Henkilötietojen käsittelyn tietosuoja REDUssa

Samankaltaiset tiedostot
Henkilötietojen käsittelyn tietosuoja REDUssa

Usein kysyttyjä kysymyksiä tietosuojasta

Organisaatioluvan hakeminen

Termit. Tietosuojaseloste

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Rekisteriseloste, Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Salon kaupunki , 1820/ /2018

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietoturva yhdistyksessä

Hallinto- ja kehittämispäällikkö Eija Grönholm. puh Kaupungintalo, Kustaankatu 2, Kotka. kts.

Tietosuojaseloste Espoon kaupunki

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Salon kaupunki , 1820/ /2018

Tietosuojaseloste / Timmi tilavarausjärjestelmä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

UKTY ry:n asiakasrekisterin tietosuojaseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Tietosuojaseloste 1 (5) Laadittu: nina.gronmark(at)espoo.fi. anna.autio(at)espoo.fi. Juho Nurmi, tietosuojavastaava

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Tampereen Aikidoseura Nozomi ry

Salon kaupunki / /2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Kotkan kaupunki, elinvoimalautakunta. vs. kehitysjohtaja Toni Vanhala.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Henkilörekisteriseloste/tietosuojaseloste Henkilötietolaki (523/1999) 10 ja 24 Laatimispvm: , päivitetty

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Rekisterinpitäjä Kotkan kaupunki, Hyvinvointipalvelut, Hyvinvointilautakunta. Varhaiskasvatusjohtaja Raili Liukkonen

Tietosuojaseloste 1 (5)

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste KasvaNet -oppimisympäristö

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuojaseloste: Markkinointirekisteri

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteriseloste Espoon kaupunki

Tietosuojaseloste / Kansanterveystyön rekisteri / suun terveydenhuolto

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki


TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Tietosuojaseloste Suoramarkkinointirekisteri EU:n yleinen tietosuoja-asetus (679/2016) Päivitetty

TIETOSUOJASELOSTE. 1. Rekisterinpitäjä. Pro-Stories Oy

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

INVALIDILIITTO RY:N AVUSTAJAKOIRATOIMINNAN ASIAKASREKISTERI

Tietosuojaseloste Kuopion kaupungin palautepalvelujärjestelmä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

WORKSPACE OY REKISTERISELOSTEET

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste/Rekisterinpitäjän informointi rekisteröidylle

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Rekisteri- ja tietosuojaseloste

Tiedon elinkaaren hallinta Henkilötietojen suoja

TIETOJA ASIAKKUUKSIIN LIITTYVIEN HENKILÖTIETOJEN KÄSITTELYSTÄ

Prosessiteekkarit ry:n tietosuojapolitiikka

EU:n tietosuoja-asetus

Transkriptio:

Hallitus 3.5.2018 LIITE 1 Rovaniemen koulutuskuntayhtymä Henkilötietojen käsittelyn tietosuoja REDUssa Määritelmät, linjaukset ja yleiset ohjeet 27.4.2018 Luonnos 0.3 Lapin koulutuskeskus REDU Santasport Lapin Urheiluopisto - Santasport Finland Oy

1 (25) Sisällysluettelo 1 Johdanto... 3 1.1 Henkilötietojen käsittelyä ohjaavat arvot ja periaatteet... 3 1.2 Tietosuojalainsäädäntö... 4 1.3 Tietosuoja ja tietoturva... 4 1.4 Rekisterinpitäjä (REDU)... 5 1.5 LUC yhteistyö... 5 1.6 Soveltamisala ja hyväksyntä... 6 2 Käsitteiden määritelmiä... 6 2.1 Henkilötieto... 6 2.2 Erityiset henkilötietoryhmät ja arkaluonteiset tiedot... 7 2.3 Henkilötunnus ja henkilön tunnistaminen... 7 2.4 Henkilötietojen käsittely... 7 2.5 Henkilörekisteri... 8 2.5.1 Henkilötietojen tietojoukko... 8 2.5.2 Laajat pysyvät henkilörekisterit (lomake A)... 8 2.5.3 Suppeat tilapäiset henkilörekisterit (lomake B)... 9 2.5.4 Tilapäiset apurekisterit... 10 2.6 Käsittelytoiminnot ja informointi... 11 2.6.1 Mikä on käsittelytoiminto?... 11 2.6.2 Luettelo henkilötietojen käsittelytoiminnoista... 11 2.6.3 Rekisteröityjen informointi - Tietosuojaselosteet... 11 2.6.4 Henkilötietojen tarkastaminen, oikaiseminen, poistaminen ja käsittelyn vastustaminen... 12 2.6.5 Rekisteröidyn oikeuksien käyttäminen... 12 3 Tietosuojan organisointi ja vastuut... 14 3.1 Yleistä REDUn johtamisesta... 14 3.2 Yhtymäkokous, yhtymähallitus, yhtiökokous ja yhtiön hallitus... 14 3.3 Johto... 15 3.4 Esimiehet... 16 3.5 Henkilökunnan yleiset velvollisuudet... 17 3.6 Käsittelytoiminnon vastuullinen johtaja ja -yhteyshenkilö... 17 3.7 Henkilötietojen käsittelijät... 18 3.8 Tietosuojavastaava... 19 3.9 Tietotosuojan ja asiakirjahallinnon työryhmä... 20

2 (25) 4 Tietosuojan riskien kartoitus ja omavalvonta... 20 4.1 Tietosuojaa koskeva vaikutusten (riskien) arviointi ennen henkilötietojen käsittelyä... 20 4.2 Tietosuojakatselmukset ja tietosuojan kehittäminen REDUssa... 20 5 Tietoturvaloukkaukset... 21 5.1 Mikä on tietoturvaloukkaus?... 21 5.2 Tietoturvaloukkausten käsittelyn organisointi... 21 5.2.1 Tietoturvaloukkauksien käsittelyn ja tiedottamisen johtaminen... 21 5.2.2 Tietoturvaloukkauksen käsittelyn työryhmä... 22 5.3 Tietoturvaloukkauksista tiedottaminen... 23 5.3.1 Tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle (72 h sääntö)... 23 5.3.2 Tietoturvaloukkauksista tiedottaminen rekisteröidylle ja medialle... 23 6 Lähteet ja lisätietoa... 24 Päivitys- ja hyväksymismerkinnät Versio Päivämäärä Hyväksytty 0.1 8.4.2018 Tietosuoja- ja asiakirjahallinnon työryhmän kokouksessa 13.5.2018 (2018/03) esitelty luonnosversio 0.1 0.2 20.4.2018 Johtoryhmän (2018/04) ja Yhteistyötoimikunnan (2018/04) kokouksissa esitelty luonnosversio 0.2 0.3 27.4.2018 Tarkennettu asiakirjan nimen osalta, että kyse on yleisohjeesta. Yhtymähallitus 3.5.2018

