Siirry pääsisältöön
Opas

Henkilötietojen käsittely alakoulussa

Susanna Lindroos-Hovinheimo Professori, oikeustiede, Helsingin yliopisto Eveliina Ignatius Väitöskirjatutkija, oikeustiede, Helsingin yliopisto

Tämä opas on lyhyt katsaus alakoulun oppilaiden henkilötietojen käsittelyyn tilanteissa, joissa opetuksessa hyödynnetään ulkopuolisen toimijan tarjoamia sovelluksia tai teknologioita. Se on suunnattu perusopetuksen ammattilaisille — ennen kaikkea opetushenkilökunnalle. Lainsäädännöllisen tarkastelun keskiössä on EU:n yleinen tietosuoja-asetus. Opas on yleisesitys, ei tyhjentävä oikeudellinen katsaus.

Johdanto

Erilaisten sovellusten käyttö perusopetuksessa voi olla tarpeellista monesta syystä — mediakasvatus, viestintätaitojen harjoittelu, digitaitoihin liittyvä opetus tai sähköistyneet kokeet ovat esimerkkejä perustelluista syistä. Digitalisoituva perusopetus nostaa tietosuojaan liittyvät kysymykset keskeiseen asemaan.

Tietosuojasääntelyssä lasten henkilötiedot ovat erityisasemassa. Niiden käsittelyssä on noudatettava erityistä huolellisuutta — myös perusopetuksessa. Tietosuojavelvoitteiden täyttämiseksi on tärkeää, että opetushenkilökunnalla on ajantasaista tietoa tietosuojasääntelystä.

Jokaisella lapsella on oikeus yksityisyyteen ja henkilötietojensa suojaan. Huomioon on otettava myös muut perus- ja ihmisoikeudet: yhdenvertaisuus, syrjimättömyys sekä oikeus maksuttomaan perusopetukseen. Lasten henkilötietojen kohdalla tulee huolehtia myös YK:n lapsen oikeuksien sopimuksen mukaisesti lapsen edun toteutumisesta.

Oppaan ohjeet koskevat kaikkea henkilötietojen käsittelyä riippumatta siitä, millä tekniikalla sitä tehdään. Myös tekoälysovellukset noudattavat tietosuojasääntöjä. EU:ssa on valmisteilla tekoälyasetus, mutta se ei pääsääntöisesti muuta henkilötietojen käsittelyä koskevia sääntöjä.

1. Lasten henkilötietojen käsittely perusopetuksessa

Lasten henkilötiedot ovat tietosuojasääntelyssä erityisasemassa ja vaativat erityistä suojelua. Henkilötietojen käsittely on osa perusopetuksen arkipäivää.

Henkilötietoja ovat lähtökohtaisesti kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön — tätä henkilöä kutsutaan rekisteröidyksi. Käsite on laaja: ääninauha, valokuva tai tunnistettava fyysinen piirre ovat kaikki henkilötietoja.

Erityiset henkilötietoryhmät nauttivat tiukempaa suojaa. Niihin kuuluvat tiedot, joista ilmenee rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys sekä geneettiset, biometriset tai terveystiedot.

Rekisterinpitäjä on taho, joka päättää henkilötietojen käsittelystä ja vastaa siitä. Rekisterinpitäjyyttä ei voida sopia — tosiasiallinen määräysvalta ratkaisee. Perusopetuksessa rekisterinpitäjä on se toimielin, joka kunnassa vastaa perusopetuksen järjestämisestä — yleensä opetustoimesta vastaava lautakunta tai vastaava elin. Se vastaa kaikista tietosuojavelvoitteista ja on vastuussa siitä, että opettajat ja muu henkilökunta saavat kattavan ohjeistuksen tietosuojasääntelyn vaatimuksista.

1.1 Rekisterinpitäjä huolehtii tietosuojaperiaatteiden toteutumisesta

Vastuu tietosuojaperiaatteiden toteutumisesta kuuluu rekisterinpitäjälle. Periaatteet ovat velvoittavia, ja rekisterinpitäjän täytyy pystyä osoittamaan, että niitä noudatetaan.

