TSV 21.03.2023
Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa
lasten henkilötiedot - koulut - tietojen minimointi
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 21.03.2023 |
| Diaarinumero: | 6064/163/20 |
Apulaistietosuojavaltuutetun päätös
Asia
Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostin osoitekirjassa
Rekisterinpitäjä
Kaupunki (Kasvun ja oppimisen lautakunta)
Hakijan vaatimukset perusteluineen
Huoltaja saattoi 4.8.2020 tietosuojavaltuutetun toimistossa vireille asian, joka liittyy oppilaiden henkilötietojen näkyvyyteen sähköpostijärjestelmän osoitekirjassa kaupungin järjestämässä perusopetuksessa. Hakijan mukaan osoitekirjassa näkyy oppilaan nimi (mahdollisesti kaikki etunimet), rooli (oppilas) sekä oppilaan oppilaitos ja hänen sähköpostisosoitteensa. Tiedot näkyvät kaikkien kaupungin koulujen oppilaille, heitä auttaville huoltajille ja koulujen henkilökunnalle. Hakijan mielestä oppilaiden tiedot näkyvät opetuksen järjestämisen kannalta tarpeettoman laajalle ryhmälle, mistä aiheutuu merkittäviä väärinkäytön riskejä oppilaiden henkilötietojen käsittelylle ja menettely on muutenkin loukkaavaa ottaen huomioon, että kyse on alaikäisistä lapsista.
Hakija kertoo, että rekisterinpitäjä käyttää koulussa Microsoft Office365 -palvelua (jäljempänä O365-palvelu), jossa oppilaiden tietojen näkyvyys sähköpostin osoitekirjassa olisi järjestelmän toimittajan ohjeistuksen perusteella mahdollista rajoittaa oppilaitoksissa luokkakohtaisesti. Hakijan mukaan opetuksen järjestäjä ei ole kuitenkaan rajoittanut näkyvyyttä eikä huoltajillakaan ole mahdollisuutta näkyvyyden rajoittamiseen. Toimenpidepyyntöön 7.8.2020 liitetyn aineiston mukaan järjestelmän käyttäjät näkevät myös käytön myötä syntyviä ja jaettavia sisältöjä.
Hakija kertoo olleensa yhteydessä 6.4.2020 kouluun ja 22.4.2020 kaupungin tietosuojavastaavaan. Hakijan käsityksen mukaan vanhemmilla on lakisääteinen velvollisuus tietojen kirjaamiseen lapsensa oman oppilaitoksen rekisteriin mutta ei lapsensa henkilötietojen jakamiseen näin laajasti.
Rekisterinpitäjän selvitys ja lisäselvitys
Rekisterinpitäjän 27.8.2021 antaman selvityksen mukaan kaupungilla on lakisääteinen velvoite järjestää perusopetusta. Kaupunki on ottanut käyttöön O365-palvelun, joka liittyy olennaisesti perusopetuksen järjestämiseen sekä digitaalisen osaamisen opettamiseen kouluissa perusopetuksen opetussuunnitelman mukaisesti. Kaupungissa noudatetaan Opetushallituksen antamia linjauksia mm. pääsynvalvonnasta, autentikoinnista, kiistämättömyydestä ja tunnistamisesta. Rekisterinpitäjän 31.10.2022 antaman lisäselvityksen mukaan Opetushallituksen Tietoturva ja -suoja koulussa -sisältökokonaisuus määrittelee opetustoimen tietoturvan ja tietosuojan rakentuvan luottamukselliseen viestintään ja osapuolten luotettavaan tunnistamiseen ja todentamiseen.
Rekisterinpitäjä toteaa selvityksessään, että perusopetuksessa käytetyssä sähköpostipalvelussa kaikista käyttäjistä muodostuu yksi yhtenäinen ryhmä opettajia ja oppilaita. Käyttäjät näkevät toisistaan epäsuorana tunnisteena koulun ja roolin (opettaja tai oppilas) sekä suorana tunnisteena nimen ja nimeen perustuvan sähköpostiosoitteen. Rekisterinpitäjän lisäselvityksen mukaan osoitekenttä ilmoittaa myös luokka-asteen, mutta ei tarkenna luokkaa. Rekisterinpitäjän lisäselvityksestä ilmenee, että perusopetuksessa olevien oppilaiden tiedot näkyvät sähköpostin osoitekirjassa kaikissa kaupungissa perusopetusta antavissa oppilaitoksissa, joihin kuuluu 22 alakoulua, 8 yhtenäiskoulua, 4 yläkoulua ja 2 erityiskoulua. Lisäksi perusopetuksen oppilaiden tiedot näkyvät 7 lukio-opetusta antavassa oppilaitoksessa. Kaikilla luokka-asteilla on näkyvissä samat tiedot.