3 (25) 1 Johdanto 1.1 Henkilötietojen käsittelyä ohjaavat arvot ja periaatteet Henkilötietojen käsittely on Rovaniemen koulutuskuntayhtymän (REDU) perustehtävän mukaista toimintaa, jota ohjaavat REDUn arvot: REDUlaisen arvolupaus: - Olemme yhdessä tekeviä REDUlaisina olemme yhteisöllisiä yhdessä tekeviä ja vuorovaikutteisia. Näin edistämme luottamuksen ja kehittävän ilmapiirin syntymistä niin REDU:n sisällä, kuin asiakkaitten, kumppaneidemme ja muiden sidosryhmiemme kanssa. Kunnioitamme toistemme erilaisuutta ja kohtelemme toisiamme yhdenvertaisesti. - Olemme vastuullisia REDUlaisina meillä on vastuu toiminta-alueemme Lapin ammatillisen osaamisen kehittymisestä. Edistämme toiminnallamme Lapin elinvoimaa ja kestävää kehittymistä. Olemme toisillemme, asiakkaillemme, kumppaneille luotettavia ja vastuullisia. - Olemme asiakaslähtöisiä REDUna olemme asiakkaitamme eli työelämää ja opiskelijoita varten. Olemme kiinnostuneita heidän osaamisen kehittämisen tarpeista ja yhdessä heidän kanssaan löydämme heille parhaiten sopivat osaamisen kehittämisen ratkaisut. Kunnioitamme asiakkaidemme erilaisuutta ja kohtelemme heitä kunnioittavasti ja yhdenvertaisesti. REDUn tietosuojapolitiikka eli periaatteet, linjaukset ja yleiset ohjeet henkilötietojen käsittelyssä on esitetty tässä asiakirjassa. REDUn tietosuojapolitiikka pohjautuu seuraaviin REDUn tietosuojan periaatteisiin. REDUn tietosuojan periaatteet: 1. Noudattaen voimassa olevaa tietosuojalainsäädäntöä. 2. Käsittelemme vain sellaisia henkilötietoja ja sillä laajuudella, joille meillä on lainsäädännössä annettu oikeus tai henkilö (rekisteröity) on itse antanut suostumuksen. 3. Kunnioitamme asiakkaittemme, kumppaneittemme ja henkilökunnan oikeutta yksityisyyteen. Käsittelemme heidän henkilötietoja vastuullisesti ja luottamuksellisesti. 4. Tietosuojaa varmistamme tietoturvallisilla tietojärjestelmillä ja -palveluilla. 5. Koulutusorganisaationa toimimme tietosuojassa myös esimerkillisesti ja mallina. Tietosuoja on tärkeä osaamisalue opiskelijoillemme niin yleisenä kansalaistaitona kuin osana ammattiosaamista. 6. Seuraamme, kehitämme ja parannamme toimintaa ml. tietosuojaa laadunhallintajärjestelmän jatkuvan parantamisen periaatteen mukaisesti.

4 (25) 1.2 Tietosuojalainsäädäntö EU-Tietosuoja-asetus Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta Euroopan Unionin (EU) sisällä on säädetty Euroopan parlamentin ja neuvoston asetuksella 2016/697 (jatkossa Tietosuoja-asetus). Tämä 27.4.2016 Tietosuoja-asetus on EUasetuksena sellaisenaan voimassa kaikissa EU:n jäsenvaltioissa 25.5.2018 alkaen. Kansallisella lainsäädännöllä voidaan täydentää Tietosuoja-asetusta siltä osin, kun siitä Tietosuoja-asetuksessa säädetty. [HUOM! Tietosuojalaki (HE 9/2018) on käsittelyssä Eduskunnassa, käsittely alkanut 1.3.2018. Esityksen mukaan uusi Tietosuojalaki tulee voimaan 25.5.2018 ja samalla kumotaan mm nykyinen Henkilötietolaki 523/1999. Tässä ohjeessa vihreällä tekstillä korostetut tekstiosuudet ja viittaukset viittaavat em. lakiesitykseen. Nämä tekstiosuudet ja viittaukset tarkistetaan ja korjataan, kun laki on Eduskunnassa hyväksytty.] Tietosuojalaki (HE 9/2018) Kansallinen Tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan rinnakkain em. EU:n Tietosuoja-asetuksen kanssa. Tietosuojalaissa säädetään mm kansallisesta Tietosuojaviranomaisesta (tietosuojavaltuutettu) sekä eräistä henkilötietojen käsittelyyn liittyvistä erityistilanteista kuten sananvapaudesta ja henkilötietojen suojan yhteensovittamisesta. Näitä ovat mm.: - Lapsen ikäraja tietoyhteiskunnan palveluissa on Suomessa 13 vuotta tietosuoja-asetuksen 16 sijaan. - Tietosuojasäännösten rikkomisesta määrättävää seuraamusmaksua ei sovellettaisi julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn. - Henkilötietojen urkkimisesta säädetään rikoslaissa. Esim. jos rekisterinpitäjän palveluksessa oleva urkkii, oikeudettomasti henkilötietoja, siitä voi rangaista sakolla tai enintään vuoden vankeusrangaistuksella. - Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi säädetään poikkeuksista, joissa voidaan poiketa tietosuoja-asetuksen säädöksistä koskien rekisteröidyn informointia ja tietojen tarkastamista. Tietosuoja-asetus ja Tietosuojalaki koskevat lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Ne sisältävät säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Lisätietoa: EU Tietosuoja-asetus: http://eur-lex.europa.eu/legal-content/fi/txt/pdf/?uri=oj:l:2016:119:full&from=fi Tietosuojalakiesitys (HE 9/2018) https://www.eduskunta.fi/fi/vaski/hallituksenesitys/documents/he_9+2018.pdf 1.3 Tietosuoja ja tietoturva Tietosuoja ja tietoturvat eivät ole sama asia. Sanoina ne ovat lähellä toisiaan ja siksi sekoitetaan usein. Tietosuoja on yleisempi ja laajempi käsite kuin tietoturva. Tietoturva sisältyy tietosuojaan. Tietoturvalla osaltaan mahdollistetaan tietosuoja.

