RSS-linkki
Kokousasiat:https://kuopio.oncloudos.com:443/cgi/DREQUEST.PHP?page=rss/meetingitems&show=30
Kokoukset:
https://kuopio.oncloudos.com:443/cgi/DREQUEST.PHP?page=rss/meetings&show=30
Kasvun ja oppimisen lautakunta
Pöytäkirja 21.02.2023/Pykälä 16
Edellinen asia | Seuraava asia | Muutoksenhakuohje Kokousasia PDF-muodossa |
Apulaistietosuojavaltuutetun päätös: "Oppilaiden henkilötietojen näkyvyys opetuksen järjestäjän käyttämän sähköpostin osoitekirjassa"
Kasvun ja oppimisen lautakunta 21.02.2023 § 16
1481/07.01.01/2023
Valmistelijat / lisätiedot:
Ilkka Kukkonen
puh. 044 718 4007 etunimi.sukunimi(at)kuopio.fi
Päätösehdotus apulaiskaupunginjohtaja KYP Jari Kyllönen
Esitän, että kasvun ja oppimisen lautakunta päättää hyväksyä tietohallintopäällikön esityksen ja merkitsee asian tiedoksi.
Päätös Kasvun ja oppimisen lautakunta hyväksyi päätösehdotuksen.
Kalle Hirvonen poistui kokouksesta klo 17.43 tämän pykälän käsittelyn aikana.
Selostus Tietohallintopäällikkö Ilkka Kukkonen
Apulaistietosuojavaltuutettu on antanut päätöksensä huoltajan 4.8.2020 vireille saattamassa asiassa, joka koskee oppilaiden henkilötietojen näkyvyyden rajausta Kuopion kaupungin ylläpitämän sähköpostijärjestelmän osoitekirjassa. Huoltajan mielestä oppilaiden tiedot näkyvät opetuksen järjestämisen kannalta tarpeettoman laajalle ryhmälle, mistä aiheutuu merkittäviä väärinkäytön riskejä oppilaiden henkilötietojen käsittelylle ja menettely on muutenkin loukkaavaa ottaen huomioon, että kyse on alaikäisistä lapsista. Rekisterinpitäjä antoi selvityksen 27.8.2021, jonka mukaan kaupungilla on lakisääteinen velvoite järjestää perusopetusta. Kaupunki on ottanut käyttöön 0365-palvelun, joka liittyy olennaisesti perusopetuksen järjestämiseen sekä digitaalisen osaamisen opettamiseen kouluissa perusopetuksen opetussuunnitelman mukaisesti. Kaupungissa noudatetaan Opetushallituksen antamia linjauksia mm. pääsynvalvonnasta, autentikoinnista, kiistämättömyydestä ja tunnistamisesta. Rekisterinpitäjän 31.10.2022 antaman lisäselvityksen mukaan Opetushallituksen Tietoturva ja -suoja koulussa -sisältökokonaisuus määrittelee opetustoimen tietoturvan ja tietosuojan rakentuvan luottamukselliseen viestintään ja osapuolten luotettavaan tunnistamiseen ja todentamiseen.
Apulaistietosuojavaltuutetun päätöksessä todetaan, että rekisterinpitäjä (perusopetuksen järjestäjä) ei ole noudattanut oppilaidensa henkilötietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukai suus ja kohtuullisuus), c alakohtaa (minimointi) eikä f alakohtaa (luottamuksellisuus) eikä 25 artiklan 2 kohdassa säädettyä, kun se on asettanut oppilaidensa henkilötiedot saataville käyttämänsä sähköpostijärjestelmän osoitekirjassa siten, että tiedot näkyvät kaupungin kaikissa peruskouluissa ja lukioissa. Osoitekirjassa on näkynyt oppilaan etu-ja sukunimi, rooli (oppilas), sähköpostiosoite sekä oppilaan koulu ja luokka. Rekisterinpitäjä ei ole pystynyt osoittamaan oppilaidensa tietojen näin laajan näkyvyyden asianmukaisuutta ja tarpeellisuutta perusopetuksen järjestämisessä.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden henkilötietojen käsittely sähköpostijärjestelmän osoitekirjassa on ollut tietosuoja-asetuksen vastaista. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee arvioida uudelleen perusopetuksessa olevien oppilaiden henkilötietojen saataville asettaminen käyttämänsä sähköpostin osoitekirjassa. Rekisterinpitäjän tulee varmistua siitä, että se ei enää käsittele oppilaidensa tietoja sähköpostijärjestelmän osoitekirjassa siten, että ne näkyvät oman koulun ulkopuolelle, ellei laajempaan näkyvyyteen ole tilanteeseen ja opetuksen järjestämiseen liittyviä perusteita. Oppilaiden tietojen saatavilla olo sähköpostin osoitekirjassa tulee myös ornan koulun sisällä olla tarpeellista ja perusteltua perusopetuksen järjestämisen kannalta.
Esitys Merkitään apulaistietosuojavaltuutetun päätös tiedoksi.
KOP Tietohallinto ja Istekki Oy kokoavat työryhmän selvittämään vaihtoehtoja Apulaistietosuojavaltuutetun edellyttämien toimenpiteiden toteuttamiseksi kevään 2023 aikana. Kun tarkoituksenmukainen tapa näkyvyyden rajaamiseen tunnistetaan ja arvioidaan asiantuntijoiden toimesta toteuttamiskelpoiseksi, se toimeenpannaan mahdollisimman pian.
Liitteet |
|
Edellinen asia | Seuraava asia | Muutoksenhakuohje Kokousasia PDF-muodossa |