EUROOPAN UNIONISSA HENKILÖTIETOJEN käsittelyä ja rekisterien tietosuojaa sääntelee pääasiassa EU:n yleinen tietosuoja-asetus (GDPR). (1) Myös monissa muissa säädöksissä, kuten EU:n asetuksissa ja kansallisissa laeissa on henkilötietojen käsittelyyn ja yksityisyyden suojaamiseen liittyviä kohtia.
Esimerkiksi Suomen perusopetuslaissa ei suoraan säädetä, mitä henkilötietoja opetuksessa tulee nimenomaisesti käsitellä, mutta sen velvollisuudet luovat pohjan kuntien oppilasrekistereille ja laajemmin sille, mitä henkilötietoja perusopetuksessa voidaan ylipäätään käsitellä. (2) Vastaava tilanne on tyypillinen eri koulutusasteilla.
Opetuksen järjestämisestä vastaavan tahon on suunniteltava ja päätettävä toimintaa ohjaavien lakien puitteissa, mitä henkilötietoja käsitellään ja miten. Yksittäisen opettajan on noudatettava opetuksen järjestäjän linjauksia ja ohjeita. Kun henkilötietojen käsittelytarkoitus on opetuksen järjestäminen, tietoja ei saa käyttää muihin tarkoituksiin kuten markkinointiin, ohjelmistotoimittajan tuotekehitykseen tai yleisten tekoälymallien kouluttamiseen. Sähköisissä oppimisympäristöissä, tekoälysovelluksissa ja muissa digitaalisissa alustoissa tietosuojasääntelyn huomioiminen vaatii erityistä huolellisuutta, jotta henkilötietojen käsittely on lain mukaista.
Tietosuoja alkaa toiminnan suunnittelusta
Opetuksessa henkilötietojen rekisterinpitäjä on opetuksen järjestämisestä vastaava taho – esimerkiksi kunta tai yksityisen oppilaitoksen toiminnasta vastaava. Tietosuojan huomioinnin tulisi alkaa jo toiminnan suunnittelusta.
Ensimmäisiä ratkaistavia asioita on henkilötietojen käsittelyn oikeusperuste. Luontevin ja suositeltavin tietosuoja-asetuksen mahdollistamista perusteista opetuksessa on lakisääteinen velvoite, joskaan sekään ei ole ongelmaton. (3) Kaupallisessa tai muuten sopimukseen pohjautuvassa koulutuksessa henkilötietojen käsittely puolestaan perustuu kyseiseen sopimukseen.
Oleellisena osana henkilötietojen käsittelyn suunnitteluun sisältyy etukäteen tehtävä riskiarvio ja sen perusteella päätetyt suojatoimet. Suojatoimet voivat olla sekä teknisiä että organisatorisia toimenpiteitä. Suojatoimilla pyritään ennen muuta estämään tietojen käyttö laittomiin tarkoituksiin sekä varmistamaan GDPR:n mukaisten rekisteröityjen oikeuksien toteutuminen. Kyse on esimerkiksi yhtäältä siitä, että henkilötiedot eivät vuoda ulkopuolisille ja niitä ei käytetä muihin kuin opetuksen järjestämiseen liittyviin tarkoituksiin sekä toisaalta siitä, että rekisteröity voi halutessaan käyttää oikeuksiaan kuten saada läpinäkyvää tietoa henkilötietojen käsittelystä sekä tarkistaa ja korjata tietojaan.
Digialustoilla suojatoimet liittyvät esimerkiksi käyttäjätunnuksiin, kirjautumiseen, verkkoyhteyden salaukseen, tietojen turvalliseen tallentamiseen ja varmuuskopiointiin, käyttöoikeustasoihin, tietojen poistamiseen ajallaan, haittaohjelmien torjuntaan, tietoturvapäivityksiin ja niin edelleen. Koska sovelluksia käyttävät ihmiset, tekniset suojatoimet eivät yksin riitä, vaan lisäksi tarvitaan organisatorisia toimenpiteitä kuten ohjeistuksia, henkilöstön koulutusta ja manuaalisesti tehtyä valvontaa.
