JYVÄSKYLÄN YLIOPISTON YLIOPPILASKUNTA (Jyy) sai tietosuojavaltuutetun toimistolta huomautuksen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä.
Ylioppilaskunta oli vienyt verkkosivuilleen linkitettyyn edustajiston kokousten kansioon henkilötietoja sisältäviä liitetiedostoja siten, että ne olivat vapaasti kenen tahansa saatavilla usean vuoden ajan. Liitetiedostot sisälsivät esimerkiksi sähköpostiosoitteita, puhelinnumeroita ja kotiosoitteita. Jyy itse arvioi, että tietoturvaloukkaus koski 57 henkilöä. Loukkaus alkoi 1.9.2014 ja päättyi 9.3.2023.
Apulaistietosuojavaltuutetun mukaan Jyy ei arvioinut ennen henkilötietojen käsittelyyn ryhtymistä käsittelyn lainmukaisuutta eikä ohjeistanut ja valvonut henkilötietojen käsittelyä riittävästi. Tietosuojavaltuutettu antoi asiasta ratkaisun tammikuun 2025 lopulla.
TIETOTURVALOUKKAUS TULI Jyyn tietoon maaliskuussa 2023, kun Jyväskylän ylioppilaslehti teki aiheesta juttua. Juttu käsitteli sitä, että Jyy on julkaissut avoimessa verkossaan henkilötietoja.
Haastattelun jälkeen Jyy poisti pääsyn kansioihin ja kävi liitetiedostot läpi. Tietosuojavaltuutetun toimistolle tekemässään ilmoituksessa ylioppilaskunnan silloinen toiminnanjohtaja Minna Kalliokoski-Oinas kertoi olevansa tietoturvaloukkauksen kohteena oleviin yhteydessä puhelimitse tai sähköpostitse.
Tammikuussa 2024 tietoturvavaltuutetun toimisto pyysi Jyyltä tietoa muun muassa siitä, miksei virhettä ollut huomattu aiemmin.
Jyyn selvityksen mukaan ylioppilaskunnan ”edustajiston toiminnan yksi perusarvo on päätöksenteon avoimuus”. Edustajiston päätöksentekoon liittyvät asiakirjat oli jaettu edustajistolle Google Drive -kansiorakenteen kautta. Kansioissa olivat kokousten esityslistat liitteineen sekä pöytäkirjat. Selvityksen mukaan kansiot olivat julkisia, sillä esityslistat ja pöytäkirjat ovat julkisia julkisuuslain nojalla.
Virhe kuitenkin tapahtui Jyyn mukaan siinä, että samoissa avoimissa kansioissa säilytettiin myös liitetiedostoja. Vaikka liitteet ovat olleet Jyyn mukaan ”hyvin suurelta osin julkisia asiakirjoja”, osassa oli ollut henkilötietoja, minkä takia ”niiden saatavilla pitäminen ei ollut ollut perusteltua”.
Lisäksi Jyyn mukaan ylioppilaskunnan toiminnan luonteen takia suuri osa aktiivitoimijoista vaihtuu vuosittain. Myös työntekijöissä on ollut jonkin verran vaihtuvuutta. Jokainen toiminnan sektori on vastannut omien asioidensa valmistelusta edustajistolle, kuten myös liitetiedostojen lisäämistä kansioon. Sen takia joka vuosi 10–15 eri henkilön työtehtäviin on voinut kuulua liitetiedostojen käsittely, Jyyn toiminnanjohtaja Teemu Vasama kirjoitti selvityksessä helmikuussa 2024.
”Liitetiedostojen käsittelystä ei ollut laadittu yhtenäisiä ohjeita”, Vasama kirjoitti.
Perustelun mukaan virhettä ei huomattu aiemmin, koska aikaisempien vuosien kokousten kansiot toimivat ”arkistona eli niitä ei ollut aktiivisesti tai järjestelmällisesti tarkasteltu myöhempinä vuosina”. Toimijoiden vaihtumisen myötä ”uudemmilla toimijoilla ei ollut tarkkaa tietoa siitä, mitä tiedostoja vanhoissa kansioissa oli eikä erityistä syytä epäillä, että kansioissa oli sellaisia tiedostoja, joita niissä ei tulisi olla”.
Jyyn mukaan liitetiedostojen käsittely ja lisääminen edustajiston kokousmateriaaleihin on sittemmin keskitetty ylioppilaskunnan toiminnanjohtajan vastuulle.
Jyy myös luopui Google Drive -pohjaisesti kokouksenhallintajärjestelmästä ja siirtyi yliopiston luomaan Tim-järjestelmään, jossa kokousten liitteet eivät ole julkisesti kaikkien saatavilla.
Jyy ei valittanut tietosuojavaltuutetun ratkaisusta.
JYVÄSKYLÄN YLIOPISTON ylioppilaskunta Jyy on opiskelijoiden etu- ja palvelujärjestö. Jäseniä ovat Jyväskylän yliopiston perustutkinto-opiskelijat.
Jyyn edustajisto käyttää ylioppilaskunnan ylintä päätösvaltaa.
Jyy kustantaa Jyväskylän ylioppilaslehteä.