5 (25) Tietosuoja-asetuksen mukaisesti henkilötietoja on säilytettävä ja käsiteltävä tietoturvallisesti koko tiedon elinkaaren ajan, alkaen siitä, kun rekisteröidyn henkilötietoja käsitellään ja kirjataan ensimmäistä kertaa henkilörekisteriin ja loppuen siihen, kun henkilötietojen käsittely päättyy ja tiedot hävitetään pysyvästi. Tietoturvalla tarkoitetaan niitä teknisiä tai manuaalisia hallinnollisia toimenpiteitä, joilla varmistetaan, että henkilötietojen käsittely ja säilyttäminen tapahtuvat siten, että niiden luottamuksellisuus säilyy ja että tiedot myös säilyvät muuttumattomina (eheinä) koko niiden säilytysajan. Tietoturvaan sisältyy sekä tekninen (tieto- ja viestintätekniikkaa hyödyntävä) tietojen käsittely, tiedonsiirto ja säilyttäminen ml. manuaalinen tietojen käsittely, siirto ja säilyttäminen. Manuaalisesti henkilötietoja voidaan käsitellä esim. paperilla, taululla ja kynällä sekä myös suullisesti viestien (keskustelu) ja siirtää mm kirjepostilla. Manuaalisesti tietoja voidaan säilyttää papereilla, muistilapuilla, kortistoissa ja mapeissa. 1.4 Rekisterinpitäjä (REDU) Rovaniemen koulutuskuntayhtymä (REDU) on EU:n tietotosuoja-asetuksessa säädetty rekisterinpitäjä. REDU on Kuntalain 410/2015 mukainen kuntayhtymä ja kuntakonserni, joka muodostuu tulosalueista, sisäisistä palveluista sekä REDUn määräysvallassa olevista yhtiöistä. REDUn tulosalueita (2018) ovat Lapin koulutuskeskus REDU ja Santasport Lapin Urheiluopisto, REDUn sisäisiä palveluja ovat kiinteistöpalvelut, henkilöstöpalvelut, talouspalvelut sekä koulutuksen järjestäjän palvelut. Lisäksi REDUun kuuluun sen 100 %:sti omistama Santasport Finland Oy. Osana Santasport Lapin Urheiluopistoa toimii myös Lapin kesäyliopisto. REDUn johtamisesta on säädetty Kuntalaissa, sekä REDUn perussopimuksessa ja hallintosäännössä sekä niiden nojalla annetuilla delegointipäätöksillä. Lisätietoa: Kuntalaki 410/2018 https://www.finlex.fi/fi/laki/ajantasa/2015/20150410 REDUn organisaatiokaavio: www.redu.fi/organisaatio REDUn säännöt ja ohjeet: www.redu.fi/saannot. o Rovaniemen koulutuskuntayhtymä: www.redu.fi/kuntayhtyma o Lapin koulutuskeskus REDU: www.redu.fi/koulutuskeskus o Santaport Lapin Urheiluopisto ja Santasport Finland Oy: www.santasport.fi o Lapin kesäyliopisto: www.lapinkesayliopisto.fi. 1.5 LUC yhteistyö Rovaniemen koulutuskuntayhtymä on mukana Lapin korkeakoulukonsernissa (LUC), jossa REDU yhdessä Lapin yliopiston ja Lapin AMK:n kanssa tuottaa LUC-osapuolille mm yhteisiä tietohallinnon palveluja (IT-palveluja). LUC-konsernin organisaatiot ovat jokainen oma rekisterinpitäjänsä ja vastaat osaltaan tietosuojastaan. LUC:n yhdessä tuottamissa palveluissa käsitellään myös henkilötietoja ristiin yli organisaatiorajojen: Lapin yliopisto ja Lapin AMK käsittelevät REDUn lukuun henkilötietoja ja REDU toimii Lapin yliopiston ja Lapin AMK:n henkilötietojen käsittelijänä. Lisäksi käytössä on yhteisiä tietojärjestelmiä ja niihin liittyviä henkilörekistereitä (yhteisrekisterejä). Näistä LUC:n yhdessä toteuttamien palvelujen ja yhteisrekisterien tietosuojasta ja osapuolten vastuista sovitaan tarkemmin osapuolten keskinäisellä LUC-tietosuojasopimuksella. LUCtietosuojasopimuksen REDUn puolesta allekirjoittaa kuntayhtymän johtaja.

6 (25) [HUOM! LUC-tietosuojasopimus on valmisteilla (20.4.2018 tilanne). Tämän asiakirjan sisältö tarkastetaan ja tarvittaessa päivitetään ja täydennetään sinisellä fontilla korostettujen tekstien osalta sopimuksen hyväksymisen jälkeen.] 1.6 Soveltamisala ja hyväksyntä Tätä Henkilötietojen käsittelyn tietosuoja REDUssa -asiakirjan linjauksia ja yleisiä ohjeita noudatetaan koko Rovaniemen koulutuskuntayhtymä -konsernissa ml. sen määräysvallassa olevat yhtiöt. REDUn konserniohjeen kohdan 7.2 mukaisesti yhtymähallitus antaa ohjaa konsernia antamalla konsernitason toimintaohjeet ja -periaatteet. Tätä ohjetta noudatetaan myös LUCkonsernin yhdessä tuottamissa palveluissa siltä osin, kun REDU ja sen henkilökunta toimii henkilötietojen käsittelijänä Lapin yliopiston ja Lapin AMK:n lukuun LUC-tietosuojasopimuksessa sovitulla tavalla. Tämän asiakirjan (linjausten ja ohjeiden) hyväksymisestä päättää REDUn yhtymähallitus. Tietosuojavastaavan esityksestä kuntayhtymän johtajan päätöksellä voidaan tehdä tähän asiakirjaan teknisluontoisia päivityksiä ja täydennyksiä mm., kun tietosuojan lainsäädännössä tapahtuu muutoksia, tai REDUn toiminnan organisoinnissa, tulosalueajossa tai toimintamallissa ja vastuujaossa tapahtuu muutoksia, joista on päätetty yhtymäkokouksen tai yhtymähallituksen päätöksin. Lisäksi kuntayhtymän johtajan päätöksellä voidaan antaa tätä asiakirjaa täydentäviä toimintaohjeita tietosuojavastaavan tai henkilörekisterin ylläpidosta vastaavaan johtajana esityksestä. Santasport Finland Oy:n osalta tarkentavista toimintaohjeista päättää yhtiö. 2 Käsitteiden määritelmiä 2.1 Henkilötieto Tietosuoja-asetukseen 4 artiklassa mukaisesti henkilötiedoilla tarkoitetaan luonnolliseen tunnistettuun tai tunnistettavissa olevaan henkilöön (rekisteröity) liittyviä tietoja. Henkilöä pidetään tunnistettavana, jos hänet voidaan suoraan tai epäsuorasti tunnistaa nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen tai fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Tällaisia henkilön tunnistettavuus tietoja ovat esimerkiksi: - nimi - henkilötunnus (HETU) - opiskelijanumero - sähköpostiosoite - puhelinnumero - sijaintitieto (esim. kotiosoite tai paikannustieto) - verkkotunnistetiedot (esim. ip-osoite) - yksi tai useampi henkilöä koskeva tunnusomainen fyysinen, geneettinen, psyykkinen, taloudellinen, kulttuurinen tai sosiaalinen tekijä (esim. valokuva, sormenjälki, hiusten-, silmien-, ihonväri). Myös silloin, kun esim. julkisia tai kaikkien nähtävillä olevia tietoja yhdistelemällä on jälkikäteen mahdollista yksilöidä henkilö, kyse on henkilötietojen käsittelystä. Esim. tietyn koulutuksen ryhmän ainoa toista sukupuolta oleva, maahanmuuttaja, eri-ikäinen tms.

