Thursday, November 22, 2012

Henkilötietojen käsittelystä opetuksen tietojärjestelmissä

Kotikaupunkini Kaarinan opetustoimi lähestyi alaikäisten koululaisten vanhempia seuraavasti:

"Opit-palvelu, Gemilo ja koulut.kaarina.fi -palvelu ovat käytössä kaikissa Kaarinan kouluissa. Mikäli suostumusta ei saada, oppilas ei voi käyttää opetuksessa käytettäviä oppimisverkostoja eikä saa omaa sähköpostiosoitetta.”

Kyse oli luvan pyytämisestä uusien "oppimisverkostojen" käyttöönottoon. Alalla työskentelevänä tiedän hyvin kaksi ensimmäistä toimijaa mutta kolmas herätti kummastusta etenkin kun kyseistä domainia eli verkko-osoitetta ei ole vielä rekisteröity.

Sähköpostikirjeenvaihdossa kävi ilmi, että

  • koulut.kaarina.fi -osoite on varattu siihen tarkoitukseen, että käyttöön otetaan Google Apps for Education -palvelu,
  • että uusien palveluiden käyttöönottoa tehnyt työntekijä ei tiennyt, missä opetustoimea koskeva henkilörekisteriseloste on
  • ja että kaupungilla ei ole minkäänlaista kirjautumispalvelinta näitä käyttötarkoituksia varten vaan oppilaiden henkilötietoja on tarkoitus luovuttaa tunnusten luomiseksi näille palveluntarjoajille.
Menettelytavassa on muutamia ongelmia joita nyt ratkotaan yhteistyöllä. Suurin osa ongelmista saadaan ratkaistua kun luetaan ne sopimukset sekä asiaan liittyvät lait kunnolla ja toimitaan niiden mukaan.
  1. Henkilötietolain mukaisessa henkilörekisteriselosteesta on ilmettävä "mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle". Tämä tarkoittaa sitä, että henkilön, jonka tietoja käsitellään, on oikeus saada tieto siitä, ketkä kaikki käsittelevät hänen henkilötietojaan ja millä perusteella. Tämä ongelma on ratkaistavissa kirjoittamalla henkilörekisteriseloste uudestaan siten, että se vastaa todellista toimintaa. Yksi hyvä toteutusmalli on kirjoittaa varsinaiseen selosteeseen yleisluontoinen virke, jossa sanotaan, että tietoja luovutetaan palveluita tuottaville alihankkijoille. Alihankkijoista on helpompi pitää ajantasaista listaa kun koko selostetta ei tarvitse päivittää.
  2. Vanhemmilta pyydetyssä suostumuksessa ei lainkaan mainittu niitä yrityksiä, joille tietoja ollaan siirtämässä. Tämä ei ole lain mukaista. Tuotenimistä Opit ja Gemilo voi alaa tunteva jo päätellä paljon, mutta rekisteröimättömästä verkko-osoitteesta koulut.kaarina.fi ei voi päätellä mitään. Googlen kohdalla ongelma on se, että yritys on ulkomainen ja henkilötietojen viemistä EU/ETA-alueen ulkopuolelle on rajoitettu edellä mainitussa henkilötietolaissa.
Henkilötietolaki 22 a § (24.11.2000/986):

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.


Tämä tarkoittaa sitä, että henkilötietoja ei saa viedä EU/ETA-alueelta ilman, että kohdemaassa taataan tietosuojan riittävä taso. Muun muassa Yhdysvallat on lähtökohtaisesti maa jossa tietosuojan taso ei ole lähelläkään EU-maiden tietosuojaa. Suurin ongelma on se, että sikäläinen tietosuojalainsäädäntö koskee miltei poikkeuksetta vain maan omia kansalaisia.

Ongelma on pyritty poistamaan EU:n ja Yhdysvaltojen tietosuojaa koskevalla Safe Harbor -kehyssopimuksella. Yhdysvaltain kauppakomissio pitää yllä palvelua, jossa järjestelyyn liittyneet yritykset on listattuna. Järjestelyn idea on se, että yritykset auditoivat vuosittain toimintansa, jotta se toteuttaa EU:n tietosuojan tason. Samalla EU-alueen kuluttajat saavat vastaavat oikeudet mitä heillä olisi EU-valtiossa toimivia palveluita käyttäessään.

