9.4.2021

Opiskelijanumeroihin yhdistettyjen arvosanojen ja tehtäväkohtaisten pisteiden vieminen yliopiston intranetiin

Asia

Opiskelijoiden opiskelijanumeroihin yhdistettyjen tenttiarvosanojen ja tehtäväkohtaisten pisteiden vieminen yliopiston intranetin käyttäjien saataville

Kantelijan vaatimukset perusteluineen

Tietosuojavaltuutetun toimistossa on tullut 12.10.2018 vireille asia, jossa on kysymys yliopiston oikeustieteellisessä tiedekunnassa opiskelevien opiskelijoiden tenttitulosten ilmoittamisesta yliopiston intranetissä. Sen mukaan intranetissä julkaistaan kunkin opiskelijan opiskelijanumeroon yhdistettynä tenttiarvosana ja tehtäväkohtaiset pisteet. Opiskelijan nimeä ei mainita.

Vireille saattajan mukaan aineistosta muodostuu valtava tietomassa vuosien kuluessa. Kuka tahansa opiskelija voi halutessaan tallentaa nuo tiedot ja sen jälkeen seurata toisten opiskelijoiden opintomenestystä. Yhteydenotossa todettiin, että opiskelijanumero ei ole viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) perusteella salassa pidettävä tieto, minkä vuoksi kuka tahansa voi soittaa yliopistolle kysyäkseen tietyn opiskelijan opintonumeron ja saada tiedot nähtäväkseen julkisuuslain 16 §:n 1 momentin perusteella.

Yhteydenoton mukaan tieto opiskelijan opiskelijanumerosta leviää yliopistossa monin eri tavoin. Yhteydenottaja kertoi monia esimerkkejä. Hänen kertomansa mukaan esimerkiksi perusopintoihin sisältyvän kurssin työnhaun työpajassa oli kiertänyt osallistujalista, johon osallistujan tuli merkitä nimensä ja opiskelijanumeronsa. Saman kurssin harjoitustyö tehtiin tiedekunnan seminaarityöpohjaan, jonka kansilehdelle piti kirjoittaa nimen ohella opiskelijanumero, ja työt ladattiin Moodleen, jossa kaikki kurssin noin 160 osallistujaa pystyivät lukemaan ne pidemmältä ajanjaksolta. Opiskelijan nimen ja opiskelijanumeron sisältänyt lista kiersi myös esimerkiksi opiskelutaitoihin liittyvällä luennolla.

Yhteydenoton mukaan tällaisten käytäntöjen vuoksi opiskelijan nimi ja opiskelijanumero -yhdistelmät ovat yleistä tietoa ja kenen tahansa selvitettävissä, minkä vuoksi opiskelijan tenttitulokset tehtäväkohtaisine pisteineen ovat laajan käyttäjäkunnan saatavissa yliopiston intranetissä. Yhteydenottaja kertoi, ettei hän ollut antanut suostumustaan tietojensa julkaisemiseen intranetissä.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjä on antanut selvityksensä 31.5.2019 ja lisäselvityksen 4.9.2020. Rekisterinpitäjän 31.5.2019 antamasta selvityksestä ilmenee, että oikeustieteellisessä tiedekunnassa jokainen opiskelija näkee oman opintosuorituksensa arvosanan omasta opintorekisteristään. Lisäksi opiskelijat näkevät opintorekisteristä kurssin arvosanajakauman, mutta eivät toistensa tuloksia. Oikeustieteellisessä tiedekunnassa on lisäksi jo pitkään julkaistu suurempien tenttien tulokset yliopiston suljetussa intranetissä kunkin opiskelijan opiskelijanumerolla siten, että opiskelijoiden nimet eivät ole näkyvillä. Arvosanan lisäksi julkaistaan tehtäväkohtaiset pisteet, joista loppuarvosana muodostuu. Yliopiston intranetiin pääsevät yliopiston 4.9.2020 antaman selvityksen mukaan yliopiston henkilökunta ja kirjoilla olevat opiskelijat kukin omilla henkilökohtaisilla tunnuksillaan.

