Hallinto-oikeus: Tietosuoja-asiaa koskeva valitus (Google Workspace for Education -ohjelma)
10.7.2023• Uutiset
Helsingin hallinto-oikeus 30.6.2023
Päätös: 3945/2023
Dnro 630/03.04.04.04.01/2022
Asia Tietosuoja-asiaa koskeva valitus
Valittaja: Espoon kaupunki
Päätös, josta valitetaan: Tietosuojavaltuutettu 30.12.2021 dnro 1509/452/18
Tietosuojavaltuutetun toimistolle on 30.4.2018 tehty ilmoitus, jossa asian vireillesaattaja on ilmaissut huolensa Google Suite for Education -ohjelman (nykyään Google Workspace for Education -ohjelma) käytöstä espoolaisessa koulussa ja pohtinut, onko koulu menetellyt asiassa tietosuojasääntelyn mukaisesti.
Espoon kaupunki (jatkossa rekisterinpitäjä) on kertonut selvityksessään, ettei se pyydä Googlen sähköisen opetusohjelman käyttöön huoltajan suostumusta, vaan käsittelyperusteena sovelletaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa (lakisääteisen velvoitteen noudattaminen). Henkilötietojen käsittely on tarpeellista perusopetuksen järjestämiseksi perusopetuslain mukaisesti. Opetustoimi pyytää kuitenkin huoltajia hyväksymään tieto- ja viestintäteknologiapalveluiden käyttöehdot, joissa kerrotaan, millaisia palveluita opetuksessa käytetään ja millaisia sääntöjä käyttöön liittyy. Käyttöohjeisiin sitoutuminen on oleellista, koska tunnukset ovat käytettävissä myös kouluajan ulkopuolella. Tilanteessa, jossa huoltaja ei hyväksy käyttöehtoja, huoltajan kanssa keskustellaan siitä, mitä työvälineitä hän mahdollisesti hyväksyisi opetuksen järjestämisessä ja miten opetussuunnitelman aiheeseen liittyvät velvoitteet hoidetaan oppilaiden yhdenvertainen kohtelu huomioiden. Rekisterinpitäjä on solminut Googlen palvelusta yleisen tietosuoja-asetuksen 28 artiklan mukaisen tietojenkäsittelysopimuksen Googlen pilvipalveluiden palveluntoimittajan Cloudpoint Oy:n kanssa ja hyväksynyt Googlen käyttöehdot.
Rekisterinpitäjän mukaan tarkoituksena on, että oppilaat tutustuvat Googlen ja Microsoftin pilvipalveluihin koulunkäyntinsä aikana. Koronaviruksen aiheuttamien poikkeusolojen aikana opetus ja opiskelu on tapahtunut pääsääntöisesti näissä pilvipalveluissa, ja Googlen G Suite -ohjelma on vireillesaattajan esille nostamassa koulussa ensisijainen sähköinen oppimisympäristö. Ohjelmaa tuotetaan Visman Primus- kouluhallintojärjestelmän käyttäjäidentiteetillä ja oppilaan perustiedot ovat etunimi, kutsumanimi, sukunimi, sähköpostiosoite, koulun nimi, luokka, luokka-aste, rooli (oppilas), kielikoodi, salattu henkilötunnus (PrimuslD), koulun tilastokoodi, OID (OppilaslD) ja tiedon lähde. Käytössä on algoritmi, joka estää selkokielisen henkilötunnuksen siirtymisen salaamattomana Googlelle.
Tietosuojavaltuutetun ratkaistavana on ollut nyt valituksenalaiselta osin kysymys siitä, voidaanko henkilötietojen käsittelyperusteena tässä tapauksessa soveltaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa.
Tietosuojavaltuutettu on valituksenalaisessa päätöksessään katsonut, että henkilötietojen käsittelyperusteena ei rekisterinpitäjän tapauksessa tule sovellettavaksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, eikä rekisterinpitäjän menettely koskien sähköisen opetusohjelman käyttöön liittyvää oppilaiden henkilötietojen käsittelyä kyseisen käsittelyperusteen nojalla ole näin ollen ollut yleisen tietosuoja-asetuksen mukaista.
Tietosuojavaltuutettu on antanut rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi ja 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista.
Päätöksen perusteluissa on todettu muun ohella seuraavaa:
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Kun henkilötietojen käsittelyperusteena on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, velvoitteen asettavan lain on täytettävä kaikki merkitykselliset ehdot, jotta velvoite on pätevä ja sitova, ja sen on myös täytettävä tietosuojalainsäädännön vaatimukset tarpeellisuutta, oikeasuhteisuutta ja käyttötarkoituksen rajaamista koskeva vaatimus mukaan lukien. Rekisterinpitäjällä ei saa olla valinnanvaraa sen suhteen, täyttääkö se velvoitteen. Vapaaehtoiset, yksipuoliset sitoumukset sekä julkisen ja yksityisen sektorin kumppanuudet, joissa käsitellään tietoja laajemmin kuin lainsäädännössä edellytetään, eivät kuulu lakisääteistä tehtävää koskevan henkilötietojen käsittelyperusteen soveltamisalaan. Lisäksi laillisen velvoitteen on oltava riittävän selvä sen edellyttämän henkilötietojen käsittelyn suhteen.
Näin ollen rekisterinpitäjän lakisääteistä velvoitetta koskevaa henkilötietojen käsittelyperustetta sovelletaan sellaisten säännösten perusteella, joissa viitataan nimenomaisesti käsittelyn luonteeseen ja tavoitteeseen.
Rekisterinpitäjällä ei saisi olla kohtuutonta harkinnanvaraa sen suhteen, miten se noudattaa laillista velvoitetta.
Rekisterinpitäjän lakisääteinen velvoite järjestää perusopetusta perustuu perusopetuslain 4 §:ään, jonka mukaan kunta on velvollinen järjestämään sen alueella asuville 26 §:n 1 momentissa tarkoitetuille oppivelvollisuusikäisille perusopetusta. Tämä rekisterinpitäjän velvollisuus edellyttää oppilaiden henkilötietojen käsittelyä, ja lakisääteisen velvoitteen noudattaminen on pääsääntöinen käsittelyperuste koulun käsitellessä oppilaiden henkilötietoja. Perusopetuslaissa ei kuitenkaan viitata nimenomaisesti käsittelyn luonteeseen, eikä perusopetuslain mukaisen velvoitteen täyttäminen sellaisenaan edellytä esimerkiksi sähköisen opetusohjelman käyttöä. Tietojenkäsittelyn keinoja ei ole laissa määritelty, ja sääntely jättää näiltä osin merkittävää harkinnanvaraa sen suhteen, millaisia keinoja rekisterinpitäjä käyttää henkilötietojen käsittelyssä toteuttaessaan laista tulevaa velvoitettaan.
Oppilaasta kertyy kouluvuosien aikana hänen elämäänsä ja kehitystään kuvaavia tietoja pitkältä ajanjaksolta. Rekisterinpitäjän selvityksen mukaan tiedot saattavat sisältää myös erityisiin henkilötietoryhmiin kuuluvia eli arkaluonteisia tietoja. Koska rekisterinpitäjä on soveltanut henkilötietojen käsittelyperusteena yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa, rekisterinpitäjän mukaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohta (erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn kielto) ei ole tullut tietosuojalain 6 §:n mukaisesti sovellettavaksi. Sähköisen opetusohjelman kautta käsitellään merkittävästi enemmän henkilötietoja kuin perinteisen lähiopetuksen yhteydessä. Esimerkiksi Googlen koulukäyttöön tarkoitettuun palvelupakettiin sisältyy ohjelmia, joiden kautta saatetaan kerätä ja tallentaa rekisteröidyn puhetta, videokuvaa rekisteröidystä sekä videokuvaan sisältyvää muuta informaatiota, kuten kuvaan sisältyvä näkymä oppilaan kodista. Oppilaan henkilötietojen käsittely ei näin ollen rajoitu ainoastaan koulutehtävänannon kannalta välttämättömiin tietoihin, ja oppilaasta kerätään yksityiskohtaisesti myös sellaista tietoa, jonka käsittely liittyy nimenomaisesti sähköisen opetusohjelman käyttöön.