7 (25) Mikäli käsiteltävistä henkilötiedoista poistetaan pysyvästi kaikki sellaiset tiedot, joilla henkilö voidaan yksilöidysti tunnistaa tietosuoja-asetuksen 4 artiklan 5 kohdan mukaisesti (pseudonymisointi), voidaan henkilötietojen käsittelyssä poiketa siten, kun tietosuoja-asetuksessa ja tietosuojalaissa on tarkemmin säädetty. 2.2 Erityiset henkilötietoryhmät ja arkaluonteiset tiedot Tietosuoja-asetukseen 9 artiklassa sekä Tietosuojalain (HE 9/2018) 6 :ssä on lisäksi säädetty ns. erityisistä henkilötietoryhmistä (arkaluonteiset henkilötiedot), joiden käsittely on joko kielletty kokonaan tai joiden käsittelyä on rajattu tiettyihin tarkoituksiin. Erityisiä henkilötietoryhmiä, joiden käsittely on kielletty: - ihmisen rotu - etninen alkuperä - poliittinen mielipide - uskonnollinen tai filosofinen vakaumus - ammattiliiton jäsenyys - geneettiset ja biometristen tietojen käsittely henkilön tunnistautumista varten - terveystiedot - seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot. Näitä tietoja voidaan kuitenkin käsitellä niissä tapauksissa, joista on säädetty Tietosuoja-asetukseen 9 artiklan 2 kohdassa sekä Tietosuojalain (HE 9/2018) 6 :ssä. Esim. jos henkilö on itse julkaissut em. tiedon, sitä voidaan käsitellä. 2.3 Henkilötunnus ja henkilön tunnistaminen Henkilötunnuksen käsittelyssä on oltava erityisen huolellinen. Henkilötunnuksen käytöstä on erikseen säädetty Tietosuojalain (HE 9/2018) 29 :ssä. Laissa on tarkennettu mm. missä tilanteissa henkilötunnusta voidaan käsitellä. Esim. jos yksityishenkilölle myydään luotolla (laskutuksella), voidaan tieto velvoittaa antamaan. Mikäli henkilötunnusta käytetään henkilörekisterissä, sitä ei perusteetta saa tulostaa tai merkitä rekisteristä otettuihin tulosteisiin ja otteisiin. Henkilötunnusta ja sen loppuosaa ei esim. saa kysyä suullisesti tai kirjallisesti henkilöltä siten, että sivullisten on se mahdollista saada tietoonsa esim. asiakaspalvelutilanteessa. Niissä tilanteissa, missä henkilötunnuksen käyttö on perusteltua henkilötietolain perusteella, suositeltavin tapa on, että henkilö esittää henkilökortin, ajokortin tai kuvallisen Kela-kortin, josta käsittelijä voi sen kirjata ja samalla varmistaa henkilöllisyyden. 2.4 Henkilötietojen käsittely Tietosuoja-asetukseen 4 artiklassa mukaisesti käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin eli henkilörekistereihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti.

8 (25) Henkilötietojen käsittelyyn sisältyy tietojen käsittelyn koko elinkaari tiedon keräämisestä tietojen hävittämiseen. Asetuksessa on lueteltu mm. seuraavia henkilötietojen käsittelymuotoja: tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, muuttaminen. Käsittelyyn kuuluvat myös henkilötietojen haut, kyselyt, tietojen luovuttamiset, siirtämiset, levittämisen ja saataville asettaminen (julkaisu), tietojen yhteensovittaminen ja yhdistäminen, rajoittaminen, poistaminen sekä tuhoaminen. 2.5 Henkilörekisteri 2.5.1 Henkilötietojen tietojoukko Henkilörekisteri muodostuu henkilötietojen tietojoukosta eli useammasta kuin yhden henkilön henkilötiedoista. Tietosuoja-asetuksessa henkilörekistereistä käytetään käsitettä henkilötietotojen tietojoukko, mutta selvyyden vuoksi tässä ohjeessa käytetään vakiintunutta käsitettä henkilörekisteri. Henkilötiedoista muodostuu henkilörekisteri aina silloin, kun samassa tietojärjestelmässä, tiedostossa, luettelossa, kortistossa, mapissa tms. kootaan ja säilytetään samaa käyttötarkoitusta tai käyttötarkoituksia varten useiden eri henkilöiden henkilötietoja. Huom! Myös yksittäisen henkilön henkilötietoja on käsiteltävä tietosuojasäädösten mukaisesti. Tämä koskee myös henkilörekistereistä otettuja henkilön tai henkilöiden tietoja sisältävää otetta (ladattu tiedosto tai tuloste). Myös näytettäessä tai katsottaessa henkilötietoja rekisteristä esim. tietokoneen näytöllä, on varmistettava, ettei henkilötietoja saa nähtäväksi tai kuultavaksi sellaiset henkilöt, joihin heillä ei ole oikeutta. REDUssa henkilörekisterit ja niitä koskeva ohjeistus on jaettu kolmeen luokkaan: - laajat pysyvät henkilörekisterit (lomake A) - suppeat ja tilapäiset henkilörekisterit (lomake B) - tilapäiset apurekisterit Seuraavissa kappaleissa lisätietoa näistä. 2.5.2 Laajat pysyvät henkilörekisterit (lomake A) Laajalla ja pysyvällä henkilörekisterillä REDUssa tarkoitetaan kaikkia niitä henkilörekistereitä, joissa käsitellään rekisteröityjen lukumäärässä mitattuna suuria henkilötietojoukkoja ja joiden tarkoitus on olla pysyvä. Pysyvyydellä tarkoitetaan, että rekisteriä on tarkoitus ylläpitää toistaiseksi. Suurena henkilötietojoukkona pidetään henkilörekisteriä, jossa on tai jonka käytön ja tietojen säilytyksen aikana ylittää 50:n eri henkilön rekisteröidyn määrän. Näitä laajoja henkilörekistereitä ylläpidetään yleensä sähköisissä tietojärjestelmissä ja tietoja käsitellään pääsääntöisesti sähköisesti. Laajan pysyvän henkilörekisterin ylläpidon on perustuttava REDUn perustehtävän hoitamiseen liittyvään lainsäädäntöön tai asiakassuhteeseen.

9 (25) Kaikista laajoista henkilörekistereistä on REDUssa laadittava tietosuojaseloste (lomake A), joka tallennetaan ROKKI-intraan kohdan 2.6.2. mukaisesti. Ko. rekisterille nimetään myös vastuuhenkilö (rekisteristä vastaava johtaja), vastuukäyttäjä (pääkäyttäjä) sekä tarvitessa heille molemmille varahenkilö. Vastuuhenkilön on myös tehtävä vastuukäyttäjästä erillinen nimittämispäätös, ellei siitä ole yksiselitteisesti jo päätetty REDUn hallintosäännössä tai sen nojalla annetussa delegointipäätöksessä. Tietosuojaselosteiden laatiminen ja päivittäminen Tietosuojaselosteiden laatimisesta ja päivittämisestä vastaa kyseisestä käsittelytoiminnosta vastaava johtaja tai hänen nimeämänsä rekisterin yhteyshenkilö. Tietosuojaseloste laaditaan REDUn tietosuojaselostelomakepohjalle. REDUn tietosuojavastaava tarkastaa laajojen ja pysyvien henkilörekisterien (A) tietotosuojaselosteen ennen sen julkaisemista ROKKI-intrassa ja verkkosivuilla. Tietosuojavastaava voi tehdä selosteeseen teknisluonteisia korjauksia ja täydennyksiä ennen sen julkaisemista. Ennen uuden laajan ja pysyvän rekisterin perustamista on asiassa oltava yhteydessä REDUn tietosuojavastaavaan. Tarvittaessa voidaan joutua tekemään myös kohdassa 4.1 esitetty ko. tietojen käsittelyn riskien arviointi. Tietosuojavastaavalle on myös ilmoitettava, ennen kuin käynnistetään rekisterin ylläpitoon ja tietojen käsittelyyn tarkoitetun tietojärjestelmän tai palvelun hankinta tai muutostyö (päivittäminen). Tietosuojavastaavalle on myös toimitettava kopiot ulkopuolisen järjestelmän tai palvelun toimittajan henkilötietojen käsittelyä koskevat sopimukset ja selosteet. 2.5.3 Suppeat tilapäiset henkilörekisterit (lomake B) Suppeana henkilörekisterinä tarkoitetaan henkilörekisteriä, joka sisältää muutaman (alle 50:n henkilön) henkilötietoja yhtä nimettyä ja tilapäistä käyttötarkoitusta tai käsittelytoimintoa varten. Pääsääntöisesti nämä suppeat rekisterit ovat yksittäisen henkilön (esim. opettajan) omassa tai pienen henkilöryhmän (esim. tiimin opettajat) yhteisessä rajatussa käyttäjäjoukossa käytössä, joita käytetään esim. arviointi tms. tietojen tilapäiseen kirjaamiseen. Tällainen suppea tilapäinen rekisteri voi olla myös kohdassa 2.5.3 esitetty apurekisteri. Suppeaa tilapäistä rekisteriä voidaan jakaa henkilöiden kesken rajatusti esim. suojatulla (salatulla) sähköpostilla tai rekisterinpitäjän (REDU) hankkimassa pilvipalvelussa (O365/OneDrive Business) tai lukitussa tilassa tai kaapissa mapissa, jonne on pääsy vain rekisterin käyttäjillä. Tilapäinen henkilörekisteri muodostuu myös esim. tietyn tapahtuman tai tilaisuuden ilmoittautumis- ja osallistujalistoista ja niiden käsittelystä. Suppeista ja tilapäisestä henkilörekisteristä ja siinä olevien henkilötietojen käsittelystä Tietosuoja-asetuksen ja Tietosuojalain mukaisesti vastaa aina se henkilö, joka on perustanut rekisterin, koko rekisterin elinkaaren ajan. Em. syystä on tärkeää, että henkilö poistaa ja hävittää itse perustamansa tilapäiset henkilörekisterit pysyvästi ja tietoturvallisesti heti, kun tietoja ei enää tarvita. Tämä koskee myös manuaalisesti käsiteltyjä asiakirjoja, tiedostoja ja mappeja. Ota huomioon REDUn asiakirjahallinnon ja arkistotoimen ohjeet, ennen kuin hävität asiakirjoja! Nämä ohjeet löydät ROKKI-intran toimintakäsikirjasta.