Rekisterinpitäjän 31.5.2019 päivätyssä selvityksessä todetaan pedagogisesti olevan tärkeää, että kukin opiskelija saa tietoonsa tehtäväkohtaiset pisteet, jotka ovat opiskelijoille tärkeää palautetta osaamisesta. Sen vuoksi järjestelylle on ollut opiskelijoiden tuki. Myös läpinäkyvyyttä opintosuoritusten arvostelussa on pidetty tärkeänä. Opiskelijoilla katsotaan olevan oikeus nähdä tenttitulokset ja verrata omia tuloksiaan toisten tuloksiin. Yhdessä tentissä on tavallisesti useita tentaattoreita, minkä vuoksi tehtäväkohtaisuuskin ja vertailtavuus on tarpeen läpinäkyvyyden kannalta. Yliopisto kertoi vielä lisäselvityksessä, että opiskelijanumeroihin yhdistettyjen tenttiarvosanojen ja tehtäväkohtaisten pisteiden vieminen yliopiston intranetiin on tarpeen opetuksen järjestämisen vuoksi.

Nykyinen opintotietojärjestelmä ei annettujen selvitysten mukaan mahdollista sitä, että opiskelija voisi nähdä omat tehtäväkohtaiset pisteensä opintorekisteristä. Jokaiselle opiskelijalle ei voida nykyisin erikseen toimittaa tehtäväkohtaisia pisteitä esimerkiksi sähköpostitse, koska resurssit eivät riitä siihen. Suurimmissa kuulusteluissa on yli sata opiskelijaa kerralla. Menettelyyn ei ole erikseen pyydetty opiskelijoiden suostumusta. Tähän ei ole katsottu olevan tarvetta, koska opiskelijat eivät ole tunnistettavissa näistä tiedoista. Yliopistoon on kehitteillä uusi opintotietojärjestelmä, jonka kehitystyössä tämä tarve otetaan huomioon. Tulevaisuudessa opiskelija voi rekisterinpitäjän mukaan mahdollisesti nähdä omat pisteensä opintotietojärjestelmästä, mutta vielä se ei ole mahdollista. Selvityksen mukaan tarkoitus on kuitenkin muuttaa käytäntöä sen mukaan kuin uusi ohjelma tulee käyttöön.

Annetuissa selvityksessä on todettu, että oikeustieteellisessä tiedekunnassa on toimittu parhaillaan päivittyvien yliopistojen yhteisten käytännesääntöjen mukaan ja myös selvityspyyntökirjeessä viitatun ohjeistuksen mukaisesti etenkin pedagogisista ja läpinäkyvyyteen liittyvistä syistä. Yliopiston 4.9.2020 antamassa selvityksessä todetaan, että vuonna 2017 tietosuojavaltuutetun tarkistamien Yliopiston opintotietojen tietosuojan käytännesääntöjen mukaan ”kuulustelujen, tenttien ja muiden opintosuoritusten arvostelujen tulokset voi julkistaa intranetissä opiskelijanumerolla. Tällöin on kuitenkin huolehdittava siitä, että korkeakouluissa ei ole muutoin saatettu yleisesti saataville listoja tms., joista opiskelijanumero ja nimi ovat yhdistettävissä. Tiedekunta katsoo käytännesääntöjen tältä osin täyttävän myös uudistuneen tietosuojalainsäädännön vaatimukset.

Rekisterinpitäjän 31.5.2019 antamassa selvityksessä kerrotaan, että tiedekunta ei ole pitänyt opiskelijanumeroa opiskelijan nimeen yhdistettäessä varsinaisesti julkisena tietona, mutta asiasta on yliopistoyhteisössä vallinnut monia kantoja. Toinen tulkinta on ollut, että opiskelijanumero on pseudonymisoitu tieto. Selvää on tiedekunnan käsityksen mukaan, että tenttitulokset arvosanoineen ja tehtäväkohtaisine pisteineen ovat julkista tietoa sinänsä.

Tiedekunnan käsityksen mukaan opiskelijanumero ei ole säännönmukaisesti yhdistettävissä henkilöön. Molempia tietoja yhdisteleviä listoja ei pitäisi olla käytössä. Yliopisto totesi vielä 4.9.2020 antamassaan selvityksessä, että luennoilla pidetään yleisesti ottaen erittäin harvoin kirjaa siitä, kuka on paikalla, koska sille ei ole tarvetta. Luentojen seuraaminen ylipistossa perustuu pääosin vapaaehtoisuuteen. Osallistujia saatetaan pyytää satunnaisesti merkitsemään nimensä kiertävään luetteloon, mutta tällöin ei oikeustieteellisen tiedekunnan tietojen mukaan kerätä samalla opiskelijanumerotietoa, koska sille ei ole käyttöä.

