Miten opiskelijoiden henkilötietoja käsitellään opiskelijan valmistuttua?
- Asiasanat
- opetusala, henkilötiedot
- Tapausvuosi
- 2010
- Antopäivä
- Diaarinumero
- 775/41/2010
- Säädösperusta
- Henkilötietolain mukainen päätös
ASIA
Tietosuojavaltuutetulta tiedusteltiin, minkälaiset käytänteet olisivat hyviä tietosuojan kannalta koskien opiskelijoiden henkilötietojen poistamista opintohallintojärjestelmästä sen jälkeen, kun opiskelija valmistuu tai eroaa.
TIETOSUOJAVALTUUTETUN VASTAUS
Toimintaa koskevassa opetustoimen lainsäädännössä voi olla henkilötietojen käsittelyyn vaikuttavia säännöksiä. Sen lisäksi henkilötietojen käsittelyyn sovelletaan henkilötietolakia (HTL) yleislakina. Henkilötieto on määritelty lain 3 §:n 1 kohdassa.
Henkilötietojen käsittely tulee suunnitella. Käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään (6 §). Oppilaitoksissa käsitellään sekä hakijoiden että opiskelijoiden henkilötietoja ja tietojen käsittelyn on katsottu perustuvan lain 8.1 § 5 kohtaan. Lain 11 §:ssä määriteltyjen arkaluonteisten tietojen (esim. terveydentilaa tai sairautta kuvaavat tiedot) käsittelyn edellytyksistä säädetään lain 12 §:ssä.
Samaan henkilörekisteriin kuuluvat käyttötarkoituksensa vuoksi yhteenkuuluvat merkinnät (3 § 3 kohta). Opiskelijavalinnassa hakijasta voidaan kerätä valinnan suorittamisen kannalta tarpeellisia henkilötietoja. Tiedot talletetaan valintarekisteriin. Koulutusta järjestettäessä opiskelijasta kerättävät tarpeelliset tiedot talletetaan opiskelijarekisteriin. Henkilötietojen käsittelystä vastaa lain 3 §:n 4 kohdassa määritelty rekisterinpitäjä (koulutuksen järjestäjä).
Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (6 §). Henkilötietolaki asettaa rekisterinpitäjille huolellisuusvelvoitteen (5 §), käyttötarkoitussidonnaisuuden vaatimuksen (7 §) sekä tietojen laatua koskevat vaatimukset (9 §). Rekisterinpitäjän tulee suojata tiedot asiattomalta pääsyltä ja laittomalta käsittelyltä (32 §). Koulun henkilökunnalle annetaan työtehtävien edellyttämät käyttöoikeudet ja käyttöoikeuksien käyttö valvotaan säännöllisesti.
Tietojen säilyttämistarvetta arvioitaessa tulee ottaa huomioon henkilötietolain 9.1 §, 12.2 § ja 34 §, ellei erityisiä säännöksiä ja määräyksiä henkilötietojen säilyttämisestä ole. Esimerkiksi kunnan ja kuntayhtymän järjestämään opetukseen sovelletaan arkistolakia. Arkistonmuodostamissuunnitelmassa määritellään, kuinka kauan opiskelijoiden henkilötietoja säilytetään arkistossa sen jälkeen, kun tietoja ei ole enää tarpeen käyttää aktiivikäytössä päivittäisessä toiminnassa. Arkistolaitos on antanut oppaan Säilytysaikojen määrittelyn periaatteiksi (Arkistolaitos 2005), jossa asiaa käsitellään tarkemmin. Oppaasta ilmenee, että passiivisessa säilytysvaiheessa olevaa tietoa ei käytetä enää hyväksi rekisterinpitäjän operatiivisessa toiminnassa. Passiivisessa säilytysvaiheessa olevien tietojen käyttöoikeudet täytyy rajoittaa siten, että vain arkistonhoidosta vastaavat henkilöt voivat käsitellä niitä. Tietoja hävitettäessä on toimittava siten, että hävitettävät tiedot eivät päädy ulkopuolisten käsiin. Tietojen arkistoinnin osalta tarkempaa neuvoa antaa arkistolaitos.