Tietojen käsittely

GDPR


Tietosuoja-asetuksessa (GDPR) on kuusi perustetta, joihin vedoten henkilötietoja saa käsitellä.

    • lakisääteiset tehtävät

    • sopimus

    • yleinen etu tai julkisen vallan käyttö

    • oikeutettu etu

    • elintärkeä etu

    • rekisteröidyn suostumus


Näistä ehdoista vähintään yhden pitää täyttyä. Kouluissa tietoja käsitellään ensisijaisesti lakisääteisen tehtävän perusteella (perusopetus tai -lukiolaki), ja kaikki muut ovat poikkeustapauksia.


Yleinen virhekäsitys on, että kaikkeen käsittelyyn pitäisi pyytää suostumus, vaikka ensisijaisesti pitäisi löytyä muu peruste (ks. kohta milloin pyydetään suostumus).




Suostumus tietojen käsittelyssä


Milloin pyydetään suostumus tietojen käsittelyyn?


Ollakseen pätevä, suostumuksen on oltava:


  • yksilöity → on selvää, mihin suostumus annetaan, ja kohde on rajattu. Jos tietoja käsitellään useaan käyttötarkoitukseen, pitää jokaiseen pyytää erikseen suostumus

  • vapaaehtoinen → suostumuksesta pitää voida aidosti kieltäytyä ja se pitää voida peruuttaa milloin tahansa

  • tietoinen → suostumusta ei voi antaa vahingossa tai jättämällä jotain tekemättä. Suostumusta varten pitää tehdä jotain aktiivisesti, esim. laittaa itse rasti ruutuun.

  • yksiselitteinen → koulun on pystyttävä jälkikäteen todistamaan, että suostumus on annettu


Koulut käsittelevät oppilaiden ja huoltajien tietoja pääasiassa lakisääteisin perustein (perusopetus- tai lukiolaki) ja suostumusta pitäisi käyttää vain poikkeustilanteissa. Tällainen tilanne on lähinnä oppilaan kuvan tai esim. kuvaamataidon työn julkaisu koulun kotisivuilla tai somessa. Sen sijaan esim. etäopetus on osa opetusta, ja käsittelyperuste on edelleen lakisääteiset tehtävät, eikä suostumusta pyydetä.


Suostumuksen käyttöä kouluissa rajaa moni asia. Huoltajan ja erityisesti oppilaan suhde kouluun on epäsuhtainen, sillä koulu käyttää julkista valtaa suhteessa oppilaaseen. Siksi suostumus ei yleensä täytä aidon vapaaehtoisuuden vaatimusta.

Toinen pohdittava asia on se, mitä seuraa jos suostumusta ei anna tai sen peruuttaa. Tästä ei saa olla negatiivisia seurauksia, eikä suostumus voi olla ehto esimerkiksi palvelun käytölle. Ennen kuin pyydät suostumuksen, mieti siis aina sitä, mitä teet, jos oppilas/huoltaja ei anna suostumustaan. Jos sinulla ei ole tarjota vaihtoehtoa, ei suostumus todennäköisesti tulee kyseeseen.


Suostumus pyydetään huoltajalta, kun oppilas on alle 15-vuotias ja oppilaalta itseltään, kun hän on yli 15-vuotias.


Suostumusta pyydettäessä on muistettava, että suostumus vaatii jotain aktiivista tekemistä. Suostumusta ei siis voi antaa vahingossa tai jättämällä jotakin tekemättä. Eli yksinkertaisimmillaan ruksi pitää itse laittaa ruutuun. Sen sijaan ei voi tehdä esim. niin, että pyydettäessä huoltajan suostumusta koulu laittaa Wilma-viestin kaikille huoltajille, ja pyytää niitä huoltajia vastaamaan, jotka eivät halua lapsensa tietoja käsiteltävän. Tämän kaltainen menettely ei täytä aktiivisen toiminnan ehtoa.