Rekisterinpitäjän selvityksessä kerrotaan, että opettajat ja oppilaat käyttävät sähköpostipalvelua keskinäiseen viestintään ja sähköpostiviestintää myös opetellaan koulussa. Kouluissa on useita samannimisiä oppilaita ja ajoittain myös opettajia, jolloin on välttämätöntä tunnistaa vastaanottaja ennen yhteydenottoa. Yhteydenottoja tapahtuu myös eri kouluissa työskentelevien opettajien ja eri kouluissa opiskelevien oppilaiden välillä mm. valinnaisaineiden, harrasteryhmien ja taitoryhmien sekä opetussuunnitelman edellyttämien monialaisten oppimiskokonaisuuksien välillä. Hakemistopalvelussa olevan nimeen perustuvan sähköpostiosoitteen ja koulun yhdistämisellä pyritään varmistamaan henkilön asianmukainen tunnistaminen ja lähettäjä saa tiedon, jos vastaanottajaa ei ole olemassa. Samalla kohtuullistetaan järjestelmään tallennettujen yksilöintitietojen määrä. Vastaanottajan tunnistamiselle ennen viestin lähetystä varmistetaan tietosuojan toteutuminen sekä viestinnän eheys ja luottamuksellisuus. Suurempana tietosuojariskinä rekisterinpitäjä pitää sitä, että tiedostoja ja käyttöoikeuksia jaettaessa sekä sähköpostia lähetettäessä viestit menevät väärälle henkilölle kuin, mitä nimen näkyminen muille muodostaa. Selvityksen mukaan menettelyssä noudatetaan Opetushallituksen ohjeistusta.
Rekisterinpitäjä toteaa lisäselvityksessä, että myös teknisen tietosuojan ja tietoturvan osalta oppilaan koulun ja luokka-asteen ilmoittaminen on koettu tarpeelliseksi, jotta vastuuopettaja ja koulun atk-vastaava tavoitetaan nopeasti tilanteen niin vaatiessa. Jos havaitaan häiriökäyttäytymistä verkossa, on tärkeää, että opettaja tai ohjaaja sekä tietohallinnon asiantuntijat pystyvät puuttumaan tilanteeseen moniammatillisesti. Näissä tilanteissa henkilö on tavoitettava nopeasti, vaikka teknisen tietoturvan keinoin hänen käyttäjätilinsä voidaankin sulkea heti, kun tapaus todetaan tietohallinnossa. Erityisesti lasten kohdalla on syytä käydä yhdessä läpi tapahtuman syyt ja seuraukset.
Pedagogisesti asiaa tarkastellen rekisterinpitäjä toteaa, että opettajan on pystyttävä aukottomasti tunnistamaan oppilaat O365-ympäristössä, minkä vuoksi palvelusta on välttämätöntä näkyä vähintään nimi ja/tai nimeen perustuva sähköpostiosoite. Rekisterinpitäjän lisäselvityksessä todetaan, että yksittäinen opettaja voi opettaa useita luokka-asteita ja yhtenäiskoulun opettajat opettavat perusopetuksen oppilaiden lisäksi kaupungin lukioiden oppilaita. Kaupungin käyttämässä M365 -ympäristössä muodostetaan automaattisesti Teams- ryhmiä oppilaiden valintojen perusteella ja lisäksi opettajat muodostavat tällaisia ryhmiä käyttäjähakemistosta tarpeen mukaan opetukseensa liittyen. Nykyiseen opetussuunnitelmaan kiinteästi liittyvät monialaiset oppimiskokonaisuudet sisältävät yleensä laajaa yhteistyötä luokka-asteiden ja koulujen välillä M365 -ympäristössä ja oppilaat voivat perustaa koulutyöhön ja kouluun liittyvän harrastustoiminnan vuoksi Teams-ryhmiä.
Rekisterinpitäjän selvityksen mukaan opetustyössä on tärkeää, että kaikilla oppilailla on yhdenmukainen mahdollisuus käyttää opetuksen kannalta olennaisia työvälineitä, millä varmistetaan tasapuolinen oppiminen ja vahvistetaan digitaalista osaamista. Rekisterinpitäjän lisäselvityksessä tarkennetaan, että opetuksen yksi päätehtävistä on antaa valmiudet yhteiskunnassa toimimiseen. Digitaaliset taidot ja osaaminen on nostettu opetussuunnitelmassa keskeiseksi tavoitteeksi. Tämän tavoitteen edistämiseksi kaupunki haluaa tarjota oppilaiden, opettajien ja ohjaajien käyttöön tuetun verkkoympäristön ja jokaiselle käyttäjälle verkkoympäristön käyttöön oikeuttavan verkkoidentiteetin, joka on tarkoitettu oppilaiden koulutyöhön ja opettajien ja ohjaajien ammatilliseen työhön.
Selvityksestä ilmenee, että kaupunki ostaa sähköpostipalvelut ulkopuoliselta palvelun tarjoajalta Kasvun ja oppimisen palvelualueelle. Kaupunki on selvittänyt Microsoftilta ja palvelun tarjoajalta mahdollisuutta rajoittaa nimi- ja sähköpostiosoitetietojen näkyvyys yhden koulun sisäiseksi. Rekisterinpitäjän selvityksen mukaan sähköpostipalvelussa ei ole mahdollisuutta tällaisiin toiminnallisiin rajauksiin eikä palvelun tarjoaja takaa palvelun toimivuutta, mikäli käyttäjätietoihin tehtäisiin yksikkökohtaisia teknisiä rajauksia. Teknisen selvityksen perusteella oppilaiden tiedot voitaisiin piilottaa, mikäli päähakemistossa käyttäjien tunnukset olisivat numerosarjoja, eikä nimi- tai luokkatietoja generoitaisi mihinkään näkyviin kenttiin, mutta silloin koulun- tai luokan sisäiset yhteistyötilanteet olisivat kömpelöitä, jopa mahdottomia. Tällaista menettelyä ei ole suositeltavaa ottaa laajasti käyttöön. Rekisterinpitäjän selvityksen mukaan huoltajan esiin nostamat osoitekirjan saatavuuden rajaukset eivät ole teknisesti sovellettavissa pilviympäristöön.
