21.3.2023

Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa

Apulaistietosuojavaltuutetun päätös

Asia

Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostin osoitekirjassa

Rekisterinpitäjä

Kunta (Sivistyslautakunta)

Hakijan vaatimukset perusteluineen

Huoltaja saattoi 6.3.2020 tietosuojavaltuutetun toimistossa vireille asian, joka liittyy oppilaiden henkilötietojen näkyvyyteen sähköpostijärjestelmän osoitekirjassa kunnan järjestämässä perusopetuksessa. Hakijan mukaan peruskoulun 3. vuosiluokalla olevalle oppilaalle on annettu edu.kunta.fi -loppuinen sähköpostiosoite. Sähköpostin tiedoista löytyy kaikkien kunnan koululaisten tiedot. Osoitekirjassa näkyy oppilaan nimi, luokka, koulu ja koulun osoite. Hakija kertoi, että kunta tai koulu on avannut oppilaalle sähköpostitilin ja avaamisesta on tullut ilmoitus huoltajille. Huoltajan mukaan oppilaiden tietojen sähköpostin osoitekirjassa ei tulisi näkyä kaikille muille sähköpostin käyttäjille, koska kyse on alaikäisten tiedoista ja menettely voi altistaa koulukiusaamiselle.

Rekisterinpitäjän selvitys

Rekisterinpitäjän 18.10.2022 antaman selvityksen mukaan opetuksen järjestäjän käyttämän sähköpostin osoitekirjassa näkyy oppilaan nimi, sähköpostiosoite, koulu, koulun osoite ja luokka. Selvityksen mukaan oppilaiden tiedot näkyvät kaikille henkilöille, jotka kunnassa käyttävät edu.kunta.fi -tunnusta. Tähän ryhmään kuuluvat opetuspalveluiden henkilökunta, koulujen henkilökunnat ja koulujen oppilaat sekä lukion opiskelijat.

Selvityksen mukaan ainakin nyky-ympäristössä oppilaiden tietojen näkyvyyden rajaaminen koulukohtaiseksi on hyvin vaikeaa, koska se tapahtuisi luomalla koulukohtaiset osoitteistot ja Global Address Listit. Se estäisi osittain koulujen välisen yhteistyön erityisesti koulujen henkilökunnan osalta. Vastaavat tiedot ovat joka tapauksessa nähtävissä Teamsin kautta, koska Teams ei tottele kyseisiä määrityksiä.

Selvityksessä kerrotaan, että oppilaiden keskinäinen sähköpostin käyttö on ollut hyvin vähäistä, koska se ei ole ollut kouluissa viestintäkanava. Koulujen henkilökunta käyttää pääsääntöisesti muuta viestintävälinettä vanhempien ja oppilaiden kanssa. Jo useamman vuoden ajan myös oppilaat ja opiskelijat ovat käyttäneet muita viestintävälineitä. Suurin osa nykyisen ympäristön rajauksista on tehty ennen GDPR-asetusta, eikä niistä ole aiheutunut tiedossa olevia ongelmia eikä väärinkäytöksiä.

Välittömänä toimenpiteenä rekisterinpitäjä kertoo siirtävänsä Active Directoryyn välittyvän luokkatiedon Extension Attribute -kenttään, jolloin ryhmätieto/luokkatieto ei ole enää näkyvissä Outlookin osoitekirjassa eikä Microsoft Teamsissä. Kunnassa on myös menossa perustietotekniikkapalveluiden muutosprojekti, jonka yhteydessä palveluntuottaja vaihtuu ja Active Directoryn rakennetta muutetaan olennaisesti. Tässä yhteydessä selvitetään mahdollisuutta rajoittaa Outlookin osoitekirjan ja Teamsin tietojen näkyvyyttä.

