8.4.2025

Päätös, jota muutoksenhaku koskee

Helsingin hallinto-oikeus 30.6.2023 nro 3945/2023

Korkeimman hallinto-oikeuden ratkaisu

Korkein hallinto-oikeus myöntää valitusluvan ja tutkii asian.

1. Tietosuojavaltuutetun vaatimus ennakkoratkaisun pyytämisestä unionin tuomioistuimelta hylätään.

2. Espoon kaupungin vaatimus suullisen käsittelyn järjestämisestä hylätään.

3. Hallinto-oikeuden ja tietosuojavaltuutetun päätökset kumotaan. Asia palautetaan tietosuojavaltuutetulle uudelleen käsiteltäväksi.

4. Tietosuojavaltuutetun toimisto velvoitetaan korvaamaan Espoon kaupungin oikeudenkäyntikulut hallinto-oikeudessa ja korkeimmassa hallinto-oikeudessa yhteensä 30 000 eurolla viivästyskorkoineen. Viivästyskorko määrätään korkolain 4 §:n 1 momentissa tarkoitetun korkokannan mukaan siitä lähtien, kun kuukausi on kulunut korkeimman hallinto-oikeuden tämän päätöksen antamisesta.

Asian tausta

(1)  Espoon kaupunki  (jäljempänä myös rekisterinpitäjä tai kaupunki) on ottanut käyttöön Google Workspace for Education -ohjelmakokonaisuuden (jäljempänä myös opetusalusta tai opetusohjelma) perusopetuksessa. Kaupunki on katsonut, että tähän liittyvä henkilötietojen käsittelyn peruste on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, sillä käsittely on tarpeen kaupungin lakisääteisen velvoitteen noudattamiseksi eli perusopetuksen järjestämiseksi.

(2)  Tietosuojavaltuutettu on päätöksessään 30.12.2021 (dnro 1509/452/18) katsonut, siltä osin kuin korkeimmassa hallinto-oikeudessa on kysymys, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta ei tule tässä tapauksessa käsittelyperusteena sovellettavaksi eikä sähköisen opetusohjelman käyttöön liittyvä henkilötietojen käsittely tämän säännöksen nojalla ole ollut asetuksen mukaista. Espoon kaupungille on annettu asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet asetuksen mukaisiksi sekä 58 artiklan 2 kohdan b alakohdan mukainen huomautus säännösten vastaisista henkilötietojen käsittelytoimista.

(3) Tietosuojavaltuutetun päätöksen perusteluissa on todettu muun ohella, että lakisääteistä velvoitetta koskevaa käsittelyperustetta sovelletaan sellaisten säännösten perusteella, joissa viitataan nimenomaisesti käsittelyn luonteeseen ja tavoitteeseen. Perusopetuslaissa ei viitata nimenomaisesti käsittelyn luonteeseen, eikä lain mukaisen velvoitteen täyttäminen sellaisenaan edellytä sähköisen opetusohjelman käyttöä. Tietojenkäsittelyn keinoja ei ole laissa määritelty, ja sääntely jättää näiltä osin merkittävää harkinnanvaraa.

(4) Tietosuojavaltuutetun päätöksessä on lisäksi todettu kiinnitetyn huomiota muun ohella siihen, että oppilaasta kertyy tietoja pitkältä ajanjaksolta, tiedot voivat sisältää myös niin sanottuja arkaluonteisia tietoja, sähköisen opetusohjelman kautta käsitellään merkittävästi enemmän tietoja kuin perinteisen lähiopetuksen yhteydessä eikä tietojen käsittely rajoitu vain koulutehtävän kannalta välttämättömiin tietoihin. Lisäksi päätöksen mukaan huomiota on kiinnitetty siihen, että kyse on lasten tiedoista, rekisterinpitäjä on hyväksynyt Googlen vakiomuotoiset ehdot, tietojen käsittely on hajautettua, ohjelmaa käytetään koulun lisäksi kotona ja sähköisen palvelun käytöllä on vaikutuksia rekisterinpitäjän mahdollisuuksiin valvoa henkilötietojen käsittelyä. Edelleen on viitattu siihen, että käyttäjätilin tunnisteen luomiseen liittyvä salaus on tehty vanhentuneeksi katsotulla menetelmällä, ja siihen, että sähköisen opetusohjelman käyttöön liittyen rekisterinpitäjällä on merkittävää harkintavaltaa, eri vaihtoehtojen välillä voi olla suuria eroja eikä rekisteröidyllä ole vaikutusmahdollisuutta rekisterinpitäjän valintaan.

(5) Tietosuojavaltuutetun päätöksen mukaan sähköisen opetusohjelman käyttöön liittyvää henkilötietojen käsittelyä ei ole perusteltua katsoa automaattisesti siten tarpeelliseksi ja oikeasuhtaiseksi, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn suoraan ja ilman tapauskohtaista harkintaa perusopetuksen järjestämisvelvollisuutensa nojalla.

(6)  Hallinto-oikeus on päätöksellään 30.6.2023, siltä osin kuin korkeimmassa hallinto-oikeudessa on kysymys, hylännyt Espoon kaupungin valituksen tietosuojavaltuutetun päätöksestä. Hallinto-oikeus on hylännyt myös kaupungin vaatimuksen oikeudenkäyntikulujensa korvaamisesta.

