Finlex - Etusivulle
Tietosuojavaltuutettu

30.12.2021

Tietosuojavaltuutettu

Tietosuojavaltuutetun ratkaisuja EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta

Henkilötietojen käsittelyn lainmukaisuus ja siirto kolmansiin maihin koulun opetusohjelman käytössä

Asiasanat
Käsittelyperuste, Tiedonsiirrot
Tapausvuosi
2021
Antopäivä
Diaarinumero
1509/452/18
Säädösperusta
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Tietosuojavaltuutetun päätös käsittelyn lainmukaisuutta ja henkilötietojen siirtoa kolmansiin maihin koskevassa asiassa

Asia

Googlen opetusohjelman käyttö koulussa

Rekisterinpitäjä

Kaupunki

Vireillesaattajalta saatu selvitys

Tietosuojavaltuutetun toimistossa on 30.4.2018 saatettu vireille asia, jossa vireillesaattaja on ilmaissut huolensa Google Suite for Education -ohjelman käytöstä koulussa (nykyään Google Workspace for Education). Vireillesaattaja pohtii, onko koulu menetellyt asiassa tietosuojasääntelyn mukaisesti.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 1.7.2020 päivätyllä selvityspyynnöllä sekä 7.9.2020 ja 22.11.2021 päivätyillä lisäselvityspyynnöillä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 14.8.2020 ja lisäselvitykset 28.9.2020 ja 26.11.2021.

Rekisterinpitäjä on antamassaan selvityksessä kertonut, ettei se pyydä Googlen opetusohjelman käyttöön huoltajan suostumusta, vaan käsittelyperusteena sovelletaan yleisen tietosuoja-asetuksen 6(1)(c) artiklaa (lakisääteisen velvoitteen noudattaminen). Henkilötietojen käsittely on rekisterinpitäjän mukaan tarpeellista perusopetuksen järjestämiseksi perusopetuslain mukaisesti. Opetustoimi pyytää kuitenkin huoltajia hyväksymään tieto- ja viestintäteknologiapalveluiden käyttöehdot, joissa kerrotaan, millaisia palveluita opetuksessa käytetään ja millaisia sääntöjä käyttöön liittyy. Käyttöohjeisiin sitoutuminen on oleellista, koska tunnukset ovat käytettävissä myös kouluajan ulkopuolella.

Rekisterinpitäjän mukaan Googlen palvelusta on solmittu yleisen tietosuoja-asetuksen 28 artiklan mukainen tietojenkäsittelysopimus Googlen pilvipalveluiden palveluntoimittajan, eli Cloudpoint Oy:n kanssa. Tämän lisäksi rekisterinpitäjä on hyväksynyt Googlen käyttöehdot.

Tilanteessa, jossa huoltaja ei hyväksy käyttöehtoja, koulu keskustelee rekisterinpitäjän mukaan huoltajan kanssa siitä, mitä työvälineitä huoltaja mahdollisesti hyväksyisi opetuksen järjestämisessä ja miten opetussuunnitelman aiheeseen liittyvät velvoitteet hoidetaan oppilaiden yhdenvertainen kohtelu huomioiden.

Rekisterinpitäjän tarkoituksena on, että oppilaat tutustuvat sekä Googlen että Microsoftin pilvipalveluihin koulunkäyntinsä aikana. Koronaviruksen aiheuttamien poikkeusolojen aikana opetus ja opiskelu on tapahtunut pääsääntöisesti näissä pilvipalveluissa, ja Googlen G Suite on vireillesaattajan esille nostamassa koulussa ensisijainen sähköinen oppimisympäristö.