Hakijan vastine

Hakijalta pyydettiin vastinetta 17.11.2022. Hakija ei ole antanut vastinetta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018). Henkilötietojen käsittelyyn voi vaikuttaa myös toimintaan sovellettava muu lainsäädäntö. Perusopetuksen järjestämisestä, josta asiassa on kyse, säädetään perusopetuslaissa (628/1998).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain ja perusopetuslain pohjalta. Asiassa on kyse oppilaiden henkilötietojen käsittelystä perusopetuksen järjestämisessä käytetyn sähköpostipalvelun osoitekirjassa. Asiassa on ratkaistava:

1. Onko rekisterinpitäjä noudattanut tietosuoja-asetuksen 5 artiklan a alakohtaa (lainmukaisuuden ja kohtuullisuuden periaate), c alakohtaa (tietojen minimoinnin periaate) ja f alakohtaa (luottamuksellisuuden periaate) sekä 25 artiklan 2 kohdas-sa säädettyä, kun oppilaiden henkilötiedot perusopetuksen järjestäjän käytössä olevan sähköpostin osoitekirjassa ovat näkyvissä kaikissa kaupungin peruskou-luissa ja lukiossa;

2. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 alakohdan b alakohdan mukainen huomautus, jos käsittelytoimet ovat olleet tietosuoja-asetuksen säännösten vastaisia ja

3. Onko rekisterinpitäjälle annettava tietosuoja-asetuksen 58 artiklan 2 kohdan d ala-kohdan mukainen määräys saattaa käsittelytoimet tietosuoja-asetuksen säännös-ten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.

Apulaistietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjä (perusopetuksen järjestäjä) ei ole noudattanut oppilaidensa henkilötietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukaisuus ja kohtuullisuus), c alakohtaa (minimointi) eikä f alakohtaa (luottamuksellisuus) eikä 25 artiklan 2 kohdassa säädettyä, kun se on asettanut oppilaidensa henkilötiedot saataville käyttämänsä sähköpostijärjestelmän osoitekirjassa siten, että tiedot näkyvät kaupungin kaikissa peruskouluissa ja lukiossa. Osoitekirjassa on näkynyt oppilaan nimi, sähköpostiosoite, koulu, koulun osoite ja luokka. Rekisterinpitäjä ei ole pystynyt osoittamaan oppilaidensa tietojen näin laajan näkyvyyden asianmukaisuutta ja tarpeellisuutta perusopetuksen järjestämisessä.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden henkilötietojen käsittely sähköpostijärjestelmän osoitekirjassa on ollut tietosuoja-asetuksen vastaista.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee arvioida uudelleen perusopetuksessa olevien oppilaiden henkilötietojen saataville asettaminen käyttämänsä sähköpostin osoitekirjassa. Rekisterinpitäjän tulee varmistua siitä, että se ei enää käsittele oppilaidensa tietoja sähköpostijärjestelmän osoitekirjassa siten, että ne näkyvät oman koulun ulkopuolelle, ellei laajempaan näkyvyyteen ole tilanteeseen ja opetuksen järjestämiseen liittyviä perusteita. Oppilaiden tietojen saatavilla olo sähköpostin osoitekirjassa tulee myös oman koulun sisällä olla tarpeellista ja perusteltua perusopetuksen järjestämisen kannalta.

Määräystä ei anneta tietojen pseudonymisoimiseksi vaan oppilaiden tietojen saataville asettamisen rajaamiseksi rajoitetulle joukolle. Päätös ei koske koulun henkilökunnan sähköpostiosoitteiden saataville asettamista sähköpostijärjestelmän osoitekirjassa.

Perustelut
Rekisterinpitäjä

Käsillä oleva asia liittyy perusopetuksen järjestämiseen, jossa kunta on perusopetuksen järjestäjä ja rekisterinpitäjä oppilaidensa henkilötietojen käsittelyssä. Rekisterinpitäjän vastuusta säädetään yleisellä tasolla tietosuoja-asetuksen 24 artiklassa, jota tulkitaan yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännösten kanssa. Rekisterinpitäjän antamasta selvityksestä ilmenee, että kunta ostaa sähköpostipalvelut ulkopuoliselta palvelun tarjoajalta. Rekisterinpitäjä voi käyttää toiminnassaan ulkopuolisten palveluntarjoajien palveluita, mutta rekisterinpitäjä vastaa henkilötietojen käsittelystä tietosuoja-asetuksen mukaisesti.

Lainmukaisuuden, kohtuullisuuden ja tietojen minimoinnin sekä luottamuksellisuuden vaatimukset

Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetään, että henkilötietoja on käsiteltävä lainmukaisesti ja asianmukaisesti (lainmukaisuuden ja kohtuullisuuden periaatteet). Saman artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimoinnin periaate). Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta hävittämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä ja organisatorisia toimia (eheys ja luottamuksellisuus).

