Henkilötietojen käsittely oppilaitoksissa

 

 

Mitkä tiedot ovat henkilötietoja?

Tietosuoja-asetuksen mukainen henkilötietojen tai henkilötietojen käsittelyn määritelmä ei juuri poikkea henkilötietolaista.[1] Sen mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Koska luonnollisella henkilöllä tarkoitetaan ihmistä, oikeus henkilötietojen suojaan ei koske esimerkiksi yrityksiä. Henkilötietojen kohteena olevaa henkilöä kutsutaan rekisteröidyksi.

Tunnistettavissa olevana pidetään tietosuoja-asetuksen mukaan henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen perusteella. Esimerkkeinä tunnistetiedoista asetus mainitsee nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman tietylle henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän.[2]

Merkittävä osa oppilaitoksissa käsiteltävistä tiedoista on henkilötietoja, sillä ne liittyvät tiettyyn, tunnistettavissa olevaan oppilaaseen tai opiskelijaan. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, osoite, tiedot kurssien suorittamisesta, poissaoloista ja saaduista arvosanoista. Myös tiedot, joita kertyy yksilön toimiessa sähköisessä ympäristössä, voivat olla henkilötietoja. Tilastot ja sellaiset ryhmää koskevat yhteenvedot, joista yksilökohtaiset tiedot eivät ole erotettavissa tai palautettavissa yksittäistä henkilöä koskeviksi, eivät ole henkilötietoja.

Tallennusmuodolla ei ole merkitystä henkilötiedon käsitteeseen. Ne voivat olla kirjallisessa tai sähköisessä muodossa, mutta myös esimerkiksi valokuvia, ääni- tai videotallenteita. Tietosuoja-asetusta ei kuitenkaan sovelleta tallentamattomiin henkilötietoihin. Esimerkiksi opettajan ja oppilaan suulliset keskustelut, joita ei tallenneta mihinkään, jäävät sen soveltamisalan ulkopuolelle.

Tietosuoja-asetuksen mukaan henkilötietojen käsittelyllä tarkoitetaan sellaista toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Lähtökohtaisesti kaikki toimenpiteet, jotka kohdistuvat henkilötietoihin, ovat lailla säädeltävää henkilötietojen käsittelyä. Tällaisia toimenpiteitä ovat esimerkiksi tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.[3]

Pseudonymisoidut henkilötiedot ja anonyymit tiedot

Pseudonymisoiduilla henkilötiedoilla tarkoitetaan henkilötietoja, jotka voidaan yhdistää luonnolliseen henkilöön lisätietoja hyödyntämällä.[4] Tällainen lisätieto voi olla esimerkiksi opiskelijanumero, nimimerkki, henkilötunnus tai muu yksilökohtainen tunniste. Jos käsiteltävänä olevat tiedot ovat lisätietojen avulla yhdistettävissä luonnolliseen henkilöön, ne koskevat tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot kuuluvat siten tietosuoja-asetuksen soveltamisalaan.

Tietoja, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kutsutaan anonyymeiksi tiedoiksi. Anonyymeina tietoina pidetään myös sellaisia henkilötietoja, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tietosuoja-asetus ei koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.[5] Pelkkä suorien tunnisteiden, kuten nimen, poistaminen on usein riittämätön toimenpide tietojen anonymisoimiseksi.[6] Jos tiedot ovat palautettavissa tunnisteelliseksi tai ne ovat edelleen välillisesti liitettävissä tiettyyn henkilöön esimerkiksi tietoja yhdistelemällä, henkilötietojen suojaa koskevat säännökset tulevat sovellettaviksi.

Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa tietojen perusteella, on huomioitava kaikki keinot, joita tunnistamiseen voidaan kohtuullisen todennäköisesti käyttää. Tunnistaminen voi olla suoraa tai välillistä, kuten kyseisen henkilön erottamista muista. Arvioitaessa sitä, voidaanko luonnollinen henkilö tunnistaa tietojen perusteella kohtuullisen todennäköisesti vai ei, on otettava huomioon kaikki objektiiviset tekijät. Tällaisia tekijöitä voivat olla esimerkiksi tunnistamisesta aiheutuvat kulut, siihen tarvittava aika sekä käytettävissä oleva teknologia.[7] Tässä yhteydessä on syytä huomioida, että anonymisoinnin purkamisen mahdollistava tekniikka voi kehittyä nopeastikin. Vaikka tunnistettavuus olisi kertaalleen poistettu, on tietojen anonymisoinnin pysyvyyttä ja tehokkuutta syytä tarkastella aika ajoin uudelleen.