10 (25) Suppean tai tilapäisen rekisterin ylläpitäjä vastaa myös rekisterin käyttöoikeuksien jakamisesta muille ko. rekisterin käyttäjille sekä käyttöoikeuksien ylläpidosta. Vastuu tilapäisen rekisterin osalta voidaan siirtää toiselle henkilölle vain henkilön esimiehen päätöksellä. Suppeista ja tilapäisestä henkilörekisteristä ei tarvitse erikseen ilmoittaa REDUn tietosuojavastaavalle. Häneltä voi kuitenkin tarvittaessa pyytää lisätietoa asiassa mm. sen suhteen, että muodostuuko suppeasta tai tilapäisestä henkilörekisteristä pysyvä tai laaja rekisteri tai muodostuuko apurekisteristä oma henkilörekisterinsä. Mikäli suppeaan tai tilapäiseen henkilörekisteriin kerätään tiedot rekisteröidyltä itseltään suoraan ja tietoja kerättäessä häntä informoidaan seuraavista asioita, ei erillistä rekisteriselostetta tarvita. Nämä tiedot voi olla esim. tietojen kyselylomakkeessa: - rekisterin ylläpitäjän nimi ja yhteystiedot (esim. nimi ja sähköpostiosoite) - rekisterin tarkoitus (henkilötietojen käyttötarkoitus, esim. tilaisuuteen ilmoittautuminen ja osallistujalista) - millä perusteella tietoja kerätään (laki, asetus, asiakkuus esim. osallistuminen tilaisuuteen) - kenelle muille ja mitä tietoja jaetaan (esim. jaetaanko osallistujaluettelo muille osallistujille, tilaisuuden pitäjille, tarjoilujen järjestäjälle tms.) - kuinka kauan tietoja säilytetään - keneen ja miten voi olla yhteydessä, jos haluaa tarkistaa, pyytää korjata tai poistaa tiedot. REDUssa on käytössä myös suppean tai tilapäisen henkilörekisterin tietosuojaselosteen mallilomake (lomake B), jolla em. tiedot voi ilmoittaa rekisteröidylle. HUOM! Kaikessa henkilötietojen käsittelyssä ml. suppeiden ja tilapäisten henkilörekisterien ja apurekisterien ylläpidossa ja henkilötietojen käsittelyssä on otettava huomioon tietoturva koko tietojen käsittelyn elinkaaren aikana. Henkilötietoja sisältäviä tiedostoja tulosteita, mappeja on käsiteltävä, tallennettava ja säilytettävä siten, ettei niihin ulkopuoliset pääse missään vaiheessa käsiksi. Esim. rekisteritiedostojen ja otteiden lähettäminen suojaamattomassa sähköpostissa on kielletty, samoin tietojen tallentaminen suojaamattomalle USB-levylle tai -tikulle tai mapin jättäminen lukitsemattomaan tilaan tai työhuoneeseen siten, että siihen on muilla pääsy. 2.5.4 Tilapäiset apurekisterit Edellä esitetty suppea henkilörekisteri voi olla myös laajemman rekisterin tilapäinen apurekisteri, jos sen henkilötiedot pohjautuvat laajan rekisterin otteeseen, esim. tulosteeseen tai tiedostoon opiskelijahallintojärjestelmästä. Jos käyttötarkoitus on sama, kuin sen henkilörekisterin, josta tiedot on otettu, ei apurekisterille tarvita omaa rekisteriselostetta. Apurekisterin käsittelyssä on otettava huomioon, mitä ko. rekisterin lähetteenä olevassa rekisterin tietosuojaselosteessa on henkilötietojen käsittelystä informoitu. Lisäksi ko. apurekisteritiedoston tai tulosteiden käsittelyssä on otettava huomioon, mitä edellä kohdassa 2.5.3 on ohjeistettu suppeista tilapäisestä henkilörekisteristä.

