Henkilötietojen käsittelyn suunnittelusta opiskeluhuoltorekisterissä

Dnro 1583/41/2014

Asia:

Tietosuojavaltuutetulta kysyttiin koulutuksen järjestäjän ylläpitämän, oppilas- ja opiskelijahuoltolain 21 §:n 1 momentin mukaisen opiskeluhuoltorekisterin (kts. Myös 5.1 § 3 kohta, 14.4 § ja 20 § 1, 3, 4 ja 5momentti) henkilötietojen käsittelystä. Esimerkkinä käytettiin perusopetusta.

Tietosuojavaltuutettu antoi henkilötietojen käsittelyä koskevaa ohjausta. Tietosuojavaltuutetun tehtäviin ei kuulu antaa lupia tai päätöksiä jonkin tietojärjestelmän lainmukaisuudesta. Tässä vastauksessa ei myöskään käsitellä oppilas- ja opiskelijahuoltolaissa säädettyjen potilasrekisterien eikä psykologi- ja kuraattoripalveluiden asiakasrekisterien ylläpitoa.

Tietosuojavaltuutetun vastaus:

Sovellettava lainsäädäntö

Henkilötietojen käsittelyä arvioidaan toimintaa koskevien erityislakien perusteella. Perusopetuslaissa säädetään opetuksen toteuttamisesta ja oppimisen tukitoimista. Perusopetuslaissa tarkoitetussa opetuksessa olevan oppilaan oikeudesta opiskeluhuoltoon säädetään 1.8.2014 voimaan tulevassa oppilas- ja opiskelijahuoltolaissa (1287/2013, OHL 1.1 §), minkä vuoksi tämä laki tulee vaikuttamaan henkilötietojen käsittelyyn koulussa.

Lisäksi henkilötietojen käsittelyyn sovelletaan henkilötietolakia (HTL) yleislakina. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä tai hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi (HTL 3 §1 kohta). Koulussa kaikki oppilaaseen yhdistettävissä olevat tiedot ovat henkilötietoja.

Viranomaistoiminnassa henkilötietojen käsittelyyn vaikuttavia säännöksiä on myös yleislakina sovellettavassa viranomaisten toiminnan julkisuudesta annetussa laissa (julkisuuslaki). Julkisuuslaissa säädetään muun muassa tietojen salassa pidosta (24 §, kts. myös OHL 22 § sekä perusopetuslain 40 §) sekä henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä (16.3 § ja 7 luku) ja hyvästä tiedonhallintatavasta (18 §).

Rekisterinpitäjä vastaa henkilötietojen käsittelystä

Henkilötietojen käsittelystä vastaa rekisterinpitäjä (HTL 3 § 4 kohta). Kunnan järjestämässä perusopetuksessa rekisterinpitäjänä on kuntalain mukainen opetustoimen hallinnosta vastaava toimielin, joka viime kädessä vastaa rekisterinpidon lainmukaisuudesta. Yleensä se on lautakunta. Oppilas- ja opiskelijahuoltolaissa on nimenomainen säännös siitä, että koulutuksen järjestäjä ylläpitää rekisterinpitäjänä monialaisen yksilökohtaisen opiskeluhuollon rekisteriä (OHL 21.1 §).

Henkilötietojen käsittelyn yleisiä periaatteita

Koulun ja sen oppilaiden välillä on asiallinen yhteys, johon henkilötietojen käsittely perustuu (HTL 8.1 § 5 kohta, kts. Myös 1 ja 4 kohta). Henkilötietolain 11 §:ssä määriteltyjä arkaluonteisia tietoja voi käsitellä, jos niiden käsittely johtuu välittömästi koululle laissa säädetystä tehtävästä (HTL 12.1 § 5 kohta, kts. myös 1 kohta).

Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään (HTL 6 § ja 7 §). Henkilötietoja voidaan käyttää vain määriteltyyn käyttötarkoitukseen henkilötietolain 7 §:n mukaisesti. Käsiteltävien henkilötietojen tulee olla tarpeellisia määritellyn henkilötietojen käsittelyn tarkoituksen kannalta (HTL 9 §). Henkilötietojen käsittelyn tulee myös olla asiallisesti perusteltua perusopetuksen järjestäjän toiminnan kannalta (HTL 6 §). Lisäksi rekisterinpitäjän tulee noudattaa huolellisuusvelvoitetta (HTL 5 §).

Perusopetukseen sovellettavat salassapitosäännökset ovat perusopetuslain 40 §:ssä, oppilas- ja opiskelijahuoltolaissa (22 §) sekä viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslain) 24 §:ssä. Esimerkiksi pykälän 30 kohdan mukaan oppilashuoltoa koskevat asiakirjat ovat salassa pidettäviä.

Henkilötietolaissa on omaksuttu looginen rekisterikäsite. Samaan henkilörekisteriin kuuluvat erikseen pidetyt atk-rekisterit ja manuaaliset luettelot ja kortistot, jos niitä käytetään saman lainsäädännössä määrätyn tehtävän hoitamiseen (HTL 3 § 3 kohta). Henkilötietojen käsittelyn edellytetään olevan avointa. Jokaisesta henkilörekisteristä laaditaan jokaisen saatavilla oleva rekisteriseloste (HTL 10 §) ja rekisteröityjä sekä heidän huoltajiaan informoidaan henkilötietojen käsittelystä (HTL 24 §).

Kunnan ja kuntayhtymän järjestämään opetukseen sovelletaan arkistolakia. Arkistonmuodostamissuunnitelmassa tulee määritellä, kuinka kauan oppilaiden henkilötietoja säilytetään arkistossa sen jälkeen, kun oppilas on päättänyt koulunkäyntinsä. Tässä yhteydessä arvioidaan myös toimintaan liittyvien henkilörekisterien ja niihin sisältyvien henkilötietojen säilyttämisen tarve.

Henkilötietojen luovuttamisesta säädetään julkisuuslaissa (HTL 8.4 §). Salassa pidettäviä henkilötietoja voi julkisuuslain 26 §:n mukaan luovuttaa vain, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty tai jos se, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, antaa siihen suostumuksensa. Sekä perusopetuslaissa (40 §) että oppilas- ja opiskelijahuoltolaissa on salassa pidettävien tietojen luovuttamista koskevia säännöksiä (OHL 22 § ja 23 §).

Opetuksen järjestäjä ylläpitää opiskeluhuoltorekisteriä

Opiskeluhuoltoon sisältyvät koulutuksen järjestäjän hyväksymän opetussuunnitelman mukainen opiskeluhuolto sekä opiskeluhuollon palvelut, joita ovat psykologi- ja kuraattoripalvelut sekä kouluterveydenhuollon palvelut (OHL 3 § ja 1.3 §:n määritelmät). Opiskeluhuollon palveluissa ylläpidetään potilas- ja asiakasrekistereitä, mutta tässä vastauksessa ei käsitellä niitä (kts. OHL 5 § 1, 2 ja 4 kohta, 7 §, 8 §, 9 § 2-3 momentti, 10 §, 20.2 § ja 21 § 2-3 momentti).

Koulutuksen järjestäjä vastaa siitä, että opetussuunnitelman mukainen opiskeluhuoltosuunnitelma toteutuu (OHL 9.1 §, 6 § ja 13 §). Sen avulla tuetaan oppimista sekä tunnistetaan, lievennetään ja ehkäistään mahdollisimman varhain oppisen esteitä, oppimisvaikeuksia ja opiskeluun liittyviä muita ongelmia. Siihen sisältyy myös toiminta, jonka avulla tuetaan yksilöllistä hyvinvointia.

