Henkilötietojen käsittelyn suunnittelu

 

 

Sisäänrakennettu ja oletusarvoinen tietosuoja

Tietosuoja-asetuksen mukaan kaikessa henkilötietojen käsittelyä sisältävässä toiminnassa on huolehdittava, että tietosuoja on oletusarvoinen ja sisäänrakennettu osa henkilötietojen käsittelyä. Se ei siten voi kuulua ainoastaan sellaisille oppilaille tai opiskelijoille, joiden vanhemmat tai jotka ovat itse aktiivisesti vaatineet oikeuksiensa toteuttamista.

Sisäänrakennetulla tietosuojalla tarkoitetaan sitä, että rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti jäljempänä käsiteltävien tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne saataisiin sisällytettyä käsittelyn osaksi.[1] Tietosuoja on otettava automaattisesti huomioon henkilötietojen käsittelyn kaikissa vaiheissa, ja erityisesti käsittelyä suunniteltaessa. Se tulee jatkossa ottaa kiinteäksi osaksi myös erilaisten tietojärjestelmien kehittämistä ja käyttöönottoa.

Oletusarvoinen tietosuoja sen sijaan merkitsee sitä, että rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee niin kerättyjen henkilötietojen määriä, säilytysaikaa ja saatavilla oloa kuin käsittelyn laajuuttakin.[2] Oletusarvoinen tietosuoja voi ilmetä käytännössä eri tavoin. Se merkitsee muun muassa sitä, että jos jokin toimenpide olisi toteutettavissa ilman henkilötietojen käsittelyä, henkilötietoja ei tulisi käsitellä. Esimerkiksi oppilaspaikkojen täyttämistä koskevassa suunnittelussa tulisi lähtökohtaisesti käyttää tilastotietoja.[3]

Henkilötietojen käsittelyn lainmukaisuuden edellytykset

Tietosuoja-asetuksen mukaan henkilötietoja voidaan käsitellä ainoastaan jos, ja vain siltä osin kuin, käsittelylle on olemassa jokin laissa erikseen säädetty peruste.[4] Kyse on kaikessa henkilötietojen käsittelyssä noudatettavasta yleisestä lainmukaisuuden periaatteesta.[5] Lähtökohta on sama kuin henkilötietolaissa.[6] Jos mikään henkilötietojen käsittelyn lainmukaisuuden perusteista ei sovellu käsillä olevaan tilanteeseen, henkilötietoja ei voida käsitellä.

Rekisterinpitäjä arvioi itse, mitä henkilötietojen käsittelyn lainmukaisuuden edellytystä henkilötietojen käsittelyyn sovelletaan. Sovellettava lainmukaisuuden edellytys on tunnistettava ja määriteltävä jo ennen henkilötietojen käsittelyn aloittamista. Käytettävissä olevat käsittelyperusteet riippuvat pitkälti siitä, onko rekisterinpitäjä viranomainen vai ei. Lainmukaisuuden edellytyksen valitseminen on tärkeä osa henkilötietojen käsittelyn suunnittelua, sillä sitä ei voida muuttaa jälkikäteen.

Aiemmin oppilaitosten opetuksen järjestämisen yhteydessä harjoittama henkilötietojen käsittely on perustunut oppilaan tai opiskelijan ja oppilaitoksen väliseen asialliseen yhteyteen.[7] Oppilaitokset ovat henkilötietolain nojalla saaneet käsitellä henkilötietoja suoraan sen ja oppilaan tai opiskelijan välillä vallitsevan asiayhteyden nojalla. Oppilaitoksissa harjoitettavan henkilötietojen käsittelyn lainmukaisuudelle on kuitenkin jatkossa etsittävä toinen peruste, sillä tietosuoja-asetus ei sisällä vastaavansisältöistä yhteysvaatimusta.