Rekisterinpitäjän lisäselvityksen mukaan käyttäjärajoitusten tekeminen esimerkiksi koulujen välillä olisi teknisesti mahdollista, jos hakemistopalvelut rajoittuisivat sähköpostipalveluun ja siihen liitettyyn paikalliseen hakemistopalveluun, mutta M365 -palvelu on laaja, jatkuvasti kehittyvä kokonaisuus, johon tuodaan säännöllisesti uusia ominaisuuksia ja jopa palveluita, jotka kaikki eivät tue näkyvyyden rajoittamista samalla tavoin. Paikalliset käyttäjätietojen ja näkyvyyden muutokset yksittäisissä palveluissa voivat johtaa ennakoimattomiin seurannaisvaikutuksiin digitaalisten palveluiden välillä sekä käytettävyyteen, koska palveluita kehitetään kokonaisuutena. Rekisterinpitäjän selvityksen mukaan vaikutusten arviointia ei voida kattavasti tehdä, joten paikallisia rajauksia ei suositella eikä rajoitusten tekemiseen ole tällä hetkellä tuettuja ratkaisuja.
Rekisterinpitäjä toteaa, että kantelijan nostamat riskit ovat mahdollisia, mutta niiden toteutumista on pyritty ehkäisemään. Verkkoidentiteetti on tarkoitettu oppilaiden koulutyöhön ja opettajien ja ohjaajien ammatilliseen työhön. Kaupungin tietoverkkojen käyttösäännöt ja -sitoumukset kieltävät häiriökäyttäytymisen, tietojen väärinkäytön ja muiden käyttäjien häirinnän. Näitä asioita opetellaan opettajan johdolla kouluissa ja asiat käydään läpi myös vanhempainilloissa. On myös järjestetty asiaan liittyvää koulutusta opettajille ja muille toimijoille, kehitetty ohjeistusta ja ennakkovalmiutta sekä auditoitu ympäristön tietoturvaa ja tietosuojaa.
Rekisterinpitäjä kertoo selvittäneensä, miten muut kaupungit ovat rajoittaneet perusopetuksen oppilaiden henkilötietojen näkyvyyttä koulujen välillä. Vastanneista kaupungeista useimmissa on käytössä samanmuotoinen nimeen perustuva sähköpostiosoite kuin rekisterinpitäjällä. Joissakin kaupungeissa käytetään pseudonymisoitua osoiterakennetta, mutta näissäkin kaupungeissa näkyy tiettyjä poikkeustilanteita lukuun ottamatta sen yhteydessä nimitieto, eikä nimitietoja ole missään teknisesti rajoitettu vain yhden koulun sisäiseksi tiedoksi. Rekisterinpitäjä pitää lisäselvityksessä tarpeellisena teknistä ohjeistusta tarkennusten ja rajausten toteuttamiseen, mikäli kansallista ohjeistusta tarkennetaan.
Hakijan vastine
Huoltaja antoi vastineensa 8.2. ja 14.11.2022. Hakija toteaa ensimmäisessä vastineessaan, että oppilaiden tietojen näkymisessä opetuksen järjestäjän käyttämän sähköpostin osoitekirjassa on ensi sijassa kyse alaikäisten lasten tietosuojan toteutumisen varmistamisesta. Siinä on kyse myös riskienhallinnasta, johon kaupunki ei ole toiminnallaan osoittanut sitoutumista eikä se ole suorittanut asiaan kuuluvia toimenpiteitä. Kaupunki mainitsee O365-palvelun liittyvän “olennaisesti opetuksen järjestämiseen” ja perustelee samalla yksittäisen ostopalvelun käyttöä rekisterinpitäjän velvollisuudella järjestää perusopetusta. Hakija toteaa, että pelkkä tietosuojaselosteen laatiminen ei kerro toimintamallien oikeellisuudesta. Tieto siitä, että kaupungit yleisesti toimivat samalla tavalla, ei ole peruste huolimattomuudelle tietosuojan järjestämisessä. Mikäli toimintamalli todella on valtakunnallisesti näin kattava, asiaan on otettava kantaa tietosuojan näkökulmasta. Hakija kiinnittää huomiota Opetushallituksen oppaaseen, jossa todetaan, että ”tietosuojassa on kysymys siitä, milloin voi kerätä tai muutoin käsitellä (julkisiakin) henkilötietoja.
Kaupungin kaikkien koulujen oppilaiden ja opettajien (kaupungissa yli 10 000 henkilön) välinen alusta on hakijan mukaan lähtökohtaisesti heikosti perusteltu. Henkilötietojen käsittelyyn tulisi liittyä todellinen, perusteltavissa oleva tarve. Eri luokka- ja kouluasteilla tai paikkakunnilla opiskelevien ja työskentelevien kesken yhteystietojen jakamiselle ei ole hakijoiden mukaan mainittujen valinnaisaineiden tai erilaisten opetusryhmien lisäksi muuta perustetta. Tietojen vaihto näissä tilanteissa onnistuu hakijan käsityksen mukaan siten, että jakson tai kurssin alussa kysytään ja kirjataan tarvittavat yhteystiedot listaamatta kaikkien oppilaiden tietoja kaikille tuhansille käyttäjille. Rekisterinpitäjä on perustellut oppilaiden tietojen näkyvyyttä sähköpostin osoitekirjassa yksittäisten opettajien, yhtenäiskoulujen opettajien ja lukioiden opettajien tiedon tarpeella, mutta tarkoitetaanko tällä saman rakennuksen sisällä toimivia opettajia ja kuinka usein oppilaiden tietoja todellisuudessa tarvitaan muissa kouluissa ja oppilaitoksissa. Hakija viittaa myös Opetushallituksen ohjeeseen.