Sähköisen palvelun käytöllä on vaikutuksia myös rekisterinpitäjän mahdollisuuksiin valvoa henkilötietojen käsittelijöiden ja alihankkijoiden suorittamaa henkilötietojen käsittelyä. Nyt käsiteltävässä tapauksessa tietojen käsittelyn luonne, kesto ja henkilötietojen määrä yksittäisen rekisteröidyn kohdalla huomioiden rekisterinpitäjän kontrolli henkilötietojen käsittelyssä jää vähäiseksi ottaen myös huomioon, että rekisterinpitäjä on hyväksynyt henkilötietojen käsittelijän laatiman vakiomuotoisen tietojenkäsittelysopimuksen ja palvelun käyttöehdot sekä erityisesti sen, että kyse on lasten henkilötiedoista. Henkilötietojen käsittely on myös hajautettu sekä maantieteellisesti että useina henkilötiedoista tehtyinä kopioina.
Opetusohjelmaa käytetään koulun ohella kotona oppilaan omasta verkosta ja omilla laitteilla. Tällainen toimintatapa edellyttää rekisteröidyn vapaaehtoisuutta, eikä menettelyä voida oikeuttaa lakisääteisen perusopetuksen järjestämisvelvoitteen noudattamisen nojalla. Oppilaan käyttäjätilin tunnisteen luomisessa tehtävä henkilötunnuksen salaus on muodostettu MD5-menetelmällä, joka estää henkilötunnuksen siirtymisen salaamattomana eteenpäin. MD5-algoritmin katsotaan kuitenkin tietoturvamielessä olevan vanhentunut.
Tietosuojavaltuutettu on todennut yleisesti sähköisten opetusohjelmien osalta, että rekisterinpitäjällä on ohjelman käyttöön liittyen merkittävää harkintavaltaa, ja eri vaihtoehtojen välillä voi olla suuria eroja esimerkiksi henkilötietojen käsittelijöiden ja alihankkijoiden lukumäärässä, maantieteellisessä sijoittautumisessa ja valvontamahdollisuuksissa sekä ohjelman tietosuoja- ja tietoturvatoteutuksessa, eikä rekisteröidyllä ole vaikutusmahdollisuutta rekisterinpitäjän tekemään valintaan. Näin ollen ohjelman käyttöön liittyvää henkilötietojen käsittelyä ei ole perusteltua katsoa automaattisesti siten tarpeelliseksi ja oikeasuhteiseksi, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn suoraan ja ilman tapauskohtaista harkintaa lakisääteisen perusopetuksen järjestämisvelvollisuuden nojalla.
Rekisterinpitäjällä on yleisen tietosuoja-asetuksen 25 artiklan mukainen velvollisuus huomioida tietosuoja toiminnassaan alusta alkaen, ja sisäänrakennettu ja oletusarvoinen tietosuoja tulee integroida tehokkaasti henkilötietojen käsittelyyn. Silloin, kun koulu käyttää opetuksessa maksuttomia ohjelmia, ennen palvelun käyttöönottoa kannattaa arvioida, mihin maksuttomuus perustuu. Huomiota on perusteltua kiinnittää myös siihen, millaiseen palvelukokonaisuuteen yksittäinen palvelu kytkeytyy, ja miten esimerkiksi rekisterinpitäjyys palvelupaketin eri osia käytettäessä määräytyy ja mitkä sopimusehdot tulevat kulloinkin sovellettaviksi.
Rekisterinpitäjällä on myös velvollisuus huolehtia siitä, että se informoi rekisteröityjä henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 12–14 artiklojen mukaisesti. Rekisteröidyn tulee saada henkilötietojen käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävissä ja saatavilla olevassa muodossa, ja informaation tulee sisältää esimerkiksi tieto henkilötietojen vastaanottajista, joihin lukeutuvat myös henkilötietojen käsittelijät. Tietojen ymmärrettävyyttä on arvioitava rekisteröidyn näkökulmasta, ja esimerkiksi lapselle annettavan informaation tulee olla lapsen helposti ymmärrettävissä.
Tietosuojavaltuutettu on tuonut päätöksessään esille muista yleisessä tietosuoja-asetuksessa mainituista henkilötietojen käsittelyperusteista 6 artiklan 1 kohdan a alakohdan (suostumus) ja f alakohdan (rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu).
Valituksessa esitetyt vaatimukset
Päätös on kumottava ja rekisterinpitäjän henkilötietojen käsittelyn sähköisen opetusalustan käytössä on vahvistettava perustuvan lakisääteisen velvoitteen noudattamiseen yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti.
Tietosuojavaltuutetun toimisto on velvoitettava korvaamaan rekisterinpitäjän oikeudenkäynti- ja asianosaiskulut kokonaisuudessaan korkolain 4 §:n 1 momentin mukaisine viivästyskorkoineen.
Päätös perustuu virheelliseen sekä puutteelliseen laintulkintaan ja tosiseikkojen selvittämiseen. Huomautus on perusteeton. Päätös on myös hallintolain vastainen.
Rekisterinpitäjä käyttää Google Workspace for Education -opetusalustaa ja vastaavaa Microsoftin alustaa järjestäessään perusopetusta. Opetusalustoja käytetään niin opetuksen välineenä kuin sen kohteena. Googlen opetusalustaa hyödynnetään sekä yksilöllisen että yhteisöllisen työskentelyn välineenä.
Lisäksi oppilaille tarjotaan oppimisalustan avulla oppimispolkuja ja digitaalisia materiaaleja.
Rekisterinpitäjän arvion mukaan Googlen opetusalustaa käyttää päivittäisellä tasolla yli 20 000 oppilasta Espoossa. Kyseisiä opetusalustoja käytetään lisäksi laajasti päivittäin kansallisella tasolla perusopetuksen järjestämiseksi. Mikäli tietosuojavaltuutetun päätös pysytettäisiin, koskisivat samat perusteet rekisterinpitäjän näkemyksen mukaan myös kaikkia muita kuntia ja valtakunnallista perusopetusta yleisesti. Tässä asiassa annettavalla ratkaisulla on siten erittäin laajat heijastusvaikutukset perusopetuksen järjestämiseen koko Suomessa.
Tietosuojavaltuutettu on perustellut päätöstään sillä, että rekisterinpitäjän perusopetuslain 4 §:n mukaisen velvoitteen täyttäminen ei sellaisenaan edellytä sähköisen opetusohjelman käyttöä, ja että sääntely jättää merkittävää harkinnanvaraa sen suhteen, millaisia keinoja rekisterinpitäjä käyttää henkilötietojen käsittelyssä toteuttaessaan laista tulevaa velvoitettaan. Jos tietosuojavaltuutetun perustelut ja tulkinta pitäisivät paikkansa, sähköisten opetusohjelmien sisältämää henkilötietojen käsittelyä ei voitaisi koskaan perustaa lakisääteisen velvoitteen noudattamiseen.
Opetusalustan käyttö perusopetuksessa ei perustu rekisterinpitäjän omaan harkintaan, vaan rekisterinpitäjää velvoittavaan kansalliseen lainsäädäntöön ja sitä täsmentäviin, rekisterinpitäjää sitoviin viranomaismääräyksiin.