Verkkopalvelut ja sovellukset ovat usein monimutkaisia sekä varsinaisilta toiminnoiltaan että tietoturvaominaisuuksiltaan. Tekoälysovelluksissa tekninen kompleksisuus lisääntyy entisestään. Tekoälyominaisuuksia lisätään myös sovelluksiin, joissa niihin ei aiemmin ole törmätty.
Esimerkiksi tavanomaisiin kuvankäsittelyohjelmiin on lisätty generatiivisen tekoälyn toimintoja. Tietosuojan riskiarvion näkökulmasta tämä asettaa haasteita, sillä arvioitavien toimintojen ja ominaisuuksien lista voi osoittautua suuritöiseksi ennestään tutuissakin sovelluksissa. (4)
Sovellusten tietosuojan riskiarviointi
GDPR edellyttää, että rekisterinpitäjä tekee riskiarvion henkilötietojen käsittelystä ja toteuttaa riskien mukaiset suojatoimet. Riskiarviossa huomioidaan sekä rekisteröidyille mahdollisesti aiheutuvien vaikutusten vakavuus että niiden toteutumisen todennäköisyys. Mikäli riskiä on pidettävä korkeana, rekisterinpitäjän on toteutettava yleisen tietosuoja-asetuksen mukainen tietosuojan vaikutusten arviointi. Vaikutustenarviointi on GDPR:n säätämä menettely, joka sisältää systemaattisen henkilötietojen käsittelyn läpikäynnin ja uhkien kartoituksen tehokkaiden suojatoimien löytämiseksi. (5) (6)
Varomaton sovellusten käyttöönotto opetuksessa voi merkitä tietosuojan laiminlyöntiä sekä johtaa henkilötietojen vaarantumiseen. Siksi tekoälysovellukset on arvioitava tietosuojan osalta samaan tapaan kuin muutkin digitaaliset alustat ennen niiden käyttöä opetuksessa.
Vastuuseen mahdollisista rikkomuksista voivat joutua sekä opetuksen järjestäjä rekisterinpitäjänä että yksittäiset opettajat, mikäli he eivät ole noudattaneet työantajan antamia ohjeita käytettävistä sovelluksista ja tietosuojan huomioinnista. Ennen tekoäly- tai muun sovelluksen käyttöönottoa opettajan on syytä tarkistaa, mitä tietosuojaan liittyviä ohjeistuksia ja linjauksia organisaatiossa on tehty.
Tavallisesti oppimisalustan tai sovelluksen toimittaja on henkilötietojen käsittelijän roolissa, jolloin sen vastuu rajoittuu sopimuksen mukaan. Henkilötietojen käsittelijä tarkoittaa yleisessä tietosuoja-asetuksessa tahoa, joka käsittelee tietoja rekisterinpitäjän lukuun – esimerkiksi ylläpitää sovellusta palvelusopimuksen perusteella. (7)
Riskiarvioinnissa voi käyttää apuna seuraavaa kaaviota, jossa on listattu riskejä lisääviä seikkoja, jotka liittyvät käsittelyn luonteeseen, laajuuteen, asiayhteyteen ja tarkoituksiin. (8)
Kuva: Riskien arviointi (Tietosuojavaltuuten toimisto)
Kun kyse on opetuksen digitaalisista alustoista ja tekoälysovelluksista, riskejä lisäävät usein esimerkiksi seuraavat seikat:
- Erityiset henkilötiedot (esimerkiksi terveystiedot)
- Salassa pidettävät tiedot (esimerkiksi pedagogiset asiakirjat ja sanalliset arvioinnit henkilön ominaisuuksista)
- Rekisteröidyn heikko asema (alaikäiset, erityistä tukea tarvitsevat, oppijat suhteessa opetuksen järjestäjään)
- Sijaintitiedot (mahdollistavat järjestelmällisen seurannan)
- Suuri lukumäärä (esimerkiksi tietyn kunnan oppivelvollisuusikäiset lapset)
- Pitkä säilytysaika (esimerkiksi oppivelvollisuusaika yhdeksän vuotta)
- Luottamukselliset tiedot (esimerkiksi perheenjäseniin ja muut yksityiselämään liittyvät tiedot)
Kahden edellä mainitun kriteerin täyttyessä voidaan olla tilanteessa, jossa henkilötietoihin liittyy korkea riski. Lisäksi vaikutustenarviointi on tehtävä useissa erikseen mainituissa tapauksissa. Tällaisia voivat olla esimerkiksi uuden teknologian käyttö, sijaintitietojen käyttö, arkaluontoisten tai hyvin henkilökohtaisten tietojen käsittely sekä profilointi ja automaattinen päätöksenteko, jolla voi olla merkittäviä vaikutuksia rekisteröityyn.