Tietosuojaperiaatteita ovat:

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys — käsittelyllä on oltava laillinen peruste ja siitä on kerrottava avoimesti
  • Käyttötarkoitussidonnaisuus — tietoja kerätään vain tiettyyn, etukäteen määriteltyyn tarkoitukseen
  • Tietojen minimointi — kerätään vain tarpeellinen tieto
  • Täsmällisyys — tiedot on pidettävä ajantasaisina ja paikkansapitävinä
  • Käsittelyn rajoittaminen — tietoja säilytetään vain tarvittavan ajan

1.2 Henkilötietojen käsittelyperusteena on lähtökohtaisesti laki

Henkilötietojen käsittelyllä tulee olla lainmukainen käsittelyperuste. Ilman sitä käsittely on kiellettyä. Peruste on määriteltävä ennen käsittelyn aloittamista, eikä se voi vaihtua kesken käsittelyn.

Perusopetuksessa pääsääntöinen peruste on lakisääteisen velvoitteen noudattaminen: perusopetuslain (628/1998) 4 §:n mukaan kunta on velvollinen järjestämään perusopetusta alueellaan asuville oppivelvollisille. Tämä velvoite täsmentyy lain 2 §:n tavoitteissa ja 14 §:n nojalla annettavissa opetussuunnitelman perusteissa.

Tietosuoja-asetuksen mukaiset käsittelyperusteet ovat:

  1. Rekisteröidyn suostumus
  2. Sopimus
  3. Rekisterinpitäjän lakisääteinen velvoite
  4. Elintärkeiden etujen suojaaminen
  5. Yleistä etua koskeva tehtävä tai julkisen vallan käyttö
  6. Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu

Käsittelyperusteen valinta vaikuttaa rekisteröidyn oikeuksiin. Valinta tehdään aina tapauskohtaisesti ennen käsittelyn aloittamista.

Huomio lakisääteisestä velvoitteesta: Velvoite järjestää perusopetusta ei anna rekisterinpitäjälle vapaita käsiä päättää, mitä tietoja kerätään tai missä ympäristössä. Nykyisen oikeuskäytännön valossa lakisääteinen velvoite ei välttämättä ole soveltuva peruste kolmannen osapuolen sovelluksille. Näyttövelvollisuus käsittelyperusteen olemassaolosta on aina rekisterinpitäjällä.

1.3 Suostumus käsittelyperusteena ja lapsen suostumus

Rekisteröidyn suostumus on yksi tietosuoja-asetuksen käsittelyperusteista. Sen tulee olla yksilöity, tietoinen, aidosti vapaaehtoinen ja yksiselitteinen tahdonilmaisu. Julkisella sektorilla suostumuksen käyttö on ongelmallista: viranomaisen ja kansalaisen välinen valta-asema vaikuttaa suostumuksen aitoon vapaaehtoisuuteen. Lapsen suostumukseen liittyy lisäksi erityiskysymyksiä.

Lapsen suostumuksen käyttäminen käsittelyperusteena vaatii hyvin huolellista etukäteisarviointia ja henkilötietojen käsittelystä informointia tavalla, jonka lapsi voi tosiasiallisesti ymmärtää.

Tärkeä ero — suostumukset eivät ole sama asia:

  • Tietosuoja-asetuksen mukainen käsittelyperusteena toimiva suostumus
  • Suostumus osallistua tutkimukseen tai pilottiohjelmaan
  • Eettinen suostumus
  • Suostumus teknologian hyödyntämiseen

Näitä ei tule sekoittaa toisiinsa. Joissain tilanteissa tarvitaan erikseen sekä tietosuoja-asetuksen mukainen suostumus että erillinen osallistumislupa — ne palvelevat eri tarkoituksia. Mikä tahansa suostumus ei kelpaa tietosuoja-asetuksen käsittelyperusteeksi.

