Henkilötietojen käsittely alakoulussa

Johdanto

  • Erilaisten sovellusten käyttö perusopetuksessa voi olla tarpeellista monesta syystä. Tavoite voi olla niin mediakasvatus, viestintätaitojen opettelu kuin ylipäätään digitaitoihin liittyvä opetus. Syyt voivat olla myös arkisempia; koulutehtäviä on suoritettava monenlaisessa ympäristössä ja esimerkiksi sähköistyneet ylioppilaskokeet tarjoavat konkreettisen syyn tarjota perusopetusta, joka sisältää myös sähköisiä ympäristöjä. Digitalisoituva perusopetus nostaa myös tietosuojaan liittyvät kysymykset keskeiseen asemaan.
  • Tietosuojasääntelyssä lasten henkilötiedot ovat erityisasemassa ja siksi niiden käsittelyssä on noudatettava erityistä huolellisuutta myös perusopetuksessa. Perusopetuksessa henkilötietojen käsittely on välttämätöntä ennen kaikkea perusopetuksen järjestämiseksi ja siihen liittyvien velvoitteiden suorittamiseksi. Tietosuojavelvoitteiden toteutumiseksi on tärkeää, että perusopetuksen henkilökunnalla on saatavilla ajantasaista tietoa tietosuojasääntelystä.
  • Jokaisella lapsella on oikeus yksityisyyden suojaan ja henkilötietojen suojaan. Huomioon on otettava myös muut perus- ja ihmisoikeudet, kuten yhdenvertaisuus ja syrjimättömyys sekä jokaisen oikeus maksuttomaan perusopetukseen. Lasten henkilötietojen kohdalla on huolehdittava myös YK:n lasten oikeuksien sopimuksen mukaisesti lapsen edun toteutumisesta perusopetuksessa. Perus- ja ihmisoikeuksien toteutuminen henkilötietoja käsiteltäessä edellyttää ennen kaikkea perusopetuksen järjestäjän huolellista toimintaa ja tietosuojasääntelyn kattavaa soveltamista.
  • Tämä opas sisältää lyhyen katsauksen alakoulun oppilaiden henkilötietojen käsittelyyn tilanteissa, joissa opetuksessa hyödynnetään ulkopuolisen toimijan/yksityisen toimijan tarjoamia sovelluksia tai muita teknologioita, joiden käytön yhteydessä käsitellään henkilötietoja. Katsaus kattaa aihealueen lainsäädännön yleisen tarkastelun ja on suunnattu perusopetuksen ammattilaisille, ennen kaikkea opetushenkilökunnalle. Lainsäädännöllisen tarkastelun keskiössä on erityisesti Euroopan Unionin yleinen tietosuoja-asetus (jäljempänä tietosuoja-asetus).
  • Opas on tarkoitettu lyhyeksi yleisesitykseksi aiheesta, eikä sitä voi sisällöltään pitää tyhjentävänä. Opas kattaa tietosuojasääntelyn peruskäsitteet perusopetuksen kontekstissa sekä lasten henkilötietoihin liittyvät erityiskysymykset erilaisten sovellusten käyttöönoton yhteydessä.
  • Oppaan ohjeet koskevat kaikkea henkilötietojen käsittelyä riippumatta siitä, millä tekniikalla sitä tehdään. Myös tekoälysovellusten tulee noudattaa tietosuojasääntöjä. Tekoälyä ei tällä hetkellä koske mikään oma laki tai asetus, mutta EU:ssa on valmisteilla tekoälyasetus (Artificial Intelligence Act). Vaikka sellainen tulisikin voimaan, ei se pääsääntöisesti muuta henkilötietojen käsittelyä koskevia sääntöjä.

