Voidaanko Chromebookeja (tai mitään muutakaan) käyttää kouluissa opetukseen?
Voidaanko Chromebookeja (tai mitään muutakaan) käyttää kouluissa opetukseen?
Tanskan valvontaviranomainen Datatilsynet on 30.1.2024 antanut päätöksen, jossa määrätään 53 kuntaa saattamaan Chromebookeihin liittyvät henkilötietojen käsittelytoimet vastaamaan tietosuoja-asetuksen velvoitteita. Kuntien on noudatettava määräystä 1.8.2024 alkaen, ja niiden on 1.3.2024 mennessä kerrottava valvontaviranomaiselle, miten ne aikovat noudattaa päätöstä.
Jo vuonna 2022 Datatilsynet ilmoitti Helsingørin kunnalle kiellosta käsitellä henkilötietoja Google Chromebookeilla ja Workspace for Educationilla. Nyt asian tutkinnassa on edetty ja uusin päätös koskettaa 53 kuntaa Tanskassa. Kyse on siitä, voidaanko perusopetuksen yhteydessä luovuttaa henkilötietoja Googlen omaan käyttöön vai voisiko Google sinänsä tarjota samanlaiset palvelut ilman, että se käsittelisi henkilötietoja omiin kaupallisiin tarkoituksiinsa.
Päätöksessään Datatilsynet hyväksyy, että osana kuntien peruskoulun opetus- ja oppimisresurssien valintaa on välttämätöntä käsitellä ja välittää henkilötietoja Googlelle osana Google Chromebookien ja Workspace for Educationin käyttöä (i) kyseisten palvelujen tarjoamiseen ja (ii) turvallisuuden ja luotettavuuden varmistamiseen. Tanskan kansallinen lainsäädäntö perusopetukseen liittyen sisältää säädöksiä henkilötietojen käsittelystä palvelujen tarjoamiseksi, palvelujen turvallisuuden ja luotettavuuden parantamiseksi sekä yhteydenpitoon kuntien kanssa.
Datatilsynet kuitenkin katsoo, että tämä lainsäädäntö ei velvoita kuntia luovuttamaan henkilötietoja Googlelle sen omiin käyttötarkoituksiin, kuten palveluidensa parantamiseksi, mittaamiseksi, uusien ominaisuuksien kehittämiseksi tai palveluidensa kehittämiseksi.
Tästä johtuen Datatilsynet katsoo, että on perusteltua antaa kunnille määräys saattaa näiden suorittamat henkilötietojen käsittelytoimet GDPR:n velvoitteiden mukaisiksi. Tähän liittyen Datatilsynet antaa kolme mahdollista ratkaisua:
Kunnat eivät enää luovuta henkilötietoja Googlelle näitä tarkoituksia varten. Tämä todennäköisesti edellyttäisi, että Google kehittää teknisen vaihtoehdon kyseisten tietovirtojen estämiseen.
Google itse pidättäytyy käsittelemästä tietoja näihin tarkoituksiin.
Tanskan parlamentti säätää asiasta riittävän selkeän oikeusperustan kansalliseen lainsäädäntöön edellä mainittuja tarkoituksia varten.
Kyse ei ole pelkästään Googlesta
Vaikka asiassa on kyse Google Chromebookeihin liittyvästä henkilötietojen käsittelystä, voidaan siitä vetää tiettyjä johtopäätöksiä koskien muitakin pilvipalveluita. Edelleen kuitenkin kannattaa muistaa, että päätös ei ole lainvoimainen ja odotettavissa on päätöstä koskeva valitus.