2. Kolmannen tahon sovellukset opetuksessa

Erilaiset sovellukset ovat läsnä lasten vapaa-ajalla ja enenevissä määrin myös opetuksessa. Sovellusten käyttö ja digitaidot kuuluvat opetussuunnitelman mukaisen mediakasvatuksen piiriin. Teknologialla voidaan lisätä opetusmateriaalin saavutettavuutta ja valmistaa lapsia digitaaliseen ympäristöön. Samalla syntyy henkilötietoihin liittyviä kysymyksiä, joita ei voi ohittaa.

Kaikki opetuksessa käytettävät kolmannen osapuolen sovellukset, joissa käsitellään lasten henkilötietoja, kuuluvat edelleen rekisterinpitäjänä toimivan perusopetuksen järjestäjän vastuulle.

Parhaassa tapauksessa perusopetuksen järjestäjä hallinnoi keskitetysti kaikkia opetuksessa käytettäviä sovelluksia ja laitteita. Tällöin rekisterinpitäjä pystyy täyttämään velvollisuutensa — muun muassa tekemään tietosuoja-asetuksen mukaisen tietosuojavaikutusten arvioinnin ennen sovellusten käyttöönottoa.

Rekisterinpitäjän vastuu: Tietosuojavaikutusten arviointi on aina rekisterinpitäjän vastuulla — sitä ei voida toteuttaa yksittäisen opettajan tasolla luokkakohtaisesti. Arvioinnissa kartoitetaan etukäteen riskit tietosuojalle ja tietoturvalle.

2.1 Käsittelyperuste sovellusten kohdalla

Perusopetuksen järjestäjän lakisääteinen velvoite järjestää opetusta ei automaattisesti tarkoita, että kaikki opetuksessa käytettävä teknologia on sen nojalla luvallista. Nykyisen oikeuskäytännön valossa lakisääteinen velvoite ei välttämättä ole soveltuva käsittelyperuste kolmannen osapuolen sähköisille opetusohjelmille tai sovelluksille.

Perusopetuksen järjestäjän on sovellusten käyttöönottoa harkitessaan aina selvitettävä: mikä on se laillinen käsittelyperuste, johon se voi vedota?

2.2 Huolellinen informointi

Tietosuoja-asetuksen informointivelvoitteet suojaavat rekisteröidyn oikeuksia. Selkeä ja oikea-aikainen tieto mahdollistaa sen, että rekisteröity voi käyttää oikeuksiaan. Oppilaille tulee tarjota lapsiystävällisellä kielellä tietoa heidän henkilötietojensa käsittelystä — myös sovellusten yhteydessä.

Lasten erityisasema tietosuoja-asetuksessa edellyttää, että informoinnin sanasto, sävy ja tyyli on sovitettu lapsen ikätasolle. Huomioitavaa:

  • Lapsille on annettava informointia myös silloin, kun suostumuksen henkilötietojen käsittelyyn antaa huoltaja.
  • Muiden kohderyhmien erityistarpeet on otettava huomioon — esimerkiksi vammaisille henkilöille annettavassa informoinnissa on varmistettava tiedon saavutettavuus.

3. Käytännön esimerkkejä

3.1 Espoon kaupungin Google Workspace -tapaus

Tapausesimerkki: Google Suite for Education, Espoo (2018–2022)

Vuonna 2018 tietosuojavaltuutetun toimistossa saatettiin vireille asia, jossa henkilö ilmaisi huolensa Google Suite for Education -ohjelman käytöstä Espoon kaupungin koulussa. Rekisterinpitäjä (Espoon kaupunki) katsoi, että käsittelyperusteena sovelletaan lakisääteistä velvoitetta — eli perusopetuksen järjestämiseksi tarpeellinen henkilötietojen käsittely kattaa myös kyseisen ohjelman.

Tietosuojavaltuutetun päätös (2021): Opetusohjelman käyttö ei ollut tietosuoja-asetuksen mukaista. Lakisääteinen velvoite järjestää opetusta on kyllä pääsääntöinen käsittelyperuste — mutta se ei edellytä juuri tietyn sähköisen opetusohjelman käyttöä. Erityisinä riskitekijöinä huomioitiin: ohjelman käyttö saattoi sisältää erityisiin henkilötietoryhmiin kuuluvia tietoja, rekisterinpitäjän valvontamahdollisuudet olivat rajalliset, ja ohjelmaa käytettiin koulun ohella myös vapaa-ajalla oppilaan omilta laitteilta.