Rekisterinpitäjän 4.9.2020 antaman lisäselvityksen mukaan aikaisemmin ohjeena ja käytäntönä on ollut, että nimen ohella myös opiskelijanumero on ollut opiskelijatyössä. Tietosuoja-asetuksen voimaan tulon myötä on ohjeistettu, että opinnäytetöihin tulee merkitä opiskelijan nimi, mutta ei opiskelijanumeroa. Myös tiedekunnan kirjoittajaohjeisiin on tehty muutos siten, että kansilehdelle ohjeistetaan merkitsemään vain kirjoittajan nimi. Moodleen viedyt harjoitustyöt näkyvät selvityksen mukaan opintojaksosta riippuen joko vain opiskelijalle ja opettajalle tai kyseisen opintojakson opetusryhmälle.

Rekisterinpitäjän antamassa lisäselvityksessä kerrotaan lisäksi, että yliopiston oikeus käsitellä henkilötietoja perustuu ensisijaisesti yleistä etua koskevaan tehtävään ja julkisen vallan käyttämiseen. Lisäksi yliopisto noudattaa lakisääteistä velvoitettaan. Henkilötietoja on rekisterinpitäjän selvityksen mukaan käsitelty käsittelyn tarkoituksen, opintojen järjestämisen kannalta tarkoituksenmukaisesti. Rekisteröidyn oikeutettuja odotuksia henkilötietojen käsittelyssä on pyritty kunnioittamaan kohtuullisuuden periaatteen mukaisesti. Samalla yliopisto on julkisuuslain mukaisesti pyrkinyt edistämään toimintansa avoimuutta. Tiedekunnan tulkinnan mukaan julkistetut tiedot ovat olleet riittäviä ja olennaisia ja rajoittuneet siihen, mikä on ollut käsittelyn kannalta välttämätöntä. Menettelystä on informoitu läpinäkyvästi oikeustieteellisen tiedekunnan sivuilla.

Lisäksi rekisterinpitäjän lisäselvityksestä ilmenee, että opiskelija voi halutessaan jäädä pois kyseisestä järjestelystä ja pyytää, ettei hänen opiskelijanumeronsa ja tenttituloksensa yhdistelmää julkaista yliopiston sisäisessä verkossa. Tällöin hänen tenttituloksensa jää julkaisematta. Koska yksittäisen opiskelijan tiedon poistamisen ei ole katsottu vaarantavan käsittelyn yleistä tarkoitusta, opiskelija on saanut häntä koskevan tiedon poistetuksi niin halutessaan ilmoittamatta syytä. Mahdollisuudesta kieltää tenttitulosten julkaiseminen kerrotaan selvityksen mukaan tiedekunnan intranet-sivulla. Rekisterinpitäjä kertoi, että opiskelijoita informoidaan henkilötietojen käsittelystä ja rekisteröidyn oikeuksista sekä niiden käyttämisestä yliopiston tietosuojailmoituksella opiskelijan henkilötietojen käsittelystä koulutuksen yhteydessä. Selvityksen mukaan sieltä löytyy myös yhteystaho.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (jäljempänä tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täsmentää ja asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) pohjalta.

Asiassa on ratkaistava:

1) Sovelletaanko käsillä olevassa asiassa tietosuoja-asetusta?

2) Voiko opiskelijan arvosanoja ja tehtäväkohtaisia pisteitä viedä yliopiston intranetiin ilman opiskelijan suostumusta?

3) Miten tietosuojaperiaatteet tulee huomioida käsillä olevassa asiassa?

Apulaistietosuojavaltuutetun päätös

Apulaistietosuojavaltuutettu ei anna rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaista huomautusta. Apulaistietosuojavaltuutettu katsoo, että opiskelijanumeroihin yhdistetyt opiskelijoiden arvosanat ja tehtäväkohtaiset pisteet voidaan viedä yliopiston sisäiseen intranetiin pyytämättä menettelyyn rekisteröityjen suostumusta. Apulaistietosuojavaltuutettu edellyttää tällöin yliopiston huolehtivan asianmukaisin teknisin ja organisatorisin toimenpitein siitä, että kolmansilla osapuolilla ei ole pääsyä sellaisiin tietoihin, joiden avulla opiskelijoiden nimet ja opiskelijanumerot voidaan yhdistää eikä opiskelijanumerosta ole johdettavissa opiskelijan yksilöintitietoa.