Oppilasrekisterin ohella koulutuksen järjestäjä ylläpitää rekisterinpitäjänä monialaisen yksilökohtaisen opiskeluhuollon rekisteriä (opiskeluhuoltorekisteri). Oppilasrekisterin sisällöstä kts. Opetushallituksen julkaisu Julkisuus ja tietosuoja opetustoimessa kohdassa V 2.1. Opiskeluhuoltorekisteriin talletetaan oppilaitoksen toteuttamassa monialaisessa yksilökohtaisessa opiskeluhuollossa laadittavat opiskeluhuoltokertomukset sekä muut siihen liittyvissä tehtävissä laaditut tai saadut yksittäistä opiskelijaa koskevat asiakirjat (OHL 21 § 1 momentti, kts. Myös 14 § 4 ja 5 momentti, 19 §). Opiskeluhuoltokertomuksen sisällöstä säädetään oppilas- ja opiskelijahuoltolaissa (OHL 20 § 1 ja 3- 5 momentit).

Suojaamisvelvollisuus

Yleislakina sovellettavan henkilötietolain 32 §:n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä ja laittomalta käsittelyltä (HTL 32 §). Toimenpiteiden toteuttamisessa on otettava huomioon muun muassa tietojen laatu sekä käsittelyn merkitys yksityisyyden suojan kannalta. Tietoturvavaatimukset korostuvat, kun käsitellään henkilötietolain 11 §:ssä määriteltyjä arkaluonteisia tai salassa pidettäviä tietoja. Suojaamisvelvollisuus koskee myös henkilörekisterin tietojen siirtämistä.

Asianmukainen käyttöoikeushallinta kuuluu henkilötietojen suojaamiseen. Koulun henkilökuntaan kuuluva voi henkilötietolain 6 §, 7 §, 9 §, ja 32 § huomioon ottaen käsitellä vain sellaisia henkilötietoja, joita hän tarvitsee työtehtävissään. Työntekijällä ei ole tarpeellista ja asianmukaista käsitellä muita henkilötietoja. Muihin tietoihin nähden hän on ulkopuolinen, jolta henkilötiedot tulee suojata. Salassapitosäännökset tuovat henkilötietojen käsittelylle vielä lisärajoituksia (OHL 22 § ). Lisäksi henkilötietoja suojaamiseen liittyy luotettava tunnistaminen. Rekisterinpitäjänä toimiva opetuksen järjestäjä vastaa siitä, että tunnistaminen tapahtuu luotettavasti.

Tietojärjestelmien tietoturvallisuuden valvontaan liittyy lokitietojen käsittely. Lokitietojen merkitys korostuu, jos käsitellään salassa pidettäviä tietoja. Lokitietojen avulla huolehditaan käyttäjien, rekisteröityjen ja ylläpitäjien oikeusturvasta, tietosuojasta ja tietoturvallisuudesta. Säännöllisellä valvonnalla on merkitystä väärinkäytösten ennaltaehkäisyssä ja selvittämisessä jälkikäteen.

Viranomaistoiminnassa tietojärjestelmien ja niihin sisältyvien tietojen suojaamisesta säädetään lisäksi julkisuuslain 18 §:ssä (kts. lisäksi julkisuuslain 22 §:n 2 momentti). Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia muun ohella tietojärjestelmiin sisältyvien tietojen asianmukaisesta suojaamisesta asianmukaisin tietoturvallisuusjärjestelyin. Lisäksi tulee huolehtia siitä, että sen palveluksessa olevilla on tarvittava tieto tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta, samoin kuin siitä, että hyvän tiedonhallintavan toteuttamiseksi annettujen säännösten, määräysten ja ohjeiden noudattamista valvotaan.

Vaikka opetuksen järjestäjä antaisi henkilötietolain 8 §:n 1 momentin 7 kohdan mukaisesti toimeksiantosopimuksen perusteella ulkopuolisen tehtäväksi henkilötietojen käsittelyyn liittyviä tehtäviä, se vastaa edelleen rekisterinpitäjänä henkilötietojen käsittelystä ja tietoturvallisuusvaatimusten toteutumisesta. Henkilötietolain 5 §:n mukainen huolellisuusvelvoite ja 32 §:n mukainen suojaamisvelvoite koskevat myös sitä, joka itsenäisenä elinkeinon- tai toiminnan harjoittajana toimii rekisterinpitäjän lukuun. Toimeksisaajan on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta.