Tietosuoja-asetus sisältää kuusi oikeudellista perustetta henkilötietojen käsittelylle. Sen mukaan henkilötietoja saadaan käsitellä rekisteröidyn suostumuksella, sopimuksen täytäntöönpanemiseksi tai valmistelemiseksi, rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, luonnollisen henkilön elintärkeiden etujen suojaamiseksi, yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi.[8] Näistä oikeutettujen etujen toteuttaminen ei tule kyseeseen henkilötietojen käsittelyn oikeudellisena perusteena silloin, kun rekisterinpitäjänä toimii viranomainen.[9]

Suostumus ei lähtökohtaisesti voi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.[10] Suostumusta ei myöskään voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.[11] Oppilaalla tai opiskelijalla on harvoin tosiasiallinen mahdollisuus valita, käsitteleekö oppilaitos hänen henkilötietojaan vai ei. Tämän vuoksi oppilaan, oppilaan huoltajan tai opiskelijan suostumus ei yleensä voi toimia henkilötietojen käsittelyn lainmukaisuuden edellytyksenä oppilaitosten toiminnassa.

Rekisteröidyn suostumus henkilötietojen käsittelyn oikeudellisena edellytyksenä voi tulla poikkeuksellisesti kyseeseen silloin, kun oppilaille tai opiskelijoille halutaan tarjota jonkinlaisia lisäpalveluita vapaa-ajan käyttöön. Tällöin palvelun käyttämisen on tosiasiallisesti oltava oppilaan tai opiskelijan itsemääräämisoikeuden piirissä.[12] Lupaa ei tule turhaan pyytää opetuksen tai koulutuksen järjestäjän lakisääteisten tehtävien noudattamiseksi suoritettavalle henkilötietojen käsittelylle.

Henkilötietojen käsittelyn oikeusperusteesta voidaan säätää jäsenvaltion lainsäädännössä tilanteissa, joissa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Koska kansallista tietosuojalakia ei ole vielä hyväksytty, oppilaitosten näkökulmasta relevanteimpia lainmukaisuuden edellytyksiä ei toistaiseksi (päivitetty 22.5.2018) ole tarkoituksenmukaista käsitellä tarkemmin. Lukua täydennetään, kun kansallinen tietosuojalaki on hyväksytty.

Oppilaitokset voivat käsitellä henkilötietoja opetuksen tai koulutuksen järjestämiseksi

Rekisterinpitäjänä toimiva opetuksen tai koulutuksen järjestäjä taikka muu oppilaitoksen ylläpitäjä arvioi itsenäisesti, minkälaisia tietoja se voi kysyä oppilaistaan, opiskelijoistaan tai heidän perheistään hoitaessaan opetustoimen lainsäädännössä säädettyjä tehtäviään. Tietosuoja-asetuksen sisältämän kohtuullisuusperiaatteen noudattamiseksi henkilötietojen on oltava asiallisella tavalla hankittuja ja niiden keräämisen asiallisesti perusteltavissa.[13]

Henkilötiedoille on ennen henkilötietojen käsittelyn aloittamista määritettävä käyttötarkoitus, jonka vastaisesti niitä ei saa käsitellä. Periaatetta kutsutaan käyttötarkoitussidonnaisuudeksi, ja se on tuttu jo henkilötietolaista.[14] Käyttötarkoitussidonnaisuudella tarkoitetaan tietosuoja-asetuksen mukaan sitä, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.[15] Oppilaitosten toiminnassa henkilötietojen käsittelyn tarkoitus on opetuksen tai koulutuksen järjestäminen.

Henkilötiedoille määritelty käyttötarkoitus asettaa tietojen minimoinnin periaatteen läpi suodattuneena rajat henkilötietojen käsittelyn sallitulle ulottuvuudelle. Tietosuoja-asetuksen mukaan tietojen minimoinnilla tarkoitetaan sitä, että käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.[16] Vastaava periaate sisältyy myös henkilötietolakiin.[17] Oppilaitoksissa käsiteltävien henkilötietojen tarpeellisuutta tulee arvioida opetuksen tai koulutuksen järjestämisen luomaa taustaa vasten. Tämä merkitsee sitä, että henkilötietoja ei tulisi käsitellä enempää kuin mitä opetuksen tai koulutuksen järjestämiseksi on tarpeen tai välttämätöntä.