1. Lasten henkilötietojen käsittely perusopetuksessa

Lasten henkilötiedot ovat tietosuojasääntelyssä erityisasemassa ja vaativat erityistä suojelua. Henkilötietojen käsittely on osa perusopetuksen arkipäivää: henkilötietoja ovat lähtökohtaisesti kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tätä luonnollista henkilöä kutsutaan tietosuojasääntelyssä rekisteröidyksi. Henkilötietojen käsite on laaja ja se kattaa yllättäviäkin asioita. Jo pelkästään henkilön tunnistettavaa ääntä sisältävä ääninauha, valokuva tai henkilölle tunnusomainen, tunnistettava fyysinen piirre on henkilötieto. Henkilötietojen laaja käsite on hyvä hahmottaa, sillä sitä kautta tunnistaa myös helpommin tilanteet, joissa henkilötietoja käsitellään.

Osa henkilötiedoista on tietosuoja-asetuksessa asetettu erityisen suojan alle: erityisillä henkilötiedoilla viitataan tietoihin, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettiset tai biometriset tiedot, terveyttä koskevat tiedot taikka luonnollisen henkilön seksuaalista käyttäytymistä koskevat tiedot. Näihin erityisiin henkilötietoryhmiin kohdistuu erityissääntelyä.

Tietosuojasääntely rakentuu rekisteröidyn oikeuksille ja vapauksille sekä rekisterinpitäjän velvollisuuksille. Laajan henkilötietojen käsitteen lisäksi keskeistä onkin hahmottaa, kuka on rekisteröity ja mikä taho vastuussa henkilötietojen käsittelystä eli toimii rekisterinpitäjänä.

Rekisterinpitäjä on tietosuoja-asetuksen mukaan taho, joka päättää henkilötietojen käsittelystä ja vastaa siitä. Rekisterinpitäjyydestä ei voida esimerkiksi päättää sopimalla, vaan tosiasiallinen määräysvalta on ratkaisevassa asemassa. Vastuuta ei voida myöskään siirtää, mutta tehtäviä voidaan delegoida esimerkiksi kunnan sisällä. Perusopetuksessa keskeinen vastuu ja rekisterinpitäjälle osoitetut velvoitteet henkilötietojen käsittelystä kuuluu toimielimelle, joka kunnassa vastaa perusopetuksen järjestämisestä. Kunnan järjestämässä perusopetuksessa kyseessä on yleensä opetustoimesta vastaava toimielin, joka on näin ollen vastuussa kaikesta perusopetuksen henkilötietojen käsittelystä rekisterinpitäjän roolissa.

Kaikki tietosuojasääntelystä seuraavat keskeiset velvoitteet sekä rekisteröidyn oikeuksien ja vapauksien toteutumisesta huolehtiminen kuuluvat käsittelystä vastuussa olevalle rekisterinpitäjälle. Samalla rekisterinpitäjä on vastuussa siitä, että sen alaisuudessa työskentelevät henkilöt saavat kattavan ohjeistuksen tietosuojasääntelyn asettamista vaatimuksista. Opettajien ja muun opetushenkilökunnan ohjeistamisesta vastaa näin ollen perusopetuksen järjestämisestä vastaava taho.

Varsinaisessa opetuksessa hyödynnettävien sovellusten käyttö oppilaiden kanssa tuo tietosuojasääntelyyn liittyviä asioita konkreettisesti myös opettajan pöydälle.

1.1 Rekisterinpitäjä huolehtii tietosuojaperiaatteiden toteutumisesta

Vastuu velvoittavien tietosuojaperiaatteiden toteutumisesta kuuluu sekin rekisterinpitäjälle.

Periaatteet ovat velvoittavia, eikä niiden noudattaminen ole siten erikseen valittavissa. Rekisterinpitäjän tulee voida tarvittaessa osoittaa, että tietosuojaperiaatteita noudatetaan.

  • Tietosuojaperiaatteita henkilötietojen käsittelyssä ovat seuraavat:
  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys,
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • käsittelyn rajoittaminen

1.2. Henkilötietojen käsittelyperusteena perusopetuksessa on lähtökohtaisesti laki

Henkilötietojen käsittelyllä tulee olla lainmukainen käsittelyperuste. Tämä liittyy ennen kaikkea lainmukaisuuden periaatteeseen. Ilman lainmukaista käsittelyperustetta henkilötietojen käsittely on kiellettyä. Käsittelyperuste pitää olla määriteltynä jo ennen henkilötietojen käsittelyn aloittamista, eikä se voi vaihtua kesken käsittelyn.