Asiassa saadun selvityksen mukaan Google G Suite -ohjelmaa tuotetaan Visman Primus -kouluhallintojärjestelmän käyttäjäidentiteetillä, ja oppilaan perustiedot ovat tällöin: etunimi, kutsumanimi, sukunimi, sähköpostiosoite, koulun nimi, luokka, luokka-aste, rooli (oppilas), kielikoodi, salattu henkilötunnus (PrimusID), koulun tilastokoodi, OID (OppilasID) ja tiedon lähde. Selkokielistä henkilötunnusta ei siirry Googlen palveluun, vaan käytössä on algoritmi, joka estää henkilötunnuksen siirtymisen salaamattomana Googlelle. Rekisterinpitäjän mukaan opetuksen järjestelmissä ollaan siirtymässä Opetushallituksen ylläpitämän Koski-palvelun OID-tunnisteeseen.

Kansainväliset tiedonsiirrot on rekisterinpitäjältä syksyllä 2020 saadun selvityksen mukaan toteutettu komission tietosuojan riittävyyttä koskevan päätöksen mukaisella järjestelyllä sekä komission vakiolausekkeiden nojalla. Rekisterinpitäjän 26.11.2021 antaman lisäselvityksen mukaan palvelun yleisiä sopimusehtoja on päivitetty 24.9.2021, ja päivitykset odottavat rekisterinpitäjän hyväksyntää. Päivitykset koskevat rekisterinpitäjän mukaan muun muassa vakiolausekkeita. Rekisterinpitäjä kertoo, että Google on oman ilmoituksensa mukaan ollut vaatimusten mukainen jo aiemmin, eikä teknisiä lisäsuojamekanismeja ole sittemmin otettu käyttöön.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen 5(1)(a) artiklassa säädetään käsittelyn lainmukaisuuden periaatteesta. Periaatteen toteutuminen edellyttää, että käsittelylle on määritelty lainmukainen käsittelyperuste. Lainmukaisuusperiaate on osa yleisen tietosuoja-asetuksen lähtökohtana olevaa sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta (yleisen tietosuoja-asetuksen 25 artikla), jota noudattaakseen rekisterinpitäjän tulee ottaa tietosuoja huomioon toiminnassaan alusta alkaen. Sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen edellyttää, että rekisterinpitäjä panee tietosuojaperiaatteet, kuten lainmukaisuusperiaatteen, täytäntöön tehokkaasti.

Yleisen tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. Jotta henkilötietojen käsittely olisi lainmukaista, sille tulee olla olemassa yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste.

Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Artiklan 1 kohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on kiellettyä. Artiklan 2 kohdan mukaan artiklan 1 kohtaa ei sovelleta, jos sovelletaan jotakin artiklan 2 kohdan käsittelyperusteista.

Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet. Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Yleisen tietosuoja-asetuksen 35 artiklassa säädetään tietosuojaa koskevasta vaikutustenarvioinnista. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin. Artiklan 3 kohdan mukaan tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti esimerkiksi tapauksissa, joissa kyseessä on laajamittainen käsittely, joka kohdistuu yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin. Artiklan 7 kohdassa säädetään puolestaan vaikutustenarvioinnin vähimmäissisällöstä. Artiklan 9 kohdan mukaan rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että tämä saa vaikuttaa kaupallisten tai yleisten etujen suojeluun tai käsittelytoimien turvallisuuteen. Artiklan 11 kohdan mukaan erityisesti käsittelytoimien sisältämän riskin muuttuessa, rekisterinpitäjän on tehtävä uudelleentarkastelu.

Yleisen tietosuoja-asetuksen 44 artiklassa säädetään henkilötietojen siirtoja koskevasta yleisestä periaatteesta. Artiklan mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat yleisen tietosuoja-asetuksen V-luvussa vahvistettuja edellytyksiä, ja ellei yleisen tietosuoja-asetuksen muista säännöksistä muuta johdu; tämä koskee myös henkilötietojen siirtämistä edelleen kyseisestä kolmannesta maasta tai kansainvälisestä järjestöstä toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle. Kaikkia yleisen tietosuoja-asetuksen V-luvun säännöksiä on sovellettava, jotta varmistetaan, että yleisen tietosuoja-asetuksella taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta.