11 (25) 2.6 Käsittelytoiminnot ja informointi 2.6.1 Mikä on käsittelytoiminto? Henkilötietojen käsittelytoiminnolla tarkoitetaan henkilötietojen käsittelyn kokonaisuutta (prosessia), jossa henkilörekisterin henkilötietoja käsitellään tiettyä käsittelyn käyttötarkoitusta varten. 2.6.2 Luettelo henkilötietojen käsittelytoiminnoista REDU rekisterinpitäjänä pitää yllä luetteloa henkilötietojen käsittelytoiminnoista lukuun ottamatta edellä kohdassa 2.5.3 määriteltyjä suppeita ja tilapäisiä rekistereitä. Luettelon ylläpidosta vastaa tietosuojavastaava. Tämä luettelo on tarkoitettu REDUn sisäiseen käyttöön. Tarvittaessa siitä on annettava tietoja tietosuojaviranomaiselle (tiesuojavaltuutetulle). Käsittelytoimintojen selosteen sisällöstä on säädetty tietosuoja-asetuksen 30 artiklassa ja tietosuojavaltuutettu on antanut tarkempia ohjeita sen sisällöstä. Luettelo ja siihen liitetyt henkilörekisterien selosteet ovat henkilökunnan nähtävillä ROKKIintran toimintakäsikirjassa: https://rokki.redu.fi/toimintakasikirja/lists/kasittelytoiminnot. 2.6.3 Rekisteröityjen informointi - Tietosuojaselosteet Rekisterinpitäjän (REDU) on annettava rekisteröidylle tiedot henkilötietojen käsittelystä eli informoitava asiasta. Rekisteröidylle toimitettava tietosisältö on osittain riippuvainen siitä, kerätäänkö henkilötiedot rekisteröidyltä itseltään tai muualta. Informoinnin tietosisältö on osittain riippuvainen myös käsittelyn oikeusperusteesta. Jos henkilötietoja esimerkiksi käsitellään rekisteröidyn suostumuksen perusteella, on rekisteröityä informoitava mahdollisuudesta peruuttaa annettu suostumus. Rekisteröityjen informointiin käytetään tietosuojaselosteita. Henkilötietojen kerääminen rekisteröidyltä itseltään Jos henkilötiedot kerätään rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava käsittelyä koskeva informaatio rekisteröidylle silloin, kun tiedot kerätään. Eli rekisteröidyn saatavilla on oltava helposti tietosuojaseloste tai sen tiedot esim. linkitettynä ko. lomakkeeseen tai suoraan lomakkeessa tekstinä koko rekisterin elinkaaren ajan. REDUn laajojen ja pysyvien henkilörekistereiden tietosuojaselosteet (A) ovat saatavilla ROKKIintrassa: https://rokki.redu.fi/toimintakasikirja/tietosuojaselosteet sekä ulkopuolisille (rekisteröidyille) asiakkaille myös REDUn verkkosivuilla: www.redu.fi/tietosuoja. Lisäksi sillä verkkosivulla tai ROKKI-intran sivulla, josta löytyy sähköisen lomakkeen linkki, on oltavana joko linkki ko käsittelytoiminnon tietosuojaselosteeseen tai ko. tiedot on löydyttävä sellaisenaan ko. lomakkeesta.

12 (25) Henkilötietojen kerääminen muista tietolähteistä (rekistereistä) Jos henkilötiedot kerätään muualta kuin rekisteröidyltä itseltään, tulee henkilötietojen käsittelyä koskevat tiedot toimittaa rekisteröidylle kohtuullisen ajan mutta viimeistään yhden kuukauden kuluessa. Tiedot on toimitettava ennen yhden kuukauden määräaikaa näissä tilanteissa: - Jos henkilötietoja käytetään viestintään rekisteröidyn kanssa ennen määräajan umpeutumista, henkilötietojen käsittelyä koskevat tiedot tulee toimittaa tällöin. - Jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle ennen määräajan umpeutumista, käsittelyä koskevat tiedot on toimitettava rekisteröidylle viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran. 2.6.4 Henkilötietojen tarkastaminen, oikaiseminen, poistaminen ja käsittelyn vastustaminen Rekisteröidyllä on tarkastusoikeus eli hänellä on oikeus saada nähtäväkseen häntä itseään koskevat henkilötiedot. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset tiedot (Tietosuoja-asetus, 16 artikla.) Rekisteröityä tulee informoida tietosuojaselosteessa siitä, miten hän voi esittää rekisterinpitäjälle omien henkilötietojensa tarkastamista, oikaisemista ja korjaamista. Tietosuoja-asetuksen 17 artiklassa luetelluissa tapauksissa rekisteröidyllä on oikeus pyytää omien henkilötietojensa poistamista ilman aiheetonta viivästystä. Tietojen poistaminen on dokumentoitava. Poistamisesta on myös ilmoitettava kaikille niille henkilötietojen käsittelijöille, jotka REDUn lukuun käsittelevät REDUn henkilötietoja ja joille REDU on toimittanut henkilötietoja ja heitä on myös velvoittava poistamaan henkilön tiedot. REDUn on myös poistettava ja hävitettävä henkilötiedot tietoturvallisesti rekisterin tietosuojaselosteessa esitetyn säilytysajan päättyä. Rekisterinpitäjänä REDUlla ei ole myöskään velvollisuutta säilyttää henkilötietoja enempää kuin tietosuojaselosteessa on informoitu, vaikka rekisteröity niin haluaisi, ellei lainsäädännössä toisin säädetä. REDU ei poista henkilön tietoja, mikäli REDUlla on lainsäädäntöön perustuen oikeutus ja velvollisuus säilyttää rekisteröidyn henkilötietoja, vaikka rekisteröity haluaisi ne poistettavan. Tällöin rekisteröidyn pyyntöön poistaa henkilötietoja vastataan informoimalla häntä, millä perusteella REDU ei poista tietoja. Rekisteröidyllä on tietosuoja-asetuksen 21 artiklassa tarkemmin säädetyissä erityistilanteissa oikeus vastustaa häntä koskevien tietojen käsittelyä. Näitä erityistarkoituksia ovat esim. henkilöiden profilointi suoramarkkinointia varten. 2.6.5 Rekisteröidyn oikeuksien käyttäminen Tietojen tarkastaminen ja tietojen siirto Rekisteröity voi pyytää saada nähtäväkseen häntä koskevat henkilörekisterissä olevat tiedot rekisteriselosteessa tarkemmin esitetyllä tavalla. Henkilöllä on myös oikeus saada häntä koskevat rekisterissä olevat tiedot järjestelmästä toiseen siirtoa varten jäsennetyssä ja yleisesti käytetyssä tiedostomuodossa. (ei koske manuaalisesti ylläpidettäviä rekisterejä). Tietojen pyytämistä ja siirtämistä varten käytössä on myös lomakepohja, jota tässä voidaan käyttää. Lomakepohja löytyy sivulta www.redu.fi/tietosuoja.