Vastuu henkilötietojen käsittelystä

Rekisterinpitäjä vastaa aina henkilötietojen käsittelyn lainmukaisuudesta. Sen on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi sekä huolehdittava siitä, että tällaiset toimenpiteet pidetään ajantasaisina.[8] Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista arvioitava oma-aloitteisesti, miten henkilötietoja on käsiteltävä, jotta henkilötietolainsäädännön asettamat vaatimukset täyttyvät.

Rekisterinpitäjiä voi olla yksi tai useampi. Tietosuoja-asetuksen mukaan rekisterinpitäjällä tarkoitetaan sitä henkilöä tai organisaatiota, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.[9] Rekisterinpitäjällä on toisin sanoen päätösvalta käsiteltävien henkilötietojen käytöstä. Määritelmä vastaa henkilötietolain mukaista rekisterinpitäjän määritelmää.[10]

Oppilaitoksissa rekisterinpitäjänä toimii opetuksen tai koulutuksen järjestäjä taikka muu oppilaitoksen ylläpitäjä. Jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään kansallisessa lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat kriteerit voivat poikkeuksellisesti määräytyä tällaisen lain mukaisesti.[11] Esimerkiksi oppilas- ja opiskelijahuoltolaissa[12] opiskeluhuoltorekisteristä vastaavaksi rekisterinpitäjäksi on määritelty koulutuksen järjestäjä.[13]

Kunnallisessa perusopetuksessa, lukiokoulutuksessa ja ammatillisessa koulutuksessa rekisterinpitäjänä toimii lähtökohtaisesti kunnan opetustoimesta lainsäädännön tai määräysten nojalla vastuussa oleva toimielin.[14] Muussa tapauksessa rekisterinpitäjä on se taho, joka on erityislainsäädännön nojalla saanut luvan koulutuksen järjestämiseen. Kuntien ja kuntayhtymien lisäksi opetuksen tai koulutuksen järjestäjinä voivat luvanvaraisesti toimia rekisteröity yhteisö tai säätiö.

Usein henkilötietojen käsittelyä koskeva toimivalta on delegoitu oppilaitokselle. Rekisterinpitäjä ei kuitenkaan voi ulkoistaa vastuuta henkilötietojen käsittelyn lainmukaisuudesta. Sen sijaan rekisterinpitäjän tehtävänä on määritellä ja jakaa henkilötietojen käsittelyyn liittyvät vastuut sekä huolehtia tehtävien asianmukaisesta delegoinnista. Rekisterinpitäjä vastaa viime kädessä siitä, että oppilaitokselle ja sen henkilöstölle on annettu riittävät ohjeet henkilötietojen käsittelystä.[15] Rekisterinpitäjän on tärkeää pitää huoli siitä, että koko opetushenkilöstö on perillä tietosuojauudistuksen sisällöstä.

Tietosuoja-asetus tuo mukanaan mahdollisuuden määrätä hallinnollisia sakkoja tietosuoja-asetuksen rikkomisesta. EU-jäsenvaltiot voivat kuitenkin asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja. Lukua päivitetään, kun tietosuojalaki on hyväksytty.

Tietosuojavastaavan nimittäminen

Tietosuoja-asetus tuo mukanaan velvollisuuden nimittää tietosuojavastaava silloin, kun rekisterinpitäjä on jokin muu viranomainen tai julkishallinnon elin kuin tuomioistuin tai kun sen ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.[16] Esimerkiksi perusopetusta tai ammatillista taikka lukiokoulutusta tarjoavan kunnan tai kuntayhtymän sekä yliopistojen on nimitettävä tietosuojavastaava. Tietosuojavastaava voidaan nimittää myös vapaaehtoisesti. Tietosuojavastaavan tehtävään voidaan nimittää rekisterinpitäjän tai oppilaitoksen henkilöstön jäsen taikka hankkia tietosuojavastaavan palvelut ulkopuoliselta taholta.[17]

Tietosuojavastaavan tärkeimpiä tehtäviä ovat henkilötietojen käsittelyn lainmukaisuuden seuraaminen ja rekisterinpitäjän avustaminen henkilötietojen suojaa koskevan lainsäädännön noudattamisessa.[18] Käytännössä katsoen tietosuojavastaavan tulee kerätä tietoa käsittelytoimien yksilöimiseksi, analysoida käsittelytoimia ja tarkistaa, ovatko ne vaatimusten mukaisia sekä antaa tietoja, neuvoja ja suosituksia rekisterinpitäjälle.[19] Lisäksi tietosuojavastaava toimii yhteishenkilönä valvontaviranomaisen ja rekisteröidyn välillä henkilötietojen käsittelyä koskevissa kysymyksissä.