(7) Hallinto-oikeus on perusteluissaan todennut muun ohella, että perusopetuslaissa ei nimenomaisesti viitata henkilötietojen käsittelyn luonteeseen eikä määritellä käsittelyn keinoja, vaan laki jättää rekisterinpitäjälle huomattavaa harkinnanvaraa henkilötietojen käsittelyssä käytettävien keinojen suhteen. Rekisterinpitäjä ei voi tässä tapauksessa oikeuttaa Googlen opetusohjelmaan liittyvää henkilötietojen käsittelyä suoraan lakisääteisen velvoitteen noudattamisen nojalla. Vaikka henkilötietojen käsittely sähköisessä opetusohjelmassa voi joissakin tilanteissa olla tarpeen perusopetuksen järjestämiseksi, perusopetuslain mukaisen velvoitteen täyttäminen ei sellaisenaan edellytä sähköisen opetusohjelman, saati jonkin nimenomaisen opetusohjelman, käyttämistä.

(8) Hallinto-oikeus on viitannut lisäksi siihen, että kyse on lasten henkilötiedoista, oppilas kirjautuu opetusohjelmaan omilla tunnuksillaan, rekisterinpitäjä käsittelee opetusohjelman käytön yhteydessä huomattavan määrän oppilaiden henkilötietoja ja tietoja kertyy pitkältä ajalta. Lisäksi hallinto-oikeus on viitannut siihen, että henkilötietojen käsittely ei rajoitu vain koulunkäynnin kannalta välttämättömiin ja tarpeellisiin tietoihin, sekä siihen, että kotikäytössä tietoturvasta huolehtiminen jää oppilaalle ja hänen huoltajilleen. Edelleen hallinto-oikeus on viitannut siihen, että rekisterinpitäjä on hyväksynyt Googlen vakiomuotoisen sopimuksen henkilötietojen käsittelystä ja käyttöehdot, eikä rekisterinpitäjällä ole ollut juurikaan mahdollisuutta vaikuttaa niiden sisältöön.

(9) Hallinto-oikeus on edellä mainitut seikat huomioon ottaen arvioinut, että rekisterinpitäjällä ei ole tosiasiallisesti mahdollisuutta riittävästi valvoa ja ohjeistaa Googlen suorittamaa henkilötietojen käsittelyä. Rekisterinpitäjän menettelyä Googlen opetusohjelman käytön yhteydessä ei voida tässä tapauksessa pitää siten tarpeellisena, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn vetoamalla suoraan lakisääteisen perusopetuksen järjestämisvelvoitteen noudattamiseen. Hallinto-oikeuden mukaan rekisterinpitäjän tapauksessa henkilötietojen käsittelyperusteeksi ei Googlen opetusohjelman osalta esitetyssä laajuudessa sovellu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. 

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Petteri Leppikorpi, Jonna Konstari ja Sari Komonen, joka on myös esitellyt asian.

Vaatimukset korkeimmassa hallinto-oikeudessa

(10)  Espoon kaupunki on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä ja valituksessaan vaatinut, että hallinto-oikeuden ja tietosuojavaltuutetun päätökset kumotaan. Asiassa on vahvistettava, että kaupunki on oikeutettu käsittelemään oppilaiden henkilötietoja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan perusteella järjestäessään perusopetusta Googlen nyt kysymyksessä olevan opetusalustan avulla.

(11) Espoon kaupunki on lisäksi vaatinut, että asiassa järjestetään suullinen käsittely muun ohella sen selvittämiseksi, mihin tarkoituksiin opetusalustaa ja sen sisältämiä ohjelmia käytetään ja millaisia tietoja siinä käsitellään. Edelleen kaupunki on vaatinut, että tietosuojavaltuutettu velvoitetaan korvaamaan kaupungin oikeudenkäyntikulut korkeimmassa hallinto-oikeudessa ja hallinto-oikeudessa 220 073,75 eurolla viivästyskorkoineen.

(12)  Tietosuojavaltuutettu on vaatinut, että kaupungin valitus ja vaatimus oikeudenkäyntikulujen korvaamisesta hylätään. Tietosuojavaltuutettu on lisäksi vaatinut ennakkoratkaisun pyytämistä unionin tuomioistuimelta, jos kysymys yleisen tietosuoja-asetuksen tulkinnasta katsotaan epäselväksi. Suullisen käsittelyn järjestäminen ei tietosuojavaltuutetun mukaan ole tarpeen.

Korkeimman hallinto-oikeuden ratkaisun perustelut

1. Ennakkoratkaisupyynnön hylkääminen

(13) Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta. Jos tällainen kysymys tulee esille sellaisessa kansallisessa tuomioistuimessa käsiteltävänä olevassa asiassa, jonka päätöksiin ei kansallisen lainsäädännön mukaan saa hakea muutosta, tämän tuomioistuimen on saatettava kysymys unionin tuomioistuimen käsiteltäväksi. Korkein hallinto-oikeus käyttää Suomessa ylintä tuomiovaltaa hallintolainkäyttöasioissa.

(14) Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että velvollisuutta tehdä ennakkoratkaisupyyntö ei kuitenkaan ole silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.