Rekisterinpitäjä on perusopetuslain 4 §:n perusteella velvollinen järjestämään sen alueella asuville oppivelvollisuusikäisille perusopetusta. Perusopetuslain 2 §:n mukaan opetuksen tavoitteena on tukea oppilaiden kasvua ihmisyyteen ja eettisesti vastuukykyiseen yhteiskunnan jäsenyyteen sekä antaa heille elämässä tarpeellisia tietoja ja taitoja. Perusopetuksen valtakunnalliset tavoitteet asettava valtioneuvoston asetus korostaa teknologian tuntemuksen tärkeyttä ja edellyttää, että oppilaille annetaan valmiudet kriittistä tiedonhankintaa edellyttävän tieto- ja viestintäteknologian käyttöön.
Rekisterinpitäjän perusopetuksen järjestämisvelvollisuuden sisältöä täsmennetään Opetushallituksen perusopetuslain 14 §:n nojalla antamassa määräyksessä opetussuunnitelman perusteista (104/011/2014).
Opetussuunnitelman perusteet velvoittavat rekisterinpitäjää sekä hyödyntämään että opettamaan tieto- ja viestintäteknologiaa osana perusopetusta. Opetussuunnitelman perusteiden mukainen perusopetus edellyttää tietokoneiden ja erilaisten sähköisten oppimisalustojen käyttöä opettajan johdolla, jolloin oppilaita ohjataan harjoittelemaan monimuotoisia viestinnällisiä taitoja ja tiedonkäsittelyä eri välineillä. Valmiuksien antaminen oppilaille Googlen ja Microsoftin kaltaisten yleisesti käytössä olevien tieto- ja viestintäteknologian palveluiden hyödyntämiseen on yksi perusopetuksen itsenäisistä ja keskeisistä tavoitteista, eikä rekisterinpitäjällä ole valinnanvaraa sen suhteen, opettaako se tällaisten sovellusten käyttöä oppilaille. Sähköisten opetusalustojen merkitystä perusopetuksen TVT-taitojen opetuksessa korostavat osaltaan myös opetus- ja kulttuuriministeriön sekä Opetushallituksen Uudet lukutaidot -hankkeessa laaditut kuvaukset oppilailta edellytettävästä tieto- ja viestintäteknologisesta osaamisesta. Rekisterinpitäjän käsityksen mukaan päätöstä varten ei ole kuultu Opetushallitusta, vaikka se on ohjeistanut opetuksen järjestäjiä myös tietosuojaan liittyvissä kysymyksissä.
Rekisterinpitäjä hyödyntää Google Workspace for Education -opetusalustaa ainoastaan ydinvelvoitteensa toteuttamiseksi eli perusopetuksen järjestämiseksi. Rekisterinpitäjän henkilötietojen käsittely opetusalustan kautta on näin ollen rajoittunut lakisääteisen velvoitteen ydinpiiriin, eikä opetusalustaa ole käytetty muihin tarkoituksiin. Rekisterinpitäjän käyttöön ottamaan palvelupakettiin ei sisälly sellaisia ohjelmia, joiden kautta kerättäisiin tai tallennettaisiin rekisteröidyn puhetta, videokuvaa rekisteröidystä tai videokuvaan sisältyvää muuta informaatiota laajemmin kuin perusopetuksen toteuttamisen kannalta on tarpeen. Tietosuojavaltuutettu ei ole ottanut huomioon myöskään koronapandemian vaikutusta perusopetuksen järjestämiseen. Perusopetuksen järjestäminen ilman sähköistä opetusohjelmaa ei käytännössä ole mahdollista vuorovaikutteisesti tilanteessa, jossa oppilaiden ja opettajien on oltava fyysisesti eri ympäristöissä.
Yleinen tietosuoja-asetus ei edellytä, että henkilötietojen käsittelyn perusteena olevassa säännöksessä määriteltäisiin, millä tavalla tai minkälaisilla ohjelmistoilla henkilötietoja tulee käsitellä. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista, kuten käsittelytoimia ja menettelyjä. Tämä ei kuitenkaan ole edellytys sille, että henkilötietojen käsittely voitaisiin perustaa lakisääteiseen velvollisuuteen.
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa olisi sen sanamuodon perusteella tulkittava siten, että henkilötietojen käsittely olisi sallittua, jos tarve käsitellä henkilötietoja johtuu laissa säädetystä velvoitteesta, mutta itse oikeusperusteessa ei olisi välttämätöntä säätää henkilötietojen käsittelystä. Tällaista tulkintaa puoltaa myös tietosuoja-asetuksen johdantokappale 45, jonka mukaan tietosuoja-asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki.
Tietosuojavaltuutetun esiin nostamat kriteerit vaikuttavat perustuvan tietosuojatyöryhmä WP217:n lausuntoon vuodelta 2014. Kyseinen lausunto on ajalta ennen yleistä tietosuoja-asetusta ja tulkitsee tuolloin voimassa ollutta henkilötietodirektiiviä (95/46/EY). WP217:n lausunto siitä, että lain säännöksessä tulisi nimenomaisesti viitata käsittelyn luonteeseen ja tavoitteeseen, jotta kyseinen velvollisuus soveltuisi käsittelyperusteeksi, on täten vanhentunut. Lisäksi tietosuojavaltuutettu on jättänyt huomiotta lausunnon linjaukset, jotka ovat yhä tietosuoja-asetuksen sanamuodon perusteella relevantteja.
Eduskunnan perustuslakivaliokunta on tarkastellut lakisääteisen velvoitteen mukaisen henkilötietojen käsittelyn kriteeristön täyttymisen edellytyksiä tietosuoja-asetuksen voimaantulon yhteydessä antamassaan lausunnossa PeVL 14/2018 vp. Perustuslakivaliokunnan käsityksen mukaan tietosuoja- asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Perustuslakivaliokunnan kannanotto osoittaa, että perusopetuslaissa säädettyä ja valtioneuvoston asetuksessa sekä Opetushallituksen perusopetuksen opetussuunnitelman perusteissa täsmennettyä perusopetuksen järjestämistä koskevaa velvoitetta, johon Google Workspace for Education -opetusalustan käyttö rekisterinpitäjän tapauksessa on perustettu, on pidettävä riittävänä perustana henkilötietojen käsittelylle.
Päätöksessä esitetään Google Workspace for Education -opetusalustaa koskevia väittämiä. Päätöksessä annetaan ymmärtää, että kyseessä olisi julkisen ja yksityisen sektorin kumppanuus, jossa käsitellään tietoja laajemmin kuin lainsäädännössä edellytetään. Rekisterinpitäjän ja Googlen välillä ei ole kumppanuutta, vaan Google on rekisterinpitäjän palveluntarjoaja.
Rekisterinpitäjän tietosuojavaltuutetulle toimittamista palvelua koskevista ehdoista käy ilmi, että Google toimii henkilötietojen käsittelijänä rekisterinpitäjän puolesta ja lukuun. Google on sitoutunut käsittelemään asiakasdataa ainoastaan rekisterinpitäjän tilaamien palvelujen tarjoamiseksi. Ehdoissa täsmennetään muun muassa, ettei Google käytä asiakkaan dataa esimerkiksi mainonnan tarkoituksiin. Ottaen huomioon, että Google on sen ja rekisterinpitäjän välisissä sopimuksissa sitoutunut käsittelemään henkilötietoja vain siinä laajuudessa kuin kyseessä olevien palvelujen kannalta on tarpeellista ja vain siten kuin rekisterinpitäjä ohjeistaa, on tietosuojavaltuutetun väittämää rekisterinpitäjän kontrollin puutteesta vaikea ymmärtää varsinkaan, kun päätöksessä ei oteta kantaa ehtojen sisältöön.
