Apulaistietosuojavaltuutetun päätöksiä kasvatuksen ja koulutuksen toimialalta

Apulaistietosuojavaltuutettu antoi alkuvuonna 2023 kaksi opetusta ja varhaiskasvatusta koskevaa päätöstä. Ensimmäinen koskee perusopetuksen järjestäjän velvollisuutta rajata oppilastietojen näkyvyyttä. Päätös osoittaa hyvin, että tietojärjestelmän ominaisuuksilla opetuksen järjestäjä ei voi perustella oppilaiden henkilötietojen käsittelyn lainmukaisuutta. 

Jälkimmäisessä ratkaisussa kyse oli varhaiskasvatuksen järjestäjän velvollisuudesta informoida asiakkaita henkilötietojen käsittelyn tarkoituksesta ja käsittelyperusteesta, tässä tapauksessa kyselyyn vastaamisen vapaaehtoisuudesta, ymmärrettävästi ja selkeästi. Samalla päätös osoittaa, että varhaiskasvatuksen järjestäjän tulee myös pystyä osoittamaan, että sen toiminnassa on noudatettu tietosuoja-asetuksen vaatimuksia.

Perusopetuksen järjestäjä ei noudattanut tietosuoja-asetusta käyttämässään sähköpostijärjestelmässä

Apulaistietosuojavaltuutetun päätös 21.3.2023 (5618/163/20) –Perusopetuksen järjestäjä ei noudattanut tietosuoja-asetusta, kun sen käyttämän sähköpostijärjestelmän osoitekirjassa olevien oppilaiden henkilötiedot näkyivät kaikissa kaupungin peruskouluissa ja lukioissa. (Finlex)

Kyse oli oppilaiden henkilötietojen näkymisestä perusopetuksen järjestäjän (rekisterinpitäjä) käyttämän sähköpostin osoitekirjassa muille saman sähköpostin käyttäjille. Osoitekirjassa näkyi oppilaan nimi, sähköpostiosoite, koulu, koulun osoite ja luokka. Oppilaiden tiedot sähköpostin osoitekirjassa näkyivät hänen oman koulunsa lisäksi kaikkien kunnan muiden peruskoulujen ja lukion oppilaille, opiskelijoille ja työntekijöille. Rekisterinpitäjä ei pystynyt osoittamaan oppilaiden tietojen näin laajan näkyvyyden asianmukaisuutta ja tarpeellisuutta perusopetuksen järjestämisessä. 

Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut noudattanut oppilaiden henkilötietojen käsittelyssä tietosuoja-asetuksen 5 artiklan lainmukaisuuden, kohtuullisuuden ja tietojen minimoinnin sekä luottamuksellisuuden vaatimuksia. Sen vuoksi rekisterinpitäjälle annettiin huomautus sekä määräys rajata oppilastietojen näkyvyys. Rekisterinpitäjän edellytettiin varmistavan, että oppilastietoja ei käsitellä enää siten, että ne näkyvät oppilaan oman koulun ulkopuolelle, ellei laajempaan näkyvyyteen ole opetuksen järjestämiseen liittyviä perusteita. Oppilaiden tietojen näkyvyys myös oman koulun sisällä tulee olla tarpeellista ja perusteltua perusopetuksen järjestämisen kannalta.  

Apulaistietosuojavaltuutetun päätös osoittaa, että perusopetuksen järjestäjän tulee käyttää opetuksen järjestämisessä sellaista sähköpostijärjestelmää ja muita tietoteknisiä ratkaisuja, jotka soveltuvat toiminnan luonteeseen ja jotka mahdollistavat tietosuojalainsäädännön noudattamisen oppilaiden henkilötietojen käsittelyssä. Rekisterinpitäjä ei voi perustella oppilaiden henkilötietojen käsittelyn lainmukaisuutta tietojärjestelmien ominaisuuksissa.

Varhaiskasvatuksen järjestäjä ei huolehtinut informointivelvollisuudestaan

Apulaistietosuojavaltuutetun päätös 18.1.2023 (3116/163/20) – Varhaiskasvatuksen järjestäjä ei ollut informoinut asiakkaita tietosuoja-asetuksen edellyttämällä tavalla henkilötietojen käsittelyn tarkoituksesta ja oikeusperusteesta eli kyselyyn vastaamisen vapaaehtoisuudesta. (Finlex)

Varhaiskasvatuksen järjestäjä (rekisterinpitäjä) oli lähettänyt asiakkaille koronapandemian alettua kyselylomakkeen ja tiedotteen lapsen hoidon järjestämisestä kotona.