Käsillä olevassa asiassa on kyse oppilaiden henkilötietojen näkymisestä perusopetuksen järjestäjän käyttämän sähköpostin osoitekirjassa kaikille muille saman sähköpostin käyttäjille. Osoitekirjassa on näkyvillä oppilaan nimi, sähköpostiosoite sekä oppilaan koulu, koulun osoite ja luokka. Kunnan verkkosivuilta saadun tiedon mukaan kunnassa perusopetusta järjestetään 12 kouluyksikössä. Alaluokkien kouluja on eri puolilla kuntaa. Lisäksi kunnassa on yksi lukio. Perusopetuksessa olevien oppilaiden tiedot sähköpostin osoitekirjassa näkyvät hänen oman koulunsa lisäksi kaikkien kunnan muiden peruskoulujen ja lukion oppilaille, opiskelijoille ja työntekijöille.

Rekisterinpitäjä toteaa 18.10.2022 antamassaan selvityksessä, että ainakin nyky-ympäristössä oppilaiden tietojen näkyvyyden rajaaminen koulukohtaiseksi on teknisesti hyvin vaikeaa. Se estäisi osittain koulujen välisen yhteistyön erityisesti koulujen henkilökunnan osalta. Oppilaiden keskinäinen sähköpostin käyttö on selvityksen mukaan ollut hyvin vähäistä, koska se ei ole ollut kouluissa viestintäkanava. Koulujen henkilökunta käyttää pääsääntöisesti muuta viestintävälinettä vanhempien ja oppilaiden kanssa. Oppilaat ja opiskelijat ovat käyttäneet muita viestintävälineitä. Suurin osa nykyisen ympäristön rajauksista on selvityksen mukaan tehty ennen GDPR-asetusta, eikä niistä ole aiheutunut tiedossa olevia ongelmia eikä väärinkäytöksiä

Apulaistietosuojavaltuutettu kiinnittää huomiota tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyyn minimoinnin periaatteeseen. Tietosuoja-asetuksen johdanto-osan 39 kappaleen mukaan henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Sen mukaan henkilötietoja on käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Euroopan tietosuojaneuvosto on myös antanut käytännön ohjeita tästä periaatteesta. Näiden ohjeiden mukaan ensin olisi selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Henkilötietojen käsittelyä kehotetaan nimenomaisesti välttämään silloin, kun se vain on mahdollista. Lisäksi erikseen on korostettu, että käsiteltävien henkilötietojen on oltava oleellisia kysymyksessä olevan käsittelyn tarkoituksen kannalta. Kaikkien käsiteltävien henkilötietojen olisi niin ikään oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin.

Apulaistietosuojavaltuutetun mukaan on selvää, että perusopetuksen järjestämisessä voidaan käyttää viestintävälineitä ja opettaa niiden käyttöä. Myös viestinnän luottamuksellisuus tulee voida taata. Apulaistietosuojavaltuutetun toisen samanlaisen asian käsittelyn yhteydessä saaman tiedon mukaan perusopetuksen järjestämisessä voi olla tarpeellista viestiä eri peruskouluissa opiskelevien välillä ja myös perusopetuksessa ja lukiokoulutuksessa olevien kesken perusopetuksen opetussuunnitelman mukaisten monialaisten oppimiskokonaisuuksien toteuttamiseksi. Opettajilla on tarve viestiä opettamiensa oppilaiden kanssa ja oppilaat voivat olla eri kouluissa kuin he itse. Apulaistietosuojavaltuutettu toteaa, että nämä tilanteet ei kuitenkaan koske kaikkia perusopetuksen eri vuosiluokilla olevia oppilaita.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että sähköpostiviestin voi lähettää vastaanottajalle myös etukäteen saadun osoitteen perusteella eikä viestintä esty, vaikka vastaanottajan osoite ei näy sähköpostin osoitekirjassa. Jos viestin lähettäjä ei tiedä vastaanottajan nimeä, osoitekirjakaan ei varmista sitä, että viesti lähetetään oikealle vastaanottajalle. Jos viesti lähetetään sellaiseen osoitteeseen, joka ei ole kenenkään vastaanottajan osoite, viesti ei mene perille, ja lähettäjä saa asiasta tiedon. Osoitteiston käyttö ei myöskään sulje täysin pois virheellistä viestintää silloinkaan, kun kyse on saman nimisistä vastaanottajista. Laaja osoitteiston näkyminen sähköpostin osoitekirjassa voi tosin itsessään vähentää inhimillisistä virheistä (kuten kirjoitusvirheistä) aiheutuvia virhelähetyksiä väärälle vastaanottajalle. Samalla menettelystä aiheutuu riskejä oppilaiden henkilötietojen käsittelylle. Viestin lähettämistä oikealle vastaanottajalle osaltaan varmistaa se, että vastaanottajan nimi ilmenee sähköpostiosoitteesta, vaikka sähköpostiosoite ei näkyisi sähköpostijärjestelmän osoitekirjassa.