Päätöksessä esitetään, että Googlen koulukäyttöön tarkoitettuun palvelupakettiin sisältyy ohjelmia, joiden kautta saatetaan kerätä ja tallentaa rekisteröidyn puhetta, videokuvaa rekisteröidystä sekä videokuvaan sisältyvää muuta informaatiota. Google Workspace for Education -opetusalustan käyttöönoton yhteydessä yhtäkään liitännäistä palvelua ei oletusarvoisesti ole otettu käyttöön (ns. "Additional Product"). Oppilaita tai opettajia ei myöskään ohjata käyttämään eikä heidän edellytetä käyttävän tällaisia palveluita.
Päätöksen perusteella syntyy vaikutelma, että sen lopputulokseen on vaikuttanut tietosuojavaltuutetun yleinen, joskin perustelematon käsitys Googlen toiminnasta. Rekisterinpitäjä huomauttaa, että samat sopimusehdot koskevat niin Google Workspace for Education -ohjelman maksullisia kuin maksuttomia versioita.
Googlen opetusalustaa ei ole otettu käyttöön ilman tapauskohtaista harkintaa, ja opetusalustasta on tehty tietosuojaa koskeva vaikutustenarviointi.
Päätöksestä ei käy hallintolaissa edellytetyllä tavalla yksiselitteisesti ilmi, mihin seikkoihin päätöksessä on kiinnitetty huomiota ja mikä merkitys niille on annettu. Päätöksestä ei käy ilmi, mitkä käsittelytoimet on katsottu tietosuoja-asetuksen vastaisiksi, ja rekisterinpitäjälle jää epäselväksi, mihin se on päätöksen nojalla velvoitettu.
Tietosuojavaltuutettu ei ole huomioinut riittävästi myöskään päätöksen tosiasiallisten seurausten vaikutusta lapsen edun kannalta.
Päätöksen perusteluiden puutteellisuuden osalta viitataan hallinto-oikeuden tietosuojavaltuutetun päätöksiä koskevaan aiempaan oikeuskäytäntöön, jonka mukaan vastaavalla tavalla puutteelliset päätökset on kumottu hallintolain vastaisina.
Rekisterinpitäjä katsoo, ettei sillä ole käsittelyn oikeusperusteen osalta tosiasiallisia vaihtoehtoja. Koska samat perustelut ilmeisesti koskisivat myös muita sähköisiä opetusohjelmia sekä muita kuntia, tarkoittaisi tämä käytännössä sähköisten opetusohjelmien käytön asteittaista poistumista perusopetuksesta. Vaikka päätöksessä ei kielletä Googlen opetusohjelman tai muiden sähköisten opetusohjelmien käyttöä, olisi lakisääteisen velvoitteen noudattamisen kieltämisellä käsittelyperusteena tällainen vaikutus.
Tietosuojalain esitöiden mukaan julkisen sektorin käsitellessä henkilötietoja tulee käsittelyn lähtökohtaisesti perustua tietosuoja-asetuksen 6 artiklan c ja e alakohtiin. Mikäli lakisääteistä velvoitetta voitaisiin käyttää käsittelyperusteena vain silloin, kun oikeusperusteena käytettävässä säännöksessä määriteltäisiin ne keinot, joilla kyseinen velvoite on toteutettava, johtaisi tämä lakisääteisen velvoitteen soveltumattomuuteen käsittelyperusteena yleisemminkin. Tämä pakottaisi viranomaiset käsittelemään henkilötietoja vedoten käsittelyperusteena yleiseen etuun tai julkisen vallan käyttämiseen. Näihin käsittelyperusteisiin nojaaminen merkitsisi, että rekisteröidyllä olisi yleinen oikeus vastustaa viranomaisen sähköisten tietojärjestelmien käyttöä, sillä vastustamisoikeus seuraa automaattisesti, kun käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan e alakohta. Tällöin julkisen sektorin toimijoiden ei ilman nimenomaista sallivaa säännöstä olisi mahdollista hyödyntää mitään käyttämiään ICT-järjestelmiä ilman, että rekisteröidyt voivat vastustaa henkilötietojensa käsittelyä kyseisissä järjestelmissä ja tällainen vastustuspyyntö johtaisi yksittäisen rekisteröidyn kohdalla kyseisen tietojenkäsittelyjärjestelmän käytön päättymiseen. Julkishallinnon toimintansa toteuttamisessa työkaluinaan käyttämien teknisten järjestelmien tai niihin liittyvien palveluntarjoajien valintaa ei voida alistaa yksittäisten rekisteröityjen päätäntävallalle. Tällaisen kontrollin tulee kuulua laillisuudesta viime kädessä vastaaville tuomioistuimille. Käsittelyperusteena tulee viranomaistoiminnassa lähtökohtaisesti olla lakisääteisten velvoitteiden toteuttaminen riippumatta siitä, toteutetaanko henkilötietojen käsittely automaattisesti vai manuaalisesti.
Asian käsittely ja selvittäminen
Tietosuojavaltuutetun toimisto on antanut lausunnon, jossa on todettu muun ohella seuraavaa: Mikäli hallinto-oikeus katsoo, että kysymys yleisen tietosuoja-asetuksen tulkinnasta on asiassa epäselvä, sen tulee esittää ennakkoratkaisupyyntö Euroopan unionin tuomioituimelle.
Rekisterinpitäjän lakisääteisestä velvoitteesta järjestää perusopetusta ei voida suoraan johtaa velvollisuutta käyttää Googlen opetusohjelmaa. Tässä tapauksessa opetusohjelman käyttöön sovellettu henkilötietojen käsittelyperuste rajaa esimerkiksi pois eräitä rekisteröidyn oikeuksia. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohta käsittää kuusi henkilötietojen käsittelyperustetta, ja rekisterinpitäjää on ohjattu arvioimaan, minkä muun käsittelyperusteen nojalla oppilaiden henkilötietoja voidaan käsitellä.
Valvontaviranomainen ei voi määritellä henkilötietojen käsittelyperustetta rekisterinpitäjän puolesta. Päätöksessä ei valituksenalaisilta osin ole otettu muutoin kantaa Googlen tuotteen käyttöön.
Henkilötietojen käsittely sähköisessä opetusohjelmassa voi olla tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi eli tässä tapauksessa perusopetuksen järjestämiseksi. Rekisterinpitäjän tulee kuitenkin opetusohjelmaa valitessaan huolehtia siitä, että se kyseistä palvelua käytettäessä pystyy noudattamaan tietosuojasääntelystä tulevia velvoitteitaan, eikä käsittelyperustetta tule tulkita liian laajasti. Koulujen käyttöön soveltuvia sähköisiä opetusohjelmia tarjoavat useat eri palveluntarjoajat, ja lisäksi kuntien ja koulujen on mahdollista hankkia yksittäiseltä palveluntarjoajalta juuri sellaisista elementeistä koostuva palvelukokonaisuus, jonka se omassa toiminnassaan tarvitsee.
Perusopetuslaki ei edellytä nimenomaan Googlen tai Microsoftin opetusohjelmien käyttämistä, eikä tällainen opetusohjelman tarjoajaa koskeva vaatimus ole johdettavissa myöskään koulujen tavoitteesta antaa valmiuksia tietoteknologisen osaamisen kehittämiseen. IT-taitojen opettaminen ja yleisesti käytössä oleviin työkaluihin tutustuttaminen on mahdollista myös ilman, että oppilas on koulussa omilla tunnuksilla kirjautuneena tiettyyn ohjelmaan tai muulla tavoin suoraan palveluntarjoajan tunnistettavissa.