(15) Kun otetaan huomioon unionin tuomioistuimen oikeuskäytäntö ja sen soveltamismahdollisuus kysymyksessä olevaan asiaan, sekä ne perusteet, joilla korkein hallinto-oikeus on ratkaissut asian, asiassa ei ole tullut esille sellaista kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen olisi edellä mainittu huomioon ottaen tarpeen. Tätä koskeva vaatimus on siten hylättävä.

2. Suullinen käsittely

(16) Oikeudenkäynnistä hallintoasioissa annetun lain 57 §:n 1 momentin mukaan hallintotuomioistuimen on järjestettävä suullinen käsittely, jos tuomioistuin pitää sitä tarpeellisena tai yksityinen asianosainen sitä vaatii. Pykälän 2 momentissa on säädetty perusteista, joilla tuomioistuin voi asianosaisen vaatimuksesta huolimatta jättää suullisen käsittelyn järjestämättä. Pykälän 3 momentin mukaan korkein hallinto-oikeus voi asianosaisen vaatimuksesta huolimatta jättää suullisen käsittelyn järjestämättä myös, jos asiassa on kyse muutoksenhausta hallintotuomioistuimen päätökseen eikä suullisen käsittelyn järjestäminen ole tarpeen asian selvittämiseksi.

(17) Kun otetaan huomioon ne perusteet, joilla korkein hallinto-oikeus on ratkaissut asian, samoin kuin ne perusteet, joiden vuoksi Espoon kaupunki on vaatinut suullisen käsittelyn järjestämistä, selvitys, jota kaupunki on ilmoittanut siinä esittävänsä, sekä asiakirjoista saatava selvitys, suullisen käsittelyn järjestäminen ei ole tarpeen asian selvittämiseksi.

3. Pääasia

3.1 Kysymyksenasettelu

(18) Tietosuojavaltuutettu on päätöksellään ratkaissut kysymyksen siitä, onko henkilötietojen käsittelyperusteena voitu tässä asiassa soveltaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa. Päätös on siitä ilmenevin tavoin perustunut rekisterinpitäjältä pyydettyihin ja saatuihin selvityksiin.

(19) Tietosuojavaltuutetun päätöksessä ei ole viitattu rekisterinpitäjän osoitusvelvollisuutta koskevaan yleisen tietosuoja-asetuksen 5 artiklan 2 kohtaan. Päätöksestä ei muutoinkaan ilmene, että se olisi nyt kysymyksessä olevin osin perustunut rekisterinpitäjän laiminlyöntiin selvittää, mitä tietoja tai missä tarkoituksessa tietoja käsitellään, tai muutoin esittää tietojen käsittelystä tarpeellinen selvitys.  

(20) Edellä todettuun nähden asiassa tulee ratkaistavaksi, onko tietosuojavaltuutettu voinut päätöksessä esittämillään perusteilla katsoa, että henkilötietojen käsittelyperusteena ei tässä asiassa tule sovellettavaksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, sekä antaa Espoon kaupungille tällä perusteella päätöksestä ilmenevän huomautuksen ja määräyksen. Tätä kysymyksenasettelua ei muuta se, että valtuutettu on oikeudenkäynnin aikana viitannut kaupungin esittämän selvityksen olleen puutteellista.

3.2 Osapuolten keskeiset kannat

(21)  Espoon kaupungin mukaan henkilötietojen käsittely Google Workspace for Education -opetusalustalla on tarpeen kaupungin lakisääteisen velvoitteen eli perusopetuslain mukaisen perusopetuksen järjestämisen noudattamiseksi. Kaupungin tulee opetusta koskevien säännösten ja määräysten perusteella hyödyntää ja opettaa tieto- ja viestintäteknologiaa osana perusopetusta. Kaupungilla on velvollisuus antaa oppilaille valmiudet yleisesti käytössä olevien tieto- ja viestintäteknologian palveluiden hyödyntämiseen. Tietosuojavaltuutetun ja hallinto-oikeuden päätöksissä ei ole otettu huomioon kaikkia perusopetusta koskevia säännöksiä ja määräyksiä.

(22) Espoon kaupungin mukaan Google Workspace for Education on opetusalusta, joka koostuu useista itsenäisistä ja toisistaan erikseen käyttöön otettavissa olevista ohjelmista. Alustaan kuuluu tavanomaisia ohjelmia, kuten sähköposti, kalenteri, tekstinkäsittelyohjelma sekä laskentataulukko- ja esitystyökalut. Kaupunki on ottanut käyttöön vain perusopetuksen järjestämiseksi tarpeelliset ohjelmat. Henkilötietojen käsittelyperustetta on arvioitava kunkin käyttötilanteen osalta erikseen. Jos tietojen käsittelyyn sisältyy sekä käsittelytoimia, joihin käsittelyperuste soveltuu, että toimia, joihin mikään peruste ei sovellu, käsittely on kiellettyä vain viimeksi mainittujen käsittelytoimien osalta.

(23) Espoon kaupungin mukaan asiaa on virheellisesti arvioitu kategorisena kaikki tai ei mitään -kysymyksenä. Hallinto-oikeus ja tietosuojavaltuutettu ovat eri käsittelytoimia erittelemättä katsoneet, että kaupungin esittämä käsittelyperuste ei miltään osin sovellu Googlen opetusohjelman osalta henkilötietojen käsittelyperusteeksi, vaikka sähköisen opetusalustan käytön on sinänsä todettu voivan olla tarpeen perusopetuksen järjestämiseksi. Asiassa on myös virheellisesti perusteltu käsittelyperusteen soveltumattomuutta seikoilla, jotka liittyvät käsittelyn yleiseen lainmukaisuuteen tai jotka ovat ylipäänsä sähköisille opetusalustoille ja tietokoneohjelmille ominaisia. Tosiseikat on selvitetty puutteellisesti.