Yleisen tietosuoja-asetuksen 45 artiklassa säädetään henkilötietojen siirrosta tietosuojan riittävyyttä koskevan päätöksen perusteella. Artiklan 1 kohdan mukaan henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa.

Yleisen tietosuoja-asetuksen 46 artiklassa säädetään henkilötietojen siirrosta kolmanteen maahan tai kansainväliselle järjestölle asianmukaisia suojatoimia soveltaen. Jollei yleisen tietosuoja-asetuksen 45 artiklan 3 kohdan mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja. Artiklan kohdissa 2 ja 3 on avattu, mitä asianmukaiset suojatoimet voivat olla.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Tietosuojavaltuutetun on ratkaistava:

1) Voidaanko henkilötietojen käsittelyperusteena soveltaa tässä tapauksessa yleisen tietosuoja-asetuksen 6(1)(c) artiklaa

2) Onko rekisterinpitäjä huolehtinut asianmukaisesti siitä, että kansainväliset tiedonsiirrot tapahtuvat tietosuojasääntelyn mukaisesti

Tietosuojavaltuutetun päätös

Päätös

Henkilötietojen käsittelyperusteena ei tässä tapauksessa tule sovellettavaksi yleisen tietosuoja-asetuksen 6(1)(c) artikla, eikä rekisterinpitäjän menettely koskien sähköisen opetusohjelman käyttöön liittyvää oppilaiden henkilötietojen käsittelyä kyseisen käsittelyperusteen nojalla ole näin ollen ollut yleisen tietosuoja-asetuksen mukainen.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi.

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista.

Kansainvälisten tiedonsiirtojen osalta tietosuojavaltuutettu antaa rekisterinpitäjälle ohjausta (ks. päätösasiakirjan s. 10). Kaupungin on toimitettava 29.4.2022 mennessä tietosuojavaltuutetun toimistolle tiedoksi toimenpiteet, joihin se on ohjauksen johdosta ryhtynyt.

Perustelut

Lakisääteisen velvoitteen noudattaminen henkilötietojen käsittelyperusteena

Asiassa saadun selvityksen mukaan rekisterinpitäjä on soveltanut henkilötietojen käsittelyperusteena yleisen tietosuoja-asetuksen 6(1)(c) artiklaa. Yleisen tietosuoja-asetuksen 6(1)(c) artiklan mukaan henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin:

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi

Rekisterinpitäjä täsmentää selvityksessään, että se käsittelee oppilaiden henkilötietoja sähköisessä opetusohjelmassa lakisääteisen velvoitteen noudattamiseksi eli perusopetuksen järjestämiseksi perusopetuslain mukaisesti.

Rekisterinpitäjän esittämän henkilötietojen käsittelyperusteen osalta todettakoon seuraavaa: Silloin, kun henkilötietojen käsittelyperusteena on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, velvoitteen asettavan lain on täytettävä kaikki merkitykselliset ehdot, jotta velvoite on pätevä ja sitova, ja sen on myös täytettävä tietosuojalainsäädännön vaatimukset tarpeellisuutta, oikeasuhteisuutta ja käyttötarkoituksen rajaamista koskeva vaatimus mukaan lukien. Rekisterinpitäjällä ei myöskään saa olla valinnanvaraa sen suhteen, täyttääkö se velvoitteen. Näin ollen vapaaehtoiset yksipuoliset sitoumukset ja julkisen ja yksityisen sektorin kumppanuudet, joissa käsitellään tietoja laajemmin kuin mitä lainsäädännössä edellytetään, eivät kuulu lakisääteistä tehtävää koskevan henkilötietojen käsittelyperusteen soveltamisalaan. Lisäksi itse laillisen velvoitteen on oltava riittävän selvä sen edellyttämän henkilötietojen käsittelyn suhteen. Näin ollen rekisterinpitäjän lakisääteistä velvoitetta koskevaa henkilötietojen käsittelyperustetta sovelletaan sellaisten säännösten perusteella, joissa viitataan nimenomaisesti käsittelyn luonteeseen ja tavoitteeseen. Rekisterinpitäjällä ei saisi olla kohtuutonta harkinnanvaraa sen suhteen, miten se noudattaa laillista velvoitetta.