Rekisterinpitäjä perustelee menettelyään myös sillä, että perusopetuksen järjestämisessä käytetyssä sähköpostijärjestelmässä ei ole mahdollista teknisesti rajoittaa oppilaiden henkilötietojen näkyvyyttä osoitekirjassa yhden koulun sisäiseksi. Rekisterinpitäjä toteaa myös, että sen käyttämä palvelu on laaja kokonaisuus. Kaikki ominaisuudet tai palvelut eivät tue näkyvyyden rajoittamista yhtäläisesti.

Apulaistietosuojavaltuutettu toteaa, että koulujen opettajat voivat käsitellä sellaisia tietoja oppilaistaan, joita he tarvitsevat työtehtävissään. Oppilailla on puolestaan tarpeellista käsitellä niiden oppilaiden yhteystietoja, joiden kanssa heidän edellytetään viestivän koulutyössä. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole kuitenkaan esittänyt perusteita sille, minkä vuoksi perusopetuksen järjestämisen kannalta on tarpeellista, että kaikkien oppilaiden tiedot näkyvät perusopetuksen järjestäjän käyttämän sähköpostin osoitekirjassa kaikissa kunnan peruskouluissa ja lukiossa. Kaikilla oppilailla ei ole tarpeellista viestiä oman koulunsa ulkopuolisten kanssa. Se seikka, että rekisterinpitäjän käyttämässä sähköpostissa ei ole teknisesti mahdollista rajoittaa oppilaiden henkilötietojen näkyvyyttä, ei ole peruste käsitellä oppilaiden henkilötietoja laajemmin kuin, mitä perusopetuksen järjestämiseen liittyvät tehtävät edellyttävät. Sellainen menettely johtaa tarpeettoman laajaan oppilaiden henkilötietojen käsittelyyn, joka ei ole asianmukaista rekisterinpitäjän tehtävien kannalta.

Apulaistietosuojavaltuutettu pitää sen vuoksi tarpeettomana oppilaiden henkilötietojen käsittelynä perusopetuksen järjestämisen kannalta sitä, että kaikkien perusopetuksen oppilaiden tiedot näkyvät hänen oman koulunsa lisäksi kaikissa kunnan muissa peruskouluissa ja lukiossa. Käsittelyn tarkoituksen kannalta tarpeettomien tietojen käsittely ei ole myöskään asianmukaista perusopetuksen järjestäjän tehtävien kannalta. Apulaistietosuojavaltuutettu katsoo, että näin laaja perusopetuksen oppilaan tietojen näkyvyys on tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohtien vastaista. Apulaistietosuojavaltuutettu kiinnittää huomiota vielä siihen, että kohtuullisuuden ja tietojen minimoinnin vaatimukset tulee ottaa huomioon myös oppilaan omassa koulussa. Rekisterinpitäjän tulee näin ollen arvioida, onko opetuksen järjestämisen kannalta tarpeellista, että oppilaan sähköpostin osoitekirjassa olevat tiedot näkyvät aina hänen omassa koulussaankaan kaikille sähköpostin käyttäjille.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että perusopetuksen järjestämisessä on kysymys lasten henkilötietojen käsittelystä. Tietosuoja-asetuksen johdanto-osan perustelukappaleen 38 mukaan erityisesti lasten henkilötietoja on pyrittävä suojaamaan. Lapset eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Riskejä voi aiheutua tietosuoja-asetuksen johdanto-osan 75 kohdan mukaisesti, kun käsitellään heikossa asemassa olevien luonnollisten henkilöiden, erityisesti lasten, henkilötietoja.