Sähköisten palveluiden suunnitteluun vaikuttaa myös muu lainsäädäntö. Tulee ottaa huomioon esimerkiksi laki sähköisestä asioinnista viranomaistoiminnassa sekä laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Niiden ohjaaminen ei kuulu toimivaltaani.

Valtionhallinnon tietoturvallisuuden johtoryhmä on antanut tietoturvallisuusohjeita julkishallinnon verkkopalveluiden toteuttamisesta. Oppaassa Oppilaiden henkilötietojen käsittely kodin ja koulun yhteistyössä viitataan henkilötietojen suojaamisessa Valtionhallinnon tietoturvallisuuden johtoryhmän ohjeisiin. Erityisesti viitataan Sähköisten palveluiden ja asioinnin tietoturvallisuuden ohjeeseen (Vahti 47/001) ja Lokiohjeeseen (Vahti 3/2009) ja Valtionhallinnon salauskäytäntöjen tietoturvaohjeeseen (Vahti 3/2008).

Tietosuojavaltuutettu ei ole ottanut yksittäistapauksissa kantaa siihen, millaiset henkilötietojen ja henkilörekisterien suojaustoimet katsotaan riittäviksi eri tilanteissa eikä hänen toimivaltaansa ei kuulu antaa todistuksia tai päätöksiä henkilötietojen käsittelyn turvallisuudesta yksittäisissä tietojärjestelmissä. Valtuutettu viittasi tältä osin Valtionhallinnon tietoturvallisuuden johtoryhmän ohjeisiin. Opetustoimen hallinnosta vastaava toimielin kunnassa vastaa viime kädessä rekisterinpitäjänä siitä, että henkilötietoja käsitellään lainmukaisesti.

Hyvän tietojenkäsittelytavan luominen

Koulu voi käsitellä oppilasta koskevia henkilötietoja sille opetustoimen lainsäädännössä säädettyjen tehtävien hoitamiseksi (arkaluonteisten tietojen käsittelystä, kts. HTL 12.1 § 5 kohta). Kirjattavien tietojen tulee olla yleislakina sovellettavan henkilötietolain mukaan koulun laissa säädettyjen tehtävien hoitamisen kannalta tarpeellisia ja käsittelyn asiallisesti perusteltua koulun toiminnan kannalta (HTL 6 §, 9 § ja 12.1 § 5 kohta). Huoltajien suostumuksellakaan ei voida kirjata tarpeettomia tietoja.

Monialaisen yksilökohtaisen opiskeluhuollon rekisteristä (opiskeluhuoltorekisteri) ja sen sisällöstä säädetään erityislakina sovellettavassa oppilas- ja opiskeluhuoltolaissa.

Tietosuojavaltuutetun toimivaltaan ei kuulu arvioida perusopetuksen järjestäjälle oppilas- ja opiskeluhuoltolaissa säädettyjen tehtävien sisältöä. Arviointi kuuluu opetus- ja kulttuuriministeriön sekä opetussuunnitelman perusteista päättävän Opetushallituksen tehtäväksi (kts. POL 14 § ja OHL 13 §, 24 § sekä 28 §).

Henkilötietolain tavoitteiden toteutuminen perustuu siihen, että rekisterinpitäjä etukäteen arvioi, miten henkilötietoja on käsiteltävä, jotta lain vaatimukset täyttyvät. Hyvän tietojenkäsittelytavan ja yhtenäisen kirjaamiskäytännön aikaansaamiseksi sekä oppilaiden yksityisyyden suojan turvaamiseksi tietosuojavaltuutettu piti perusteltuna, että kirjaamiskäytännöistä annetaan yleisempää valtakunnallista ohjausta. Sen vuoksi tietosuojavaltuutettu lähetti vastauksen tiedoksi opetus- ja kulttuuriministeriölle ja Opetushallitukselle.

 
Julkaistu 10.8.2015