Nyt arvioitavana olevassa asiassa rekisterinpitäjän lakisääteinen velvoite järjestää perusopetusta perustuu perusopetuslain (628/1998) 4 §:ään, jonka mukaan kunta on velvollinen järjestämään sen alueella asuville 26 §:n 1 momentissa tarkoitetuille oppivelvollisuusikäisille perusopetusta. Tämä rekisterinpitäjän velvollisuus järjestää perusopetusta edellyttää kiistatta oppilaiden henkilötietojen käsittelyä, ja tietosuojavaltuutettu korostaa, että lakisääteisen velvoitteen noudattaminen on pääsääntöinen käsittelyperuste koulun käsitellessä oppilaiden henkilötietoja. Perusopetuslaissa ei kuitenkaan viitata nimenomaisesti käsittelyn luonteeseen, eikä perusopetuslain mukaisen velvoitteen täyttäminen sellaisenaan edellytä esimerkiksi sähköisen opetusohjelman käyttöä. Tietojenkäsittelyn keinoja ei ole laissa määritelty, ja sääntely jättää näiltä osin merkittävää harkinnanvaraa sen suhteen, millaisia keinoja rekisterinpitäjä käyttää henkilötietojen käsittelyssä toteuttaessaan laista tulevaa velvoitettaan.

Tietosuojavaltuutettu kiinnittää asiassa huomiota myös seuraaviin seikkoihin:

Kouluvuosien aikana oppilaasta kertyy esimerkiksi hänen elämäänsä ja kehitystään kuvaavia tietoja pitkältä ajanjaksolta. Rekisterinpitäjän antaman selvityksen mukaan tiedot saattavat sisältää myös erityisiin henkilötietoryhmiin kuuluvia, eli niin sanottuja arkaluonteisia tietoja. Koska rekisterinpitäjä on soveltanut henkilötietojen käsittelyperusteena yleisen tietosuoja-asetuksen 6(1)(c) artiklaa (lakisääteisen velvoitteen noudattaminen), yleisen tietosuoja-asetuksen 9(1) artikla (erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn kielto) ei ole rekisterinpitäjän mukaan tullut tietosuojalain 6 §:n mukaisesti sovellettavaksi. Huomioitakoon, että sähköisen opetusohjelman kautta käsitellään myös merkittävästi enemmän henkilötietoja kuin esimerkiksi perinteisen lähiopetuksen yhteydessä. Esimerkiksi Googlen koulukäyttöön tarkoitettuun palvelupakettiin sisältyy ohjelmia, joiden kautta saatetaan kerätä ja tallentaa rekisteröidyn puhetta, videokuvaa rekisteröidystä, sekä videokuvaan sisältyvää muuta informaatiota, kuten kuvaan sisältyvä näkymä oppilaan kodista. Oppilaan henkilötietojen käsittely ei näin ollen rajoitu ainoastaan esimerkiksi koulutehtävänannon kannalta välttämättömiin tietoihin, ja oppilaasta kerätään yksityiskohtaisesti myös sellaista tietoa, jonka käsittely liittyy nimenomaisesti sähköisen opetusohjelman käyttöön.

Sähköisen palvelun käytöllä on vaikutuksia myös rekisterinpitäjän mahdollisuuksiin valvoa henkilötietojen käsittelijöiden ja alihankkijoiden suorittamaa henkilötietojen käsittelyä. Tässä tapauksessa tietojenkäsittelyn luonne, kesto ja henkilötietojen määrä kunkin yksittäisen rekisteröidyn kohdalla huomioiden, rekisterinpitäjän kontrolli henkilötietojen käsittelyssä jää vähäiseksi ottaen myös huomioon, että rekisterinpitäjä on hyväksynyt henkilötietojen käsittelijän laatiman vakiomuotoisen tietojenkäsittelysopimuksen ja palvelun käyttöehdot, sekä erityisesti sen, että kyse on lasten henkilötiedoista. Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittamien asiakirjojen pohjalta on myös merkillepantavaa, että henkilötietojen käsittely on hajautettu sekä maantieteellisesti että useina henkilötiedoista tehtyinä kopioina.

