KHO:n päätös Google Workspace for Educationin tietosuojasta Espoon kaupungissa

Korkeimman hallinto-oikeuden ratkaisu (KHO:2025:29) Espoon kaupungin ja tietosuojavaltuutetun välisessä kiistassa selventää oikeudellisesti koulujen digitaalisten oppimisalustojen, kuten Google Workspace for Educationin, käyttöön liittyviin tietosuojakysymyksiin. 

Epäselvää tapauksessa oli, miten opetuksen järjestäjä perustelee digitaalisilla alustoilla tapahtuvaa oppijoiden tietojen käsittelyä ja voiko perusteena olla perusopetuslain asettama lakisääteinen velvoite. Tuoreessa päätöksessään korkein hallinto-oikeus linjasi, että tämä voi olla pätevä oikeusperusta. Samalla korkein hallinto-oikeus kuitenkin korosti opetuksen järjestäjän vastuuta osoittaa kunkin käsittelytoimenpiteen tarpeellisuus ja palautti asian tietosuojavaltuutetulle uudelleen arvioitavaksi. 

Kyseinen korkeimman hallinto-oikeuden päätös koskettaa kaikkia opetuksen järjestäjiä ja ylimpänä oikeusasteena sillä on myös ohjausvaikutus laintulkintaan jatkossa (nk. ennakkopäätös). Päätös siis näyttää suunnan opetuksen tietosuojan vaikutustenarviointien tekemiselle. 

Mistä tapauksessa oli kyse?

Tapaus sai alkunsa keväällä 2018, kun tietosuojavaltuutettu sai selvityspyynnön Google Workspace for Educationin käytöstä Espoon kaupungin opetuksessa. Selvityksessä nousi esiin kysymys siitä, millä perusteella oppijoiden henkilötietoja voidaan käsitellä digitaalisissa oppimisympäristöissä.

Espoon kaupungin mukaan perusopetuksen järjestämistä koskeva lakisääteinen velvoite on pätevä peruste Google Workspace for Education -palvelun käyttöön liittyvään oppijoiden henkilötietojen käsittelyyn (GDPR 6 art. 1 kohta c alakohta).

Tietosuojavaltuutettu ja myöhemmin Helsingin hallinto-oikeus olivat asiasta toista mieltä. Molempien päätöksissä korostui, ettei perusopetuslaki ole riittävän täsmällinen oikeusperusta, joka velvoittaisi käyttämään juuri tiettyä digitaalista alustaa, kuten tässä tapauksessa Google Workspace for Educationia.

Korkeimman hallinto-oikeuden päätös digitaalisiin palveluihin liittyen

Korkein hallinto-oikeus kumosi aikaisemmat Helsingin hallinto-oikeuden ja tietosuojavaltuutetun päätökset 8.4.2025 julkaistussa päätöksessä. KHO:n keskeinen viesti päätöksessään oli:

1. Lakisääteistä velvoitetta voidaan soveltaa. Perusopetuslainsäädäntö kokonaisuudessaan sekä opetussuunnitelma muodostavat lakisääteisen velvoitteen, joka voi toimia myös pätevänä perusteena henkilötietojen käsittelylle digitaalisissa oppimisympäristöissä.
2. Digitaaliset taidot ovat osa lakisääteistä tehtävää. Opetussuunnitelma ja muut säädökset tuovat opetuksen järjestäjille velvollisuuden valmentaa oppijoita digitaaliseen maailmaan. Käytännössä tämä tarkoittaa sitä, että velvoitteen täyttäminen edellyttää monipuolisesti digitaalisten työkalujen ja alustojen sekä tieto- ja viestintäteknologioiden käyttöä. 

Mitä uusi päätös ei tarkoita opetuksen tietosuojassa?

Vaikka korkeimman hallinto-oikeuden päätös tuo selkeyttä opetuksen järjestäjän toimintaan, on tärkeää ymmärtää, mitä päätöksellä ei tarkoiteta. Päätös ei tarkoita sitä, että kaikki henkilötietojen käsittely esimerkiksi Google Workspace for Education -palvelussa olisi automaattisesti tietosuojalainsäädännön ja GDPR:n mukaista tai aina perusteltavissa lakisääteisellä velvoitteella. Sen sijaan opetuksen järjestäjän tehtävänä on myös tulevaisuudessa arvioida jokainen palvelu ja toteuttaa aktiivisesti tarvittavat toimenpiteet henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi.

