pilvipalvelu - opetusala

Säädösperusta:	Henkilötietolain mukainen päätös
Antopäivä:	28.2.2017
Diaarinumero:	2450/41/2016 ja 2856/41/2012

ASIA
Asia liittyi pilvipalvelun käyttöön opetustoimessa. Opetustoimen edustaja kysyi, pitääkö palvelun käyttöönottoon pyytää huoltajien suostumus.

TIETOSUOJAVALTUUTETUN VASTAUS
Tietosuojavaltuutettu on aikaisemmin katsonut seuraavaa: "Opetusta järjestettäessä hyödynnetään tieto- ja viestintätekniikkaa ja digitaalisia oppimisympäristöjä. Opetuksen järjestäjä ratkaisee, minkälaisia laitteita, työvälineitä ja oppimateriaalia opetuksen järjestämisessä on tarpeellista sekä opetuksen järjestäjän toiminnan kannalta asiallisesti perusteltua käyttää. Jos niiden käyttöön liittyy henkilötietojen käsittelyä, tulee ottaa huomioon myös henkilötietojen käsittelyä koskeva lainsäädäntö ja varmistaa, että henkilötietojen käsittely on lainmukaista. Opetustoimen lainsäädännön ohella sovellettavaksi tulevat henkilötietolaki (HeTiL) yleislakina sekä laki viranomaisten toiminnan julkisuudesta (julkisuuslaki).

Kun opetuksen järjestämisessä käytetään tieto- ja viestintätekniikkaa, oppilaiden henkilötietojen käsittely perustuu tietosuojavaltuutetun käsityksen mukaan rekisteröityjen ja oppilaitoksen välille syntyneeseen asialliseen yhteyteen, koska kyse on opetuksen järjestämisessä käytettävistä työvälineistä (HeTiL 8.1 § 5 kohta), eikä huoltajien suostumukseen. Oppilaiden henkilötietojen käsittelyn tarkoituksena on opetuksen järjestäminen (HeTiL 6 §), joka rajoittaa tietojen tulevaa käsittelyä lain 7 §:ssä säädetyn käyttötarkoitussidonnaisuuden mukaisesti.

Perustelut
Henkilötietoja ovat oppilaitoksissa kaikki sellaiset oppilaasta ja opiskelijasta kerättävät tiedot, jotka voidaan yhdistää häneen jollakin tavalla (HeTiL 3 § 1 kohta). Henkilötietojen käsittelystä vastaa rekisterinpitäjä (HeTiL 3 § 4 kohta).

Oppilaitokset toteuttavat niille laissa säädettyjä tehtäviä ja voivat käsitellä tehtäviensä hoitamiseksi tarpeellisia henkilötietoja oppilaistaan ja opiskelijoistaan. Henkilötietojen käsittelyn tarkoituksena on opetuksen järjestäminen (HeTiL 6 §). Henkilötietoja voidaan käsitellä määriteltyyn käyttötarkoitukseen oppilaitoksen omassa toiminnassa. Käsiteltävien henkilötietojen tulee olla opetuksen järjestämisen kannalta tarpeellisia (HeTiL 9 §). Lisäksi käsittelyn tulee olla opetuksen järjestäjän toiminnan kannalta asiallisesti perusteltu (HeTiL 6 §).

Rekisterinpitäjän tulee lain 5 §:n mukaan käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Henkilötiedot tulee suojata asiattomalta pääsyltä ja laittomalta käsittelyltä (HeTiL 32 §). Tietojen lainmukaista käsittelyä tulee myös valvoa.