Kyse on opetuksessa usein siitä, että korkean riskin kriteerit voivat täyttyä joissakin yksittäistapauksissa. Sovellukseen voi esimerkiksi tallentua oppijoiden erityisiä henkilötietoja ja luottamuksellisia tietoja, vaikka opetuksen järjestäjä ei olisi niin tarkoittanut, jos oppijat oma-aloitteisesti tallentavat niitä oppimistehtäviin tekemiinsä vastauksiin. Jos sovelluksessa on samalla käytössä tekoälyavusteinen tehtävien automaattinen tarkistus, voi kyse olla henkilötietojen käsittelystä, johon liittyy profilointia ja automaattista päätöksentekoa. Opetuksen järjestäjän on siksi tarkasteltava henkilötietojen käsittelyä eri tilanteissa, joissa voi yhdistyä sovelluksen tekoälyominaisuuksia oppijoiden ja opettajien alustalle tallentamiin tietoihin. Toisaalta opettajien on oltava tarkkana, että sovelluksen tekoälyominaisuuksia ei oteta käyttöön vahingossa, mikäli niitä ei ole ensin arvioitu.
Pilvipalveluissa, joita myös useimmat tekoälysovellukset ovat, palvelimelle tallentuu monen tyyppisiä henkilötietoja, kuten käyttäjätunnukset, tiedostot ja muut sisällöt sekä palvelun käytöstä syntyvät aktiivisuus- ja muut lokitiedot. Pilvipalvelujen riskiarviossa on syytä kiinnittää huomiota erityisesti henkilötietojen käsittelyn läpinäkyvyyteen, tietojen minimointiin ja säilytysaikojen rajaamiseen sekä tietojen luottamuksellisuuteen. (9)
Henkilötietoja sisältävän datan käsittelyn selvittäminen vaatii palveluntarjoajan sopimusten, tietoturvakuvausten ja muiden dokumenttien läpikäyntiä. Monet ohjelmistoyritykset ovat kehittäneet sovelluksensa etupäässä muille kuin EU:n markkinoille, jolloin sovelluksissa ei välttämättä ole huomioitu GDPR:n vaatimuksia. Vaikka sovellus mainostaisi GDPR-yhteensopivuutta, se ei vielä takaa, että ominaisuudet täyttävät opetuksen tietosuojalta vaadittavan tason.
Pilvipalveluihin liittyy niin ikään kysymys tietojen maantieteellisestä säilytyksestä sekä siirroista EU- ja ETA-alueen ulkopuolisiin maihin. Esimerkiksi Microsoftin, Googlen ja Adoben verkkosovelluksissa henkilötietoja voidaan siirtää EU:n ulkopuolisiin maihin, joiden tietosuoja ei täytä GDPR:n vaatimaa tasoa. Yksittäisen sovelluksen palvelusopimukseen voi liittyä jopa kymmeniä alakäsittelijöitä kymmenissä eri maissa. Joissakin sovelluksissa datan säilytys voidaan rajata EU-alueelle esimerkiksi lisäpalvelulla tai hankkimalla kalliimman lisenssin. Jos tämä ei ole mahdollista, on selvitettävä muita suojatoimia.