Edellä todettuun liittyen voidaan huomioida rekisterinpitäjän 26.11.2021 antama lisäselvitys, jonka mukaan rekisterinpitäjä on tehnyt opetusohjelman osalta yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin. Rekisterinpitäjä on vaikutustenarvioinnissaan nostanut esille, että ” Google Workspace -palvelu perustuu Google for Education yleisiin kaupungille tarjoamiin sopimusehtoihin. Koska ehdot ovat yleiset ja osittain vaikeasti tulkittavat, palvelun käyttöön liittyy riski siitä, että käsittelytapoja ei ole määritelty tarpeeksi läpinäkyvästi ja selkeästi, eikä pystytä varmistamaan tarkasti tietojen käsittelytapoja ”.

Nyt arvioitavana olevassa asiassa huomiota tulee kiinnittää myös siihen, että opetusohjelmaa käytetään koulun ohella kotona, oppilaan omasta verkosta ja omilla laitteilla. Tietosuojavaltuutettu toteaa, että tällainen toimintatapa edellyttää rekisteröidyn vapaaehtoisuutta, eikä menettelyä voida oikeuttaa lakisääteisen perusopetuksen järjestämisvelvoitteen noudattamisen nojalla.

Tietosuojavaltuutettu kiinnittää huomiota lisäksi siihen, että oppilaan käyttäjätilin tunnisteen luomisessa tehtävä henkilötunnuksen salaus on esitetyn mukaan muodostettu MD5-menetelmällä, joka estää henkilötunnuksen siirtymisen salaamattomana eteenpäin. MD5-algoritmin katsotaan kuitenkin tietoturvamielessä olevan vanhentunut, sillä algoritmi on murrettu ja sen murtamiseen on esimerkiksi löydettävissä ohjelmistoja internetistä.

Tietosuojavaltuutettu toteaa yleisesti sähköisten opetusohjelmien osalta, että koska sähköisen opetusohjelman käyttöön liittyen rekisterinpitäjällä on merkittävää harkintavaltaa, ja koska eri vaihtoehtojen välillä voi olla suuria eroja esimerkiksi henkilötietojen käsittelijöiden ja alihankkijoiden lukumäärässä, maantieteellisessä sijoittautumisessa ja valvontamahdollisuuksissa sekä ohjelman tietosuoja- ja tietoturvatoteutuksessa, eikä rekisteröidyllä ole vaikutusmahdollisuutta rekisterinpitäjän tekemään valintaan, ohjelman käyttöön liittyvää henkilötietojen käsittelyä ei ole perusteltua katsoa automaattisesti siten tarpeelliseksi ja oikeasuhteiseksi, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn suoraan ja ilman tapauskohtaista harkintaa lakisääteisen perusopetuksen järjestämisvelvollisuutensa nojalla. Tässä arvioinnissa tietosuojavaltuutettu kiinnittää huomiota myös päätöksessä aiemmin mainittuihin seikkoihin, mukaan lukien erityisesti henkilötietojen määrä ja luonne.

Tietosuojavaltuutettu toteaa lisäksi, että silloin, kun koulu käyttää opetuksessa maksuttomia ohjelmia, sen kannattaa ennen palvelun käyttöönottoa arvioida, mihin palvelun maksuttomuus perustuu. Huomiota on perusteltua kiinnittää myös siihen, millaiseen palvelukokonaisuuteen yksittäinen palvelu kytkeytyy, ja miten esimerkiksi rekisterinpitäjyys palvelupaketin eri osia käytettäessä määräytyy, sekä mitkä sopimusehdot tulevat kulloinkin sovellettavaksi. Tietosuojavaltuutettu muistuttaa, että rekisterinpitäjällä on yleisen tietosuoja-asetuksen 25 artiklan mukainen velvollisuus huomioida tietosuoja toiminnassaan alusta alkaen, ja sisäänrakennettu ja oletusarvoinen tietosuoja tulee integroida tehokkaasti henkilötietojen käsittelyyn.