Lähtökohtaisesti henkilötietoja voidaan tietosuoja-asetuksen mukaan pitää tarpeellisina vain siinä tapauksessa, että käsittelyn tarkoitusta ei voida kohtuullisella vaivalla toteuttaa muilla keinoin.[18] Jos tavoiteltuun lopputulokseen voitaisiin päästä vähemmällä henkilötietojen käsittelyllä tai kokonaan ilman sitä, tarpeellisuuskynnys ei ylity. Pelkkä opetuksen tai koulutuksen järjestäjän tehtävien suorittamisen helpottaminen ei oikeuta tietojen minimoinnin periaatteesta poikkeamiseen.[19]

Arkaluonteisten henkilötietojen ja henkilötunnuksen käsittely

Sellaisten henkilötietojen, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, tai jotka koskevat yksilön terveyttä, seksuaalista käyttäytymistä tai suuntautumista, käsittely on tietosuoja-asetuksen mukaan kiellettyä. Sama koskee geneettisten tai biometristen tietojen käsittelyä henkilön yksiselitteistä tunnistamista varten.[20] Tällaisia tietoja, joita henkilötietolaissa kutsuttiin arkaluonteisiksi henkilötiedoiksi[21], nimitetään tietosuoja-asetuksessa erityisiksi henkilötietoryhmiksi. Aiemmasta poiketen käsittelykielto ei enää ulotu tietoihin, jotka koskevat henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluita, tukitoimia ja muita sosiaalihuollon etuuksia. Oppilaitosten hallussa olevan aineiston julkisuuteen tai salassapitoon tietosuoja-asetus ei vaikuta, joten esimerkiksi sosiaalihuollon asiakkuutta koskevat tiedot säilyvät salassapidettävinä.[22]

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely ei kuitenkaan ole kiellettyä silloin, kun käsittelylle on olemassa erityinen lainmukaisuuden edellytys. Tietosuoja-asetuksen mukaan käsittelykiellosta voidaan poiketa esimerkiksi rekisteröidyn nimenomaisella suostumuksella tai käsittelyn ollessa tarpeen tärkeää yleistä etua koskevasta syystä lainsäädännön nojalla. Käsittelykielto ei myöskään koske sellaisia henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkiseksi.[23] Oppilaitoksissa saattaa olla tarpeen käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja esimerkiksi uskonnonopetuksen, erityisen tuen tai kouluruokailun järjestämiseksi.

Tietosuoja-asetus sisältää mahdollisuuden poiketa erityisiä henkilötietoryhmiä koskevasta käsittelykiellosta jäsenvaltion lainsäädännön nojalla, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä.[24] Kansallisessa tietosuojalaissa voidaan tämän liikkumavaran nojalla säätää käsittelykieltoa koskevista poikkeuksista. Lukua päivitetään, kun tietosuojalaki on hyväksytty.

Läpinäkyvyys osana henkilötietojen keräämisestä ja käsittelyä

Tietosuoja-asetus korostaa henkilötietojen käsittelyn läpinäkyvyyden ja avoimuuden merkitystä, ja nostaa läpinäkyvyyden kaikessa henkilötietojen käsittelyssä noudatettavan nimenomaisen periaatteen asemaan.[25] Läpinäkyvyyden periaatteen noudattamiseksi henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi.[26] Henkilötietoja ei siten voida kerätä tai hyödyntää ilman, että rekisteröidylle on toimitettu riittävät tiedot henkilötietojensa käsittelystä.

Oppilaille tai opiskelijoille on oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään, käytetään ja säilytetään. Lisäksi heille tulee avoimesti kertoa siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä.[27] Henkilötietojen käsittelyä koskevat tiedot sekä muu henkilötietojen käsittelyä koskeva viestintä on esitettävä tiiviissä ja ymmärrettävässä muodossa sekä selkeällä ja yksinkertaisella kielellä. Tiedot on pidettävä helposti saatavilla, ja tarvittaessa ne on havainnollistettava. Silloin, kun käsiteltävien henkilötietojen kohteena on lapsi, kaikessa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä.[28] Käytännössä tämä merkitsee sitä, että tiedonantovelvollisuuden toteuttamisen suunnittelussa on aina otettava huomioon kohderyhmien erityispiirteet.

