Opetussektori - Tietojen minimointi

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	11.08.2023
Diaarinumero:	1011/161/22

Apulaistietosuojavaltuutetun päätös

Asia

Kaikkien oppilaiden tilinumeroiden käsittely stipendien maksamista varten.

Rekisterinpitäjä

Kaupunki (toiminnasta vastaava toimielin)

Ilmoittajalta saadut tiedot

Tietosuojavaltuutetun toimistossa saatettiin 19.1.2022 vireille asia, jonka mukaan peruskoulussa kaikkien oppilaiden huoltajia olisi pyydetty ilmoittamaan oppilaan tilinumero. Yhteydenoton mukaan huoltajille lähetettiin Wilma-järjestelmän kautta seuraava viesti otsikolla Hyvät huoltajat (henkilökunnalle tiedoksi): ”Kaupungin stipendien jakotapa muuttui viime keväänä. Oppilaille ei jaeta kaupungin stipendejä käteisenä rahana vaan stipendit maksetaan oppilaiden tilille. Mikäli oppilaalla ei ole tiliä, stipendi maksetaan lahjakorttina. Tämän vuoksi pyydämme huoltajia tarkistamaan, että oppilaan Wilmaan on merkitty tilinumero mahdollisen stipendin maksamista varten.”

Rekisterinpitäjän selvitys

Tietosuojavaltuutetun toimisto on pyytänyt selvitystä 1.2.2022 päivätyllä selvityspyynnöllä rekisterinpitäjältä. Rekisterinpitäjä on antanut asiassa 25.2.2022 selvityksen.

Rekisterinpitäjän antaman selvityksen mukaan henkilötietojen käsittely liittyy perusopetuksen järjestämisessä stipendien jakamiseen, joka on vuosikymmeniä vanha maan tapa osana opinnoissa ansioituneiden palkitsemista. Opetuksen järjestämisen perinteisiin kuuluu oppilaiden opinnoissa edistymisen huomioiminen. Normaalisti stipendit jaetaan fyysisesti niiden saajille koulujen päätösjuhlatilaisuuksissa. Poikkeusolot sekä sen jälkeinen laaja etäopetus vaikutti siihen, että suurimuotoisia päätösjuhlia ei järjestetty. Koronan vuoksi kaupunki päätti jakaa tavanomaisista vuosista poiketen erittäin paljon stipendejä. Stipendiraha päätettiin maksaa suoraan tilille. Kaupunki ei halunnut kuitenkaan paljastaa etukäteen, ketkä kaikki stipendin tulevat saamaan. Tämän vuoksi stipendien maksamisen nopeuttamiseksi pyydettiin tilinumerot kaikilta. Huoltajille lähetettiin asiasta tiedote Wilma-tietojärjestelmän kautta keväällä 2021 ennen stipendien jakamista.

Selvityksessä kerrottiin, että tilinumero on tallennettu opetuksen tietojärjestelmässä siten, että vain hyvin rajattu määrä henkilöstöä pääsee sitä käsittelemään ja käsittelystä jää lokitieto. Tilinumero ei ole Suomessa salassa pidettävä tieto, mutta rekisterinpitäjä käsittelee sitä vastaavasti kuin salassa pidettäviä tietoja.

Sovellettavasta lainsäädännöstä

Henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus). Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018).

Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohdan mukaisia tietosuojaperiaatteita on noudatettu (osoitusvelvollisuus).

Tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Saman artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Henkilötietojen käsittelyyn voi vaikuttaa myös toimintaan sovellettava muu lainsäädäntö. Perusopetuksen järjestämisestä, josta asiassa on kyse, säädetään perusopetuslaissa (628/1998).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain ja perusopetuslain pohjalta. Asiassa on ratkaistava:

1. Onko rekisterinpitäjä (perusopetuksen järjestäjä) noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohtaa (tietojen minimointi) sekä 5 artiklan 2 kohdassa ja 25 artiklan 1 ja 2 kohdassa säädettyä, kun se on käsitellyt oppilaiden tilinumeroita?

Apulaistietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjä (perusopetuksen järjestäjä) keräsi stipendien jakamista varten etukäteen kaikkien oppilaiden tilinumerotiedot, vaikka stipendit jaetaan opintomenestyksen perusteella osalle oppilaista. Opetuksen järjestäjä on kerännyt tarpeettomasti tilinumerot niiltä oppilailta, jotka eivät ole saaneet stipendiä. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohtaa (tietojen minimointi), kun se on käsitellyt säännönmukaisesti kaikkien oppilaiden tilinumeroita.