Tietosuojavaltuutettu muistuttaa myös rekisterinpitäjän velvollisuudesta huolehtia siitä, että se informoi rekisteröityjä henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 12–14 artiklojen mukaisesti. Rekisteröidyn tulee saada henkilötietojen käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävissä ja saatavilla olevassa muodossa, ja informaation tulee sisältää esimerkiksi tieto henkilötietojen vastaanottajista, joihin lukeutuvat myös henkilötietojen käsittelijät. Tietojen ymmärrettävyyttä on arvioitava rekisteröidyn näkökulmasta, ja esimerkiksi lapselle annettavan informaation tulee olla lapsen helposti ymmärrettävissä.

Muista henkilötietojen käsittelyperusteista

Yleisen tietosuoja-asetuksen 6(1)(f) artiklassa säädetään rekisterinpitäjän ja kolmannen osapuolen oikeutetusta edusta henkilötietojen käsittelyperusteena. Oikeutettua etua ei lainkohdan mukaan voida soveltaa käsittelyperusteena, kun kyse on tietojenkäsittelystä, jota viranomaiset suorittavat tehtäviensä yhteydessä.

Yleisen tietosuoja-asetuksen 6(1)(a) artiklan mukaisen suostumuksen kohdalla rekisterinpitäjän tulee puolestaan huomioida yleisen tietosuoja-asetuksen 7 artiklasta tulevat suostumuksen edellytykset, joihin lukeutuu esimerkiksi suostumuksen vapaaehtoisuus.

Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Toimintatapaansa määrittäessään rekisterinpitäjän tulee myös kiinnittää erityistä huomiota siihen, että lähtökohtaisesti suostumus ei sovellu henkilötietojen käsittelyperusteeksi tilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta ja tosiasiallinen vapaaehtoisuuden edellytyksen täyttyminen on epävarmaa. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen. Suostumuksen soveltaminen käsittelyperusteena viranomaisen toiminnassa ei kuitenkaan ole täysin poissuljettua. Rekisterinpitäjän tulee tätä käsittelyperustetta soveltaessaan varmistua siitä, että se pystyy osoittamaan suostumuksen vapaaehtoisuuden ja että niille rekisteröidyille, jotka kieltäytyvät antamasta suostumustaan, tarjotaan aito, tasavertainen vaihtoehto.

Tiedonsiirrot kolmansiin maihin

Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittamien asiakirjojen mukaan rekisterinpitäjän käyttämä henkilötietojen käsittelijä voi käsitellä henkilötietoja Yhdysvalloissa, ja henkilötietojen käsittelyyn liittyy tietojen siirtäminen unionista Yhdysvaltoihin. Asiassa saadun selvityksen mukaan henkilötietojen siirrot kolmansiin maihin on tässä tapauksessa suoritettu komission tietosuojan riittävyyttä koskevan päätöksen mukaisella järjestelyllä sekä komission vakiolausekkeiden nojalla.