Läpinäkyvyyden periaatteella on merkitystä jo henkilötietoja kerättäessä. Rekisterinpitäjä on velvollinen toimittamaan oppilaalle tai opiskelijalle henkilötietojen käsittelyä koskevat tiedot ilman, että hänen tarvitsee sitä erikseen pyytää.[29] Tiedot on toimitettava jo silloin, kun henkilötietojen käsittely on tarkoitus aloittaa. Oikea hetki tietojen toimittamiseen voi siten olla esimerkiksi kysyttäessä oppilaan osoitetietoja lukuvuoden alussa tai kirjauduttaessa ensimmäistä kertaa sähköiseen oppimisympäristöön. Pelkkä tietojen asettaminen jälkikäteisesti saataville esimerkiksi rekisteriselosteen muodossa ei riitä, vaan tiedot on nimenomaisesti toimitettava rekisteröidylle. Tällaista tiedonvälitystä voidaan kutsua tietosuojailmoitukseksi.

Henkilötietolaista poiketen tietosuoja-asetuksessa ei enää säädetä määrämuotoisista rekisteriselosteista, vaan rekisterinpitäjän on suunniteltava itse, miten informointivelvollisuus täytetään.[30] Rekisteriselosteen sijasta rekisterinpitäjän tulee ylläpitää rekisteriä vastuullaan olevista käsittelytoimista. Seloste käsittelytoimista ei kuitenkaan ole varsinaisesti yhteydessä henkilötietojen käsittelyn läpinäkyvyyteen tai rekisteröityjen informointiin. Tämän vuoksi käsittelyselosteen laatimiseen palataan omassa alaluvussaan.

Silloin, kun henkilötietoja saadaan, on rekisteröidylle toimitettava vähintään seuraavat tiedot: rekisterinpitäjän nimi ja yhteystiedot, tietosuojavastaavan yhteystiedot, henkilötietojen käsittelyn tarkoitukset, käsittelyn oikeusperuste sekä henkilötietoja vastaanottavat tahot.[31] Lähtökohtaisesti rekisteröidyille on tiedotettava myös henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan.[32] Mikäli käsittelyn asianmukaisuuden ja läpinäkyvyyden takaaminen sitä edellyttää, on rekisteröidylle toimitettava tieto myös henkilötietojen säilytysajasta tai ajan määrittämiskriteereistä, tiedot rekisteröidyn oikeuksista, oikeus tehdä valitus valvontaviranomaiselle sekä mahdollista profilointia ja sen olemassaoloa koskevat tiedot.[33]

Henkilötietojen käsittelyn tarkoitukset ja keinot tulee määritellä ja ilmoittaa henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti.[34] Tarkoitusta ei tule ilmaista epämääräisesti tai moniselitteisesti, vaan se on määriteltävä niin tarkasti, että henkilötietoja ei voida käsitellä rekisteröidyn näkökulmasta ennakoimattomalla tavalla.[35] Oppilaitoksissa henkilötietojen käsittelyn tarkoituksena on opetuksen tai koulutuksen järjestäminen. Jotta oppilas tai opiskelija pystyisi arvioimaan, millaisia vaikutuksia henkilötietojen käsittelyllä voi hänen asemaansa olla, opetuksen tai koulutuksen järjestämistä koskevaa tarkoitusta on syytä tarkentaa rekisteröidylle toimitettavassa tietosuojailmoituksessa ja muussa informaatiossa. Avoimuuden ja läpinäkyvyyden näkökulmasta riittävällä tarkkuudella määriteltyjä henkilötietojen käyttötarkoituksia voisivat olla esimerkiksi ”ylioppilaskirjoitusten järjestäminen”, ”poissaolojen seuraaminen” tai ”opetussuunnitelman mukaisen itsearvioinnin toteuttaminen”.