(24)  Tietosuojavaltuutetun  mukaan perusopetuksen järjestämisvelvollisuudesta ei voida johtaa velvollisuutta käyttää Googlen opetusohjelmaa. Oppilaiden henkilötietojen käsittely juuri Googlen opetusohjelmassa ei ole tosiasiallisesti tarpeen, jotta kaupunki voisi järjestää perusopetusta. Henkilötietojen käsittely yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla voi olla perusopetuksen järjestämisvelvollisuuteen vedoten mahdollista jonkin sähköisen opetusohjelman kohdalla. Kaupungilla ei ole lakisääteistä velvollisuutta käyttää Googlen opetusohjelmaa.

(25) Tietosuojavaltuutetun mukaan oppilaiden henkilötietojen käsittely on tässä tapauksessa laajaa niin määrällisesti kuin maantieteellisesti. Espoon kaupungilla ei ole näkyvyyttä siihen, miten Google tosiasiallisesti käsittelee oppilaiden henkilötietoja, eikä kaupunki pysty siten varmistumaan siitä, kuinka laajaa Googlen suorittama henkilötietojen käsittely on ja että tietoja käsitellään tarpeellisuusvaatimus huomioiden ja muutoinkin lainmukaisesti. Kaupunki ei ole esittänyt selvitystä Googlen suorittamasta tosiasiallisesta henkilötietojen käsittelystä, vaan on toimittanut selvityksenä esimerkiksi Googlen laatimia palvelukuvauksia ja sopimusehtoja, joissa Google on haluamallaan tavalla kertonut toiminnastaan. Kaupungin antamasta selvityksestä ei käy ilmi, onko se arvioinut asianmukaisesti sähköisen opetusohjelman käyttöön liittyvää henkilötietojen käsittelyä.

(26) Tietosuojavaltuutettu on todennut, että lähtökohtaisesti asiassa todetut epäkohdat koskevat yksittäisiä Googlen palveluita. Kaikki mitä Googlen opetusohjelmassa tehdään, tapahtuu Googlen palvelussa ja Googlella on pääsy sen omassa palvelussa käsiteltäviin tietoihin.

3.3 Sovellettavat oikeusohjeet

3.3.1 Yleinen tietosuoja-asetus

(27) Yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) 5 artiklan 1 kohdassa on säädetty henkilötietojen käsittelyä koskevista periaatteista ja niiden suhteen noudatettavista vaatimuksista. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (osoitusvelvollisuus).

(28) Asetuksen 6 artiklan 1 kohdan mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin muun ohella seuraava edellytys täyttyy: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (c alakohta).

(29) Saman artiklan 3 kohdan mukaan artiklan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko a) unionin oikeudessa; tai b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Samassa kohdassa on lisäksi säädetty muun ohella, että käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

(30) Asetuksen johdanto-osan 41 perustelukappaleen mukaan aina, kun asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti.

(31) Asetuksen johdanto-osan 45 perustelukappaleessa todetaan muun ohella, että kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteiseen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan [tehtävän] suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä.

3.3.2 Perusopetusta koskevia säännöksiä ja määräyksiä

(32)  Perusopetuslain 4 §:n 1 momentin mukaan kunta on velvollinen järjestämään sen alueella asuville lain 26 §:n 1 momentissa tarkoitetuille oppivelvollisuusikäisille perusopetusta.

(33) Perusopetuslain 14 §:n 1 momentin mukaan valtioneuvosto päättää laissa tarkoitetun opetuksen yleisistä valtakunnallisista tavoitteista sekä perusopetukseen käytettävän ajan jakamisesta eri oppiaineiden ja aineryhmien opetukseen sekä oppilaanohjaukseen ( tuntijako ). Saman pykälän 2 momentin mukaan Opetushallitus päättää perusopetuksen eri oppiaineiden ja aihekokonaisuuksien, oppilaanohjauksen ja muun mainitussa laissa tarkoitetun opetuksen tavoitteista ja keskeisistä sisällöistä sekä kodin ja koulun yhteistyön ja oppilashuollon keskeisistä periaatteista ja opetustoimeen kuuluvan oppilashuollon tavoitteista (opetussuunnitelman perusteet).

(34)  Perusopetuslaissa tarkoitetun opetuksen valtakunnallisista tavoitteista ja perusopetuksen tuntijaosta annetun valtioneuvoston asetuksen 3 §:n 1 momentin mukaan opetuksen tavoitteena on oppilaan laajan yleissivistyksen muodostuminen, maailmankuvan avartuminen ja syveneminen. Tämä edellyttää muun ohella talouden ja teknologian tuntemusta. Asetuksen 4 §:n 2 momentissa on säädetty muun ohella, että oppilaita ohjataan ja kannustetaan omatoimiseen ja kriittiseen tiedonhankintaan ja heille annetaan valmiudet sitä edellyttävän tieto- ja viestintäteknologian käyttöön.

