Helsingin hallinto-oikeus on hylännyt Espoon kaupungin tekemän valituksen 30.6.2023. Espoon kaupunki valitti hallinto-oikeuteen Tietosuojavaltuutetun toimiston 30.12.2021 antamasta tietosuojavaltuutetun päätöksestä (Finlex).
Miten hallinto-oikeuden päätös vaikuttaa digitaalisiin oppimisympäristöihin?
Helsingin hallinto-oikeuden päätöksen mukaan opetuksen järjestäjät eivät voi perustella Google Workspace for Education -ympäristön henkilötietojen käsittelyä pelkällä lakisääteisellä velvoitteella. Jatkossa rekisterinpitäjien on arvioitava jokainen käsittelytoimi ja tietosuoja erikseen tapauskohtaisesti. Päätös edellyttää opetuksen järjestäjiltä kattavaa tietosuojan vaikutustenarviointia (TVA) riskien minimoimiseksi digitaalisissa oppimisympäristöissä.
Asiassa ratkaistavana oli, voidaanko henkilötietojen käsittelyperusteena tässä tapauksessa soveltaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa. Toisin sanoen kysymys kuuluu, voiko opetuksen järjestäjä perustella Google Workspace for Educationissa tapahtuvaa oppijoiden henkilötietojen käsittelyä vedoten lakisääteisen velvollisuuden noudattamiseen.
Hallinto-oikeus painotti, että asiassa ei ole kysymys siitä, voidaanko kouluissa käyttää Google Workspace for Educationia.
Henkilötietojen käsittelyperuste opetuksessa
Hallinto-oikeus toteaa, että koulun käsitellessä oppilaiden henkilötietoja pääsääntöinen käsittelyperuste on lakisääteisen velvoitteen noudattaminen. Käsittelyperuste tulee kuitenkin arvioida erikseen jokaisen henkilötietojen käsittelytoiminnan yhteydessä seuraavin perustein:
- Käyttötarkoituksen arviointi: Vaikka tietojen käsittely on tarpeen opetuksen järjestämiseksi, perusopetuslain velvoitteet eivät sellaisenaan edellytä tietyn sähköisen opetusohjelman käyttöä.
- Tiedonkeruun laajuus: Sähköisissä opetusympäristöissä kerätään myös sellaista tietoa, joka liittyy nimenomaan ohjelman tekniseen käyttöön, ei pelkästään opetuksen välttämättömiin tarpeisiin.
- Harkinnanvara: Kun perusteena on lakisääteinen velvoite, rekisterinpitäjällä ei saisi olla kohtuutonta harkinnanvaraa velvoitteen noudattamisen tavan suhteen.
Mitä tästä ratkaisusta seuraa jatkossa?
Päätös ei ole vielä lainvoimainen, ja Espoon kaupungilla on mahdollisuus valittaa korkeimpaan hallinto-oikeuteen. Mikäli päätös saa lainvoiman, se vaatii seuraavia toimenpiteitä kaikilta opetuksen järjestäjiltä:
- Tietosuojan vaikutustenarviointi (TVA): Google Workspace for Educationin kaltaisista oppimisympäristöistä, joissa oppijaa arvioidaan tai profiloidaan, on laadittava laaja TVA riskien tunnistamiseksi ja hallitsemiseksi.
- Tapauskohtainen arviointi: Rekisterinpitäjän on arvioitava yksittäisten sähköisten opetuspalvelujen käyttöön liittyvää henkilötietojen käsittelyä tapauskohtaisesti ja dokumentoitava prosessi.
Aiheesta lisää Edudata-tietosuojapalvelun asiakkaille Cloudpointin tietosuojailtapäivässä 17.8.2023 klo 13-15. Tervetuloa mukaan!
Heräsikö ajatus? Kirjoita kommentti!