13 (25) Henkilötietojen tarkastamispyynnöt käsitellään saapumisjärjestyksessä. Henkilötiedot tarkastamista varten pyritään toimittamaan mahdollisimman nopeasti huomioiden se, millä perusteella tarkastuspyyntöä esitetään ja kuinka suurta määrää tietoja henkilö pyytää. Tietojen siirtoa varten tiedot toimitetaan rekisteröidylle sähköisesti esim. CSV- tai Excel-tiedostona, mikäli sellainen on mahdollista ladata ko. rekisteristä. Vanhoista ennen 25.5.2018 hankituista tietojärjestelmistä tätä ominaisuutta ei vielä välttämättä ole olemassa. Manuaalisista rekisteristä ja arkistoista tietoja ei myöskään voi toimittaa sähköisesti. Tietojen siirtopyynnöt käsitellään saapumisjärjestyksessä ja pyritään käsittelemään kohtuullisessa ajassa huomioiden se, millä perusteella tarkastuspyyntö on esitetty ja kuinka laajasti tietoja pyydetään ja kuinka suuri työmäärä tietojen toimittamiseen tarvitaan. Mikäli samalta henkilöltä tulee runsaasti ja toistuvasti perustelemattomia tarkastamispyyntöjä tai siirtopyyntöjä, REDUlla on oikeus olla toteuttamatta pyyntöjä kohtuuttomina. Henkilötietoja toimitettaessa rekisteröidylle on otettava huomioon tietoturva. Tietoja ei toimiteta tavallisella sähköpostilla. Suositeltavin tapa on käyttää turvapostia tai kirjepostia ja ennen tietojen toimittamista on varmistettava, esim. REDUn rekisterin tiedoista tai julkisesta yhteystietohausta, että postiosoite tai turvapostissa käytettävä puhelinnumero ovat kyseisen henkilön. Henkilötietojen poistamis- tai vastustamispyyntö REDUssa on käytössä henkilötietojen poistamis- ja vastustamispyyntöön oma lomakepohja, jolla rekisteröity voi toimittaa REDUlle pyynnön henkilötietojen poistamisesta tai vastustamisesta. Lomake sisältää myös tarkemmat ohjeet sen toimittamisesta REDUlle sekä sen käsittelystä REDUssa. Lomakepohja löytyy sivulta www.redu.fi/tietosuoja. Lomaketta vastaanotettaessa on varmistettava, että oikeuksia käyttävän henkilön henkilöllisyys. Tämä voi tapahtua seuraavasti: - Henkilö toimittaa lomakkeen henkilökohtaisesti REDUuun: Lomakkeen vastaanottava REDUn opintotoimiston henkilökuntaan kuuluva tai REDUn sisäisten palvelujen toimija tarkistaa henkilöllisyysasiakirjasta(*, että lomakkeen toimittaja on sama henkilö, jonka tietoja lomakkeella pyydetään poistettavan. - Henkilö toimittaa lomakkeen kirjepostilla, johon lomakkeen liitteeksi hän liittää oikeaksi todistetun kopion henkilöllisyysasiakirjasta(* - REDUn henkilökuntaan tai opiskelijoihin kuuluva, jolla on käytössään REDUn sähköpostiosoite, voi toimittaa lomakkeen myös tietosuoja@redu.fi -sähköpostiosoitteeseen käyttämällä omaa REDUn sähköpostia. - Suppeissa ja tilapäisessä rekisterissä henkilötietojen poistamis- tai vastustamispyyntö voidaan toimittaa myös sähköpostitse tai tekstiviestillä käyttäen sitä samaa sähköpostiosoitetta tai puhelinnumeroa tai sähköistä lomaketta, joka on henkilö antanut tietoja luovuttaessaan. *) Henkilöasiakirjaksi kelpaavat: - Voimassa oleva henkilökortti, passi tai merimiespassi. - Voimassa oleva 1.10.1990 jälkeen myönnetty suomalainen ajokortti. Ulkomaisen ajokortin sijaan Suomessa annettu ajokortti ei kuitenkaan käy, koska se on vain todistus ajoluvasta, ei henkilöllisyydestä.

14 (25) Rekisteröidyn oikeuksien käyttämistä koskevat pyynnöt käsittelee kyseisen rekisterin tietosuojaselosteessa mainittu rekisterin yhteyshenkilö tai vastuullinen johtaja. Tietosuojavastaava avustaa tarvittaessa. 3 Tietosuojan organisointi ja vastuut 3.1 Yleistä REDUn johtamisesta Rovaniemen koulutuskuntayhtymä (REDU) ja sen tulosalueiden johtamisjärjestelmästä on säädetty REDUn perustamissopimuksessa, -hallintosäännössä ja sen perusteella annetuin delegointipäätöksin. Perussopimuksen mukaisesti REDU järjestää osan toiminnastaan myös yhtiömuotoisena. REDU ja sen määräysvallassa oleva Santasport Finland Oy (yhtiö) muodostavat kuntakonsernin, jonka johtamisesta on määrätty lisäksi REDUn konserniohjeessa. Tietosuojan johtaminen, vastuu ja organisointi noudattavat myös tätä samaa johtamisjärjestelmää. Seuraavissa kappaleissa on tarkennettu tietosuojan vastuu eri johtamisen, esimiesten ja tietojen käsittelijöiden osalta. Johtajien ja esimiesten rooli tietosuojan toteutumisessa on merkittävin. Johto ml. toimielimet ja esimiehet tekevät niitä päätöksiä, joilla johdetaan ja vaikutetaan siihen, miten tietosuoja REDUssa ja sen yhtiöissä toteutuu. Johto ja esimiehet toimivat myös osaltaan esimerkkeinä henkilötietojen käsittelyssä ja toimivat henkilötietojen käsittelijöinä mm. omien alaistensa henkilötietoja käsitellessään. 3.2 Yhtymäkokous, yhtymähallitus, yhtiökokous ja yhtiön hallitus Yhtymäkokous on Rovaniemen koulutuskuntayhtymän päätöksenteon ylin toimielin, jossa REDUn jäsenkunnat päättävät REDUn perussopimuksen 7 :ssä sovituista asioista. Näihin sisältyy mm. kuntayhtymän johtajan valinta sekä hallintosäännön hyväksyminen. Hallintosäännössä on tarkemmin säädetty REDUn hallinto- ja johtamisjärjestelmästä lukuun ottamatta yhtiöitä. Yhtiöissä omistajien päätösvaltaa käyttää yhtiökokous ja yhtiön hallitus siten kuin REDUn konserniohjeessa on määrätty. Yhtymäkokouksen, yhtymähallituksen sekä yhtiökokouksen ja yhtiön hallituksen jäsenten on osaltaan noudatettava voimassa olevaa tietosuojalainsäädäntöä sekä REDUn tietosuoja-ohjeita käsitellessään henkilötietoja esim. päättäessään henkilövalinnoista. REDU tietosuoja-asetuksessa määritelty rekisterinpitäjä ja konserni. Mikäli yhtymä- tai yhtiökokous- tai -hallitus tekee tietosuojasäädösten (Tietosuoja-asetus ja Tietosuojalaki) kanssa ristiriidassa olevan päätöksen, päätöstä toimeenpanevalla johdolla on oikeus ja velvollisuus olla toimeenpanematta sitä siltä osin, kun se on ristiriidassa tietosuojalainsäädännön kanssa. Tällaisessa tapauksessa asiasta on informoitava ko. toimielintä viivytyksettä, jotta se voi tehdä tarvittaessa uuden päätöksen.