Korkein hallinto-oikeus palautti asian tietosuojavaltuutetulle uudelleen käsiteltäväksi. Seuraavaksi tietosuojavaltuutettu tarkastelee, mitkä Espoon kaupungin suorittamat käsittelytoimet ovat tarpeellisia ja oikeasuhtaisia, minkä palveluiden käyttö on perusteltavissa lakisääteisellä velvollisuudella ja mitkä mahdollisesti jäävät tämän ulkopuolelle.

Miten korkeimman hallinto-oikeuden päätös vaikuttaa opetuksen järjestäjien tietosuojatyöhön?

• Lakisääteinen velvoite voi olla käsittelyperuste digitaalisten oppimisympäristöjen osalta.
• On entistäkin tärkeämpää, että opetuksen järjestäjät dokumentoivat ja arvioivat digitaalisten palveluiden käyttöä. Digitaalisten palveluiden arvioinnissa on arvioitava myös jatkossa muun muassa käytön tarpeellisuutta, palveluihin liittyviä riskejä sekä opetussuunnitelman ja lainsäädännön tavoitteiden toteutumista.
• Opetuksen järjestäjän velvollisuus on huolehtia henkilötietojen käsittelyn lainmukaisuudesta kaikissa käytössä olevissa palveluissa ja alustoissa. Digitaalisten palvelujen valinnassa ja käyttöönotossa onkin alusta alkaen arvioitava käsittelyn tarpeellisuus ja oikeasuhtaisuus sekä varmistettava riittävä tietoturva, riskejä pienentävät toimenpiteet ja asianmukaisten tietojenkäsittelysopimusten (DPA) solmiminen palveluntarjoajien kanssa.

Koska korkein hallinto-oikeus päätti palauttaa asian tietosuojavaltuutetulle, voi olla, että saamme tulevaisuudessa tarkempaa ohjeistusta siitä, miten tarpeellisuutta ja oikeasuhtaisuutta käytännössä arvioidaan eri tilanteissa. Opetuksen järjestäjän on siis tärkeää seurata aktiivisesti tietosuojavaltuutetun ja tuomioistuinten päätöksiä sekä lainsäädännön ja ohjeistusten muutoksia.

Tietosuojan toteutumisen vastuu säilyy opetuksen järjestäjällä

Korkeimman hallinto-oikeuden päätös antaa opetuksen järjestäjille pohjan perustella digitaalisten oppimisympäristöjen käyttöä osana lakisääteistä tehtävää. Samalla se painottaa erityisesti sitä, että vastuu tietojen asianmukaisesta ja lainmukaisesta käsittelystä säilyy tiukasti opetuksen järjestäjillä. Huolellinen arviointi, kattava dokumentointi ja jatkuva seuranta ovat avainasemassa opetuksen tietosuojassa.

Vaikka tietosuoja on opetuksen järjestäjän velvollisuus, on olemassa palveluntarjoajia, jotka voivat tukea tätä tietosuojatehtävien hoitamisessa. Edudata.io auttaa opetuksen järjestäjiä riskiarviointien ja kattavien tietosuojan vaikutustenarviointien toteuttamisessa sekä niiden ylläpitämisessä – niin uusiin kuin jo olemassaoleviin opetuksen palveluihin. Autamme tunnistamaan riskit varhaisessa vaiheissa sekä madaltamaan niitä tehokkaasti ja ennaltaehkäisevästi. Tunnemme opetuksen järjestäjän tietosuojavelvoitteet sekä tietosuojatehtävät ja autamme heitä tietosuojaprosessissa askel askeleelta. 

Haluatko lukea lisää ajankohtaisia tietosuoja-aiheita? Tutustu myös Helsingin kaupungin tietosuojarikosepäilyyn blogissamme.