Perusopetuksessa pääsääntöinen käsittelyperuste on lakisääteisen velvoitteen noudattaminen. Perusopetuksen kohdalla käsittelyperuste seuraa perusopetuslain (628/1998) 4 §:stä, jonka mukaan kunta on velvollinen järjestämään sen alueella asuville oppivelvollisuusikäisille perusopetusta. Tämän lakisääteisen velvoitteen toteutuksessa tulee huomioida myös perusopetuslain 2 §:ssä määritellyt opetuksen tavoitteet, joihin kuuluu muun muassa oppilaisen ihmisyyteen kasvun tukeminen sekä elämässä tarpeellisten tietojen ja taitojen antaminen. Lakisääteistä velvollisuutta täsmennetään myös lain 14 §:n nojalla annettavissa opetussuunnitelman perusteissa.

Käsittelyperusteella on vaikutusta muun muassa rekisteröidyn oikeuksiin ja käsittelyperusteen valinta tulee tehdä aina tapauskohtaisesti ja ennen henkilötietojen käsittelyä. Joissain tilanteissa henkilötietojen käsittely perusopetuksessa voi perustua myös muihin oikeusperusteisiin.

  • Tietosuoja-asetuksen käsittelyperusteita ovat:
  • Rekisteröidyn suostumus
  • Sopimus
  • Rekisterinpitäjän lakisääteinen velvoite
  • Elintärkeiden etujen suojaaminen
  • yleistä etua koskeva tehtävä tai julkisen vallan käyttö, sekä
  • rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu

1.3. Suostumus käsittelyperusteena ja lapsen suostumus

Rekisteröidyn antama suostumus on yksi tietosuoja-asetuksen mukainen käsittelyperuste. Tietosuoja-asetuksen tarkoittaman suostumuksen tulee olla yksilöity, tietoinen, aidosti vapaaehtoinen ja yksiselitteinen tahdonilmaisu, jotta se on pätevä käsittelyperuste. Suostumuksen käyttö käsittelyperusteena ei ole julkisella sektorilla täysin ongelmaton, sillä viranomaisena toimivan rekisterinpitäjän ja rekisteröidyn asemien välillä on epäsuhta, joka vaikuttaa esimerkiksi suostumuksen aitoon vapaaehtoisuuteen. Lapsen mahdollisuuteen antaa suostumus liittyy erityiskysymyksiä.

Lapsen suostumuksen käyttäminen käsittelyperusteena perusopetuksessa vaatii hyvin huolellista etukäteisarviointia ja ennen kaikkea henkilötietojen käsittelystä informointia tavalla, jonka lapsi voi tosiasiallisesti ymmärtää.

Tietosuoja-asetuksen mukainen suostumus saatetaan helposti sekoittaa muissa yhteyksissä tarvittaviin suostumuksiin. Esimerkiksi suostumusta osallistua tutkimukseen tai suostumusta jonkun teknologian hyödyntämiseen ei tule sekoittaa tietosuoja-asetuksen tarkoittamaan, henkilötietojen käsittelyperusteena toimivaan suostumukseen. Myöskään niin kutsutut eettiset suostumukset eivät voi toimia tietosuoja-asetuksen tarkoittamina käsittelyperusteina.

Suostumukset on hyvä erottaa toisistaan, sillä joissain tilanteissa voi olla tarpeen pyytää kahdenlaista suostumusta. Esimerkiksi osallistuminen jonkun sovelluksen koekäyttäjäksi voisi olla sellainen tilanne: ensinäkin tulisi pyytää tietosuoja-asetuksen mukainen suostumus henkilötietojen käsittelyperusteeksi (1). Lisäksi eettisestä näkökulmasta olisi perusteltua pyytää suostumusta koekäyttäjäksi osallistumiseksi (2). Kuvatussa tilanteessa vaaditut suostumukset kohdistuisivat eri asioihin ja molemmille olisi oma funktionsa. Keskeistä on hahmottaa, että mikä tahansa suostumus ei voi toimia tietosuoja-asetuksen tarkoittamana käsittelyperusteena, eikä täytä tietosuoja-asetuksen suostumukselle asettamia vaatimuksia.