Päätöksessä ei ole katsottu, että perusopetuslain 4 §:ssä tulisi säätää yksityiskohtaisesti henkilötietojen käsittelystä, jotta se soveltuisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaiseksi perusteeksi henkilötietojen käsittelylle. Päätöksessä ei ole liioin todettu, että käsittelyn luonnetta tai keinoja koskevan viittauksen puuttuminen perusopetuslain 4 §:stä estää henkilötietojen käsittelyn perusopetuksen järjestämisvelvoitteen nojalla. Päätöksessä on painotettu, että lakisääteisen velvoitteen noudattaminen on pääsääntöinen käsittelyperuste koulun käsitellessä oppilaiden henkilötietoja sekä tuotu esille, että käsittelyperustetta määritettäessä henkilötietojen käsittelyä tulee arvioida tapauskohtaisesti.
Tietosuojavaltuutetun käsityksen mukaan sähköistä opetusohjelmaa käytetään myös etäopetuksessa ja esimerkiksi kotitehtävien tekemisessä. Mikäli opetusohjelman käyttö kotona on oppilaan tai tämän huoltajan vapaaehtoinen valinta, epäselväksi jää, miten etäopetus ja kotitehtävien suorittaminen on käytännössä toteutettu, ja miten rekisterinpitäjä on varmistanut, että toiminta on näiltä osin perustunut rekisteröidyn vapaaehtoisuuteen. Googlen opetusohjelmaa on mahdollista käyttää eri laitteilla, ja kotikäytössä kaikki laitteen infrastruktuuri on yksityishenkilön hankkimaa. Näin ollen esimerkiksi päätelaite- ja verkkoturvallisuus ovat riippuvaisia oppilaan huoltajista, eikä rekisterinpitäjä tietosuojavaltuutetun käsityksen mukaan tarjoa opetusohjelman kotikäyttöön minkäänlaista ylimääräistä suojaa.
Rekisterinpitäjälle ei valituskirjelmän sivulla 2 todetun mukaisesti ole jäänyt epäselväksi, että päätöksessä on katsottu, ettei rekisterinpitäjän määrittelemä henkilötietojen käsittelyperuste tule sovellettavaksi Googlen opetusohjelmaan liittyvän henkilötietojen käsittelyn kohdalla, eikä oppilaiden henkilötietojen käsittely tässä yhteydessä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla ole ollut asetuksen sääntelyn mukaista. Rekisterinpitäjä ei voi jatkaa Googlen opetusohjelman käyttöä siten, että se soveltaa henkilötietojen käsittelyperusteena edellä mainittua yleisen tietosuoja- asetuksen alakohtaa.
Tietosuojavaltuutettu on katsonut, että perusopetuslain 4 § jättää rekisterinpitäjälle merkittävää harkinnanvaraa sen suhteen, millaisia keinoja se käyttää henkilötietojen käsittelyssä toteuttaessaan laista tulevaa velvoitettaan. Tietosuojavaltuutettu ei ole arvioinnissaan katsonut, että rekisterinpitäjälle jäävä harkinnanvara johtaisi suoraan siihen, että käsittely on lainvastaista tai että perusopetuslain 4 §:ää ei voitaisi koskaan käyttää henkilötietojen käsittelyn perusteena.
Valittaja on antanut vastaselityksen, jonka liitteenä on toimitettu Googlen lausunto 16.8.2022.
Vastaselityksessä on todettu muun ohella seuraavaa: Tietosuojavaltuutetun lausunnossa esitetty laintulkinta poikkeaa merkittäviltä osin valituksenalaisessa päätöksessä esitetystä laintulkinnasta. Myös lausunto perustuu virheelliseen ja puutteelliseen laintulkintaan sekä riittämättömiin selvityksiin ja on lisäksi hallintolain vastainen.
Päätöksen ja lausunnon perustana olevat väitteet rekisterinpitäjän perusopetuksen järjestämisvelvollisuuteen sisältyvästä harkinnanvarasta, Googlen suorittamiin käsittelytoimiin kohdistuvasta kontrollin puutteesta sekä muutoin relevanttiin tietojenkäsittelyyn liittyvistä riskeistä ja rekisterinpitäjän harkinnan puutteesta eivät pidä paikkaansa, eikä näistä seikoista ole esitetty luotettavaa selvitystä. Tietosuojavaltuutetun tulkinta siitä, että nämä väitetyt seikat estäisivät yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisen käsittelyperusteen soveltumisen, ei perustu yleiseen tietosuoja- asetukseen ja on siten vailla laillista perustetta.
Tietosuojavaltuutettu ei ole kuullut asiassa Googlea tai toimittanut luotettavaa selvitystä Googlen väitetyistä toimintatavoista tai niiden merkityksestä asiassa tarkoitetun opetusalustan kannalta.
Lausunnossa esitetään uutena näkemyksenä, että henkilötietojen käsittely sähköisessä opetusohjelmassa voi olla tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi eli tässä tapauksessa perusopetuksen järjestämiseksi. Yksittäiseen opetusohjelmavaihtoehtoon liittyvän henkilötietojen käsittelyn perusteella rekisterinpitäjän tulee arvioida yleisen tietosuoja-asetuksen mukaisten käsittelyperusteiden soveltuvuutta kyseisessä yksittäistapauksessa. Tällainen tulkinta poikkeaa tietosuojavaltuutetun päätöksessä esitetystä. Tietosuojavaltuutetun lausunnossaan esittämä laintulkinta on virheellinen.
Lausunnosta ilmenevä käsitys siitä, että relevantista lakisääteisestä velvoitteesta tulisi suoraan johtua velvollisuus käyttää asiassa tarkoitettua opetusohjelmaa, ei vastaa yleisen tietosuoja-asetuksen sisältöä. Tietosuoja- asetuksen 6 artiklan 1 kohdan c alakohdan vaatimuksena tässä tapauksessa on vain, että opetusohjelmassa tapahtuva käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi. Rekisterinpitäjällä on ollut tällainen tarve.
Erityisen ongelmallista tietosuojavaltuutetun tulkinnassa on, että lausunnossa erikseen painotetaan, ettei perusopetuslaissa edellytetä nimenomaan Googlen ja Microsoftin opetusohjelmien käyttämistä. Perusopetuslaissa ei edellytetä nimenomaisesti minkään opetusalustan tai muun opetuksessa hyödynnettävän teknologian tai tietojärjestelmän käyttöä. Teknologianeutraalius on lainsäädännölle täysin normaalia. Tietosuojavaltuutetun tulkinta lakisääteistä velvoitetta koskevan käsittelyperusteen soveltumattomuudesta nojautuu lausunnon perusteella siihen, että palveluntarjoajana on Google. Tällainen tulkinta ei saa tukea yleisestä tietosuoja-asetuksesta.
Tietosuojavaltuutettu on rakentanut argumentaationsa virheellisesti sen varaan, että käsittelyperusteen olemassaolo on riippuvainen käytetystä palvelusta ja palveluntarjoajasta, kun taas yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperusteiden arviointi rakentuu käsittelyn tarkoitusten arvioinnille. Tätä tulkintaa tukevat myös muun muassa käsittelyn läpinäkyvyyttä sekä suostumuksen käsittelyperustetta koskevat yleisen tietosuoja-asetuksen säännökset. Rekisterinpitäjän tapauksessa tulisi tarkastella käsittelyn tarkoituksena sitä, että henkilötietoja käsitellään sähköisessä opetusalustassa opetuksen toteuttamiseksi sekä sen vuoksi, että oppilaat oppivat hyödyntämään moderneja, yleisesti käytettyjä sovelluksia. Näistä kunnallisen opetustoimen piirissä yleisesti tunnistetuista käsittelyn tarkoituksista voidaan edelleen johtaa, että näissä tarkoituksissa suoritetut käsittelytoimet ovat yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti tarpeen perusopetuksen järjestämistä koskevan lakisääteisen velvoitteen noudattamiseksi.