Rekisterinpitäjän on varmistettava tietosuoja-asetuksen 25 artiklan edellyttämällä tavalla, että opiskelijoiden opiskelijanumeroihin yhdistettyjen arvosanojen ja tehtäväkohtaisten pisteiden intranetiin viemisessä noudatetaan tietosuojaperiaatteita tässä päätöksessä esitetyllä tavalla. Apulaistietosuojavaltuutettu kiinnittää huomiota tietojen minimoinnin, säilytyksen rajoittamisen ja tietojen luottamuksellisuuden periaatteiden noudattamiseen.

Päätöksen perustelut

Sovelletaanko käsillä olevassa asiassa tietosuoja-asetusta?

Henkilötiedolla tarkoitetaan tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen perusteella. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi tietosuoja-asetuksen johdanto-osan 26 kappaleen mukaan otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista.

Tietosuoja-asetusta sovelletaan 2 artiklan 1 kohdan mukaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista. Henkilötietojen käsittelyllä tarkoitetaan tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Esimerkiksi henkilötietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville on henkilötietojen käsittelyä.

Tietosuoja-asetus ei koske anonyymien tietojen käsittelyä. Tietosuojaperiaatteita ei tietosuoja-asetuksen johdanto-osan 26 kappaleen mukaan sovelleta anonyymeihin tietoihin. Sillä tarkoitetaan tietoja, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista.

Rekisterinpitäjän selvityksessä kerrotaan, että yliopiston oikeustieteellisen tiedekunnan käsityksen mukaan opiskelijanumero ei ole säännönmukaisesti yhdistettävissä henkilöön. Apulaistietosuojavaltuutettu katsoo saatujen selvitysten perusteella olevan kuitenkin selvää, että opiskelijoiden opiskelijanumeroon yhdistettyjen tenttiarvosanojen ja tehtäväkohtaisten pisteiden asettamisessa yliopiston intranetin käyttäjien saataville ei ole kyse anonymisoitujen tietojen käsittelystä. Opiskelijan opiskelijanumeroon yhdistetyt tiedot ovat edelleen yhdistettävissä tunnistettaviin opiskelijoihin opintorekisteriin talletettujen tietojen perusteella. Myöskään rekisterinpitäjä ei ole vedonnut siihen, että kyse olisi anonymisoitujen tietojen käsittelystä. Sen vuoksi selvityksen kohteena olevassa tietojen käsittelyssä sovelletaan tietosuoja-asetusta 2 artiklan 1 kohdan sekä 4 artiklan 1 ja 2 kohtien perusteella.

Voiko opiskelijan tenttiarvosanoja ja tehtäväkohtaisia pisteitä viedä yliopiston intranetiin ilman opiskelijan suostumusta?

Tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista, jos vähintään yksi 1 kohdan alakohtien edellytyksistä täyttyy. Rekisterinpitäjän 4.9.2020 antamassa selvityksessä kerrotaan, että yliopiston oikeus käsitellä henkilötietoja perustuu ensisijaisesti yleistä etua koskevaan tehtävään ja julkisen vallan käyttämiseen. Lisäksi yliopisto noudattaa lakisääteistä velvoitettaan. Yliopisto on näin ollen arvioinut opetuksen järjestämisessä henkilötietojen käsittelyn perustuvan tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtiin.

Apulaistietosuojavaltuutettu toteaa, että yliopiston tehtävistä, joihin opetuksen järjestäminen kuuluu, säädetään yliopistolaissa (558/2009). Saadun selvityksen perusteella on kiistatta selvää, että opetuksen järjestämisen kannalta on tarpeellista, että opiskelijat saavat tietää tenteistään saamansa arvosanat ja tehtäväkohtaiset pisteensä. Käsillä olevassa asiassa on kyse siitä, millä tavoin tieto heille välitetään. Rekisterinpitäjä kertoo, että opiskelijat eivät voi nähdä tehtäväkohtaisia pisteitään opintorekisteristä.