2. Kolmannen tahon tarjoaman sovelluksen käyttö opetuksessa

Erilaiset sovellukset ovat läsnä lasten vapaa-ajalla ja enenevissä määrin myös opetuksessa. Osittain sovellusten käyttö ja muut digitaidot kuuluvatkin tarpeellisen ja opetussuunnitelman mukaisen mediakasvatuksen piiriin. Teknologialla voidaan myös lisätä opetusmateriaalin saavutettavuutta ja valmentaa lapsia toimimaan digitaalisessa ympäristössä. Samalla opettaja kohtaa oppilaiden kanssa henkilötietojen käsittelyyn ja esimerkiksi henkilötietojen suojaan liittyviä kysymyksiä, joita ei voi ohittaa.

Kaikki opetuksessa hyödynnettävät kolmannen osapuolen tarjoamat sovellukset, joiden käytössä käsitellään lasten henkilötietoja, kuuluvat edelleen rekisterinpitäjänä toimivan perusopetuksen järjestäjän vastuulle.

Ideaalissa tilanteessa perusopetuksen järjestäjä keskitetysti hallinnoi kaikessa vastuullensa kuuluvassa opetuksessa hyödynnettäviä sovelluksia ja laitteita. Tällöin perusopetuksen järjestäjä pystyy huolehtimaan rekisterinpitäjän velvollisuuksistaan, joihin kuuluu sovellusten osalta esimerkiksi tietosuoja-asetuksen mukainen vaikutustenarviointi jo ennen sovellusten käyttöönottoa.

Tietosuojavaikutusten arvioinnilla on keskeinen ja tärkeä rooli rekisteröidyn oikeuksien kannalta. Siinä kartoitetaan etukäteen riskit tietosuojalle ja tietoturvalle. Vastuu vaikutustenarvioinnin huolellisesta tekemisestä on aina rekisterinpitäjällä, eikä yksittäinen opettaja voi toteuttaa vaikutustenarviointia esimerkiksi luokkakohtaisesti.

2.1 Henkilötietojen käsittelyperuste sovellusten kohdalla

  • Yllä todetusti, perusopetuksessa henkilötietojen käsittely perustuu lähtökohtaisesti perusopetuksen järjestäjän perusopetuslaista seuraavaan lakisääteiseen velvoitteen noudattamiseen. On selvää, että velvoite järjestää perusopetusta edellyttää henkilötietojen käsittelyä. Tämä ei kuitenkaan tarkoita, että lakisääteinen velvoite jättäisi täysin rekisterinpitäjän avoimesti päätettäväksi, mitä henkilötietoja se käsittelee, miten ja millaisessa ympäristössä. Lisäksi näyttövelvollisuus käsittelyperusteen olemassaolosta on aina rekisterinpitäjällä.
  • Nykyisen oikeuskäytännön valossa lakisääteisen velvoitteen noudattaminen ei välttämättä ole soveltuva käsittelyperuste esimerkiksi sähköisten opetusohjelmien käyttöön perusopetuksessa. Tämä liittyy erityisesti tilanteisiin, joissa sähköisen opetusohjelman tai sovelluksen tarjoaa kolmas osapuoli. Perusopetuksen järjestäjän on sovellusten käyttöön ottoa harkitessaan siten pohdittava, mikä on se laillinen käsittelyperuste, johon hän vetoaa.