Asiassa tulee huomioida myös tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetty luottamuksellisuuden periaate. Henkilötietoja on käsiteltävä tietosuoja-asetuksen johdanto-osan 39 kohdan mukaan siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tietosuoja-asetuksen 32 artiklan 1 kohdan mukaan vaadittavien käsittelyn turvallisuutta koskevien toimenpiteiden arvioinnissa tulee ottaa huomioon henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. Henkilötietojen käsittelyn turvallisuus edellyttää asianmukaisia toimenpiteitä, joiden tarkoituksena on taata tietojenkäsittelytehtävän asianmukainen toteuttaminen. Apulaistietosuojavaltuutettu katsoo, että oppilaiden tietojen asettaminen saataville sähköpostijärjestelmän osoitekirjassa kunnan kaikissa muissa peruskouluissa ja lukiossa on myös vastoin luottamuksellisuuden periaatetta ottaen vielä huomioon, että asiassa on kyse lasten tietojen käsittelystä.

Oppilaiden tietojen luovuttaminen

Tietosuoja-asetuksen 86 artikla mahdollistaa virallisten asiakirjojen julkisuuden ja tietosuoja-asetuksen mukaisen oikeuden henkilötietojen suojaan yhteensovittamisen. Tietosuojalain 28 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 16 §:n 3 momentti koskee julkisten tietojen luovuttamista viranomaisen henkilörekisteristä mm. sähköisessä muodossa. Tietojen luovuttamisen edellytyksenä on, että luovutuksen saajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia tietoja. Salassa pidettävien tietojen luovuttamisen perusteista säädetään julkisuuslain 26 §:ssä.

Oppilaiden tiedot, jotka näkyvät sähköpostijärjestelmän osoitekirjassa, ovat Opetushallituksen oppaan mukaan julkisia tietoja, ellei tiedon antamisen perusteella paljastu muulla perusteella salassa pidettävää seikkaa. Apulaistietosuojavaltuutettu toteaa, että tietojen julkisuuden ja salassa pidon arviointi tapahtuu julkisuuslain perusteella eikä apulaistietosuojavaltuutetulla ole toimivaltaa arvioida asiaa. Julkisiksikin arvioitujen tietojen käsittelyyn sovelletaan kuitenkin tietosuoja-asetusta, jos kyse on henkilötietojen käsittelystä. Käsillä olevassa asiassa on kyse henkilötietojen käsittelystä.

Apulaistietosuojavaltuutettu toteaa, että oppilaiden henkilötietojen näkyville asettamisessa sähköpostin osoitekirjassa on kyse myös oppilaiden henkilötietojen kolmansille osapuolille luovuttamisesta, joka on mahdollista vain lainmukaisin perustein. Vaikka tietojen luovuttamiseen olisi julkisuuslain 16 §:n 3 momentissa tarkoitettu peruste, tietojen luovutus edellyttää myös tietosuojaperiaatteiden huomioimista. Apulaistietosuojavaltuutettu katsoo, että oppilaiden tietojen saataville asettaminen perusopetuksen järjestäjän käyttämän sähköpostijärjestelmän osoitekirjassa siten, että ne näkyvät kaikissa kaupungin peruskouluissa ja lukiossa on tietosuoja-asetuksen kohtuullisuusperiaatteen, tietojen minimointiperiaatteen ja luottamuksellisuutta koskevan periaatteen vastaista. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan a, c ja f alakohtia.

Sisäänrakennettu ja oletusarvoinen tietosuoja sekä osoitusvelvollisuus

Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Tietosuoja-asetuksen johdanto-osan 78 kappaleessa todetaan, että tietojärjestelmiä kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.

Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuoja-asetuksen 5 artiklan 1 kohtaa on noudatettu. Rekisterinpitäjän tulee pystyä osoittamaan, että tietosuoja-asetusta on noudatettu tehokkaasti. Toimenpiteiden toteutuksessa on otettava huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuva riski.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että sisäänrakennettu ja oletusarvoinen tietosuoja edellyttää rekisterinpitäjä käyttävän perusopetuksen järjestämisessä sellaisia tietoteknisiä ratkaisuja, jotka soveltuvat toiminnan luonteeseen. Tietojärjestelmän ominaisuuksilla ei voi perustella perusopetuksen oppilaiden henkilötietojen käsittelyn lainmukaisuutta. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole pystynyt osoittamaan, että tietosuojaperiaatteita sekä sisäänrakennettua ja oletusarvoista tietosuojaa on noudatettu käsillä olevassa tapauksessa.