Henkilötietojen säilyttäminen ja laadun varmistaminen

Oppilaille ja opiskelijoilla on oikeus tulla arvioiduksi oikeiden ja käyttötarkoitukseensa nähden asianmukaisten tietojen perusteella. Tietosuoja-asetuksen aikakaudella kaikessa henkilötietojen käsittelyssä tulee noudattaa täsmällisyyden periaatetta.[36] Sen mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa myös päivitettyjä. Lisäksi rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.[37] Sama koskee myös puutteellisia henkilötietoja.

Henkilötietoja ei myöskään tule säilyttää pidempään kuin on tarpeen. Tietosuoja-asetuksen mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkä­sittelyn tarkoitusten toteuttamista varten.[38] Tätä kutsutaan säilytyksen rajoittamisen periaatteeksi.

Käytännössä katsoen henkilötietojen täsmällisyyden ja säilytyksen rajoittamisen periaatteiden noudattaminen edellyttää sitä, että rekisterinpitäjä asettaa määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten.[39] Mikäli näin ei toimita, rekisterinpitäjän on vaikea varmistaa tai osoittaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.

Se, miten kauan henkilötietoja on tarpeen säilyttää, riippuu lähtökohtaisesti henkilötiedoille määritellystä käyttötarkoituksesta ja sen päättymisestä. Joissain tapauksissa tietojen säilyttämisajoista on kuitenkin säädetty laissa tai ne määräytyvät asetuksen tai viranomaisen antaman sitovan päätöksen nojalla. Määräajan kuluttua henkilötiedot on poistettava, ellei säilyttämiselle ole olemassa jotain muuta perusteltua syytä.

Kun henkilötiedot eivät ole enää tarpeellisia alkuperäiseen käyttötarkoitukseensa nähden, ne on tuhottava, arkistoitava tai niiden tunnistettavuus poistettava. Arkistoinnilla tarkoitetaan tässä yhteydessä arkistolaissa[40] tarkoitettua toimintaa, eikä esimerkiksi asiakirjojen siirtämistä varastohuoneeseen. Jos henkilötietoja ei syystä tai toisesta haluta tuhota, vaikka niiden säilyttämiselle ei enää olisi perusteita, tiedot voidaan muuntaa sellaiseen muotoon, että niitä ei voida enää yhdistää yksittäiseen henkilöön. Tätä kutsutaan anonymisoinniksi. Henkilötietojen tunnistettavuus tulee poistaa peruuttamattomasti siten, että oppilas tai opiskelija ei voi itsekään tunnistaa itseään aineistosta.[41]

Käsittelyn turvallisuus

Yksi tietosuoja-asetuksen sisältämistä periaatteista on eheyden ja luottamuksellisuuden periaate, joka edellyttää henkilötietoja käsiteltävän tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Turvallisuudella tarkoitetaan sitä, että henkilötiedot on suojattava asianmukaisten teknisten ja organisatoristen toimien avulla luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.[42] Myös henkilötietolaki on edellyttänyt vastaavien toimenpiteiden toteuttamista.[43]

Rekisterinpitäjän on henkilötietojen turvallisuuden ylläpitämiseksi ja laittoman käsittelyn estämiseksi arvioitava käsittelyä siihen liittyvien tietosuojariskien pohjalta. Turvallisuustaso tulee suhteuttaa vastaamaan niitä riskejä, joita henkilötietojen käsittely voi luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistaa.[44] Merkitystä tulee antaa riskien vakavuudelle ja niiden realisoitumisen todennäköisyydelle. Riskiä arvioitaessa tulee ottaa huomioon myös ne fyysiset, aineelliset tai aineettomat vahingot, joita henkilötietojen väärinkäytöstä voi aiheutua.[45]

Asianmukaisen turvallisuustason saavuttamiseksi tarvittavia teknisiä ja organisatorisia toimenpiteitä arvioitaessa on otettava huomioon uusin saatavilla oleva tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Tässä yhteydessä on kuitenkin pidettävä mielessä suhteellisuusperiaate: toimenpiteet tulee suhteuttaa tietojenkäsittelyn riskeihin ja suojeltavien henkilötietojen luonteeseen.[46] Erityisiin henkilötietoryhmiin kuuluvien tai salassa pidettävien henkilötietojen suojaamiseen tulee kiinnittää erityistä huomiota.