Hakija toteaa, että hän ei vastusta digitaalisten välineiden eikä O365-ympäristön käyttöä opetuksessa, mutta kaupunki ei ole perustellut sitä, miksi alaikäisten lasten henkilötietojen tulee näkyä kaikille käyttäjille kaupungin kaikissa kouluissa, mistä tässä asiassa on kyse. Oppilaiden tietojen tarpeettoman laaja näkyvyys mahdollistaa ei-toivotun lähestymisen esim. viestein tai Teams-verkkopuheluin. Hakijan vastineen mukaan kaupunki keskittyy liiaksi sähköpostijärjestelmään ja sähköpostiosoitteen muotoon. On äärimmäisen ymmärrettävää, että virheellisiä sähköpostilähetyksiä halutaan välttää panostamalla tunnistettavuuteen. Hakija on samaa mieltä siitä, että esimerkiksi etunimi.sukunimi -muodossa oleva sähköpostiosoite on käytettävyyden ja tunnistettavuuden kannalta parempi vaihtoehto kuin pseudonymisoitu tunnus, esim. kirjain-numeroyhdistelmä. Myös oppilaiden kouluttaminen ja ohjeistaminen on tärkeää, mutta henkilötietojen käsittelyn tulee kuitenkin olla tietosuojasäännösten mukaista.
Hakija kertoo toimittaneensa rekisterinpitäjälle Microsoftin ohjeistukset palvelun käytöstä kouluympäristössä ja käyttäjäryhmien luomisesta (ks. lähde “Separating users in Office 365 using Address Book Policies” sekä “Address Book Policies” -ohjeiston). Hakija toteaa, että ohjeistot tulisi ottaa käyttöön tietosuojan toteuttamiseksi. Lisäksi tulisi arvioida, onko kaupungilla oikeutta ottaa käyttöön järjestelmiä, joissa tietosuojaa on mahdoton noudattaa edes teknologian asiantuntijoiden avustuksella. Hakija kiinnittää myös huomiota käsittelyn turvallisuutta koskevaan tietosuoja-asetuksen 32 artiklan 2 kohtaan, joka velvoittaa ottamaan huomioon käsittelystä aiheutuvat riskit. Hakija näkee riskeinä sähköpostin lähettämisen väärälle henkilölle, sähköpostilistojen/käyttäjätunnusten kopioimisen ja luovuttamisen ulkopuolisille, vuodettujen tietojen käytön murtautumisyrityksissä sekä epäasiallisen viestinnän tai kiusaamisen. Riskin arvioimisessa tulee ottaa huomioon myös käyttäjien (erityisesti lasten) salasanakäytännöt tai -taidot. Digitaalisten taitojen ja osaamisen nostaminen opetussuunnitelman keskeiseksi tavoitteeksi vaatii hakijan mukaan, että myös vastuullisilla henkilöillä on keinot, taidot ja osaamien tavoitteen toteuttamiseksi.
Hakija kiinnittää huomiota siihen, että mitä suurempi eri ikäluokkia avoimesti yhdistelevä ja vuorovaikutteinen ryhmä muodostetaan, sitä enemmän se vaatii luottamusta muita käyttäjiä kohtaan. Tässä tapauksessa luottamusta ei pitäisi joutua kohdistamaan vain toisilleen tuntemattomiin palvelun käyttäjiin, vaan rekisterinpitäjään. Hakija kysyy, kuinka kaupunki kykenee huolehtimaan siitä, että eri ikäluokkia edustavat oppilaat toimivat ohjeistuksen mukaisesti ja kenellä on vastuu väärinkäytöstilanteissa. Henkilötietoryhmien ja niiden näkyvyyden tarkempi rajaaminen ja suojaaminen pienentää mahdollisesta tietosuojaloukkauksesta seuraavaa vahinkoa.
Sovellettavasta lainsäädännöstä
Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018). Henkilötietojen käsittelyyn voi vaikuttaa myös toimintaan sovellettava muu lainsäädäntö. Perusopetuksen järjestämisestä, josta asiassa on kyse, säädetään perusopetuslaissa (628/1998).
