia saa katsella, jos ne ovat tarpeen opetuksen ja arvioinnin toteuttamisessa.

Tulevan oppilaan tukitoimia saa katsella vain, jos tiedot ovat tarpeen opetuksen valmistelussa ja työtehtävien toteuttamisessa.

Tukitoimien tiedot ovat usein salassa pidettäviä, joten niiden käsittely edellyttää erityistä huolellisuutta ja vahvoja perusteita.

Esimerkiksi: Oppilaita ja heidän perheitään koskevat tiedot, jotka liittyvät henkilökohtaisiin olosuhteisiin tai taloudelliseen tilanteeseen, ovat pääsääntöisesti luottamuksellisia. Myös opiskeluhuollossa syntyvät tiedot kuuluvat salassapidon piiriin, ja niitä voidaan luovuttaa ainoastaan niille tahoille, joilla on siihen lakisääteinen oikeus tai joille oppilas tai hänen huoltajansa on antanut nimenomaisen luvan.

Saanko katsoa oppilaan todistusta ja aineiden arvosanoja, vaikka kyseessä ei olisi oma luokanvalvottava?

Lähtökohtaisesti saat käsitellä ja katsella vain sellaisia oppilastietoja, jotka ovat välttämättömiä oman työtehtävän hoitamisessa.

Kokeista ja tenteistä annetut arvosanat sekä opintosuoritusrekisterin tiedot ovat julkisia ja siten niitä saa lähtökohtaisesti katsella, mutta on hyvä pysähtyä aina kysymään itseltään onko tällainen tieto välttämätöntä oman työn hoitamisen kannalta ja tarkistaa oman työpaikan mahdolliset sisäiset linjaukset asiasta.

Esimerkiksi oppilaan yksittäiset koevastaukset, niihin liittyvät arviointimerkinnät sekä oppilaan henkilökohtaisia ominaisuuksia koskevat sanalliset arviot ovat salassa pidettäviä tietoja ja niitä saa tarkastella vain ne opettajat ja muut henkilöt, jotka tarvitsevat niitä työ- tai virkatehtäviä hoitaessaan.

Mitä tietoja saa näkyä oppilaasta kaikille koulun opettajille?

Vain sellaisia tietoja, jotka ovat opetuksen järjestämisen kannalta yleisesti välttämättömiä. Kaikki tiedot, joista yksittäinen oppilas on tunnistettavissa, kuuluvat GDPR:n piiriin.

Salassa pidettäviä tietoja saavat käsitellä vain ne henkilöt, jotka niitä työtehtäviensä vuoksi tarvitsevat silloin, kun tietoja tarvitsevat, kuten:

  • oppilaan oma opettaja tai luokanvalvoja
  • oppilashuollon ammattilaiset
  • koulunkäynninohjaajat, jotka työskentelevät oppilaan kanssa
  • muille henkilöstöön kuuluville tietoja ei saa luovuttaa, eivätkä he saa näitä tietoja katsella.

Missä menee raja tietoturvaloukkauksen ja kaikille opetushenkilöstölle avoimien tietojen katselun välillä?

Kaikki tiedot, joilla yksittäisen henkilön voi tunnistaa kyseisten tietojen perusteella kuuluvat tietosuoja-asetuksen piiriin.

  • Laillinen tiedonsaanti: tietojen katselu, joka on välttämätöntä opetuksen, arvioinnin, turvallisuuden tai opiskeluhuollon järjestämiseksi.
  • Urkinta ja tietoturvaloukkaus: henkilötietojen katselu ilman työtehtävään perustuvaa tarvetta.

Opiskeluhuollon ammattilaiset voivat vaihtaa keskenään salassa pidettäviä tietoja vain, jos se on välttämätöntä opiskeluhuollon toteuttamiseksi. Tietoja voidaan luovuttaa viranomaisille vain lain tai henkilön suostumuksen perusteella.

Milloin työnantaja voi käyttää tietoturvaloukkausta tai rikosta perusteena työntekijän irtisanomiseen?

Viran irtisanomisperusteet, myös tietosuojan kontekstissa, vaativat aina asiallisen ja painavan syyn, joka liittyy virkamiehen olennaisten velvoitteiden vakavaan rikkomiseen tai laiminlyöntiin, kuten tietoturvaloukkausten, väärinkäytösten tai salassapitovelvollisuuden rikkominen, tai kyvyttömyys suoriutua tehtävistä.

Tietosuoja-asetuksen (GDPR) ja kansallisen lainsäädännön rikkominen, erityisesti henkilötietojen käsittelyssä, voi olla tällainen peruste, ja se arvioidaan tapauskohtaisesti vakavuuden mukaan.

Onko olemassa eriteltyä ohjetta siitä mitä tietoja saa ja ei saa katsoa eri työnkuvassa?

Lähtökohtana on, että saat käsitellä ja tarkastella vain sellaisia oppilastietoja, jotka ovat välttämättömiä omien työtehtäviesi hoitamisessa.

Jos olet epävarma siitä, mitä tietoja sinulla on oikeus tarkastella tai mitä tietoja tarvitset työssäsi, asia kannattaa varmistaa työnantajalta. Samalla on hyvä selvittää, mistä tietoturvallista tietojen käsittelyä koskeva ohjeistus löytyy.

Saanko katsoa lukujärjestyksiä niiltä oppilailta, joita en opeta?

Kyllä, lukujärjestys on pääsääntöisesti julkista tietoa, koska se on viranomaisen (oppilaitoksen/koulun) laatima asiakirja, joka tulee julkiseksi heti valmistuttuaan tai saavuttuaan viranomaiselle, ja jokaisella on oikeus saada tietoa siitä lain mukaan, ellei sitä erikseen ole määritelty salassa pidettäväksi.

Mitä ohjaamieni oppilaiden tiedoista en saa katsoa Wilmasta opon roolissa?

Salassa pidettäviin tietoihin kuuluvat muun muassa oppilaan koesuoritusten yksittäiset vastaukset, niihin tehdyt arvioinnit sekä oppilaan henkilökohtaisia ominaisuuksia kuvaavat sanalliset arviot. Näitä tietoja saavat käsitellä ja tarkastella ainoastaan ne opettajat ja muut toimijat, joille tiedot ovat välttämättömiä työ- tai virkatehtävien asianmukaista hoitamista varten.

Jaa