Asettamalla opiskelijoiden opiskelijanumeroihin yhdistetyt tenttiarvosanat ja tehtäväkohtaiset pisteet yliopiston intranetiin, tiedot saatetaan kaikkien niiden saataville, joilla on pääsy intranetiin. Asiassa tulee arvioida, onko menettelyssä kyse henkilötietojen luovuttamisesta tietosuoja-asetuksen 4 artiklan 10 määritelmän mukaisille kolmansille osapuolille, joita ovat esimerkiksi muut opiskelijat ja ne henkilökuntaan kuuluvat, jotka eivät tarvitse tietoja työtehtävissään. Sellaiseen henkilötietojen käsittelyyn (luovuttamiseen) tulee olla lainmukainen peruste.

Tietosuoja-asetuksen 86 artikla mahdollistaa virallisten asiakirjojen julkisuuden ja tietosuoja-asetuksen mukaisen oikeuden henkilötietojen suojaan yhteensovittamisen. Tietosuojalain 28 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Yliopistolain 30 §:n 2 momentin mukaan yliopiston ja ylioppilaskunnan toiminnan julkisuuteen sovelletaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (julkisuuslaki) säädetään lain 4 §:n 1 momentissa tarkoitetun viranomaisen toiminnan julkisuudesta. Yliopiston toimintaan sovelletaan näin ollen, mitä julkisuuslaissa säädetään viranomaisesta (HE 7/2009 s. 62).

Henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä säädetään julkisuuslain 16 §:n 3 momentissa. Viranomaisen henkilörekisteristä saa sen mukaan antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja ja jos tietojen luovuttaminen ei vaaranna rekisteröityjen yksityisyyden suojaa tai valtion turvallisuutta. Julkisuuslaki on säädetty ennen kuin tietosuoja-asetusta alettiin soveltaa. Silloin henkilörekisteri oli määritelty tietosuojalailla kumotun henkilötietolain 3 §:n 3 kohdassa. Opiskelijarekisteri, johon myös tiedot opiskelijan suorittamista tenteistä merkitään, oli henkilörekisteri. Tietosuoja-asetuksessa ei ole vastaavaa henkilörekisterin määritelmää. Apulaistietosuojavaltuutettu katsoo, että tällä asialla ei kuitenkaan ole merkitystä käsillä olevan asian arvioinnissa.

Julkisuuslain 16 §:n 3 momentti koskee julkisten tietojen luovuttamista viranomaisen henkilörekisteristä. Julkisuuslain 1 §:n mukaan viranomaisten asiakirjat ovat julkisia, jollei julkisuuslaissa tai muussa laissa erikseen toisin säädetä. Tietosuojavaltuutetun toimivaltaan ei kuulu arvioida julkisuuslain perusteella sitä, ovatko tiedot julkisia vai salassa pidettäviä. Yliopisto toteaa 31.5.2019 antamassaan selvityksessä, että yliopiston oikeustieteellisen tiedekunnan käsityksen mukaan on selvää, että opiskelijoiden tenttitulokset arvosanoineen ja tehtäväkohtaisine pisteineen ovat julkista tietoa. Julkisuuslain 16 §:n 3 momentin soveltamista arvioidessa luovutuksensaajien oikeutta käsitellä henkilötietoja arvioidaan tietosuoja-asetuksen perusteella. Tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaisesti henkilötietojen luovutus on mahdollista muun muassa, jos rekisteröity on antanut suostumuksensa henkilötietojen sellaiseen käsittelyyn.

Oikeustieteellisessä tiedekunnassa suurempien tenttien tulokset julkaistaan yliopiston 31.5.2019 antaman selvityksen mukaan yliopiston suljetussa intranetissä siten, että jokainen opiskelija näkee opiskelijanumeroihin yhdistettynä tentin arvosanat ja tehtäväkohtaiset pisteet, mutta opiskelijoiden nimiä ei ole näkyvissä. Selvityksen mukaan tietoihin pääsevät ne, joilla on yliopiston aktiivinen käyttäjätunnus ja salasana. Käsillä olevassa asiassa rekisteröidyn suostumusta ei ole pyydetty eikä rekisterinpitäjä ei ole esittänyt selvityksissään sellaista tietosuoja-asetuksen edellyttämää muutakaan perustetta, jonka mukaan henkilötietoja voitaisiin viedä intranetiin kolmansien osapuolien saataville. Rekisterinpitäjän selvityksistä saadun käsityksen perusteella tenttitulosten julkaisemista siten, että ne olisivat yhdistettävissä tunnistettuihin henkilöihin, ei ole nähty tarpeelliseksi toiminnassa. Läpinäkyvyyskin ja avoimuus näyttäisi olevan toteutettavissa tarvittaessa tilastotietojen avulla sekä julkisuuslain mukaisesti. Rekisterinpitäjän selvityksissä onkin lähdetty siitä, että nämä tiedot on viety yliopiston intranetiin siten, että intranetin käyttäjät eivät ainakaan säännönmukaisesti voi yhdistää kyseisiä tietoja yksittäisiin opiskelijoihin.