(35)  Opetushallituksen määräyksessä perusopetuksen opetussuunnitelman perusteista 2014 todetaan perusopetuksen tavoitteista muun ohella, että tieto-­ ja viestintäteknologinen osaaminen on tärkeä kansalaistaito sekä itsessään että osana monilukutaitoa. Se on oppimisen kohde ja väline. Perusopetuksessa huolehditaan siitä, että kaikilla oppilailla on mahdollisuudet tieto­- ja viestintäteknologisen osaamisen kehittämiseen. Tieto- ja viestintäteknologiaa hyödynnetään suunnitelmallisesti perusopetuksen kaikilla vuosiluokilla, eri oppiaineissa ja monialaisissa oppimiskokonaisuuksissa sekä muussa koulutyössä. Oppilaita opastetaan tuntemaan tieto- ja viestintäteknologian erilaisia sovelluksia ja käyttötarkoituksia sekä huomaamaan niiden merkitys arjessa ja ihmisten välisessä vuorovaikutuksessa ja vaikuttamisen keinona.

(36) Opetushallituksen määräyksessä todetaan oppimisympäristöjen osalta muun ohella, että tieto-­ ja viestintäteknologia on olennainen osa monipuolisia oppimisympäristöjä. Sen avulla vahvistetaan oppilaiden osallisuutta ja yhteisöllisen työskentelyn taitoja sekä tuetaan oppilaiden henkilökohtaisia oppimispolkuja. Oppimisympäristöjen kehittämisessä otetaan huomioon monimuotoinen mediakulttuuri. Uusia tieto-­ ja viestintäteknologisia ratkaisuja otetaan käyttöön oppimisen edistämiseksi ja tukemiseksi. Oppilaiden omia tietoteknisiä laitteita voidaan käyttää oppimisen tukena huoltajien kanssa sovittavilla tavoilla. Samalla varmistetaan, että kaikilla oppilailla on mahdollisuus tieto-­ ja viestintäteknologian käyttöön.

3.4 Oikeudellinen arviointi ja lopputulos

3.4.1 Arvioinnin lähtökohdat

(37) Unionin tuomioistuimen oikeuskäytännön mukaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan oikeuttamisperustetta on tulkittava suppeasti, koska sen perusteella ilman rekisteröidyn suostumusta suoritettavasta henkilötietojen käsittelystä tulee lainmukaista (esim. C-394/23 Mousse, tuomion 27 kohta oikeuskäytäntöviittauksineen ja C-252/21 Meta Platforms ym., tuomion 93 kohta oikeuskäytäntöviittauksineen).

(38) Henkilötietojen käsittely yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla on lainmukaista, jos se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Asetuksen 6 artiklan 3 kohdassa täsmennetään, että käsittelyn on perustuttava unionin oikeuteen tai rekisterinpitäjään sovellettavaan jäsenvaltion lainsäädäntöön ja että tämän oikeusperusteen on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden (esim. C-17/22 ja C-18/22 HTB, tuomion 66 — 67 kohta ja C-252/21 Meta Platforms ym., tuomion 127 — 128 kohta oikeuskäytäntöviittauksineen).

(39) Lainsäädäntöön perustuvan henkilötietojen käsittelyn tulee soveltua yleisen edun mukaisten tavoitteiden saavuttamiseen, eikä sillä tule ylittää sitä, mikä on tarpeen näiden tavoitteiden saavuttamiseksi. Välttämättömyyden vaatimus täyttyy, jos tarkoitettua yleisen edun mukaista tavoitetta ei voida kohtuudella saavuttaa yhtä tehokkaasti muilla rekisteröityjen perusoikeuksia, erityisesti perusoikeuskirjan 7 ja 8 artiklassa taattuja yksityiselämän kunnioitusta ja henkilötietojen suojaa koskevia oikeuksia, vähemmän rajoittavilla keinoilla (esim. C-184/20 OT, tuomion 82 ja 85 kohta oikeuskäytäntöviittauksineen). Henkilötietojen suojan periaatetta koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (esim. C-394/23 Mousse, tuomion 28 kohta oikeuskäytäntöviittauksineen).

(40) Yleisessä tietosuoja-asetuksessa ei edellytetä parlamentissa hyväksyttyä säädöstä viitattaessa käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen olisi oltava ennakoitavissa henkilöille, joita se koskee (esim. C-17/22 ja C-18/22 HTB, tuomion 68 kohta).

3.4.2 Rekisterinpitäjän lakisääteinen velvoite

(41) Asiassa on ensin arvioitava, voiko perusopetusta koskeva sääntely ylipäänsä muodostaa Espoon kaupungille sellaista lakisääteistä velvoitetta, jonka noudattamiseen nyt kysymyksessä oleva henkilötietojen käsittely sähköisellä opetusalustalla voisi lähtökohtaisesti perustua.

(42) Tietosuojavaltuutetun ja hallinto-oikeuden päätöksissä on viitattu perusopetuslaissa säädettyyn velvollisuuteen järjestää perusopetusta. Päätösten mukaan laissa ei kuitenkaan ole määritelty henkilötietojen käsittelyn keinoja tai viitattu nimenomaisesti käsittelyn luonteeseen, eikä lain mukaisen velvoitteen täyttämisen sellaisenaan ole katsottu edellyttävän sähköisen opetusohjelman käyttämistä. Päätöksissä näytetään silti pidetyn mahdollisena, että henkilötietojen käsittely tällaisessa opetusohjelmassa voi tapauskohtaisesti olla oikeutettavissa perusopetuksen järjestämisvelvollisuuden nojalla.