2.2 Huolellinen informointi

  • Tietosuoja-asetuksessa korostuvat rekisteröidyn oikeudet ja vapaudet, joiden takaamiseen liittyvät myös asetuksen säännökset informoinnista. Selkeä ja oikea-aikainen informointi tukee rekisteröidyn oikeuksien toteutumisesta ja mahdollistaa sen, että rekisteröity voi ylipäätään käyttää oikeuksiaan. Oppilaille tuleekin tarjota lapsiystävällisellä kielellä tietoa heidän henkilötietojensa käsittelystä – myös sovellusten yhteydessä.
  • Lapset ja heidän henkilötietojensa suoja on nostettu erityiseen asemaan tietosuoja-asetuksessa, mikä edellyttää lasten huomiointia myös informointivelvoitteen toteuttamisessa. Ylipäätään informointivelvoitteen täyttäminen edellyttää, että rekisterinpitäjä arvioi kohdeyleisönsä todennäköisen ymmärryksensä taso:
  • Jos rekisterinpitäjä tietää, että kohderyhmänä ovat lapset, tulee rekisterinpitäjän varmistaa informoinnin kielen sanaston, sävyn ja tyylin olevan lapsille sopivaa. Toisin sanoen informointi tulee toteuttaa lapsiystävällisellä kielellä, lapsen ymmärtämistä tukien.
  • Lapsille tulee antaa informointia henkilötietojen käsittelyssä myös niissä tilanteissa, joissa suostumuksen henkilötietojen käsittelyyn antaa huoltaja.
  • Yhtä lailla informoinnissa on huomioitava myös muut kohderyhmän tarpeet. Esimerkiksi vammaisille henkilöille annettavassa informoinnissa tulee ottaa huomioon heidän mahdollisuutensa saada ja hyödyntää tietoa.

3. Käytännön esimerkkejä

3.1 Sähköiset opetusohjelmat ja henkilötietojen käsittelyperuste

Vuonna 2018 tietosuojavaltuutetun toimistossa saatettiin vireille asia, jossa henkilö oli ilmaissut huolensa Google Suite for Education -ohjelman (nykyään Google Workspace for Education) käytöstä Espoon kaupungin koulussa. Rekisterinpitäjä (Espoon kaupunki) katsoi antamassaan selvityksessä, että käsittelyperusteena ohjelman käytölle sovelletaan lakisääteisen velvoitteen noudattamista. Rekisterinpitäjä siis katsoi, että perusopetuksen järjestämiseksi tarpeellinen henkilötietojen käsittely kattoi myös mainitun sovelluksen käyttämisen perusopetuksessa.

Tietosuojavaltuutettu antoi asiassa päätöksen vuonna 2021. Valtuutettu katsoi päätöksessään, ettei opetusohjelman käyttö ollut tietosuoja-asetuksen mukaista. Päätöksessä korostettiin, että rekisterinpitäjän velvollisuus järjestää perusopetusta on kiistatta pääsääntöinen käsittelyperuste silloin, kun koulu käsittelee oppilaiden henkilötietoja. Tästä huolimatta tietosuojavaltuutettu katsoi, ettei nykyisen sääntelyn mukaisen velvoitteen täyttäminen edellytä esimerkiksi sähköisen opetusohjelman käyttöä. Asiassa huomioitiin muun muassa se, että opetusohjelman käyttö saattoi sisältää myös erityisiin henkilötietoryhmiin kuuluvia tietoja, rekisterinpitäjän mahdollisuus valvoa henkilötietojen käsittelijän suorittamaa henkilötietojen käsittelyä sekä se, että asiassa arvioitavana olevaa ohjelmaa käytetään koulun ohella myös vapaa-ajalla, oppilaan omasta verkosta ja omilla laitteilla.

Espoon kaupunki teki asiassa hallinto-oikeudelle valituksen. Hallinto-oikeus katsoi päätöksessään, ettei rekisterinpitäjän menettelyä Googlen opetusohjelman käytön yhteydessä voida tapauksessa pitää sillä tavalla tarpeellisena, että rekisterinpitäjä voisi sen nojalla oikeuttaa oppilaiden henkilötietojen käsittelyn suoraan lakisääteisen perusopetuksen järjestämisvelvoitteen noudattamisella. Hallinto-oikeus otti asian arviossa huomioon lasten henkilötietojen erityisen suojan tarpeen.

Tietosuojavaltuutetun ja hallinto-oikeuden antamat päätökset Googlen opetusohjelmaa koskevassa asiassa tuovat ilmi sen, kuinka välttämätöntä tietosuoja-asetuksen mukaisen käsittelyperusteen tarkka arviointi ja määrittely on, erityisesti silloin, kun otetaan käyttöön uutta teknologiaa ja kolmannen osapuolen tarjoamia sovelluksia.