Havaintoja tekoälysovellusten tietosuojasta
Viimeisen vuoden aikana olen ollut mukana tekemässä useita vaikutustenarviointeja tekoälysovelluksista ja muista opetuksen digitaalisista alustoista. Käyn seuraavassa läpi niiden perusteella tekemiäni havaintoja. Johtopäätöksenä suosittelen aina huolellisen suunnitelman ja riskiarvioinnin tekoa ennen tekoälysovellusten ja -toimintojen käyttöönottoa.
Havainto 1: Generatiivisten tekoälysovellusten tietosuoja voi olla puutteellinen
Nopeasti käyttöön yleistyneet generatiiviset tekoälysovellukset ovat tyypillisesti ilmaisia ja niiden toiminnot on suunnattu kuluttajien käyttöön. Opetuskäytön tapauksessa kannattaa arvioida, onko sovellus tarkoitettu yksityiskäyttäjille vai organisaatioille.
Laajoihin kielimalleihin perustuvissa chatboteissa tietosuojan vähimmäisvaatimuksena opetuksessa voi pitää sitä, että sovellukselle kirjoitettuja syötteitä eli prompteja ei käytetä kyseisen kielimallin koulutukseen. Syötteissä mahdollisesti annettuja henkilötietoja ei tule käyttää tekoälysovelluksen kehitykseen. Mikäli tällaisia seikkoja ei käy ilmi sovelluksen dokumentaatiosta, se ei kerro hyvää palveluntarjoajan tietosuojaosaamisesta.
Myös sovellusten tietoturvaominaisuuksissa voi olla puutteita. Jos sovellus mahdollistaa vaikkapa tekoälyllä generoidun tekstin tai kuvan jakamisen jakolinkin kautta, tällainen ominaisuus voi helposti johtaa henkilötietojen vuotamiseen ulkopuoliselle joko vahingossa tai tahallisesti esimerkiksi kiusaamistarkoituksessa. Opetuksen järjestäjän pitäisi voida valvoa palvelun käyttöä – mukaan lukien jakotoimintojen käyttöä – väärinkäytöksiin puuttumiseksi ja asiattoman sisällön poistamiseksi. Toivottavaa on, että liian laajat jakotoiminnot voidaan kytkeä pois päältä.
Puutteet voivat liittyä jopa tietosuojan perusasioihin kuten mahdollisuuteen saada läpinäkyvää tietoa henkilötietojen käsittelystä tai omien tallennettujen tietojen tarkistamiseen. Vähintään käyttäjien tietojen katselu tai lataaminen koneellisessa muodossa pitäisi olla saatavilla sovelluksen ylläpitäjätason käyttäjille, jotta opetuksen järjestäjä voi täyttää rekisterinpitäjänä velvollisuutensa.
Havainto 2: Generatiivisella tekoälyllä voi olla liian laajat pääsyoikeudet tallennettuihin tietoihin
Opetuksen järjestäjille tarkoitetuissa pilvipalveluissa voi olla mahdollista sallia generatiiviselle tekoälylle kuten chatbotille pääsy organisaation kaikkiin pilvipalveluun tallennettuihin tiedostoihin ja muihin tietoihin. Tällaisessa tapauksessa on merkittävä riski sille, että opetukseen liittyviä henkilötietoja käytetään generatiivisen tekoälyn kautta tarkoituksiin, jotka eivät liity opetukseen.