(43) Päätökset eivät ole tältä osin yksiselitteisiä. Päätöksiä on kuitenkin perusteltua tulkita siten, että tässä asiassa perusopetusta koskevan sääntelyn ei ole katsottu voivan muodostaa Espoon kaupungille sellaista lakisääteistä velvoitetta, jonka noudattamiseen nyt kysymyksessä oleva henkilötietojen käsittely sähköisellä opetusalustalla voisi osaksikaan perustua.

(44) Korkein hallinto-oikeus toteaa, että kaupunki on perusopetuslain 4 §:n nojalla velvollinen järjestämään perusopetusta. Perusopetuslain mukaan valtioneuvosto päättää muun ohella opetuksen yleisistä valtakunnallisista tavoitteista ja Opetushallitus muun ohella opetuksen keskeisistä sisällöistä. Lain nojalla annetun valtioneuvoston asetuksen ja Opetushallituksen määräyksen tässä asiassa keskeinen sisältö on selostettu edellä.

(45) Perusopetuksen tavoitteita ja sisältöä koskevissa säännöksissä ja määräyksissä on korostettu muun ohella tieto- ja viestintäteknologian käyttöä koskevien valmiuksien antamista sekä teknologian tuntemuksen yleistä merkitystä. Tieto- ja viestintäteknologian on todettu olevan oppimisen kohde, väline ja olennainen osa monipuolisia oppimisympäristöjä. Perusopetuksessa tulee huolehtia muun ohella oppilaiden mahdollisuuksista tieto- ja viestintäteknologisen osaamisen kehittämiseen ja käyttöön, hyödyntää kyseistä teknologiaa monipuolisesti sekä ottaa käyttöön uusia tieto- ja viestintäteknologisia ratkaisuja oppimisen edistämiseksi ja tukemiseksi.

(46) Perusopetuksen tavoitteita ja sisältöä koskevien säännösten ja määräysten on katsottava edellyttävän, että perusopetuksessa käytetään tieto- ja viestintäteknologiaan perustuvia oppimisympäristöjä sekä muita tieto- ja viestintäteknologisen osaamisen kehittämisen kannalta olennaisia sovelluksia. Näiden säännösten ja määräysten voidaan vastaavasti katsoa muodostavan selkeän ja täsmällisen oikeusperusteen sellaiselle henkilötietojen käsittelylle, joka on välttämätöntä kyseisten sovellusten käyttämiselle niiden tavanomaista käyttötarkoitusta vastaavalla tavalla. Tällaista henkilötietojen käsittelyä perusopetuksessa voidaan pitää myös ennakoitavissa olevana.

(47) Espoon kaupunki on perusopetuslaissa tarkoitetun opetuksen järjestämiseksi ottanut käyttöön sähköisen opetusalustan, johon sisältyy tietoyhteiskunnassa yleisesti käytettyjä tai opetuksen toteuttamiseen kiinteästi liittyviä sovelluksia, kuten sähköposti, kalenteri, tiedostojen tallentamispalvelu sekä tekstin ja muun sisällön tuottamiseen ja koulutehtävien hallintaan liittyvät sovellukset. Tällaisten sovellusten käyttämistä voidaan lähtökohtaisesti pitää perusopetusta koskevien edellä todettujen vaatimusten mukaisena.

(48) Edellä todetun perusteella perusopetusta koskeva sääntely voi sinänsä muodostaa Espoon kaupungille sellaisen lakisääteisen velvoitteen, jonka noudattamiseen nyt kysymyksessä oleva henkilötietojen käsittely sähköisellä opetusalustalla voi lähtökohtaisesti perustua. Tietosuojavaltuutetun ja hallinto-oikeuden päätökset ovat siten virheelliset siltä osin kuin ne ovat perustuneet toisenlaiseen lähtökohtaan.

(49) Asiaa ei ole arvioitava toisin sen tietosuojavaltuutetun viittaaman seikan vuoksi, että perusopetusta koskevassa sääntelyssä Espoon kaupungille ei ole säädetty velvollisuutta käyttää juuri Googlen opetusalustaa. On ilmeistä, että yleisessä tietosuoja-asetuksessa ei edellytetä henkilötietojen käsittelystä säätämistä nimeltä mainittujen palvelujen tai tuotteiden tarkkuudella.

(50) Edellä olevan perusteella tietosuojavaltuutettu ei ole voinut päätöksessä tältä osin esitetyillä perusteilla katsoa, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta ei tule henkilötietojen käsittelyperusteena sovellettavaksi. Asiassa ei ole tässä vaiheessa tarpeen ottaa tarkemmin kantaa siihen, miltä kaikilta osin nyt kysymyksessä olevan henkilötietojen käsittelyn voidaan katsoa perustuvan lakisääteisen velvoitteen noudattamiseen.   