Käsillä olevasta tapauksesta

Käsillä olevassa asiassa merkitystä on tietosuoja-asetuksen 25 artiklan 2 kohdassa ja 5 artiklan 1 kohdan a, c ja f alakohdissa säädetyillä henkilötietojen käsittelyä koskevilla säännöksillä sekä niiden noudattamisen osoittamisella. Perusopetuksen järjestämisessä tulee käyttää toiminnassaan sellaista sähköpostijärjestelmää, joka mahdollistaa tietosuojasäännösten noudattamisen oppilaiden henkilötietojen käsittelyssä.

Apulaistietosuojavaltuutettu katsoo aiheelliseksi antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden henkilötietojen käsittely perusopetuksen järjestäjän käyttämän sähköpostipalvelun osoitekirjassa on ollut edellä tarkemmin kuvatuin perustein tietosuoja-asetuksen 5 artiklan 1 kohdan a, c ja f alakohtien sekä 25 artiklan 2 kohdan vastaista. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle myös tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee varmistua siitä, että oppilaiden tietojen näkyvyys sähköpostin osoitekirjassa on perusopetuksen järjestämisen kannalta tarpeellista ja asianmukaista ja oppilaiden tietojen näkyvyys muutetaan sen mukaiseksi.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätöksen on tehnyt apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa.

Apulaistietosuojavaltuutetun ohjaus

Microsoft Office 365 ympäristön Outlook-sähköpostipalvelu voi siirtää henkilötietoja EU/ETA-alueen ulkopuolelle. Rekisterinpitäjän tietoon saatetaan tässä vaiheessa ja kiinnitetään rekisterinpitäjän huomiota siihen, että toiselle rekisterinpitäjälle on annettu tietosuojavaltuutetun päätöksen yhteydessä ohjausta henkilötietojen siirroista kolmansiin maihin. Apulaistietosuojavaltuutettu ohjaa tältä osin rekisterinpitäjää tutustumaan tietosuojavaltuutetun 30.12.2021 antamassa päätöksessä dnro 1509/452/18 asiasta annettuun ohjaukseen. Tämä henkilötietojen kolmansiin maihin siirtoa koskeva asia on edelleen vireillä tietosuojavaltuutetun toimistossa ja se tullaan ratkaisemaan lähitulevaisuudessa edellä mainitun asian yhteydessä.

Apulaistietosuojavaltuutettu ei ole arvioinut tässä päätöksessä oppilaiden henkilötietojen käsittelyn perustetta perusopetuksen järjestäjän sähköpostijärjestelmässä tai muissa rekisterinpitäjän käyttämissä digitaalisissa palveluissa. Apulaistietosuojavaltuutettu kiinnittää myös tältä osin rekisterinpitäjän huomiota tietosuojavaltuutetun päätökseen dnro 1509/452/18.

Turvakiellosta säädetään laissa väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista (661/2009). Tässä päätöksessä ei arvioida sitä, miten oppilaalle myönnetty turvakielto vaikuttaa sähköpostiosoitteen muodostamiseen ja osoitteen näkyvyyteen.

Apulaistietosuojavaltuutettu on saanut toisen asian yhteydessä rekisterinpitäjältä tiedon, että eräässä kaupungissa osoitekirja on piilotettu kokonaan eivätkä oppilaiden tiedot siten näy perusopetusta järjestettäessä muille sähköpostin käyttäjille osoitekirjassa. Apulaistietosuojavaltuutettu toteaa tässä yhteydessä vielä yleisenä huomiona, että opettajilla ja oppilailla on yleensä mahdollisuus tehdä omia henkilökohtaisia osoitekirjojaan.

Sähköisten palveluiden käyttöön liittyy myös oppilaiden laatimien tiedostojen suojaamiseen liittyviä seikkoja, joita apulaistietosuojavaltuutettu ei ole tämän asian käsittelyn yhteydessä tarkemmin selvittänyt. Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota henkilötietojen suojaamisvelvoitteeseen ja siihen, että tietosuoja-asetus velvoittaa rekisterinpitäjää huolehtimaan siitä, että henkilötietojen käsittelystä on annettu riittävästi ohjeistusta ja henkilötietojen käsittelyä valvotaan.

Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea muutosta valittamalla.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.