Rekisterinpitäjän on erityisesti varmistettava, että sen alaisuudessa työskentelevät henkilöt, kuten opettajat, joilla on pääsy henkilötietoihin, käsittelevät niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti.[47] Tietoturvavaatimukset on otettava huomioon myös hävitettäessä henkilötietoja tai niitä sisältäviä tietojärjestelmiä.

Aiemmasta poiketen tietosuoja-asetus nimeää joukon toimenpiteitä, joita rekisterinpitäjä voi toteuttaa riskien lieventämiseksi. Tällaisia toimenpiteitä voivat sen mukaan olla

  • henkilötietojen pseudonymisointi ja salaus,
  • käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden takaaminen,
  • kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa,
  • menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.[48]

Rekisterinpitäjän tulee arvioida asianmukainen turvallisuustaso ja sen takaamiseksi tarvittavat toimenpiteet käsittelyyn liittyvien riskien perusteella. Lista on suuntaa antava, eikä sen sisältämien toimenpiteiden toteuttaminen välttämättä ole tarpeen tai riittävää jokaisessa käsillä olevassa tilanteessa.

Henkilötietojen luottamuksellisuus merkitsee muun muassa sitä, että henkilötiedot on suojattava ulkopuolisilta esimerkiksi käyttöoikeushallinnan avulla. Ulkopuolisina pidetään myös oppilaitoksen muita oppilaita ja opiskelijoita sekä sellaista oppilaitoksen henkilöstöä, joka ei tarvitse tietoja työtehtävissään. Oppilaitoksen henkilöstö voi käsitellä henkilötietoja vain siinä määrin kuin heidän työtehtävänsä sitä edellyttävät. Henkilötietojen käsittelyn tarve tulee arvioida jokaisen työntekijän osalta erikseen myönnettäessä käyttöoikeuksia tietojärjestelmiin.[49] Yhteisiä käyttäjätunnuksia tulisi tästä syystä välttää.

Osoitusvelvollisuus

Henkilötietoja saadaan käsitellä vain siinä tapauksessa, että käsittelyssä noudatetaan jatkuvasti kaikkia yllä esiteltyjä tietosuoja-asetuksen mukaisia henkilötietojen käsittelyä koskevia periaatteita (lainmukaisuus, kohtuullisuus ja läpinäkyvyys, käyttötarkoitussidonnaisuus, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus). Rekisterinpitäjä vastaa siitä, että periaatteita noudatetaan.

Sen lisäksi, että rekisterinpitäjä on vastuussa periaatteiden noudattamisesta, sen tulee pystyä osoittamaan, että niitä todellakin noudatetaan.[50] Rekisterinpitäjän on toteutettava kaikki tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta.[51] Lisäksi rekisterinpitäjän on voitava osoittaa, että tällaiset toimenpiteet ovat olleet riittävän tehokkaita.[52] Osoitusvelvollisuus on uusi, ja merkitsee huomattavaa muutosta aiempaan oikeustilaan verrattuna.[53]

Henkilötietojen käsittelyn ja siihen liittyvien suojatoimien oikeasuhtaisuuden arviointi ja perusteleminen on mahdollista vain siinä tapauksessa, että rekisterinpitäjällä on selkeä kuvaa siitä, mitä henkilötietoja hallussaan sillä on ja miksi. Oppilaitosten harjoittaman henkilötietojen käsittelyn näkökulmasta tarkasteltuna erityistä huomiota tulisi kiinnittää siihen, että rekisterinpitäjä pystyy osoittamaan, että käsittelytoimille on olemassa lainmukainen peruste. Samalla on syytä varautua perustelemaan se, minkä vuoksi jotakin tietoa on käsiteltävä opetuksen tai koulutuksen järjestämiseksi. Myös käsittelyyn liittyvät riskit on kartoitettava, arvioitava ja määriteltävä. Tällaiset seikat tulee selostaa avoimesti ja läpinäkyvästi.