Asiassa ei ole arvioitu henkilötietojen käsittelyn perustetta. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimointiperiaatetta sovelletaan siitä riippumatta, millä perusteella henkilötietoja käsitellään.

Huomautus

Rekisterinpitäjälle annetaan tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus tietosuoja-asetuksen vastaisista käsittelytoimista oppilaiden tilinumeroiden käsittelyssä.

Määräys

Rekisterinpitäjälle annetaan myös tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet oppilaiden tilinumeroiden käsittelyn osalta tietosuoja-asetuksen säännösten mukaisiksi sekä poistaa kerätyt tilinumerot niiltä osin, kun käsittelylle ei ole lainmukaisia perusteita.

Perustelut

Rekisterinpitäjä

Asiassa on kyse perusopetuksen järjestämisestä, josta säädetään perusopetuslaissa (628/1989). Rekisterinpitäjän vastuusta henkilötietojen käsittelyssä säädetään yleisellä tasolla tietosuoja-asetuksen 24 artiklassa, jota tulkitaan yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännösten kanssa.

Tietojen minimointi

Henkilötietojen käsittely on lainmukaista ainoastaan, jos jokin tietosuoja-asetuksen 6 mukaisista käsittelyperusteista täyttyy. Lisäksi on noudatettava 5 artiklassa säädettyjä tietosuojaperiaatteita, joita myös artiklan 1 kohdan c alakohdan mukainen tietojen minimointi on (Kts. KHO:n 5.6.2023 antaman päätöksen (1671/23) kohdat 31-33, 35, 40 sekä 42.)

Henkilötietojen on oltava tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietojen on tietosuoja-asetuksen johdanto-osan 39 kohdan mukaan oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoituksen kannalta. Henkilötietoja on käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin (Kts. Euroopan tietosuojaneuvoston ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta (Versio 2.0 Annettu 20. lokakuuta 2020) kohta 3.5. EDPB:n toimivallasta säädetään TSA 70 artiklassa.)

Rekisterinpitäjä on todennut, että tilinumeroita käytettiin poikkeuksellisesti stipendien maksamiseen oppilaiden pankkitileille. Kaupunki ei rekisterinpitäjän selvityksen mukaan halunnut kuitenkaan paljastaa etukäteen, ketkä kaikki stipendin tulevat saamaan, minkä vuoksi stipendien maksamisen nopeuttamiseksi pyydettiin tilinumerot kaikilta oppilailta.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että henkilötietojen keräämisessä tulee ottaa huomioon tietosuoja-asetuksessa säädetyt tietosuojaperiaatteet. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen minimointiperiaate huomioon ottaen rekisterinpitäjän ei ole lainmukaista kerätä rekisteröidyiltä sellaisia henkilötietoja, joiden tarpeellisuudelle ei ole esitettävissä asianmukaisia perusteita. Käsillä olevassa asiassa rekisterinpitäjä on nopeuttaakseen stipendien maksamista kerännyt säännönmukaisesti kaikkien oppilaiden tilinumerot sen varalta, että osalle heistä tullaan myöntämään stipendi. Tietojen tarpeellisuutta tulee arvioida tapauskohtaisesti, eikä henkilötietoja voida esimerkiksi kerätä ja säilyttää pelkästään varmuuden vuoksi, tulevaisuuden varalle. Rekisterinpitäjän selvityksestä ei ilmene perusteita sille, minkä vuoksi kaikkien oppilaiden tilinumerot olisivat tarpeellisia tietoja stipendien maksamista varten. Stipendien maksaminen on mahdollista toteuttaa myös muulla tavoin.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen, koska käsittelytoimet ovat edellä kerrotulla tavalla olleet tietosuoja-asetuksen säännösten vastaisia. Rekisterinpitäjä on tarpeettomasti säännönmukaiset kerännyt kaikkien oppilaiden tilinumerot stipendien maksamista varten, vaikka stipendi maksetaan osalle oppilaista. Lisäksi apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdassa tarkoitetun määräyksen saattaa käsittelytoimet tietosuoja-asetuksen mukaisiksi näiltä osin ja poistaa kerätyt tilinumerot niiltä osin, kun käsittelylle ei ole lainmukaisia perusteita.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätöksen on tehnyt apulaistietosuojavaltuutettu Annina Hautala.

Päätös on lainvoimainen.

Apulaistietosuojavaltuutetun ohjaus

Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että kouluja tulee ohjeistaa noudatettavista menettelytavoista henkilötietojen käsittelyssä .

Tähän ohjaukseen ei voi hakea muutosta.