Rekisterinpitäjä kertoo 4.9.2020 antamassaan selvityksessään, että tiedekunnan menettelytapa perustuu tiedekunnan tulkintaan Korkeakoulujen opintotietojen tietosuojan käytännesäännöistä, jotka tietosuojavaltuutettu on 2.5.2017 henkilötietolain 42 §:n perusteella tarkistanut, sekä tietosuojavaltuutetun henkilötietolain 38 §:n nojalla antamaan linjaukseen, joka on sisältynyt käytännesääntöihin. Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että tietosuojavaltuutettu on tarkistanut Korkeakoulujen opintotietojen tietosuojan käytännesäännöt ennen kuin tietosuoja-asetusta alettiin soveltaa. Sen vuoksi rekisterinpitäjän on tullut selvittää linjauksen tietosuoja-asetuksen mukaisuus. Tiedekunta katsoo antamassaan selvityksessä Opintotietojen tietosuojan käytännesääntöjen tältä osin täyttävän myös uudistuneen tietosuojalainsäädännön vaatimukset.

Apulaistietosuojavaltuutettu toteaa, että Opintotietojen tietosuojan käytännesääntöjen 7.1.2. kohdan mukaan henkilörekisteriin sisältyvien henkilötietojen laittaminen korkeakoulun verkkosivuille (myös intranetiin) on henkilötietojen sähköistä luovuttamista, joka opiskelijoiden tietojen kyseessä ollessa edellyttää opiskelijan antamaa suostumusta. Samassa kohdassa viitataan julkisuuslain 16 §:n 3 momenttiin. Lisäksi kerrotaan, että kuulustelujen, tenttien ja muiden opintosuoritusten arvostelujen tulokset voi julkistaa intranetissä opiskelijanumerolla. Tällöin on kuitenkin huolehdittava siitä, että korkeakoulussa ei ole muutoin saatettu yleisesti saataville listoja tms., joista opiskelijanumero ja nimi ovat yhdistettävissä. Tietosuojavaltuutettu katsoi tietosuojalain voimassa ollessa antamassaan ohjauksessa, että julkaistaessa opiskelijan tenttitulos siten, että ulkopuolinen ei voinut tietää, kenen tiedoista oli kyse, ei edellyttänyt rekisteröidyn suostumusta, koska kyse ei silloin ollut henkilötietojen käsittelystä eikä henkilötietolaki tullut sovellettavaksi. Edellytyksenä oli vielä, että numerosta ei ollut johdettavissa opiskelijan yksilöintitietoa.

Käsillä olevassa tapauksessa tulee arvioida, voidaanko opiskelijan opiskelijanumeroihin yhdistettyjä tenttien arvosanoja ja tehtäväkohtaisia pisteitä viedä intranetiin ilman rekisteröityjen suostumusta sen jälkeen, kun tietosuoja-asetusta on alettu soveltaa. Henkilötiedon määritelmä oli henkilötietolaissa periaatteessa samanlainen kuin tietosuoja-asetuksessa, mutta henkilötietolaissa ei määritelty pseudonymisoinnin käsitettä, joka on määritelty tietosuoja-asetuksen 4 artiklan 5 kohdassa. Asiaa arvioitaessa on selvää, että yliopiston tulee huolehtia asianmukaisin teknisin ja organisatorisin toimenpitein siitä, että kolmansilla osapuolilla ei ole mahdollisuutta päästä opiskelijanumerot ja nimet yhdistäviin tietoihin eikä julkaistusta numerosta ole johdettavissa opiskelijan yksilöintitietoa. Apulaistietosuojavaltuutetun käsityksen mukaan näidenkin edellytysten täyttyessä on kuitenkin tulkinnanvaraista, voidaanko tietoja viedä intranetiin ilman suostumusta, koska kyse ei ole anonyymeistä tiedoista, minkä vuoksi näiden tietojen käsittelyyn sovelletaan tietosuoja-asetusta.