3.4.3 Tietosuojavaltuutetun ja hallinto-oikeuden päätösten arviointi muilta osin

(51) Henkilötietojen käsittely yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla edellyttää, että käsittelyn oikeusperuste täyttää yleisen edun mukaisen tavoitteen ja on oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Käsittelyn tulee olla tarpeen lakisääteisen velvoitteen noudattamiseksi.

(52) Tietosuojavaltuutettu ja hallinto-oikeus ovat päätöstensä perusteluissa tuoneet esiin seikkoja, joiden voidaan katsoa liittyvän muun ohella käsittelyn tarpeellisuutta ja oikeasuhtaisuutta koskeviin näkökohtiin. Päätökset eivät kuitenkaan ole tältäkään osin yksiselitteisiä. Päätösten perustelut viittaavat siihen, että henkilötietoja on katsottu tietyin osin käsiteltävän Espoon kaupungin käyttämän sähköisen opetusalustan yhteydessä laajemmin kuin on välttämätöntä eikä tietojen käsittelyyn tässä laajuudessa ole katsottu olevan kaupungin esittämää käsittelyperustetta. Päätösten lopputuloksena on kuitenkin ollut, että käsittelyperuste ei tule sovellettavaksi tässä asiassa miltään osin.

(53) Korkein hallinto-oikeus toteaa, että Espoon kaupungin käyttämän sähköisen opetusalustan yhteydessä käsitellään erilaisia henkilötietoja erilaisia käyttötarkoituksia varten. Tietoja voidaan käsitellä esimerkiksi käyttäjien yksilöimiseksi, sovellusten tarjoamiseksi tai palvelujen kehittämiseksi. Lisäksi sähköiseen opetusalustaan kuuluvia sovelluksia voidaan saadun selvityksen perusteella käyttää toisistaan itsenäisesti ja niissä voidaan käsitellä toisistaan poikkeavia tietoja.

(54) Siitä seikasta, että henkilötietojen käsittely esimerkiksi tiettyä käyttötarkoitusta varten ei ole välttämätöntä, ei voida päätellä, että henkilötietojen käsittelyyn ei voisi tässä asiassa miltään osin soveltua yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukainen käsittelyperuste. Tietosuojavaltuutetun ja hallinto-oikeuden päätökset, jotka edellä todetulla tavalla näyttävät perustuvan tällaiseen päättelyyn, ovat siten myös tältä osin lähtökohdiltaan virheelliset.

(55) Espoon kaupunki on esittänyt tietosuojavaltuutetulle selvitystä sähköisen opetusalustan yhteydessä käsiteltävistä tiedoista sekä niiden käsittelyä koskevista ehdoista ja sopimuksista. Kuten tietosuojavaltuutettu on korkeimmassa hallinto-oikeudessa viitannut, ehdoista ja sopimuksista on osittain vaikea varmuudella todeta, mitä kaikkia henkilötietoja ja missä tarkoituksessa niiden perusteella käsitellään.

(56) Rekisterinpitäjällä on sinänsä velvollisuus osoittaa, että henkilötietoja käsitellään laillista tarkoitusta varten. Tämän osoittamiseksi rekisterinpitäjän on kyettävä muun ohella selvittämään, mitä henkilötietoja se käsittelee ja missä tarkoituksessa. Tietosuojavaltuutettu voi ryhtyä yleisen tietosuoja-asetuksen mukaisiin toimiin rekisterinpitäjän laiminlyödessä velvollisuutensa.

(57) Kuten edellä jaksossa 3.1 on todettu, tässä asiassa tietosuojavaltuutetun päätös ei kuitenkaan ole perustunut rekisterinpitäjän laiminlyöntiin selvittää, mitä tietoja tai missä tarkoituksessa tietoja käsitellään, tai muutoin esittää tietojen käsittelystä tarpeellinen selvitys. Sen sijaan päätöksellä on rekisterinpitäjän esittämän selvityksen perusteella ratkaistu, onko tässä asiassa henkilötietojen käsittelyperusteena voitu soveltaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitettua käsittelyperustetta.

(58) Tietosuojavaltuutettu on perustellut päätöstään viittaamalla siihen, että käsiteltävät tiedot voivat sisältää niin sanottuja arkaluonteisia tietoja, että sähköisen opetusohjelman kautta käsitellään enemmän tietoja kuin perinteisen lähiopetuksen yhteydessä ja että tietojen käsittely ei rajoitu vain koulutehtävän kannalta välttämättömiin tietoihin. Nämä seikat voivat sinänsä pitää osin paikkansa. Niiden perusteella ei kuitenkaan voida katsoa, että esitetty käsittelyperuste ei sovellu tietojen käsittelyyn miltään osin.

(59) Tietosuojavaltuutettu on päätöksessään viitannut myös rekisterinpitäjän mahdollisuuksiin valvoa henkilötietojen käsittelyä, tietojen käsittelyn hajauttamiseen, opetusohjelman käyttöön koulun lisäksi kotona ja käyttäjätilin tunnisteen luomiseen liittyvään salaukseen. Lisäksi on viitattu rekisterinpitäjän harkintavaltaan, eri vaihtoehtojen välisiin eroihin ja siihen, että rekisteröidyllä ei ole vaikuttamismahdollisuutta rekisterinpitäjän tekemään valintaan. Päätöksen perusteella jää epäselväksi, miten nämä seikat liittyvät käsittelyperusteen arviointiin. Vaikka osalla mainituista seikoista saattaa olla merkitystä yleisen tietosuoja-asetuksen muiden säännösten soveltamisessa, niiden perusteella ei voida katsoa, että esitetty käsittelyperuste ei sovellu tietojen käsittelyyn miltään osin.