Tietosuojavaltuutettu ei ole osoittanut, että Googlen opetusalustaan liittyvä henkilötietojen käsittely olisi tässä tapauksessa lainvastaista.
Rekisterinpitäjälle on epäselvää, onko tietosuojavaltuutettu edes väittänyt, että henkilötietojen käsittely olisi ollut lainvastaista muilta osin kuin väitetysti puuttuvan taikka väärän käsittelyperusteen osalta.
Lausunnossa esitetään, että sähköisen opetusalustan käyttöä ei voida perustaa lakisääteiseen velvoitteeseen, koska kyseessä on juuri Googlen opetusalusta. Tätä perustellaan pääasiassa sillä, että rekisterinpitäjällä ei ole tosiasiallista mahdollisuutta valvoa ja ohjeistaa Googlen suorittamaa henkilötietojen käsittelyä, eikä Googlen ilmeisesti voi luottaa noudattavan sopimusvelvoitteitaan ja/tai sillä on sopimusehtojensa nojalla liian rajoittamaton toimintavapaus. Tästä huolimatta tietosuojavaltuutetun mukaan jokin muu käsittelyperuste saattaisi tulla asiassa kyseeseen. Mikäli tietosuojavaltuutetun väitteet Googlen lain ja/tai sopimuksen vastaisesta toiminnasta pitäisivät paikkansa, ei Googlen opetusalustaa voisi käyttää missään yhteydessä. Käsittelyn lainvastaisuus seuraisi tällöin jo suoraan yleisen tietosuoja-asetuksen muista vaatimuksista (kuten erityisesti 24 artiklasta). Rekisterinpitäjän käsityksen mukaan rekisterinpitäjän velvollisuus huolehtia siitä, että käsittely mahdollistaa tietosuojalainsäädännön mukaisten velvoitteiden noudattamisen, on riippumaton käytetystä käsittelyperusteesta.
Googlen kaltaisten maailmanlaajuisesti toimivien suurten palveluntarjoajien tarjotessa palveluitaan joudutaan käytännössä operoimaan pääosin niiden yleisillä ehdoilla. Olisi kohtuutonta, markkinarealiteettien vastaista ja lakiin perustumatonta edellyttää, että rekisterinpitäjän tulisi aina vaatia, että tällaiset toimijat neuvottelisivat yksittäisen asiakkaan kohdalla erilliset sopimusehdot. Tietosuojavaltuutettu ei ole päätöksessään tai lausunnossaan tuonut esille, mitkä Googlen käyttämistä sopimusehdoista ovat sen käsityksen mukaan erityisen ongelmallisia, pois lukien lausunnossa viitattu kyseisenlaisille palveluille tyypillinen sopimuksen muuttamista koskeva ehto.
On suhteellisuusperiaatteen vastaista, että tietosuojavaltuutettu on puuttunut Googlen yksittäisen asiakkaan toimintaan kuulematta Googlea ja selvittämättä, pitävätkö tietosuojavaltuutetun omat käsitykset paikkansa.
Googlen lausunto avaa Googlen opetusohjelman toteutuksen perusteita sekä Googlen ja rekisterinpitäjän välistä sopimussuhdetta ja osoittaa tietosuojavaltuutetun oletukset ja päätöksen perustelut ilmeisen virheellisiksi. Google esimerkiksi vahvistaa, ettei sen opetusalustan piirissä käsiteltäviä henkilötietoja hyödynnetä markkinointiin, mikä käy ilmi palvelua koskevista sopimusehdoista. Henkilötietojen käsittely rajautuu siihen, mikä on tarpeen kyseisen opetusalustan tarjoamiseksi.
Tietosuojavaltuutetun toimisto on toimittanut lisäselvityksenä Tanskan valvontaviranomaisen päätöksen.
Valittaja on antanut vastineen lisäselvityksen johdosta.
Tietosuojavaltuutetun toimisto on antanut rekisterinpitäjän vastaselityksen johdosta lausuman, jossa on todettu muun ohella, että vastaselityksen liitteenä esitetty, Googlelta hankittu materiaali ei anna aihetta arvioida rekisterinpitäjän menettelyä toisin.
Valittaja on antanut vastaselityksen tietosuojavaltuutetun toimiston lausuman johdosta.
Hallinto-oikeuden ratkaisu
Hallinto-oikeus hylkää vaatimuksen ennakkoratkaisun pyytämisestä unionin tuomioistuimelta.
Hallinto-oikeus hylkää valituksen muutoin.
Hallinto-oikeus hylkää oikeudenkäyntikulujen korvaamista koskevan vaatimuksen.
Perustelut
Ennakkoratkaisupyyntöä koskeva vaatimus
Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta.
Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että SEUT 267 artiklassa tarkoitettua ennakkoratkaisupyyntöä ei ole tarpeen tehdä silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.
Asiassa ei ole tullut esille sellaista unionin oikeuden tulkintaa koskevaa kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen Euroopan unionin tuomioistuimelle olisi tarpeen.
Menettelyä koskevat väitteet
Hallintolain 31 §:n 1 momentin mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset.
Hallintolain 44 §:n 1 momentin 3 kohdan mukaan kirjallisesta päätöksestä on käytävä selvästi ilmi päätöksen perustelut ja yksilöity tieto siitä, mihin asianosainen on oikeutettu tai velvoitettu taikka miten asia on muutoin ratkaistu.
Hallintolain 45 §:n 1 momentin mukaan päätös on perusteltava. Perusteluissa on ilmoitettava, mitkä seikat ja selvitykset ovat vaikuttaneet ratkaisuun sekä mainittava sovelletut säännökset.
Rekisterinpitäjä on esittänyt, että asian selvittäminen on ollut puutteellista eikä päätöksestä käy ilmi, mihin seikkoihin ja selvityksiin tietosuojavaltuutetun ratkaisu perustuu. Päätöksestä ei myöskään käy yksiselitteisesti ilmi, mihin rekisterinpitäjä on päätöksen perusteella velvoitettu.
Hallinto-oikeus toteaa, että valituksenalainen päätös perustuu rekisterinpitäjän viranomaiselle toimittamaan selvitykseen ja viranomaisen hankkimiin tietoihin ja selvityksiin. Päätöksen ei voida siten katsoa perustuvan puutteellisiin tai virheellisiin tietoihin ja selvityksiin.
Valituksenalaisesta päätöksestä ilmenee tietosuojavaltuutetun katsoneen, ettei rekisterinpitäjä voi Googlen opetusohjelman käytön yhteydessä soveltaa henkilötietojen käsittelyperusteena käyttämäänsä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa. Rekisterinpitäjälle on annettu asiassa tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys ja b alakohdan mukainen huomautus. Asiayhteys ja muu päätöksestä ilmenevä selvitys huomioon ottaen päätöksestä käy ilmi, ettei rekisterinpitäjä voi Googlen opetusohjelman osalta jatkaa henkilötietojen käsittelyä vetoamalla lakisääteisen velvoitteen noudattamiseen, ja rekisterinpitäjää on ohjattu arvioimaan, voiko joku muu 6 artiklan 1 kohdan mukainen käsittelyperuste tulla tapauksessa kyseeseen.
Hallinto-oikeus katsoo, että päätöksestä käyvät selvästi ilmi päätöksen perustelut, ja päätös on riittävästi yksilöity rekisterinpitäjää koskevan velvoitteen osalta. Päätöksestä ilmenevät myös sovelletut säännökset sekä riittävällä tavalla se, mitkä seikat ja selvitykset ovat vaikuttaneet asian ratkaisuun. Päätös täyttää hallintolain 44 §:ssä säädetyt päätöksen sisältövaatimukset, ja se on perusteltu hallintolain 45 §:ssä edellytetyllä tavalla. Asiassa ei ole siten tapahtunut sellaista menettelyvirhettä, jonka vuoksi valituksenalainen päätös olisi kumottava.