Google Apps for Educationin käyttöehdoissa on mielenkiintoinen tekstinpätkä kohdassa 2.2 käyttöönotto:

Googlen keräämiä tietoja voidaan säilyttää ja käsitellä Yhdysvalloissa tai muissa maissa, joissa Googlella tai sen edustajilla on toimipaikka edellyttäen, että tällaiset toimipaikat täyttävät tietoturvastandardit, jotka ovat vähintään yhtä tiukkoja kuin tietoturva toimipaikoissa, joissa Google säilyttää ja käsittelee omia vastaavia tietojaan. Palveluita käyttämällä Asiakas hyväksyy kaikkien tällaisten tietojen siirtämisen, käsittelemisen ja säilyttämisen.


EU:n komission Safe Harbouria koskeva päätös kuitenkin korostaa, että sopimus ei koske muita maita. 2. artikla:

Tämä päätös koskee ainoastaan Yhdysvalloissa FAQ:iden mukaisesti sovellettavien periaatteiden tietosuojan riittävyyttä siinä tarkoituksessa, että direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimukset täytettäisiin, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten, myöskään 4 artiklan, soveltamiseen.

Huomatkaa, että tekstissä puhutaan maista, ei yrityksistä.

Kun lähtökohta on se, että laissa sanotaan, että henkilötietojen vieminen on sallittua EU:n ulkopuolelle vain jos kyseisessä maassa taataan tietosuojan riittävä taso, vaatimus ei täyty sillä, että tietoja käsittelevä yritys vakuuttaa käsittelevänsä tietoja luotettavasti ja turvallisesti kyseisessä maassa. Tämä sama ongelma koskee kaikkia muitakin vastaavia palveluita kuin Googlen palveluita ja kysymykseen on syytä hakea tietosuojavaltuutetulta kanta.

Kaarinassa mokattiin siinä, ettei edes tajuttu, että käyttäjille pitää tietysti kertoa mihin heidän tietojaan luovutetaan. Sekin olisi pitänyt käyttäjälle kertoa jo Googlen omien ehtojen mukaan, miten ja missä käyttäjän tietoja käsitellään.

Ihmisillä on henkilötietojen käsittelyyn hyvin erilaisia kantoja. Osa toistelee "kun ei tee mitään väärin, ei ole mitään salattavaakaan" -mantraa. Yksikään näin sanoneista ei ole suostunut antamaan minulle vielä pankkitilinsä kirjautumistunnuksia. En pidä tuota argumenttia muutenkaan kauhean hyvänä, koska emme tiedä muuttuvassa maailmassa mikä tieto tulevaisuudessa on kannaltamme arkaluontoinen tai toimii meitä vastaan. Sellainen voi olla esimerkiksi sairaudesta Internetiin kirjoitettu viesti, joka löytää tiensä vääriin käsiin.

Oletetaanpa kuitenkin huvin vuoksi, että "rehellisellä ei ole mitään salattavaa" olisi hyvä argumentti. Sitä vasten on hyvä pohtia, miksi Google Apps for Education -sopimuksessa lukee näin:

10.Julkisuus. Asiakas ei anna julkisia tiedotteita tämän Sopimuksen olemassaolosta tai sisällöstä ilman Googlen etukäteen antamaa kirjallista hyväksyntää. Google voi: (i) liittää Asiakkaan Tuotemerkkiominaisuuksia esittelyihin, markkinointiaineistoon ja asiakasluetteloihin (mukaan lukien muun muassa Googlen Web-sivustoihin sijoitetut asiakasluettelot ja kuvakaappaukset Asiakkaan tavasta käyttää Palvelua) ja (ii) antaa julkisen tiedotteen tämän Sopimuksen olemassaolosta tai sisällöstä. Google toimittaa Asiakkaalle tämän pyynnöstä esimerkin tällaisesta käyttötavasta tai tiedotteesta.

Asiakas ei siis saa kertoa tehneensä tällaisen sopimuksen ilman Googlen etukäteishyväksyntää. Sopii mielestäni aika kehnosti yhteen hallinnon läpinäkyvyyden periaatteen kanssa. Google sen sijaan saa tiedottaa. Hieman epätasapainoinen tila.

Esitän tämän blogahduksen kysymykset myös suoraan Googlelle. Katsotaan tuleeko vastaus ja milloin. Elokuussa 2011 esittämääni kysymykseen siitä, tarkoittaako Googlen ehtojen tarkoittama oikeustoimikelpoisuus sitä, että vain 18 vuotta täyttäneet voivat itsenäisesti ottaa Googlen palvelut käyttöön vai riittääkö 15-vuotiaan rajoitettu oikeustoimikelpoisuus ei ole vieläkään vastattu. Koitan löytää uusia tahoja vastaamaan kysymyksiin, jotta nämä kysymykset eivät vietä ainakaan kovin monia syntymäpäiviä ennen vastaamistaan.