Tietosuojavastaavan valinnassa on huomioitava ammattipätevyys, tuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmius suoriutua tietosuojavastaavan tehtävästä.[20] Tarvittavan erityisasiantuntemuksen tason arvioinnissa on huomioitava tietojenkäsittelyn luonne ja käsiteltävien henkilötietojen edellyttämän suojan taso.[21] Tietosuojavastaavaksi ei voida nimittää sellaista henkilöä, jonka muut tehtävät ja velvollisuudet voisivat aiheuttaa eturistiriitoja.[22] Sellainen henkilö, joka on mukana määrittämässä henkilötietojen käsittelyn tarkoituksia tai keinoja, ei voi toimia tietosuojavastaavana.[23] Esimerkiksi rehtorin tai muun oppilaitoksen ylimpään johtoon kuuluvan henkilön nimittäminen tietosuojavastaavaksi voi helposti johtaa tietosuoja-asetuksessa tarkoitettuihin eturistiriitoihin.

Tietosuojavastaava ei ole henkilökohtaisessa vastuussa henkilötietojen käsittelyn lainmukaisuudesta, eikä vastaa siitä, jos tietosuoja-asetusta ei noudateta.[24] Vastuu henkilötietojen käsittelyn lainmukaisuudesta on aina rekisterinpitäjällä.[25]

Yksityisten opetuksen tai koulutuksen järjestäjien taikka oppilaitoksen ylläpitäjien osalta velvollisuus tietosuojavastaavan nimittämiseen ei ole yksiselitteinen. On tulkinnanvaraista, voidaanko viranomaisen tai julkishallinnon elimen määritelmän katsoa ulottuvan viranomaistehtäviä harjoittaviin yksityisiin tahoihin. Toisaalta opetuksen tai koulutuksen järjestämistä koskevien tavoitteiden saavuttaminen edellyttää rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä seurantaa, ja henkilötietojen käsittely on erottamaton osa oppilaitosten toimintaa.[26] Tällä hetkellä saatavilla olevan tiedon nojalla on suositeltavaa, että kaikki tahot, jotka ovat erityislainsäädännön nojalla saaneet luvan opetuksen tai koulutuksen järjestämiseen, nimittävät tietosuojavastaavan.

[1] Vrt. henkilötietolain 3 §:n 1 kohta.

[2] Tietosuoja-asetuksen 4 artiklan 1 kohta.

[3] Tietosuoja-asetuksen 4 artiklan 2 kohta.

[4] Tietosuoja-asetuksen 3 artiklan 3 alakohta.

[5] Tietosuoja-asetuksen johdanto-osan 26 kohta.

[6] http://tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunohjausavoimentieteenperiaatteidentoteuttamisestahenkilotietojasisaltavantutkimusaineistonosalta.html.

[7] Tietosuoja-asetuksen johdanto-osan 26 kohta.

[8] Tietosuoja-asetuksen 24 artiklan 1 kohta.

[9] Tietosuoja-asetuksen 4 artiklan 7 kohta.

[10] Vrt. henkilötietolain 3 §:n 4 kohta.

[11] Tietosuoja-asetuksen 4 artiklan 7 kohta.

[12] 1287/2013.

[13] Oppilas- ja opiskelijahuoltolain 21 §.

[14] http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6Jfpy6n8B/Kunnat_ja_henkilotietolaki.pdf.

[15] Tietosuoja-asetuksen 32 artiklan 4 kohta.

[16] Tietosuoja-asetuksen 37 artiklan 1 kohta.

[17] Tietosuoja-asetuksen 37 artiklan 6 kohta.

[18] Tietosuoja-asetuksen 39 artiklan 1 kohta.

[19] EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan työryhmän (WP 29) lausunto 243, Liite 1. Saatavilla www-muodossa http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf.

[20] Tietosuoja-asetuksen 37 artiklan 5 kohta.

[21] Tietosuoja-asetuksen johdanto-osan 97 kohta.

[22] Tietosuoja-asetuksen 38 artiklan 6 kohta.

[23] http://tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietosuojavastaavat.html

[24] EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan työryhmän (WP 29) lausunto 243, Liite 1. Saatavilla www-muodossa http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf.

[25] Tietosuoja-asetuksen 24 artiklan 1 kohta.

[26] EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan työryhmän (WP 29) lausunto 243, Liite 1. Saatavilla www-muodossa http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/Ut0FrVrqJ/Tietosuojavastaavia_koskeva_ohje_liite_wp243rev01_annex_fi.pdf.