Näissä sovelluksissa omat haasteensa liittyvät muun muassa rekisterinpitäjän tietosuoja-asetuksen edellyttämään tosiasialliseen valvonnan mahdollisuuteen. Käsillä olevassa tapauksessa valvontamahdollisuudet katsottiin vähäisiksi, eikä vakiomuotoista tietojenkäsittelysopimusta pidetty riittävänä, erityisesti kun oli kyse lasten henkilötiedoista. Päätösten sisältö huomioiden perusopetuksessa tulee miettiä kaikkien kolmannen osapuolen tarjoamien sovellusten käyttöä tarkasti etukäteen, rekisterinpitäjän velvollisuudet huomioiden.

3.2 Sovellukset opetuksessa – kuka päättää?

Yllä esitetyn päätöksen valossa korostuu rekisterinpitäjän vastuu, joka kattaa myös opetuksessa käytettävät sovellukset. Nykyinen lainsäädäntö jättää kuitenkin harkinnanvaraa sovellusten käytön suhteen, sillä perusopetuslaki – tai sen nojalla annetut opetussuunnitelman perusteet – ei ota kantaa, millaisia sovelluksia opetuksessa käytetään.

Tähän seikkaan on kiinnittänyt huomiota myös Itä-Suomen aluehallintovirasto vuonna 2022 annetussa ratkaisussa[1], joka koski luokanopettajan menettelyä liikunnan opetuksessa. Tapauksessa luokanopettaja oli käyttänyt liikunnan opetuksessa yrityksensä sovellusta. Ilman huoltajien suostumusta oppilaiden tietoja oli tallennettu yrityksen tietokantaan, minkä lisäksi opettaja oli jakanut sovelluksen käyttämisestä julkaisuja sosiaalisen median tileillään.

Aluehallintovirasto katsoi päätöksessään [1], että sovelluksen käyttämisestä olisi tullut tiedottaa koteihin ja huoltajilta olisi tullut pyytää lupa sovelluksen käyttämiseen. Vastuu oppilaan oikeuksien toteutumisesta on opetuksen järjestäjällä, kuten myös vastuu käytettävien sovelluksen asianmukaisuudesta.

Aluehallintoviraston päätöksessä ei oteta kantaa yleisen tietosuoja-asetuksen asettamiin vaatimuksiin, sillä aluehallintovirasto ei valvo tietosuoja-asetuksen noudattamista. Tapauksessa esitetyt seikat ovat kuitenkin merkityksellisiä myös tietosuoja-asetuksen näkökulmasta ja korostavat rekisterinpitäjän vastuuta aina sovellusten valitsemisesta ja yhteistyön sopimisesta alkaen.


[1] Aluehallintovirasto, päätöslyhennelmät

.

Yhteenveto

Sovellusten, sosiaalisten medioiden ja muiden teknologioiden käytössä tulee ottaa huomioon, että niihin sisältyy usein henkilötietojen käsittelyä. Silloin on noudatettava tietosuojaa koskevia sääntöjä. Keskeisintä on arvioida etukäteen sitä, minkälaisia vaikutuksia henkilötietojen suojaan kullakin teknologialla on. Erityisen tärkeää on tunnistaa vastuutaho ja laillinen käsittelyperuste ennen teknologian käyttöönottoa sekä huolehtia siitä, että kaikkia tietosuojaperiaatteita noudatetaan.

  • Lasten henkilötiedot vaativat erityistä suojelua.
  • Erilaisten sovellusten hyödyntämiseen sisältyy usein henkilötietojen käsittelyä, jolloin tietosuojasääntely tulee ottaa huomioon.
  • Tietosuojasääntelyn noudattaminen on rekisterinpitäjän vastuulla. Rekisterinpitäjän vastuulla on myös opettajien ja muun opetushenkilökunnan ohjeistaminen.
  • Nykyisen lainsäädännön valossa korostuu ennen kaikkea sovellusten ja muun teknologian käytön huolellinen ennakkosuunnittelu, mikä mahdollistaa henkilötietojen käsittelyyn liittyvien vaatimusten huomioimisen alusta asti.