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain ja perusopetuslain pohjalta. Asiassa on kyse oppilaiden henkilötietojen käsittelystä perusopetuksen järjestämisessä käytetyn sähköpostipalvelun osoitekirjassa. Asiassa on ratkaistava:
1. Onko rekisterinpitäjä noudattanut tietosuoja-asetuksen 5 artiklan a alakohtaa (lainmukaisuuden ja kohtuullisuuden periaate), c alakohtaa (tietojen minimoinnin periaate) ja f alakohtaa (luottamuksellisuuden periaate) sekä 25 artiklan 2 kohdassa säädettyä, kun oppilaiden henkilötiedot perusopetuksen järjestäjän käytössä olevan sähköpostin osoitekirjassa ovat näkyvissä kaikissa kaupungin peruskouluissa ja lukioissa;
2. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 alakohdan b alakohdan mukainen huomautus, jos käsittelytoimet ovat olleet tietosuoja-asetuksen säännösten vastaisia ja
3. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
Rekisterinpitäjä (perusopetuksen järjestäjä) ei ole noudattanut oppilaidensa henkilötietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukaisuus ja kohtuullisuus), c alakohtaa (minimointi) eikä f alakohtaa (luottamuksellisuus) eikä 25 artiklan 2 kohdassa säädettyä, kun se on asettanut oppilaidensa henkilötiedot saataville käyttämänsä sähköpostijärjestelmän osoitekirjassa siten, että tiedot näkyvät kaupungin kaikissa peruskouluissa ja lukioissa. Osoitekirjassa on näkynyt oppilaan etu- ja sukunimi, rooli (oppilas), sähköpostiosoite sekä oppilaan koulu ja luokka. Rekisterinpitäjä ei ole pystynyt osoittamaan oppilaidensa tietojen näin laajan näkyvyyden asianmukaisuutta ja tarpeellisuutta perusopetuksen järjestämisessä.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden henkilötietojen käsittely sähköpostijärjestelmän osoitekirjassa on ollut tietosuoja-asetuksen vastaista.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee arvioida uudelleen perusopetuksessa olevien oppilaiden henkilötietojen saataville asettaminen käyttämänsä sähköpostin osoitekirjassa. Rekisterinpitäjän tulee varmistua siitä, että se ei enää käsittele oppilaidensa tietoja sähköpostijärjestelmän osoitekirjassa siten, että ne näkyvät oman koulun ulkopuolelle, ellei laajempaan näkyvyyteen ole tilanteeseen ja opetuksen järjestämiseen liittyviä perusteita. Oppilaiden tietojen saatavilla olo sähköpostin osoitekirjassa tulee myös oman koulun sisällä olla tarpeellista ja perusteltua perusopetuksen järjestämisen kannalta.
Määräystä ei anneta tietojen pseudonymisoimiseksi vaan oppilaiden tietojen saataville asettamisen rajaamiseksi rajoitetulle joukolle. Päätös ei koske koulun henkilökunnan sähköpostiosoitteiden saataville asettamista sähköpostijärjestelmän osoitekirjassa.
Perustelut
Rekisterinpitäjä
Käsillä oleva asia liittyy perusopetuksen järjestämiseen, jossa kaupunki on perusopetuksen järjestäjä ja rekisterinpitäjä oppilaidensa henkilötietojen käsittelyssä. Rekisterinpitäjän vastuusta säädetään yleisellä tasolla tietosuoja-asetuksen 24 artiklassa, jota tulkitaan yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännösten kanssa. Rekisterinpitäjän antamasta selvityksestä ilmenee, että kaupunki ostaa sähköpostipalvelut ulkopuoliselta palvelun tarjoajalta Kasvun ja oppimisen palvelualueelle. Rekisterinpitäjä voi käyttää toiminnassaan ulkopuolisten palveluntarjoajien palveluita, mutta rekisterinpitäjä vastaa henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti.
Lainmukaisuuden, kohtuullisuuden ja tietojen minimoinnin sekä luottamuksellisuuden vaatimukset
Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetään, että henkilötietoja on käsiteltävä lainmukaisesti ja asianmukaisesti (lainmukaisuuden ja kohtuullisuuden periaatteet). Saman artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimoinnin periaate). Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta hävittämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä ja organisatorisia toimia (eheys ja luottamuksellisuus).
Käsillä olevassa asiassa on kyse oppilaiden henkilötietojen näkymisestä perusopetuksen järjestäjän käyttämän sähköpostin osoitekirjassa kaikille muille saman sähköpostin käyttäjille. Osoitekirjassa on näkyvillä oppilaiden nimet (myös toinen nimi voi näkyä), rooli (oppilas), sähköpostiosoite sekä oppilaan koulu ja luokka-aste. Rekisterinpitäjän 31.10.2022 antaman selvityksen mukaan kaupungissa on 22 alakoulua, 8 yhtenäiskoulua, 4 yläkoulua ja 2 erityiskoulua, joissa järjestetään perusopetusta. Lisäksi kaupungissa on 7 lukiota. Perusopetuksessa olevien oppilaiden tiedot sähköpostin osoitekirjassa näkyvät hänen oman koulunsa lisäksi kaikkien kaupungin muiden peruskoulujen ja lukioiden oppilaille, opiskelijoille ja työntekijöille.
Rekisterinpitäjä toteaa 27.8.2021 antamassaan selvityksessä, että O365-palvelun käyttö liittyy olennaisesti perusopetuksen järjestämiseen sekä digitaalisen osaamisen opettamiseen kouluissa perusopetuksen opetussuunnitelman mukaisesti. Rekisterinpitäjän selvityksen mukaan opettajat ja oppilaat käyttävät sähköpostipalvelua keskinäiseen viestintään ja oppilaille opetetaan sähköpostiviestintää. Kouluissa on useita samannimisiä oppilaita ja ajoittain myös opettajia, jolloin on välttämätöntä tunnistaa henkilö ennen yhteydenottoja. Yhteydenottoja tapahtuu myös eri kouluissa työskentelevien opettajien ja eri kouluissa opiskelevien oppilaiden välillä mm. valinnaisaineiden, harrasteryhmien ja taitoryhmien sekä opetussuunnitelman edellyttämien monialaisten oppimiskokonaisuuksien välillä. Nimeen perustuvan sähköpostiosoitteen ja koulun yhdistämisellä varmistetaan rekisterinpitäjän mukaan henkilön asianmukainen tunnistaminen ennen viestin lähettämistä, jotta viestiä ei lähetetä väärälle vastaanottajalle, ja samalla tietosuojan toteutuminen. Rekisterinpitäjän mukaan myös pedagogisesti asiaa arvioiden opettajan on pystyttävä aukottomasti tunnistamaan oppilaat palvelussa.