Apulaistietosuojavaltuutettu toteaa, että tietosuoja-asetus mahdollistaa virallisten asiakirjojen julkisuuden ja tietosuoja-asetuksen mukaisen oikeuden henkilötietojen suojaan yhteensovittamisen tietosuojalain 28 §:stä ilmenevällä tavalla. Pseudonymisoinnin soveltamisella voidaan tietosuoja-asetuksen johdanto-osan 28 kappaleen mukaan vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan, mutta pseudonymisoinnin nimenomaisella sisällyttämisellä tietosuoja-asetukseen ei ole tarkoitettu sulkea pois mitään muita tietosuojatoimenpiteitä. Myös tietosuoja-asetuksen 32 artiklassa, joka koskee käsittelyn turvallisuutta, todetaan pseudonymisointi yhtenä keinona suojaamisen toteuttamiseksi.

Lisäksi tietosuoja-asetus mahdollistaa luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvien riskien huomioimisen henkilötietojen käsittelystä. Tietosuoja-asetuksen johdanto-osan 75 kappaleen mukaan käsiteltävien tietojen luonne on yksi huomioon otettavista asioista, kun riskiä arvioidaan. Käsillä olevassa tapauksessa kyse on julkisuuslain perusteella julkisten tietojen käsittelystä. Riskien arviointi ja käsittelyn luonne on otettu huomioon myös tietosuoja-asetuksen 32 artiklassa.

Rekisterinpitäjä on viitannut 4.9.2020 antamassaan selvityksessä lisäksi siihen, että opiskelija voi halutessaan jäädä pois järjestelystä ja pyytää, ettei hänen opiskelijanumeronsa ja tenttituloksensa yhdistelmää julkaista yliopiston sisäisessä verkossa. Koska yksittäisen opiskelijan tiedon poistaminen ei ole katsottu vaarantavan käsittelyn yleistä tarkoitusta, opiskelija on selvityksen mukaan saanut häntä koskevan tiedon poistetuksi niin halutessaan ilmoittamatta erityistä syytä. Selvityksestä ilmenee, että mahdollisuudesta kieltää tenttituloksensa julkaiseminen kerrotaan tiedekunnan intranet-sivuilla.

Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä viittaa tässä tietosuoja-asetuksen mukaiseen rekisteröidyn oikeuteen. Rekisteröidyllä on tietosuoja-asetuksen 21 artiklan 1 kohdan mukaan oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e tai f alakohtaan. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Rekisteröidyn oikeuksista tulee tietosuoja-asetuksen 12 artiklan ja 13 artiklan 2 kohdan b alakohdan mukaisesti informoida rekisteröityä asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi.

Apulaistietosuojavaltuutettu katsoo edellä mainitut seikat huomioon ottaen, että käsillä olevassa tapauksessa opiskelijoiden opiskelijanumeroihin yhdistetyt tenttiarvosanat ja tehtäväkohtaiset pisteet voidaan viedä yliopiston intranetiin ilman rekisteröidyn suostumusta, jos rekisterinpitäjä huolehtii asianmukaisin teknisin ja organisatorisin toimenpitein siitä, että kolmansien osapuolien saatavissa ei ole sellaisia tietoja, joiden perusteella intranetiin viedyt tenttitulostiedot voidaan yhdistää tunnistettuihin opiskelijoihin eikä opiskelijanumerosta ole johdettavissa opiskelijan yksilöintitietoa. Rekisterinpitäjän on tietosuoja-asetuksen 32 artiklan 4 kohdan mukaisesti toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti.

Rekisterinpitäjän vastauksessa ei kerrottu, miten opiskelija saa tietoonsa opetuksen järjestämisen kannalta tarpeelliset tehtäväkohtaiset pisteensä, jos hän käyttää vastustamisoikeutta. Apulaistietosuojavaltuutettu katsoo, että asia on tarpeellista vielä arvioida yliopistossa erikseen.

Miten tietosuojaperiaatteet tulee huomioida käsillä olevassa asiassa?