Ylipäätään tulee olla tarkkana, mille tiedoille generatiiviselle tekoälylle sallitaan pääsy – tai syötetään osana kehotetta. Hyvä nyrkkisääntö on, että tekoälylle annetaan pääsyoikeus vain yksittäisiin tietoihin, joista on varmistettu, että ne eivät sisällä henkilötietoja. Mikäli tekoälyä halutaan käyttää oppijoiden henkilötietojen käsittelyssä, on tehtävä edellä kuvattu riskiarvio, jotta varmistetaan tietosuojasääntelyn noudattaminen.
Havainto 3: Generatiivista tekoälyä voidaan tarjota oppilaskäyttäjille ilman henkilötietojen käsittelysopimusta
Se, että samat palveluntarjoajat tarjoavat sekä oppilaitoksille tarkoitettuja pilvipalveluita että kuluttajille avoimesti käytössä olevia generatiivisia tekoälysovelluksia, johtaa helposti epäselvyyteen siinä, mitä oppilaitoksille tarjotut verkkopalvelut sisältävät. Oppilaitoksen hallinnoimalla käyttäjätunnuksella voi olla mahdollista käyttää oppilaitossopimukseen kuuluvien sovellusten lisäksi generatiivista tekoälysovellusta, jota sopimus ei kata. Pilvipalveluista on tyypillisesti tarjolla useita lisenssivaihtoehtoja, joista osaan generatiivinen tekoälysovellus sisältyy ja osaan ei. Tällöin riippuu lisenssistä, onko tekoälysovelluksen henkilötietojen käsittelyn rekisterinpitäjä opetuksen järjestäjä vai palveluntarjoaja.
Opetuksen järjestäjän kannattaa tarkistaa pilvipalvelujen asetukset niiden käyttöönotossa, jotta oppijoiden tunnuksilla ei voi käyttää tekoäly- ja muita verkkosovelluksia, joiden henkilötietojen käsittelyä sopimus ei kata.
Havainto 4: Henkilötietojen käsittelysopimus ei aina ole kattava
Olipa kyse mistä tahansa sovelluksesta, opetuksen järjestäjän on tarkistettava, onko palveluntarjoajan kanssa mahdollista tehdä sopimus henkilötietojen käsittelystä tai sisältyykö se palvelusopimukseen. Mikäli näin ei ole, ei sovellukseen tule tallentaa oppijoiden henkilötietoja ilman erikseen pyydettyjä suostumuksia tällaiseen henkilötietojen luovutukseen ja käyttöön. Opettajan on syytä tarkistaa oppilaitoksen linjaus, miten suostumuksia pyydetään ja saavatko opettajat pyytää suostumuksia sovellusten käyttöön.
Palveluntarjoajan standardisopimuksessa ei välttämättä mainita kaikkia käsiteltäviä henkilötietoja ja käsittelytarkoituksia. Tällöin on mahdollista, että palveluun tallentuvia tietoja voidaan käyttää esimerkiksi tuotekehitykseen, tekoälymallin koulutukseen ja muihin palveluntarjoajan omiin tarkoituksiin. Mikäli sovelluksessa on toimintoja, joiden käsittelyä sopimus ei kata, sovelluksen toimittaja voidaan katsoa siltä osin rekisterinpitäjäksi. Oppilaiden tietoja siis päätyisi ulkopuoliselle taholle ja tarkoituksiin, jotka eivät liity opetukseen.
Opetuksen järjestäjän on aina tarkistettava, että voimassa oleva sopimus on yleisen tietosuoja-asetuksen mukainen ja että henkilötietoja käsitellään ainoastaan rekisterinpitäjän tarkoituksiin. (10) Varoittava esimerkki tästä on saatu Google Workspaces for Education -palvelun osalta, jonka käytöstä opetuksessa tietosuojavaltuutettu antoi huomautuksen vuonna 2021. Päätös ei ole vielä lainvoimainen. (11) Myös esimerkiksi Tanskan tietosuojaviranomainen on huomauttanut Googlen pilvipalvelujen ongelmista kunnallisessa perusopetuksessa. (12)
Tekoälyn opetuskäytön tietosuojan huoneentaulu
Tekoälysovellusten opetuskäytössä on huomioitava toisaalta opetuksesta vastaavan rekisterinpitäjän velvollisuudet että opettajien tietosuojaosaaminen, jotta käytännön tilanteissa osataan toimia oikein. Jälkimmäinen edellyttää tietosuojan ja tekoälyn käytön huomiointia opettajien täydennyskoulutuksessa.