Apulaistietosuojavaltuutettu kiinnittää huomiota tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyyn minimoinnin periaatteeseen. Tietosuoja-asetuksen johdanto-osan 39 kappaleen mukaan henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Sen mukaan henkilötietoja on käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Euroopan tietosuojaneuvosto on myös antanut käytännön ohjeita tästä periaatteesta. Näiden ohjeiden mukaan ensin olisi selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Henkilötietojen käsittelyä kehotetaan nimenomaisesti välttämään silloin, kun se vain on mahdollista. Lisäksi erikseen on korostettu, että käsiteltävien henkilötietojen on oltava oleellisia kysymyksessä olevan käsittelyn tarkoituksen kannalta. Kaikkien käsiteltävien henkilötietojen olisi niin ikään oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin.
Apulaistietosuojavaltuutetun mukaan on selvää, että perusopetuksen järjestämisessä voidaan käyttää viestintävälineitä ja opettaa niiden käyttöä. Myös viestinnän luottamuksellisuus tulee voida taata. Rekisterinpitäjän selvityksen mukaan perusopetuksen järjestämisessä voi olla tarpeellista viestiä myös eri peruskouluissa opiskelevien välillä ja myös perusopetuksessa ja lukiokoulutuksessa olevien kesken, kun kyse on perusopetuksen opetussuunnitelman mukaisten monialaisten oppimiskokonaisuuksien toteuttamisesta sekä valinnaisaineiden, harrasteryhmien ja taitoryhmien toiminnasta. Lisäksi opettajilla on tarve viestiä opettamiensa oppilaiden kanssa ja oppilaat voivat olla eri kouluissa kuin he itse. Apulaistietosuojavaltuutettu toteaa, että nämä tilanteet eivät kuitenkaan koske kaikkia perusopetuksen eri vuosiluokilla olevia oppilaita. Rekisterinpitäjän selvityksen mukaan perusopetuksen oppilaan tiedot viedään sähköpostijärjestelmän osoitekirjaan oppilaan aloittaessa perusopetuksen ja oppilaiden tietojen näkyminen osoitekirjassa on samanlainen perusopetuksen luokilla 1-9.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että sähköpostiviestin voi lähettää vastaanottajalle myös etukäteen saadun osoitteen perusteella eikä viestintä esty, vaikka vastaanottajan osoite ei näy sähköpostin osoitekirjassa. Jos viestin lähettäjä ei tiedä vastaanottajan nimeä, osoitekirjakaan ei varmista sitä, että viesti lähetetään oikealle vastaanottajalle. Jos viesti lähetetään sellaiseen osoitteeseen, joka ei ole kenenkään vastaanottajan osoite, viesti ei mene perille, ja lähettäjä saa asiasta tiedon. Osoitteiston käyttö ei myöskään sulje täysin pois virheellistä viestintää silloinkaan, kun kyse on saman nimisistä vastaanottajista. Laaja osoitteiston näkyminen sähköpostin osoitekirjassa voi tosin itsessään vähentää inhimillisistä virheistä (kuten kirjoitusvirheistä) aiheutuvia virhelähetyksiä väärälle vastaanottajalle. Samalla menettelystä aiheutuu riskejä oppilaiden henkilötietojen käsittelylle. Viestin lähettämistä oikealle vastaanottajalle osaltaan varmistaa se, että vastaanottajan nimi ilmenee sähköpostiosoitteesta, vaikka sähköpostiosoite ei näkyisi sähköpostijärjestelmän osoitekirjassa.
Rekisterinpitäjä perustelee menettelyään myös sillä, että perusopetuksen järjestämisessä käytetyssä sähköpostijärjestelmässä ei ole mahdollista teknisesti rajoittaa oppilaiden henkilötietojen näkyvyyttä osoitekirjassa yhden koulun sisäiseksi. Rekisterinpitäjä toteaa myös, että sen käyttämä palvelu on laaja, jatkuvasti kehittyvä kokonaisuus, johon tuodaan säännöllisesti uusia ominaisuuksia ja jopa palveluita. Kaikki uudet ominaisuudet tai palvelut eivät tue näkyvyyden rajoittamista yhtäläisesti.
Apulaistietosuojavaltuutettu toteaa, että koulujen opettajat voivat käsitellä sellaisia tietoja oppilaistaan, joita he tarvitsevat työtehtävissään. Oppilailla on puolestaan tarpeellista käsitellä niiden oppilaiden yhteystietoja, joiden kanssa heidän edellytetään viestivän koulutyössä. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole kuitenkaan esittänyt perusteita sille, minkä vuoksi perusopetuksen järjestämisen kannalta on tarpeellista, että kaikkien oppilaiden tiedot näkyvät perusopetuksen järjestäjän käyttämän sähköpostin osoitekirjassa kaikissa kunnan peruskouluissa ja lukioissa. Kaikilla oppilailla ei ole tarpeellista viestiä oman koulunsa ulkopuolisten kanssa. Se seikka, että rekisterinpitäjän käyttämässä sähköpostissa ei ole teknisesti mahdollista rajoittaa oppilaiden henkilötietojen näkyvyyttä, ei ole peruste käsitellä oppilaiden henkilötietoja laajemmin kuin, mitä perusopetuksen järjestämiseen liittyvät tehtävät edellyttävät. Sellainen menettely johtaa tarpeettoman laajaan oppilaiden henkilötietojen käsittelyyn, joka ei ole asianmukaista rekisterinpitäjän tehtävien kannalta.