Tietosuojavaltuutetun toimistolle toimitetun materiaalin perusteella asiassa on voinut jäädä epäselväksi henkilötietojen käsittelyn tarkoitus ja samalla myös se, millä edellytyksillä lapsi voi edelleen osallistua varhaiskasvatukseen. Kyselylomakkeella tai sen mukana toimitetussa tiedotteessa ei ole informoitu läpinäkyvästi siitä, että henkilötietoja käsitellään sen kartoittamiseksi, kuinka moni lapsi tarvitsee päivähoitoa. Rekisterinpitäjän mukaan poissaolotietoja tarvittiin maksuhyvitysten käsittelemiseksi.

Lomakkeen mukana lähetetyssä tiedotteessa oli ohjeistettu asiakkaita järjestämään lapsiensa hoito kotona, mikäli mahdollista. Tiedotteessa ei kuitenkaan nimenomaisesti kerrottu, mikä merkitys vastauksella on, eli voidaanko lapsen päivähoito vastausten perusteella evätä. Tietosuojavaltuutetun toimistolle toimitetun materiaalin perusteella ei ollut selvää, onko henkilötietojen käsittelyn tarkoitus kyselyssä ollut selvittää lasten hoidon järjestämistä kotona, maksuhyvitysten käsittely, vai molemmat.

Tietosuojavaltuutetun toimistolle toimitetussa kyselylomakkeessa lukee, että kyselyssä kysyttyjen henkilötietojen käsittely perustuu suostumukseen, jonka henkilö antaa vastaamalla kyseiseen kyselyyn. Rekisterinpitäjän vastauksen mukaan henkilötietojen käsittelyn peruste on ollut lakisääteinen velvoite, jota selvityksessä ei ole täsmennetty. Rekisterinpitäjän vastauksen mukaan kyselyyn vastaaminen on ollut vapaaehtoista, mutta samalla rekisterinpitäjä toteaa, että tietojen saaminen on ollut varhaiskasvatuksen järjestäjän kannalta välttämätöntä.

Tietosuojavaltuutetun toimiston saaman yhteydenoton mukaan päiväkodissa olisi kerrottu, että kysely tulee palauttaa päivähoitoon.

Varhaiskasvatuksen asiakasperheelle kyselyn vapaaehtoisuus saattoi jäädä epäselväksi

Apulaistietosuojavaltuutettu katsoi, että asiakkaalla on voinut tilanteessa olla vaikea arvioida sitä, voiko hän jättää vastaamatta kyselyyn, vaikka vastaajalle on kerrottu, että vastaaminen on vapaaehtoista. Varhaiskasvatuksen asiakkaille on voinut jäädä epäselväksi, perustuiko henkilötietojen käsittely suostumukseen vai lakisääteiseen velvoitteeseen.

Apulaistietosuojavaltuutettu katsoi, että henkilötietojen käsittelyn tarkoituksesta ja oikeusperusteesta ei ole informoitu tietosuoja-asetuksen edellyttämällä tavalla riittävän läpinäkyvästi. Sen vuoksi rekisterinpitäjälle annettiin asiassa huomautus.

Apulaistietosuojavaltuutetun päätös osoittaa, että varhaiskasvatuksen järjestäjä on velvollinen huolehtimaan, että asiakkaita tiedotetaan henkilötietojen käsittelystä helposti ymmärrettävässä ja selkeässä muodossa. Päätös ilmentää hyvin myös rekisterinpitäjän velvollisuutta pystyä osoittamaan, että tietosuoja-asetuksen vaatimuksia on noudatettu.

Aiheesta lisää

Apulaistietosuojavaltuutetun päätökset

• Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa
  TSV 21.3.2023. FINLEX

• Varhaiskasvatuksen asiakkaiden informointi henkilötietojen käsittelyn tarkoituksesta ja käsittelyn oikeusperusteesta
  TSV 18.1.2023. FINLEX

Kuntaliiton verkkopalvelussa

• Henkilötietojen käsittely kunnassa