Merkitystä asiassa on lisäksi tietosuoja-asetuksen 25 artiklan 2 kohdassa säädetyllä ja 5 artiklassa säädetyillä henkilötietojen käsittelyä koskevilla periaatteilla. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Henkilötietojen on tietosuoja-asetuksen 5 artiklan c alakohdan mukaan oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Euroopan tietosuojaneuvoston ohjeessa Guidelines 4/2019 on Article 25 Data Protection by Design and by Default on käytännön ohjeita tietosuojaperiaatteiden noudattamisesta. Rekisterinpitäjän selvityksen mukaan tiedot ovat kaikkien niiden saataville, joilla on intranetin käyttöoikeus, mutta menettelylle ei ole esitetty perusteita. Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että opiskelijanumeroihin yhdistetyt arvosanatiedot ja tehtäväkohtaiset pisteet eivät tule olla tarpeettomasti liian laajan joukon saatavilla yliopiston intranetissä. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulee arvioida vielä tarkemmin sitä, kenellä on opetuksen järjestämisen kannalta tarpeellista päästä käsillä olevassa asiassa tarkoitettuihin tietoihin intranetissä.

Tietojen minimoinnin periaatteeseen liittyy myös tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa säädetty säilytyksen rajoittamisen periaate. Sen mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Koska opiskelijanumeroihin yhdistetyt tenttiarvosanat ja tehtäväkohtaiset pisteet eivät ole anonyymejä tietoja, on tarpeellista kiinnittää huomiota näiden tietojen säilytyksen rajoittamiseen yliopiston intranetissä. Rekisterinpitäjän tulee määritellä asianmukaiset säilytysajat ja huolehtia tietojen poistamisesta sen jälkeen.

Henkilötietojen 5 artiklan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien muun muassa suojaaminen luvattomalta ja lainvastaiselta käsittelyltä käyttäen asianmukaisia teknisiä tai organisatorisia toimia (luottamuksellisuus). Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän on suojattava tiedot siten, että kolmansilla osapuolilla ei ole pääsyä sellaisiin tietoihin, joiden avulla opiskelijan nimi ja opiskelijanumero ovat yhdistettävissä. On myös keskeistä, että henkilökunta tietää noudatettavista menettelyistä ja henkilötietojen käsittelyä seurataan (tietosuoja-asetuksen 29 artikla).

Käsillä olevasta tapauksesta

Apulaistietosuojavaltuutettu katsoo, että opiskelijoiden opiskelijanumeroihin yhdistettyjen tenttiarvosanojen ja tehtäväkohtaisten pisteiden vieminen yliopiston intranetiin tässä päätöksessä edellytetyllä tavalla turvaa rekisteröityjen oikeudet ja vapaudet henkilötietojen käsittelyssä edellyttäen, että rekisterinpitäjä on suojannut tiedot asianmukaisin teknisin ja organisatorisin toimenpitein siten, että kolmansilla osapuolilla ei ole mahdollista yhdistää opiskelijoiden nimiä ja opiskelijanumeroita keskenään ja siten saada tietoonsa, keiden tenttituloksista on kyse. Kolmansia osapuolia ovat myös muut opiskelijat sekä ne henkilökuntaan kuuluvat, jotka eivät tarvitse tietoja työtehtävissään. Käsillä oleva ratkaisu on kuitenkin tulkinnanvarainen. Apulaistietosuojavaltuutettu on huomioinut asiaa arvioidessaan sen, että käsiteltävät tiedot ovat julkisia, tietosuoja-asetus mahdollistaa riskien arvioinnin huomioon ottamisen ja lisäksi opiskelijoilla on halutessaan mahdollisuus käyttää tietosuoja-asetuksen 21 artiklan 1 kohdan mukaista vastustamisoikeutta.

Sovelletut lainkohdat

Tietosuoja-asetuksen 2 artiklan 1 kohta, 4 artiklan 1, 2, 5 ja 10 kohta, 5 artiklan 1 kohdan c, e ja f alakohdat ja 86 artikla, tietosuojalain 28 § sekä viranomaisten toiminnan julkisuudesta annetun lain 1 § ja 16 § 3 momentti.

Päätös ei ole lainvoimainen.

Apulaistietosuojavaltuutetun ohjaus

Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Rekisterinpitäjän selvityksistä saadun tiedon mukaan yliopisto panostaa opintotietojärjestelmän kehittämiseen. Tietosuojaperiaatteet tulee huomioida tietojärjestelmää kehitettäessä. Apulaistietosuojavaltuutettu pitää tavoiteltavana, että opiskelijat saavat opintotietojärjestelmästä tiedot tenttien tehtäväkohtaisista pisteistään, mikä on selvityksen mukaan myös rekisterinpitäjän tavoite.

Tähän ohjaukseen ei voi hakea muutosta valittamalla.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.