Yleinen tietosuoja-asetus edellyttää, että henkilötietojen siirtäminen unionista kolmansissa maissa oleville rekisterinpitäjille, henkilötietojen käsittelijöille tai muille vastaanottajille ei vaaranna yleiseen tietosuoja-asetukseen perustuvaa henkilötietojen suojan tasoa, ja riittävän tietosuojan tason turvaamiseksi EU:n ja Yhdysvaltojen välisissä tiedonsiirroissa on aiemmin käytetty niin kutsuttua Privacy Shield -järjestelyä. Unionin tuomioistuin on kuitenkin todennut ratkaisussaan asiassa C-311/18 (nk. Schrems II -ratkaisu), että EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annettu päätös 2016/1250 on pätemätön. Ratkaisussaan unionin tuomioistuin katsoo, että Yhdysvaltojen sisäisestä säännöstöstä, joka koskee Yhdysvaltojen viranomaisten pääsyä unionista Yhdysvaltoihin siirrettyihin henkilötietoihin ja näiden tietojen käyttöä, johtuvia henkilötietojen suojan rajoituksia ei ole rajattu tavalla, joka täyttäisi unionin oikeudesta tulevat vaatimukset. Rekisteröidyille ei myöskään anneta täytäntöönpanokelpoisia oikeuksia, joihin he voisivat vedota Yhdysvaltain viranomaisia vastaan tuomioistuimissa. Unionin tuomioistuin toteaa edelleen, että rekisterinpitäjän on keskeytettävä henkilötietojen siirrot kolmanteen maahan, jos se ei voi toteuttaa riittäviä lisätoimenpiteitä henkilötietojen suojan varmistamiseksi.

Nyt arvioitavana olevassa asiassa tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä siitä, onko se tietosuojan riittävyyttä koskevan päätöksen kumoamisen jälkeen ottanut käyttöön täydentäviä suojatoimia henkilötietojen suojan varmistamiseksi koskien kansainvälisiä tiedonsiirtoja. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä todennut, että Google on oman ilmoituksensa mukaan ollut vaatimusten mukainen jo aiemmin. Rekisterinpitäjä ei ole esittänyt asiassa selvitystä lisäsuojatoimenpiteistä tai tarkempaa selvitystä siitä, millä perusteilla ratkaisussa C-311/18 todetulla ei ole vaikutusta opetusohjelman käyttöön liittyviin tiedonsiirtoihin. Rekisterinpitäjä ei asiassa saadun selvityksen perusteella ole myöskään tarkastellut itse käytössä olevia suojatoimenpiteitä ja niiden riittävyyttä.

Rekisterinpitäjä on antamassaan selvityksessä kertonut tietosuojavaltuutetun toimistolle, että henkilötietoja on siirretty komission vakiolausekkeiden nojalla. Euroopan komissio on hyväksynyt päivitetyt vakiolausekkeet kesäkuussa 2021 ja ne ovat astuneet voimaan 27. kesäkuuta 2021. Päivitetyt vakiolausekkeet on laadittu vastaamaan Schrems II -tuomion edellytyksiin. Vakiolausekkeet voivat tulla sovellettavaksi sellaisenaan, mutta tämä edellyttää tapauskohtaista arviointia. Koska nyt tarkasteltavana olevassa asiassa rekisterinpitäjän toimintaa on selvitetty pääosin vakiolausekkeiden päivittämistä edeltävänä aikana, tietosuojavaltuutettu ei käytä asiassa tältä osin yleisen tietosuoja-asetuksen 58(2) artiklan mukaisia korjaavia toimivaltuuksiaan. Tietosuojavaltuutettu antaa kuitenkin rekisterinpitäjälle kansainvälisten tiedonsiirtojen osalta ohjausta (ks. päätösasiakirjan s. 10).

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774

Päätös ei ole lainvoimainen.

Tietosuojavaltuutetun ohjaus

Tietosuojavaltuutettu ohjaa rekisterinpitäjää arvioimaan, minkä henkilötietojen käsittelyperusteen nojalla oppilaiden henkilötietoja voidaan tässä tapauksessa käsitellä.

Tietosuojavaltuutettu ohjaa rekisterinpitäjää arvioimaan lisäksi, tuleeko opetusohjelman käyttöön liittyvien tiedonsiirtojen osalta ottaa käyttöön täydentäviä suojatoimia. Komission vakiolausekkeiden soveltamisen osalta tietosuojavaltuutettu ohjaa rekisterinpitäjää kiinnittämään erityistä huomiota komission vakiolausekkeita koskevan täytäntöönpanopäätöksen kohdissa 17–22 todettuun.

Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.

Sivun alkuun