Pääasia
Sovellettavat oikeusohjeet
Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
Yleisen tietosuoja-asetuksen 6 artiklassa säädetään henkilötietojen käsittelyn lainmukaisuudesta. Artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
Artiklan 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.
Artiklan 3 kohdan mukaan edellä olevan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko
a) unionin oikeudessa; tai
b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.
Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
Yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on muun ohella seuraavat korjaavat toimivaltuudet:
b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;
d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 45 mukaan kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kyseisessä oikeudessa tai lainsäädännössä voitaisiin myös täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely.
Perusopetuslain 4 §:n 1 momentin mukaan kunta on velvollinen järjestämään sen alueella asuville 26 §:n 1 momentissa tarkoitetuille oppivelvollisuusikäisille perusopetusta.
Asiassa esitetty selvitys
Yksityishenkilö on saattanut tietosuojavaltuutetun toimistossa vireille asian, jossa on kyse Google Suite for Education -opetusohjelman (nykyään Google Workspace for Education -ohjelma) käyttämisestä espoolaisessa koulussa, ja pyytänyt tietosuojavaltuutettua selvittämään, onko koulu menetellyt tietosuojasääntelyn mukaisesti käsitellessään oppilaiden henkilötietoja kyseisen opetusohjelman käytön yhteydessä.
Rekisterinpitäjän tietosuojavaltuutetun toimistolle antaman selvityksen mukaan Googlen opetusohjelman käyttöön liittyvien henkilötietojen käsittelyperusteena sovelletaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa, koska henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi eli perusopetuksen järjestämiseksi perusopetuslain mukaisesti. Tarkoituksena on, että oppilaat tutustuvat Googlen ja Microsoftin pilvipalveluihin koulunkäyntinsä aikana.
Rekisterinpitäjä ei pyydä opetusohjelman käyttöön huoltajan suostumusta, mutta huoltajaa pyydetään hyväksymään tieto- ja viestintäteknologia- palveluiden käyttöehdot, joissa kerrotaan, millaisia palveluita opetuksessa käytetään ja millaisia ohjeita ja sääntöjä käyttöön liittyy. Jos huoltaja ei hyväksy käyttöehtoja, hänen kanssaan keskustellaan muista mahdollisista työvälineistä. Rekisterinpitäjä on solminut yleisen tietosuoja-asetuksen 28 artiklassa tarkoitetun henkilötietojen käsittelysopimuksen Googlen pilvipalveluiden palveluntoimittajan kanssa ja hyväksynyt Googlen käyttöehdot.
Valituksenalaisen päätöksen mukaan rekisterinpitäjän tapauksessa Googlen opetusohjelman käyttöön liittyvänä henkilötietojen käsittelyperusteena ei tule sovellettavaksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta eikä rekisterinpitäjän menettely ole tältä osin ollut yleisen tietosuoja-asetuksen mukaista. Tietosuojavaltuutettu on ohjannut rekisterinpitäjää arvioimaan, voiko joku muu 6 artiklan 1 kohdassa mainittu käsittelyperuste tulla kyseeseen.
Päätöksen perusteluissa on todettu, että silloin, kun henkilötietojen käsittelyperusteena on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, velvoitteen asettavan lain on täytettävä kaikki merkitykselliset ehdot, jotta velvoite on pätevä ja sitova, ja myös tietosuojalainsäädännön vaatimukset tarpeellisuudesta, oikeasuhteisuudesta ja käyttötarkoituksen rajaamisesta. Laillisen velvoitteen on oltava riittävän selvä sen edellyttämän henkilötietojen käsittelyn suhteen, eikä rekisterinpitäjällä saa olla valinnanvaraa sen suhteen, täyttääkö se velvoitteen. Rekisterinpitäjällä ei myöskään saa olla kohtuutonta harkinnanvaraa siinä, miten se noudattaa laillista velvoitetta.
Tietosuojavaltuutettu on todennut, että rekisterinpitäjällä on sähköisten opetusohjelmien käytön osalta merkittävää harkintavaltaa. Eri vaihtoehtojen välillä voi olla suuria eroja, eikä rekisteröidyllä ole mahdollisuutta vaikuttaa rekisterinpitäjän tekemään valintaan. Näin ollen sähköisen opetusohjelman käyttöön liittyvää henkilötietojen käsittelyä ei ole perusteltua katsoa siten tarpeelliseksi ja oikeasuhteiseksi, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn suoraan ilman tapauskohtaista harkintaa lakisääteisen perusopetuksen järjestämisvelvollisuuden nojalla.
Valituksessa on tuotu esiin, että opetusalustan käyttö perustuu rekisterinpitäjää velvoittavaan kansalliseen lainsäädäntöön ja sitä täsmentäviin viranomaismääräyksiin. Opetussuunnitelman perusteet velvoittavat rekisterinpitäjää sekä hyödyntämään että opettamaan tieto- ja viestintäteknologiaa osana perusopetusta. Rekisterinpitäjä käyttää Googlen opetusalustaa sekä opetuksen välineenä että kohteena ja hyödyntää sitä vain ydinvelvoitteensa toteuttamiseksi eli perusopetuksen järjestämiseksi.
Henkilötietojen käsittely opetusalustan kautta on näin ollen rajoittunut lakisääteisen velvoitteen ydinpiiriin, eikä opetusalustaa ole käytetty muihin tarkoituksiin. Googlen opetusalustaa ei ole myöskään otettu käyttöön ilman tapauskohtaista harkintaa, ja asiassa on tehty tietosuojaa koskeva vaikutustenarviointi.
Rekisterinpitäjän käsityksen mukaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaa tulee sen sanamuodon perusteella tulkita niin, että henkilötietojen käsittely on sallittua, jos tarve käsitellä henkilötietoja johtuu laissa säädetystä velvoitteesta, mutta itse oikeusperusteessa ei ole välttämätöntä säätää henkilötietojen käsittelystä. Tulkintaa puoltaa myös tietosuoja-asetuksen johdantokappale 45.
Vastaselityksessä on tuotu esiin, että rekisterinpitäjän käsityksen mukaan yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperusteiden arviointi rakentuu käsittelyn tarkoitusten arvioinnille. Rekisterinpitäjän velvollisuus huolehtia siitä, että käsittely mahdollistaa tietosuojalainsäädännön mukaisten velvoitteiden noudattamisen, on riippumaton käytetystä käsittelyperusteesta. Käsittelyperusteen olemassaolo ei ole siten riippuvainen käytetystä palvelusta ja palveluntarjoajasta.
Oikeudellinen arviointi ja hallinto-oikeuden johtopäätökset
Asiassa on rekisterinpitäjän valituksen johdosta arvioitavana, voidaanko Googlen opetusalustan käyttöön liittyvän henkilötietojen käsittelyn käsittelyperusteena rekisterinpitäjän tapauksessa soveltaa yleisen tietosuoja- asetuksen 6 artiklan 1 kohdan c alakohtaa (lakimääräisen velvoitteen noudattaminen). Hallinto-oikeus toteaa selvyyden vuoksi, että asiassa ei ole kysymys siitä, voidaanko kouluissa käyttää Google Workspace for Education -ohjelmaa tai sähköisiä opetusohjelmia yleensä.
Hallinto-oikeus toteaa, että yleisen tietosuoja-asetuksen 5 artiklassa on säädetty yleisistä periaatteista, joita on noudatettava asetuksen soveltamisalaan kuuluvassa henkilötietojen käsittelyssä. Artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti. Yleisen tietosuoja- asetuksen 6 artiklassa on säädetty, mitkä henkilötietojen käsittelyperusteet ovat lainmukaisia. Käsittelyperusteen olemassaolo ei kuitenkaan yksinään tee käsittelystä lainmukaista, vaan henkilötietojen käsittelyssä on lisäksi noudatettava 5 artiklassa säädettyjä vaatimuksia, esimerkiksi artiklan 1 kohdan c alakohdassa säädettyä minimointiperiaatetta.
