Sähköiset palvelut opetuksen järjestämisessä

 

 

Opetuksen järjestämistä on monissa oppilaitoksissa ryhdytty tukemaan erilaisten sähköisten palveluiden avulla. Opetuksen tai koulutuksen järjestäjä tekee päätöksen siitä, minkälaisia laitteita, työvälineitä ja oppimateriaalia opetuksen järjestämisessä käytetään, sekä ratkaisee sen, hyödynnetäänkö opetuksessa esimerkiksi tieto- ja viestintätekniikka ja digitaalisia ympäristöjä.[1]

Aina silloin, kun sähköisen palvelun yhteydessä on määrä käsitellä henkilötietoja, mukaan lukien pseudonymisoidut henkilötiedot, on otettava huomioon henkilötietojen suojaa koskeva lainsäädäntö. Lähtökohtaisesti tieto- ja viestintätekniikan käyttö oppilaitosten toiminnassa on sallittua silloin, kun kyse on opetuksen järjestämisessä käytettävistä sähköisistä työvälineistä.[2] Pelkkä pyrkimys digitalisaatioon tai rekisterinpitäjälle kuuluvan tehtävän suorittamisen helpottamiseen ei kuitenkaan oikeuta henkilötietojen käsittelyyn.[3]

Palveluntuottajaa, joka käsittelee henkilötietoja rekisterinpitäjän puolesta, kutsutaan henkilötietojen käsittelijäksi.[4] Rekisterinpitäjä voi käyttää ainoastaan sellaisia käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi siten, että käsittely täyttää asetuksen vaatimukset ja turvaa rekisteröidyn oikeudet.[5] Vastaava vaatimus sisältyy jo henkilötietolakiin.[6] Palveluntarjoajan tulisi ennen henkilötietojen käsittelyyn ryhtymistä toimittaa rekisterinpitäjälle asianmukaiset selvitykset sekä muut takeet henkilötietojen suojaamisesta.

Otettaessa käyttöön sähköisiä palveluita on ensimmäiseksi arvioitava, toteuttaako palvelu jotakin oppilaitokselle laissa säädettyä tehtävää. Vaikka rekisterinpitäjä käyttäisi sähköisten palveluiden tuottamisessa ulkopuolista palveluntarjoajaa, henkilötietojen käsittely tapahtuu edelleen sen lukuun. Rekisterinpitäjä voi käyttää henkilötietojen käsittelijöitä suorittamaan lukuunsa vain sellaisia henkilötietoihin kohdistuvia toimenpiteitä, joita se itsekin olisi oikeutettu tekemään. Käsittelijälle ei voida sopimusperustaisesti luoda laajempia oikeuksia kuin mitä rekisterinpitäjälläkään olisi. Henkilötietojen käsittelijän on välittömästi ilmoitettava rekisterinpitäjälle, jos se katsoo ohjeistuksen olevan vastoin tietosuojalainsäädäntöä.[7]

Oppilaiden ja opiskelijoiden henkilötietoja voidaan käsitellä ainoastaan opetuksen tai koulutuksen järjestämiseksi. Henkilötietojen käsittelijä ei voi hyödyntää sopimusta omien sopimuksen ulkoisten intressiensä toteuttamiseen, kuten esimerkiksi kaupallisiin tarkoituksiin, eikä se saa käsitellä henkilötietoja vastoin rekisterinpitäjän ohjeita.[8]

Henkilötietojen käsittelijä ei saa tietosuoja-asetuksen mukaan käyttää toisen henkilötietojen käsittelijän palveluksia ilman rekisterinpitäjän erityistä tai yleistä kirjallista ennakkolupaa. Jos ennakkolupa on annettu kirjallisesti, henkilötietojen käsittelijän on tiedotettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden henkilötietojen käsittelijöiden lisäämistä tai vaihtamista, ja annettava siten rekisterinpitäjälle mahdollisuus vastustaa tällaisia muutoksia.[9] Palveluntarjoaja ei toisin sanoen voi jatkossa ulkoistaa henkilötietojen käsittelyä koskevia tehtäviään toiselle palveluntarjoajalle rekisterinpitäjän tietämättä.