Vaikka tietosuoja saattaa näyttäytyä hankala kokonaisuutena, sen huomiointi opetuksessa alkaa yksinkertaisista peruasioista. Ne juontuvat yleisen tietosuoja-asetuksen ytimenä olevista tietosuojaperiaatteista. Niitä ovat esimerkiksi käyttötarkoitusperiaate ja minimointiperiaate, joiden mukaan henkilötietoja saa käyttää vain alun perin määriteltyihin tarkoituksiin ja käsiteltävät tiedot on pyrittävä rajaamaan minimiin. Kolmantena on hyvä pitää mielessä läpinäkyvyysperiaate, jonka voi tiivistää niin, että jokaisen tulee voida tietää, mitä tietoja hänestä käsitellään ja miten. Näiden kolmen periaatteen varassa on turvallista lähteä käyttämään myös tekoälysovelluksia.
Seuraavassa esitän tekoälyn opetuskäytön tietosuojan huoneentaulun, joka on tarkoitettu opettajille tietosuojan huomioimiseksi käytännön opetustilanteissa:
Lähteet
(1) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), https://eur-lex.europa.eu/eli/reg/2016/679/oj
(2) Perusopetuslaki 628/1998, https://www.finlex.fi/fi/laki/ajantasa/1998/19980628
(3) Silvennoinnen, E., Tedre, M. & Valtonen, T. (2024). Datafikoituva peruskoulu – tasapainoilua lapsen henkilötietojen suojan ja opetuksen tavoitteiden välillä, Lakimies, 122(5), 655–678., https://journal.fi/lakimies/article/view/143755
(4) ibid.
(5) Tietosuojatyöryhmä. (2017). Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu “korkea riski”, https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/
(6) Tietosuojavaltuutetun toimisto. (2021). Tietosuojan vaikutustenarvioinnin ohje, https://tietosuoja.fi/documents/6927448/66036250/TVA+ohje.pdf/ff0b6e1b-5b89-e85e-a2e5-6c4bd4c0ccfc/TVA+ohje.pdf?t=1639729535787
(7) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), https://eur-lex.europa.eu/eli/reg/2016/679/oj
(8) Tietosuojavaltuutetun toimisto. (n.d.). Arvioi riskit ja suunnittele toimenpiteet tietosuojan toteuttamiseksi, viitattu 2.1.2025, https://tietosuoja.fi/arvioi-riskit
(9) DigiFinland. (26.6.2024). Cirrus-hanke: Tapausesimerkit, https://digifinland.fi/wp-content/uploads/2024/06/Cirrus-Tapausesimerkit-2024-v1.0.pdf
(10) Euroopan tietosuojaneuvosto. (2021). Suuntaviivat 07/2020 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä yleisessä tietosuoja-asetuksessa, versio 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fi.pdf
(11) Tietosuojavaltuuttu. (30.12.2021). Henkilötietojen käsittelyn lainmukaisuus ja siirto kolmansiin maihin koulun opetusohjelman käytössä, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211503
(12) Tietosuojavaltuutetun toimisto. (2.2.2024). Tanskan tietosuojaviranomainen antoi päätöksen Googlen ohjelmistojen käytöstä peruskouluissa, https://tietosuoja.fi/-/tanskan-tietosuojaviranomainen-antoi-paatoksen-googlen-ohjelmistojen-kaytosta-peruskouluissa
Jaa eteenpäin