Seloste käsittelytoimista

Tietosuoja-asetuksen mukaan rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.[54] Käsittelytoimia koskevan rekisterin ylläpitäminen on tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista, sillä rekisterinpitäjä voi laatimansa dokumentaation avulla osoittaa, että käsittelytoimet ovat tietosuoja-asetuksen mukaisia.[55] Selostetta tulee ylläpitää kirjallisesti tai sähköisessä muodossa, ja se tulee pyydettäessä saattaa valvontaviranomaisen saataville.[56]

Henkilötietolain mukaan rekisterinpitäjän oli laadittava rekisteriseloste.[57] Tietosuoja-asetuksessa tarkoitetun käsittelyselosteen tietosisältö vastaa pitkälti rekisteriselostetta. Käsittelyseloste on kuitenkin rekisteriselostetta kokonaisvaltaisempi, sillä sen tarkoituksena on esittää henkilötietojen käsittelyn kokonaisuus rekisterinpitäjän näkökulmasta tarkasteltuna. Myös selosteiden käyttötarkoitukset ovat osittain erilaiset. Siinä missä rekisteriseloste tuli pääsääntöisesti pitää jokaisen ulottuvilla, käsittelyselostetta ei tarvitse pitää julkisesti saatavilla.

Koska selosteen ylläpitäminen on olennainen osa tietosuoja-asetuksen noudattamisen osoittamista, oppilaitoksen voi olla tarpeen ylläpitää käsittelyselostetta riippumatta siitä, toimiiko se itse rekisterinpitäjänä vai ainoastaan rekisterinpitäjän edustajana. Viime kädessä rekisterinpitäjä määrää, ylläpitääkö se selostetta oppilaitoksessa tapahtuvista käsittelytoimista itse vai delegoidaanko selosteen laatiminen oppilaitokselle. (Päivitetty 13.6.2018) Selosteen tulee aina käsittää seuraavat tiedot:

  • rekisterinpitäjän, sen edustajan sekä näiden tietosuojavastaavien nimi ja yhteystiedot
  • käsittelyn tarkoitukset,
  • kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä,
  • henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan,
  • henkilötietojen siirtämistä kolmanteen maahan tai kansainväliselle järjestölle koskevat tiedot,
  • mikäli mahdollista, eri tietoryhmien poistamisen suunnitellut määräajat ja
  • mahdollisuuksien mukaan yleinen kuvaus käsittelyn turvallisuuden takaamiseksi toteutetuista teknisistä ja organisatorisista turvatoimista.[58]

Tässä yhteydessä on syytä korostaa, että rekisteröityjen informoinnista säädetään erikseen, eikä velvollisuus laatia seloste käsittelytoimista ole yhteydessä tietosuoja-asetuksen mukaisen läpinäkyvyyden periaatteen tai informointivelvoitteen toteuttamiseen.

Velvollisuudesta laatia käsittelyseloste voidaan tietosuoja-asetuksen mukaan poiketa, mikäli rekisterinpitäjänä on yritys tai järjestö, jossa on alle 250 työntekijää. Poikkeamisen edellytyksenä on kuitenkin se, että henkilötietojen käsittely on satunnaista.[59] Koska oppilaiden tai opiskelijoiden henkilötietojen käsittely on myös yritys- tai järjestömuotoisissa oppilaitoksissa välttämätöntä ja säännöllistä, voidaan velvollisuuden katsoa nykytiedon valossa ulottuvan myös niihin.

 

[1] Tietosuoja-asetuksen 25 artiklan 1 kohta.

[2] Tietosuoja-asetuksen 25 artiklan 2 kohta.

[3] http://tietosuoja.fi/fi/index/ratkaisut/koulupsykologienkouluvalmiusasiakkuuksie.html.

[4] Tietosuoja-asetuksen 6 artiklan 1 kohta.

[5] Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta.

[6] Vrt. henkilötietolain 8 §.

[7] Henkilötietolain 8 §:n 1 kohdan 5 alakohta.

[8] Tietosuoja-asetuksen 6 artiklan 1 kohta.

[9] Tietosuoja-asetuksen 6 artiklan 1 kohta.