Tietosuoja-asetuksen mukaan henkilötietojen käsittelijän suorittamasta käsittelystä on aina sovittava sopimuksella tai muulla oikeudellisella asiakirjalla.[10] Henkilötietojen käsittelijä vastaa käsittelystä sopimuksen mukaisesti. Toimeksiantosopimuksen tulee vahvistaa henkilötietojen käsittelyn kohde, kesto, luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Sen tulee lisäksi sisältää tietyt henkilötietojen käsittelijän vastuut ja velvollisuudet. Kaikissa henkilötietojen käsittelyä koskevissa sopimuksissa on nimenomaisesti määrättävä, että henkilötietojen käsittelijä:

  • käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos lainsäädännössä toisin vaaditaan,
  • varmistaa, että sen palveluksessa olevat henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet salassapitovelvollisuuteen tai heillä on lakisääteinen salassapitovelvollisuus,
  • toteuttaa kaikki käsittelyn turvallisuuden varmistamiseksi vaaditut organisatoriset ja tekniset toimenpiteet,
  • noudattaa toisen henkilötietojen käsittelijän käytön edellytyksiä,
  • auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröidyn oikeuksien käyttämistä koskeviin pyyntöihin,
  • auttaa rekisterinpitäjää varmistamaan, että käsittelyn turvallisuutta, tietoturvaloukkauksista ilmoittamista sekä vaikutustenarviointia ja ennakkokuulemista koskevia velvollisuuksia noudatetaan,
  • palveluiden tarjoamisen päätyttyä joko poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle tämän valinnan mukaisesti sekä poistaa olemassa olevat jäljennökset, paitsi jos lainsäädäntö edellyttää niiden säilyttämistä,
  • saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen käsittelijän velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai sen valtuuttaman auditoijan suorittamat auditoinnit sekä osallistuu niihin.[11]

Mikäli opetuksen tai koulutuksen järjestäjän ja palveluntarjoajan välisten voimassaolevien sopimusten sijainnista ei ole tietoa, tai ne on tehty ainoastaan suullisesti, asia on korjattava. Aiemmin solmittuja sopimuksia ei kuitenkaan tarvitse irtisanoa, vaan ne voidaan päivittää asetuksen mukaiseksi esimerkiksi sopimusliitteiden avulla.

Kaikkea henkilötietojen käsittelyä koskevan tietojen minimoinnin periaatteen noudattamiseksi oppilaitoksissa voidaan käsitellä vain sellaisia henkilötietoja, jotka ovat tarpeen opetuksen järjestämiseksi. Periaate ulottuu myös sähköisten palveluiden käyttämiseen. Vaikka digitaaliset palvelut tarjoavat entistä laajempia ja joustavampia resursseja opetuksen järjestämiseksi, sähköisessä ympäristössä oppilasta, opiskelijoista ja heidän toiminnastaan kertyy helposti enemmän tietoa kuin aiemmin. Jos opetuksen järjestämistä koskevat tavoitteet on aiemmin pystytty saavuttamaan muilla tavoin, rekisterinpitäjän tulee varautua perustelemaan, miksi tavoiteltuun lopputulokseen ei olisi voitu päästä vähemmällä henkilötietojen käsittelyllä tai kenties jopa kokonaan ilman sitä.

Jos oppilas tai opiskelija käyttää oikeutta vaatia henkilötietojen poistoa tai oikaisua tai käsittelyn rajoittamista, rekisterinpitäjän on ilmoitettava tästä kaikille sellaisille henkilötietoja lukuunsa käsitteleville tahoille, joille kyseessä olevia henkilötietoja on luovutettu. Lisäksi rekisterinpitäjän on ilmoitettava oppilaalle tai opiskelijalle tällaisista vastaanottajista, jos hän sitä pyytää.[12]

 

[1] http://www.tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html.

[2] http://www.tietosuoja.fi/fi/index/ratkaisut/tietosuojavaltuutetunratkaisut/millaedellytyksillapilvipalveluitavoidaankayttaaopetuksenjarjestamisessa.html.

[3] http://www.tietosuoja.fi/fi/index/ratkaisut/henkilotietojenkasittelyopiskelijoidenla.html.

[4] Tietosuoja-asetuksen 4 artiklan 8 kohta.

[5] Tietosuoja-asetuksen 28 artiklan 1 kohta.

[6] Vrt. henkilötietolain 32 §:n 2 momentti.

[7] Tietosuoja-asetuksen 28 artiklan 3 kohta.

[8] Tietosuoja-asetuksen 29 artikla.

[9] Tietosuoja-asetuksen 28 artiklan 2 kohta.

[10] Tietosuoja-asetuksen 28 artiklan 3 kohta.

[11] Tietosuoja-asetuksen 28 artiklan 3 kohta.

[12] Tietosuoja-asetuksen 19 artikla.