Apulaistietosuojavaltuutettu pitää sen vuoksi tarpeettomana oppilaiden henkilötietojen käsittelynä perusopetuksen järjestämisen kannalta sitä, että kaikkien perusopetuksen oppilaiden tiedot näkyvät hänen oman koulunsa lisäksi kaikissa kaupungin muissa peruskouluissa ja lukioissa. Käsittelyn tarkoituksen kannalta tarpeettomien tietojen käsittely ei ole myöskään asianmukaista perusopetuksen järjestäjän tehtävien kannalta. Apulaistietosuojavaltuutettu katsoo, että näin laaja perusopetuksen oppilaan tietojen näkyvyys on tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohtien vastaista. Apulaistietosuojavaltuutettu kiinnittää huomiota vielä siihen, että kohtuullisuuden ja tietojen minimoinnin vaatimukset tulee ottaa huomioon myös oppilaan omassa koulussa. Rekisterinpitäjän tulee näin ollen arvioida, onko opetuksen järjestämisen kannalta tarpeellista, että oppilaan sähköpostin osoitekirjassa olevat tiedot näkyvät aina hänen omassa koulussaankaan kaikille sähköpostin käyttäjille.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että perusopetuksen järjestämisessä on kysymys lasten henkilötietojen käsittelystä. Tietosuoja-asetuksen johdanto-osan perustelukappaleen 38 mukaan erityisesti lasten henkilötietoja on pyrittävä suojaamaan. Lapset eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Riskejä voi aiheutua tietosuoja-asetuksen johdanto-osan 75 kohdan mukaisesti, kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja.
Asiassa tulee huomioida myös tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetty luottamuksellisuuden periaate. Henkilötietoja on käsiteltävä tietosuoja-asetuksen johdanto-osan 39 kohdan mukaan siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tietosuoja-asetuksen 32 artiklan 1 kohdan mukaan vaadittavien käsittelyn turvallisuutta koskevien toimenpiteiden arvioinnissa tulee ottaa huomioon henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Henkilötietojen käsittelyn turvallisuus edellyttää asianmukaisia toimenpiteitä, joiden tarkoituksena on taata tietojenkäsittelytehtävän asianmukainen toteuttaminen. Apulaistietosuojavaltuutettu katsoo, että oppilaiden tietojen asettaminen saataville sähköpostijärjestelmän osoitekirjassa kaupungin kaikissa muissa peruskouluissa ja lukioissa on myös vastoin luottamuksellisuuden periaatetta ottaen vielä huomioon, että asiassa on kyse lasten tietojen käsittelystä.
Oppilaiden tietojen luovuttaminen
Tietosuoja-asetuksen 86 artikla mahdollistaa virallisten asiakirjojen julkisuuden ja tietosuoja-asetuksen mukaisen oikeuden henkilötietojen suojaan yhteensovittamisen. Tietosuojalain 28 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 16 §:n 3 momentti koskee julkisten tietojen luovuttamista viranomaisen henkilörekisteristä mm. sähköisessä muodossa. Tietojen luovuttamisen edellytyksenä on, että luovutuksen saajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia tietoja. Salassa pidettävien tietojen luovuttamisen perusteista säädetään julkisuuslain 26 §:ssä.
Rekisterinpitäjän selvityksen mukaan perusopetuksen oppilaiden tiedot, jotka näkyvät sähköpostijärjestelmän osoitekirjassa, ovat julkisia tietoja, ellei tiedon antamisen perusteella paljastu muulla perusteella salassa pidettävää seikkaa. Rekisterinpitäjä kertoo noudattavansa tältä osin Opetushallituksen ohjetta tietojen julkisuuden ja salassa pidon määräytymisestä. Apulaistietosuojavaltuutettu toteaa, että tietojen julkisuuden ja salassa pidon arviointi tapahtuu julkisuuslain perusteella eikä apulaistietosuojavaltuutetulla ole toimivaltaa arvioida asiaa. Julkisiksikin arvioitujen tietojen käsittelyyn sovelletaan kuitenkin tietosuoja-asetusta, jos kyse on henkilötietojen käsittelystä. Käsillä olevassa tapauksessa on kyse henkilötietojen käsittelystä.
Apulaistietosuojavaltuutettu toteaa, että oppilaiden henkilötietojen näkyville asettamisessa sähköpostin osoitekirjassa on kyse myös oppilaiden henkilötietojen kolmansille osapuolille luovuttamisesta, joka on mahdollista vain lainmukaisin perustein. Vaikka tietojen luovuttamiseen olisi julkisuuslain 16 §:n 3 momentissa tarkoitettu peruste, tietojen luovutus edellyttää myös tietosuojaperiaatteiden huomioimista. Apulaistietosuojavaltuutettu katsoo, että oppilaiden tietojen saataville asettaminen perusopetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa siten, että ne näkyvät kaikissa kaupungin peruskouluissa ja lukioissa on tietosuoja-asetuksen kohtuullisuusperiaatteen, tietojen minimointiperiaatteen ja luottamuksellisuutta koskevan periaatteen vastaista. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan a, c ja f alakohtia.
Sisäänrakennettu ja oletusarvoinen tietosuoja sekä osoitusvelvollisuus
Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Tietosuoja-asetuksen johdanto-osan 78 kappaleessa todetaan, että tietojärjestelmiä kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.
Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuoja-asetuksen 5 artiklan 1 kohtaa on noudatettu. Rekisterinpitäjän tulee pystyä osoittamaan, että tietosuoja-asetusta on noudatettu tehokkaasti. Toimenpiteiden toteutuksessa on otettava huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että sisäänrakennettu ja oletusarvoinen tietosuoja edellyttää rekisterinpitäjä käyttävän perusopetuksen järjestämisessä sellaisia tietoteknisiä ratkaisuja, jotka soveltuvat toiminnan luonteeseen. Tietojärjestelmän ominaisuuksilla ei voi perustella perusopetuksen oppilaiden henkilötietojen käsittelyn lainmukaisuutta. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole pystynyt osoittamaan, että tietosuojaperiaatteita sekä sisäänrakennettua ja oletusarvoista tietosuojaa on noudatettu käsillä olevassa tapauksessa.
Käsillä olevasta tapauksesta
Käsillä olevassa asiassa merkitystä on tietosuoja-asetuksen 25 artiklan 2 kohdassa ja 5 artiklan 1 kohdan a, c ja f alakohdissa säädetyillä henkilötietojen käsittelyä koskevilla säännöksillä sekä niiden noudattamisen osoittamisella. Perusopetuksen järjestämisessä tulee käyttää toiminnassaan sellaista sähköpostijärjestelmää, joka mahdollistaa tietosuojasäännösten noudattamisen oppilaiden henkilötietojen käsittelyssä.
Apulaistietosuojavaltuutettu katsoo aiheelliseksi antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden henkilötietojen käsittely perusopetuksen järjestäjän käyttämän sähköpostipalvelun osoitekirjassa on ollut edellä tarkemmin kuvatuin perustein tietosuoja-asetuksen 5 artiklan 1 kohdan a, c ja f alakohtien sekä 25 artiklan 2 kohdan vastaista. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle myös tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee varmistua siitä, että oppilaiden tietojen näkyvyys sähköpostin osoitekirjassa on perusopetuksen järjestämisen kannalta tarpeellista sekä asianmukaista ja oppilaiden tietojen näkyvyys muutetaan sen mukaiseksi.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätöksen on tehnyt apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.
Apulaistietosuojavaltuutetun ohjaus
Kaupungin verkkosivuilla olevasta Microsoft Office 365 sähköistä työskentely-ympäristöä koskevasta tietosuojaselosteesta ilmenee, että O365-palvelu voi siirtää henkilötietoja EU/ETA-alueen ulkopuolelle. Rekisterinpitäjän tietoon saatetaan tässä vaiheessa ja kiinnitetään rekisterinpitäjän huomiota siihen, että toiselle rekisterinpitäjälle on annettu tietosuojavaltuutetun päätöksen yhteydessä ohjausta henkilötietojen siirroista kolmansiin maihin. Apulaistietosuojavaltuutettu ohjaa tältä osin rekisterinpitäjää tutustumaan tietosuojavaltuutetun 30.12.2021 antamassa päätöksessä dnro 1509/452/18 asiasta annettuun ohjaukseen. Tämä henkilötietojen kolmansiin maihin siirtoa koskeva asia on edelleen vireillä tietosuojavaltuutetun toimistossa ja se tullaan ratkaisemaan lähitulevaisuudessa edellä mainitun asian yhteydessä.
Apulaistietosuojavaltuutettu ei ole arvioinut tässä päätöksessä oppilaiden henkilötietojen käsittelyn perustetta perusopetuksen järjestäjän sähköpostijärjestelmässä tai muissa rekisterinpitäjän käyttämissä digitaalisissa palveluissa. Rekisterinpitäjä on arvioinut antamissaan selvityksissä, että sähköpostijärjestelmässä henkilötietojen käsittely perustuisi tietosuoja-asetuksen 6 artiklan 1 kohdan a ja c alakohtiin. Apulaistietosuojavaltuutettu kiinnittää myös tältä osin rekisterinpitäjän huomiota tietosuojavaltuutetun päätökseen dnro 1509/452/18.
Turvakiellosta säädetään laissa väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista (661/2009). Tässä päätöksessä ei arvioida sitä, miten oppilaalle myönnetty turvakielto vaikuttaa sähköpostiosoitteen muodostamiseen ja osoitteen näkyvyyteen.
Rekisterinpitäjä on antamassaan selvityksessä pyytänyt ohjausta siitä, miten osoitekirjan näkyvyyden rajoittaminen voidaan toteuttaa. Apulaistietosuojavaltuutettu on saanut toisen asian yhteydessä rekisterinpitäjältä tiedon, että eräässä kaupungissa osoitekirja on piilotettu kokonaan eivätkä oppilaiden tiedot siten näy perusopetusta järjestettäessä muille sähköpostin käyttäjille osoitekirjassa. Apulaistietosuojavaltuutettu toteaa tässä yhteydessä yleisenä huomiona, että opettajilla ja oppilailla on yleensä mahdollisuus tehdä omia henkilökohtaisia osoitekirjojaan.
Asiassa on tuotu esille myös oppilaiden laatimien tiedostojen suojaamiseen liittyviä seikkoja, joita apulaistietosuojavaltuutettu ei tämän asian käsittelyn yhteydessä ole tarkemmin selvittänyt. Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota henkilötietojen suojaamisvelvoitteeseen ja siihen, että tietosuoja-asetus velvoittaa rekisterinpitäjää huolehtimaan siitä, että henkilötietojen käsittelystä on annettu riittävästi ohjeistusta ja että henkilötietojen käsittelyä valvotaan.
Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea muutosta valittamalla.