(60) Tietosuojavaltuutettu on vielä viitannut päätöksessään siihen, että kyse on lasten henkilötiedoista, tietoja kertyy pitkältä ajanjaksolta ja että rekisterinpitäjä on hyväksynyt Googlen vakiomuotoiset ehdot. Näillä seikoilla voi sinänsä olla merkitystä arvioitaessa käsittelyn oikeasuhtaisuutta ja tarpeellisuutta. Nekään eivät kuitenkaan ole sellaisenaan ja enemmälti yksilöimättöminä peruste katsoa, että esitetty käsittelyperuste ei sovellu tietojen käsittelyyn miltään osin.

3.4.4 Lopputulos

(61) Tietosuojavaltuutettu ei ole voinut päätöksessä esittämillään perusteilla katsoa, että henkilötietojen käsittelyperusteena ei tässä asiassa tule miltään osin sovellettavaksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Näin ollen tietosuojavaltuutettu ei ole myöskään voinut antaa Espoon kaupungille tällä perusteella päätöksestään ilmenevää määräystä saattaa henkilötietojen käsittelytoimia asetuksen mukaisiksi eikä huomautusta säännösten vastaisista käsittelytoimista.

(62) Hallinto-oikeuden päätös on perustunut olennaisesti samanlaisiin seikkoihin kuin tietosuojavaltuutetun päätös. Hallinto-oikeuden ei olisi tullut näillä perusteilla hylätä Espoon kaupungin valitusta.

(63) Korkein hallinto-oikeus ei ota ensi asteena tarkemmin ratkaistavakseen, miltä osin nyt kysymyksessä olevalta henkilötietojen käsittelyltä mahdollisesti puuttuu yleisen tietosuoja-asetuksen mukainen peruste. Asia palautetaan tältä osin tietosuojavaltuutetulle uudelleen käsiteltäväksi.

4. Oikeudenkäyntikulut

(64) Oikeudenkäynnistä hallintoasioissa annetun lain 95 §:n 1 momentin mukaan oikeudenkäynnin osapuoli on velvollinen korvaamaan toisen osapuolen oikeudenkäyntikulut kokonaan tai osaksi, jos erityisesti asiassa annettu ratkaisu huomioon ottaen on kohtuutonta, että tämä joutuu itse vastaamaan oikeudenkäyntikuluistaan. Saman pykälän 2 momentin mukaan korvausvelvollisuuden kohtuullisuutta arvioitaessa voidaan lisäksi ottaa huomioon asian oikeudellinen epäselvyys, osapuolten toiminta ja asian merkitys asianosaiselle.

(65) Pykälän yksityiskohtaisten perusteluiden (HE 29/2018 vp) mukaan lähtökohta on, että mikäli julkinen osapuoli häviää asian, se velvoitettaisiin korvaamaan toisen osapuolen oikeudenkäyntikulut. Perusteluiden mukaan korvausvelvollisuuden perusteita arvioitaessa tulee kiinnittää erityistä huomiota asiassa annettuun ratkaisuun. Asian lopputulos ei kuitenkaan ole oikeudenkäyntikulujen korvaamista arvioitaessa ainoa määräävä tekijä, vaan oikeudenkäyntikulujen korvaamista koskevassa ratkaisussa on kysymys kuluvastuun kohtuullisuuden kokonaisarvioinnista.

(66) Tietosuojavaltuutettu on tehnyt nyt kysymyksessä olevan päätöksensä sille säädetyn tietosuojalainsäädännön noudattamisen valvontatehtävän hoitamiseksi. Asia on ollut oikeudellisesti tulkinnanvarainen. Tietosuojavaltuutetun päätöksen kumoaminen ei sellaisenaan merkitse sitä, että Espoon kaupungin oikeudenkäyntikulujen jääminen kokonaan sen vahingoksi olisi oikeudenkäynnistä hallintoasioissa annetun lain 95 §:n 1 momentissa tarkoitetulla tavalla kohtuutonta.

(67) Kun kuitenkin otetaan erityisesti huomioon tietosuojavaltuutetun päätöksen perustelujen edellä todettu tulkinnanvaraisuus ja ne perusteet, joilla korkein hallinto-oikeus on ratkaissut asian, olisi kohtuutonta, jos Espoon kaupunki joutuisi itse vastaamaan oikeudenkäyntikuluistaan kokonaisuudessaan. Tämän vuoksi tietosuojavaltuutetun toimisto on oikeudenkäynnistä hallintoasioissa annetun lain 95 ja 100 §:n nojalla velvoitettava korvaamaan Espoon kaupungin oikeudenkäyntikulut korkeimmassa hallinto-oikeudessa ja hallinto-oikeudessa viivästyskorkoineen edellä päätöslauselmasta ilmenevällä, korkeimman hallinto-oikeuden kohtuulliseksi arvioimalla määrällä.

Asian ovat ratkaisseet oikeusneuvokset Outi Suviranta, Petri Helander, Taina Pyysaari, Toni Kaarresalo ja Robert Utter. Asian esittelijä Paul Karlsson.