[10] Tietosuoja-asetuksen johdanto-osan 43 kohta.

[11] Tietosuoja-asetuksen johdanto-osan 42 kohta.

[12] http://tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html

[13] Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta.

[14] Vrt. henkilötietolain 7 §.

[15] Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohta. Poikkeuksen muodostavat käsittely yleisen edun mukaiseen arkistointitarkoitukseen, tieteelliseen tai historialliseen tutkimustarkoitukseen taikka tilastolliseen tarkoitukseen.

[16] Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohta.

[17] Vrt. henkilötietolain 9 §.

[18] Tietosuoja-asetuksen johdanto-osan 39 kohta.

[19] http://www.tietosuoja.fi/fi/index/ratkaisut/henkilotietojenkasittelyopiskelijoidenla.html.

[20] Tietosuoja-asetuksen 9 artiklan 1 kohta.

[21] Vrt. henkilötietolain 11 §.

[22] Julkisuuslain (621/1999) 24 §:n 1 momentin 25 kohta.

[23] Tietosuoja-asetuksen 9 artiklan 2 kohta.

[24] Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta.

[25] Vrt. esim. henkilötietolain 24 §.

[26] Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohta.

[27] Tietosuoja-asetuksen johdanto-osan 39 kohta.

[28] Tietosuoja-asetuksen johdanto-osan 58 kohta.

[29] Tietosuoja-asetuksen 13 artikla ja 14 artikla.

[30] Vrt. henkilötietolain 10 §.

[31] Tietosuoja-asetuksen 13 ja 14 artiklat.

[32] Tietosuoja-asetuksen johdanto-osan 39 kohta.

[33] Tietosuoja-asetuksen 13 ja 14 artiklat.

[34] Tietosuoja-asetuksen johdanto-osan 39 kohta.

[35] EU:n jäsenvaltioiden tietosuojavaltuutetuista koostuvan työryhmän (WP 29) lausunto 203, s. 11 ja 15–16.

[36] Vrt. henkilötietolain 9 §.

[37] Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohta.

[38] Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta.

[39] Tietosuoja-asetuksen johdanto-osan 39 kohta.

[40] 831/1994.

[41] http://tietosuoja.fi/fi/index/ajankohtaista/tiedotteet/2017/03/avoimentieteenvaatimukseteivatsaavaarantaahenkilotietojensuojaa.html.

[42] Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohta.

[43] Vrt. henkilötietolain 32 §.

[44] Tietosuoja-asetuksen 32 artiklan 1 ja 2 kohdat.

[45] Tietosuoja-asetuksen johdanto-osan 83 kohta.

[46] Tietosuoja-asetuksen johdanto-osan 83 kohta ja 32 artiklan 1 ja 2 kohdat.

[47] Tietosuoja-asetuksen 32 artiklan 4 kohta.

[48] Tietosuoja-asetuksen 32 artiklan 1 kohta.

[49] http://www.tietosuoja.fi/fi/index/ratkaisut/kayttooikeuksienmyontaminenlukionhenkilo.html.

[50] Tietosuoja-asetuksen 5 artiklan 2 kohta.

[51] Tietosuoja-asetuksen 24 artiklan 1 kohta.

[52] Tietosuoja-asetuksen johdanto-osan 74 kohta.

[53] Vrt. henkilötietodirektiivin 6 artiklan 2 kohta.

[54] Tietosuoja-asetuksen 30 artiklan 1 kohta.

[55] Tietosuoja-asetuksen johdanto-osan 82 kohta.

[56] Tietosuoja-asetuksen 30 artiklan 3 ja 4 kohta.

[57] Vrt. henkilötietolain 10 §.

[58] Tietosuoja-asetuksen 30 artiklan 1 kohta.

[59] Tietosuoja-asetuksen 30 artiklan 2 kohta.

Lisätietoja

Henriikka Hannula, erityisasiantuntija 
OKM, Yleissivistävän koulutuksen ja varhaiskasvatuksen osasto, Yleissivistävän koulutuksen ja varhaiskasvatuksen vastuualue 0295330204   etunimi.sukunimi@minedu.fi