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa mainittu rekisterinpitäjän lakisääteisen velvoitteen noudattaminen on yksi lainmukaisista henkilötietojen käsittelyn perusteista. Käsittelyperuste on määritettävä ennen henkilötietojen käsittelyn aloittamista, ja velvollisuus lainmukaisen käsittelyperusteen olemassaolon osoittamiseen on rekisterinpitäjällä. Laillisen velvoitteen on oltava riittävän selvä sen edellyttämän henkilötietojen käsittelyn suhteen. Käsittelyperusteella on vaikutusta muun ohella rekisteröidyn oikeuksiin suhteessa rekisterinpitäjään.
Nyt käsiteltävässä asiassa rekisterinpitäjän lakisääteinen velvoite on perusopetuksen järjestäminen perusopetuslain ja sitä täydentävien säännösten perusteella. Velvoitteen täyttäminen edellyttää oppilaiden ja myös heidän huoltajiensa henkilötietojen käsittelyä kasvatuksen ja opetuksen järjestämiseksi sekä oppilasta koskevaa päätöksentekoa varten.
Perusopetuslaissa ei nimenomaisesti viitata henkilötietojen käsittelyn luonteeseen eikä määritellä käsittelyn keinoja, vaan lain 4 § jättää rekisterinpitäjälle huomattavaa harkinnanvaraa henkilötietojen käsittelyssä käytettävien keinojen suhteen. Koulun käsitellessä oppilaiden henkilötietoja pääsääntöinen käsittelyperuste on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen, mutta käsittelyperuste tulee arvioida erikseen jokaisen henkilötietojen käsittelytoiminnan yhteydessä. Näin ollen rekisterinpitäjä ei voi myöskään nyt kyseessä olevassa tapauksessa oikeuttaa Googlen opetusohjelmaan liittyvää henkilötietojen käsittelyä suoraan lakisääteisen velvoitteen noudattamisen nojalla. Vaikka henkilötietojen käsittely sähköisessä opetusohjelmassa voi joissakin tilanteissa olla tarpeen perusopetuksen järjestämiseksi, ei perusopetuslain mukaisen velvoitteen täyttäminen kuitenkaan sellaisenaan edellytä sähköisen opetusohjelman, saati jonkin nimenomaisen opetusohjelman, käyttämistä. Rekisterinpitäjän tulee arvioida yksittäisen sähköisen opetusohjelman käyttöön liittyvää henkilötietojen käsittelyä tapauskohtaisesti.
Rekisterinpitäjä on kertomansa mukaan arvioinut henkilötietojen käsittelyperustetta nimenomaan Googlen opetusohjelman osalta. Asiassa on tehty myös tietosuojaa koskeva vaikutustenarviointi. Rekisterinpitäjä korostaa, että Google on sen ja rekisterinpitäjän välisissä sopimuksissa sitoutunut käsittelemään henkilötietoja vain siinä laajuudessa kuin opetusohjelman kannalta on tarpeellista ja vain siten kuin rekisterinpitäjä ohjeistaa ja että oppilaiden henkilötietojen käsittely opetusohjelman kautta on näin ollen rajoittunut vain rekisterinpitäjän lakisääteisen velvoitteen ydinpiiriin eli perusopetuksen järjestämiseen liittyviin henkilötietoihin.
Asiassa on otettava huomioon, että kyse on lasten henkilötiedoista, joita yleisen tietosuoja-asetuksen mukaan on erityisesti suojattava. Saadun selvityksen perusteella oppilas kirjautuu Googlen opetusohjelmaan omilla tunnuksillaan. Rekisterinpitäjä käsittelee opetusohjelman käytön yhteydessä huomattavan määrän oppilaiden henkilötietoja, ja tietoa kertyy yksittäisen oppilaan osalta pitkältä ajalta. Henkilötietojen käsittely ei rajoitu vain koulunkäynnin kannalta välttämättömiin ja tarpeellisiin tietoihin, vaan oppilaasta kerätään myös tietoa, jonka käsittely liittyy nimenomaan sähköisen opetusohjelman käyttöön. Googlen opetusohjelmaa käytetään myös etäopetuksessa ja kouluajan ulkopuolella esimerkiksi kotitehtävien tekemisessä. Näissä tilanteissa sähköinen opetusohjelma mahdollistaa opetuksen järjestämisen vuorovaikutteisesti. Kotikäytössä opetusohjelmaa käytetään kuitenkin oppilaan omasta verkosta ja mahdollisesti tämän omalla laitteella, jolloin tietoturvasta huolehtiminen jää oppilaalle ja hänen huoltajilleen. Rekisterinpitäjä on hyväksynyt Googlen laatiman vakiomuotoisen sopimuksen henkilötietojen käsittelystä sekä Googlen käyttöehdot, eikä rekisterinpitäjällä näin ollen ole ollut juurikaan mahdollisuutta vaikuttaa niiden sisältöön.
Edellä mainitut seikat huomioon ottaen voidaan perustellusti arvioida, ettei rekisterinpitäjällä ole tosiasiallisesti mahdollisuutta riittävästi valvoa ja ohjeistaa Googlen suorittamaa henkilötietojen käsittelyä. Rekisterinpitäjän menettelyä Googlen opetusohjelman käytön yhteydessä ei voida tässä tapauksessa pitää siten tarpeellisena, että rekisterinpitäjä voisi oikeuttaa oppilaiden henkilötietojen käsittelyn vetoamalla suoraan lakisääteisen perusopetuksen järjestämisvelvoitteen noudattamiseen. Se, että henkilötietojen käsittely sähköisessä opetusohjelmassa voi olla tarpeen nykymuotoisen perusopetuksen järjestämiseksi, ei anna aihetta arvioida asiaa tässä tapauksessa toisin.
Hallinto-oikeus katsoo samoin kuin tietosuojavaltuutettu, että rekisterinpitäjän tapauksessa henkilötietojen käsittelyperusteeksi ei Googlen opetusohjelman osalta esitetyssä laajuudessa sovellu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, ja rekisterinpitäjän harjoittama henkilötietojen käsittely on tältä osin ollut edellä kuvatulla tavalla yleisen tietosuoja-asetuksen vastaista. Tietosuojavaltuutettu on voinut antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen sekä d alakohdan mukaisen määräyksen saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Hallinto-oikeus toteaa, että yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjän on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä. Tietosuojavaltuutetun tehtävänä ei siten ole ollut arvioida sitä, soveltuuko rekisterinpitäjän toimintaan mahdollisesti joku muu henkilötietojen käsittelyperuste. Valitus on näin ollen hylättävä.
Oikeudenkäyntikulujen korvaamista koskeva vaatimus
Hallinto-oikeus toteaa, että asiassa annettuun ratkaisuun nähden ei ole kohtuutonta, että Espoon kaupunki joutuu pitämään oikeudenkäyntikulunsa vahinkonaan.
Sovelletut oikeusohjeet
- Perusteluissa mainitut
- Laki oikeudenkäynnistä hallintoasioissa 95 §
- Mikäli Sinulla on ajankohtainen juridinen aihe josta haluaisit kirjoittaa artikkelin tai oikeustapauskommentin Lakikirjastoon tai vaikkapa lyhyen kolumnin Vierashuoneeseen, ota yhteyttä Edilex-toimitukseen.
Lue lisää
Juridiikan kirjat, koulutukset ja verkkopalvelut