Tänä päivänä kouluissa käytetään satoja erilaisia sovelluksia ja ei ole harvinaista, että moni palveluntarjoaja varaa sopimusehdoissaan itselleen oikeuden käsitellä henkilötietoja omiin tarkoituksiinsa. Pelkkä henkilötietojen käsittelyä koskevan sopimuksen olemassaolo ei vielä riitä, vaan sopimuskokonaisuutta tarkasteltaessa kannattaa olla hyvin tarkkana. Liikkeelle kannattaa lähteä siitä, että määrittää ensin mitä dataa palveluntarjoajalle lähetetään, välitetään tai mitä henkilötietoa tälle muulla tavoin generoituu palvelun käytön aikana. Sen jälkeen tulee tarkastaa, kuuluvatko nämä kaikki henkilötiedot käsittelysopimuksen piiriin, vai kattaako sopimus vain osan tiedoista.
Mikäli palveluntarjoaja käsittelee henkilötietoja omiin tarkoituksiinsa, tulee myös tälle käsittelylle olla olemassa oikeusperuste. Vaikka tässä tapauksessa kyse on sinänsä perusopetuksen järjestämisestä, ei ole olemassa sellaista kansallista velvoitetta, joka riittävän selvästi edellyttäisi esimerkiksi henkilötietojen luovuttamisen Googlelle sen omiin käyttötarkoituksiin. Myöskään suostumuksen pyytäminen oppilaiden huoltajilta ei todennäköisesti korjaisi ongelmaa. Tämä päätös ilmentää hyvin sitä, että kaikki palvelut, ilman teknisiä muutoksia, eivät sovellu kaikenlaiseen käyttöön, varsinkin kun on kyse oppilaista.
Mitä seuraavaksi?
Asiasta tullaan hyvin todennäköisesti valittamaan. Kuntien näkökulmasta kyse on kymmenien tuhansien laitteiden hankinnasta ja näitä maksettuja laitteita halutaan varmasti hyödyntää jatkossakin. Toisaalta kyse on myös siitä, miten työelämässä tänä päivänä tarvittavia taitoja eri laitteista ja ohjelmistoista voidaan opettaa. Voidaanko kaikkien kaupallisten toimijoiden ratkaisut hyväksyä sellaisenaan vai voidaanko niihin edellyttää teknisiä muutoksia oppilaiden henkilötietojen käsittelyn minimoimiseksi vain siihen, mikä on todella tarpeen opetussuunnitelman toteuttamiseksi?
Asiaa on tutkittu myös Suomessa
Myös Suomessa Tietosuojavaltuutetun toimisto katsoi Google Workspace for Education -palvelua koskevassa ratkaisussaan, ettei henkilötietojen käsittelyperusteeksi Googlen opetusohjelman osalta sovellu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, eli lakisääteinen velvoite perusopetuksen järjestämiseen perusopetuslain mukaisesti. Helsingin hallinto-oikeus yhtyi tietosuojavaltuutetun toimiston tulkintaan kesällä 2023 antamassaan ratkaisussa. Asiaan on haettu valituslupaa korkeimmalta hallinto-oikeudelta, joten jäämme innolla odottamaan miten asiat etenevät Suomessa ja Tanskassa.
Muista tietosuojan vaikutustenarviointi
Tanskan tietosuojaviranomainen viittaa ratkaisun perusteluissa tietovirtojen kartoitukseen ja roolijakoon kuntien ja Googlen välillä. Viranomainen perustelee ratkaisuaan tietosuoja-asetuksen 35 artiklan vaatimuksella siitä, että tietosuojaa koskeva vaikutustenarviointi tulee tehdä siten, että se sisältää systemaattisen kuvauksen suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista.
Meidän tiimi auttaa vaikutustenarviointien tekemissä. Teemme PrivacyDesigner Saas -ohjelmiston avulla täsmällisiä tietovirtakaavioita, jotka havainnollistavat henkilötiedon käsittelyn kulun ymmärrettäväksi. Työstämme GDPR:n edellyttämän järjestelmällisen kuvauksen arvioinnin kohteesta, roolituksen eri käsittelytoimien osalta ja riskiarvioinnin rekisteröityihin kohdistuvista riskeistä. Muodostamme tarvittavan dokumentaation tietosuoja-asetuksen osoitusvelvollisuuden noudattamiseksi.