Hallinto-oikeuden päätös: Espoon kaupungin valituksesta huolimatta hallinto-oikeus vahvisti, ettei ohjelman käyttöä voitu oikeuttaa suoraan lakisääteisellä perusopetusvelvoitteella. Lasten henkilötietojen erityinen suojan tarve korostui ratkaisussa.

Tapaus osoittaa, kuinka tärkeää on arvioida käsittelyperusteen soveltuvuus tarkasti — erityisesti kolmannen osapuolen sovelluksissa. Vakiomuotoinen tietojenkäsittelysopimus ei riitä takeeksi, kun kyseessä ovat lasten henkilötiedot ja rekisterinpitäjän valvontamahdollisuudet ovat rajalliset.

3.2 Kuka päättää sovelluksen käytöstä?

Nykyinen lainsäädäntö jättää harkinnanvaraa sovellusten valinnassa — perusopetuslaki tai opetussuunnitelman perusteet eivät erikseen määrää, mitä sovelluksia opetuksessa käytetään. Tämä ei kuitenkaan tarkoita, ettei vastuu ole olemassa.

Tapausesimerkki: Itä-Suomen aluehallintovirasto (2022)

Luokanopettaja käytti liikunnan opetuksessa oman yrityksensä sovellusta ilman huoltajien suostumusta. Oppilaiden tietoja tallennettiin yrityksen tietokantaan, ja opettaja jakoi julkaisuja sovelluksen käytöstä sosiaalisen median tileillään.

Aluehallintoviraston päätös[1]: Sovelluksen käytöstä olisi tullut tiedottaa koteihin ja huoltajilta olisi tullut pyytää lupa. Vastuu oppilaan oikeuksien toteutumisesta — ja käytettävien sovellusten asianmukaisuudesta — on opetuksen järjestäjällä.

Huomio: aluehallintovirasto ei valvo tietosuoja-asetuksen noudattamista, mutta päätöksessä esitetyt seikat ovat merkityksellisiä myös tietosuoja-asetuksen näkökulmasta.

Päätös korostaa rekisterinpitäjän vastuun ulottumista aina sovelluksen valinnasta ja yhteistyösopimusten tekemisestä alkaen.

Yhteenveto

Sovellusten, sosiaalisten medioiden ja muiden teknologioiden käyttöön sisältyy usein henkilötietojen käsittelyä — silloin tietosuojasääntöjä on noudatettava. Keskeisintä on arvioida etukäteen, millaisia vaikutuksia kullakin teknologialla on henkilötietojen suojaan.

  • Lasten henkilötiedot vaativat erityistä suojelua.
  • Sovellusten käyttöön sisältyy usein henkilötietojen käsittelyä — tietosuojasääntely tulee ottaa huomioon.
  • Tietosuojasääntelyn noudattaminen on rekisterinpitäjän vastuulla. Rekisterinpitäjä vastaa myös opettajien ja muun henkilökunnan ohjeistamisesta.
  • Sovellusten ja teknologian käytön huolellinen ennakkosuunnittelu on ensisijaisen tärkeää — se mahdollistaa vaatimusten huomioimisen alusta alkaen.

Viitteet

[1] Aluehallintovirasto, päätöslyhennelmät. Itä-Suomen aluehallintovirasto 2022.

Rahoittaja
Suomen Akatemia Strategisen tutkimuksen neuvosto
Konsortiojäsenet
Helsingin yliopisto Itä-Suomen yliopisto Oulun yliopisto Suomen koodikoulu Heureka – Suomen tiedekeskus SciFest Joensuu
Hankkeen sovellukset gen‑ai.fi

Kokeile ilmaisia tekoälytyökaluja oppitunneilla ja kotona.

Avaa gen-ai.fi (avautuu uudessa välilehdessä)