Henkilötietoja koskevat tietojenkäsittelypalvelut voidaan ulkoistaa palvelun hankkivan rekisterinpitäjän lukuun. Henkilötietojen käsittely perustuu silloin henkilötietolain 8.1 §:n 7 kohtaan. Palvelun hankkimisesta tehdään toimeksiantosopimus rekisterinpitäjän ja palvelun tuottajan välillä. Rekisterinpitäjä vastaa edelleen henkilötietojen käsittelystä eikä toimeksisaajalla ole oikeutta käyttää toimeksiantosopimuksen perusteella käsittelemiään henkilötietoja omiin tarkoituksiinsa. Sen vuoksi on tärkeää perehtyä opetuksessa käytettävien sähköisten palveluiden käyttöehtoihin myös henkilötietojen käsittelyn näkökulmasta. Asiasta kerrotaan tarkemmin tietosuojavaltuutetun toimiston oppaassa Henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset (pdf, 0.31 Mt).

Opetuksen järjestäjä vastaa siitä, että työvälineiden käyttö on turvallista ja tapahtuu turvallisissa oppimisympäristöissä. Opetuksen järjestäjä vastaa myös rekisterinpitäjänä välineiden käyttöön liittyvästä oppilaiden henkilötietojen käsittelystä. Kunnan järjestämässä perusopetuksessa rekisterinpitäjänä on kuntalain mukainen opetustoimen hallinnosta vastaava toimielin, joka viime kädessä vastaa rekisterinpidon lainmukaisuudesta. Tietojenkäsittelyn turvallisuus tulee varmistaa sopimuksin ja riittävin teknisin toimenpitein. Opetuksen järjestäjä vastaa siitä, että tietoja käsitellään turvallisesti sekä sen omassa toiminnassa että silloin, kun tietojenkäsittely ulkoistetaan.

Jos henkilötietoja siirretään palvelussa Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, siihen tulee olla henkilötietolain 5 luvussa säädetty peruste. Henkilötietojen siirrossa Yhdysvaltoihin tulee huomioitavaksi, että Safe Harbor -järjestelmä on korvautunut Privacy Shield -järjestelyllä, johon henkilötietojen siirto voi nykyään perustua. Privacy Shield -järjestelystä kerrotaan tarkemmin esimerkiksi Euroopan komission julkaisemassa oppaassa. Rekisterinpitäjä vastaa henkilötietojen siirron lainmukaisuudesta henkilötietojen käsittelyssä. Ks. opas Henkilötietojen siirto ulkomaille henkilötietolain mukaan (pdf, 0.06 Mt).

Ainostaan silloin, jos opetustoimi tarjoaa digitaalisia palveluita oppilailleen vapaa-ajan käyttöön, niiden käyttö jää tietosuojavaltuutetun käsityksen mukaan huoltajien/oppilaiden itsemääräämisoikeuden varaan. Tietosuojavaltuutetun käsityksen mukaan vain silloin palveluiden käyttöön liittyvä henkilötietojen käsittely perustuu huoltajien/oppilaiden suostumukseen. Suostumuksen tulee olla vapaaehtoinen, yksilöity ja tietoinen tahdon ilmaisu (HeTiL 3 § 7 kohta ja 24 §). Suostumuksen voi näin ollen olla antamatta tai sen voi milloin tahansa peruuttaa. Ks. tietosuojavaltuutetun opas Henkilötietojen käsittely suostumuksen perusteella (pdf, 0.07 Mt).

Opetusalan hyvän tietojenkäsittelytavan ylläpidon kannalta tietosuojavaltuutettu on pitänyt tärkeänä, että opetusviranomaiset ottavat turvallisen henkilötietojen käsittelyn huomioon antaessaan yleisempiä linjauksia opetuksen digitalisoimisesta. On myös keskeistä, että oppilaitosten työntekijät opastetaan hyvän tietojenkäsittelytavan noudattamiseen oppimisympäristössä. Henkilötietojen käsittelyn edellytetään olevan avointa, minkä vuoksi käyttäjinä toimivia oppilaita ja heidän huoltajiaan tulee henkilötietolain 24 §:n mukaisesti informoida oppimisympäristöön liittyvästä henkilötietojen käsittelystä ja opastaa sen turvalliseen käyttöön. Lisäksi käyttöehdoissa on tärkeä ottaa kantaa siihen, minkälainen tieto- ja viestintäteknologian käyttö on oppilaitoksessa sallittua ja mitä väärinkäytöstä seuraa.