15 (25) 3.3 Johto Kuntayhtymän johtaja REDUn hallintosäännön 2 :n mukaisesti kuntayhtymän johtaja johtaa yhtymähallituksen alaisena kuntayhtymän hallintoa, virka-organisaatiota, taloudenhoitoa ja muuta toimintaa. Kuntayhtymän johtaja toimii esittelijänä yhtymähallituksen kokouksissa ja vastaa asioiden valmistelusta yhtymähallituksen käsiteltäväksi. Kuntayhtymän johtaja esittelee yhtymähallitukselle ja yhtymäkokoukselle myös tietosuojaan liittyvät asiat. Kuntayhtymän johtaja on päättänyt myös REDUn tietosuojavastaavan nimittämisestä ja tietosuoja- ja asiakirjahallinnon työryhmän perustamisesta. Kuntayhtymän johtaja hyväksyy myös tietosuojaohjeistukseen tehtävät päivitykset, siten kun kohdassa 1.5 on tarkemmin esitetty. Kuntayhtymän johtaja osallistuu myös vuosittaisiin johdon tietosuojakatselmuksiin. Kuntayhtymän johtaja allekirjoittaa REDUn puolesta LUC-tietosuojasopimukset, kts. kohta 1.5. REDUn johtoryhmä Kuntayhtymän johtaja johtaa myös REDUn johtoryhmää ja päättää johtoryhmän jäsenistä. Johtoryhmä ei ole varsinainen päätöksentekoelin, mutta se osallistuu päätösten valmisteluun ja yhteisistä linjauksista ja menettelytavoista päättämiseen. Tarvittaessa nämä johtoryhmän päätökset ja linjaukset vahvistetaan yhtymähallituksessa tai kuntayhtymän johtajan tai tulosaluejohtajan päätöksin. Tietosuojan osalta johtoryhmässä päätetään mm tietosuojakoulutuksista, tietosuojasta viestimisestä sekä tietosuojan riskien kartoituksista. Johtoryhmä myös käsittelee tietosuojaa koskevat ohjeistukset ennen niistä päättämisestä. Ja milloin ohjeistus koskee myös henkilöstön oikeuksia ja velvollisuuksia, ne käsitellään myös yhteistyötoimikunnassa ennen päätöksiä. Johtoryhmälle ja yhteistyötoimikunnalle tietosuoja-asiat esittelee ja raportoi tietosuojavastaava. Johtoryhmän jäsenet osallistuvat myös vuosittaisiin tietosuojakatselmuksiin. Johtoryhmän jäsenten on myös itse osallistuttava päättämiinsä tietosuojakoulutuksiin ja perehdytyksiin. Kehitysjohtaja REDUn hallintosäännön mukaisesti kuntayhtymän kehitysjohtaja vastaa mm. REDUn tieto- ja hankehallinnon johtamisesta, kehittämisestä ja laadusta sekä niiden osalta sovittujen tulostavoitteiden toteutumisesta. Kehitysjohtaja toimii myös kuntayhtymän johtajan varajohtajana ja vastaa kuntayhtymän johtajan tehtävistä myös tietosuojan osalta, kun kuntayhtymän johtajan poissa ollessa. Tietohallinnon osalta kehitysjohtaja vastaa myös tietohallinnon tietosuojan johtamisesta sekä päättää tietohallinnon/it-palvelujen vastuulla olevan henkilöstön työtehtävistä ja tietojärjestelmien sekä niihin liittyvien henkilörekisterien vastuuhenkilöistä ja henkilötietojen käsittelijöistä. Kehitysjohtaja osallistuu myös vuosittaisiin johdon tietosuojakatselmuksiin. Tulosaluejohtaja/rehtori sekä sisäisten palvelujen tilivelvollinen johtaja REDUn hallintosäännön mukaisesti tilivelvolliset johtajat vastaavat tulosalueen tai sisäisten palveluiden yksikön toiminnan johtamisesta. Hän myös päättää henkilökuntansa työnjaosta ja tehtävistä ja voi myös delegoida niitä edelleen. Tulosalueen johtaja sekä sisäisten palvelujen tilivelvollinen johtaja vastaa johtamansa tulosalueen tai yksikön henkilötietojen käsittelyn tietosuojasta ja sen johtamisesta. Hän päättää tulosalueen tai yksikön henkilöstön työtehtävistä. Tähän sisältyen hän päättää myös henkilötietojen

16 (25) käsittelytoimintojen henkilörekistereiden yhteyshenkilöistä ja henkilötietojen käsittelijöistä. Hän voi myös delegoida tämän toimivallan alaisilleen. Tulosalueiden johtajat/rehtorit sekä sisäisten palvelujen tilivelvollinen johtaja osallistuvat myös vuosittaisiin johdon tietosuojakatselmuksiin. Osakeyhtiön toimitusjohtaja REDUn tytäryhtiön Santasport Finland Oy:n toimitusjohtaja vastaa Santasport Finland Oy:n vastuulla olevan toiminnan henkilötietojen käsittelyn tietosuojasta. Hän myös päättää osakeyhtiön vastuulla olevien henkilötietojen käsittelytoiminnoista vastaavat johtajat tai esimiehet. Santasport Finland Oy voi nimetä myös oman tietosuojavastaavan, jolloin tässä REDUn tietosuojaohjeessa olevat tietosuojavastaavan tehtävät tältä osin siirtyvät hänen vastuulle. Osakeyhtiön toimitusjohtaja osallistuu myös vuosittaiseen REDUn johdon tietosuojakatselmukseen. Osaamisalan koulutuspäällikkö Osaamisalan koulutuspäällikön tehtävistä ja vastuualeista päättää tulosaluejohtaja/rehtori. Koulutuspäällikkö vastaa vastuualueensa henkilötietojen käsittelyn tietosuojasta ja henkilöstön työtehtävistä ml. henkilötietojen käsittelytoiminnot siten, kuin tulosaluejohtaja/rehtori on toimivaltaa hänelle delegoinut. Osaamisalan koulutuspäälliköt osallistuvat myös vuosittaisin johdon tietosuojakatselmuksiin. Oppilaitospalvelujen koulutuspäällikkö, palvelupäällikkö ja ravintolapäällikkö Lapin koulutuskeskus REDUn yhteisten oppilaitospalvelujen eli oppimisen suunnittelu- ja kehittämispalvelujen sekä työelämäpalvelujen, opiskelijapalvelujen sekä ravintolapalvelujen vastaavien päälliköiden tehtävistä ja vastuualeista päättää Lapin koulutuskeskus REDUn tulosaluejohtaja/rehtori. Oppilaitospalvelujen koulutuspäällikkö toimii myös Lapin koulutuskeskus REDUn tulosaluejohtajan sijaisena ja vastaa tuloaluejohtaja/rehtori poissa ollessa em. tulosaluejohtajan/rehtorin tehtävistä myös tietosuojan osalta. Oppilaitospalvelujen koulutuspäällikkö, palvelupäällikkö ja ravintolapäällikkö vastaavat tulosaluejohtaja/rehtorin delegointipäätösten mukaisesti myös vastuualueidensa tietosuojan johtamista ja työnjaosta. He myös päättävät heidän vastuulla olevien henkilötietojen käsittelytoimintojen rekisterien yhteyshenkilöt ja henkilötietojen käsittelijät, ellei tulosaluejohtaja ole siitä erikseen päättänyt. Oppilaitospalvelujen koulutuspäällikkö, palvelupäällikkö ja ravintolapäällikkö osallistuvat myös vuosittaisiin johdon tietosuojakatselmuksiin. 3.4 Esimiehet Henkilökunnan lähijohtamisesta ja tehtäviin perehdyttämisestä vastaavat esimiehet. Esimiehinä REDUssa toimivat joko edellä esitetyt johtajat ja päälliköt suoraan tai heidän alaisuudessaan toimivat tiimiesimiehet. Tietosuojan näkökulmasta esimiesten rooli on keskeinen. Oman esimerkin lisäksi he vastaavat alaistensa perehdyttämisestä henkilön työtehtävien osalta myös tietosuojaan perehdyttämisestä sekä päättävät mm. alaisten työnjaosta ja siihen käytettävistä resursseista. Perehdyttämisen osalta esimies voi myös delegoida perehdyttämistehtävän kokeneelle alaiselleen. Esimiehet myös vastaavat alaistensa työn valvonnasta ja että toimitaan myös annettujen tietosuojasäädösten ja ohjeiden mukaisesti. Tätä valvontavastuuta esimies ei voi delegoida.

17 (25) Esimiesten tehtävä on valvoa ja tarkistaa, että heidän alaisillaan on hankittuna ja suoritettuna REDUssa vaadittava tietosuojaosaaminen (kts. kohta 3.5.). Esimiesten on myös osallistuttava johtoryhmässä päätettyihin esimiesten tietosuojakoulutuksiin ja perehdytyksiin. REDUn Hallintosäännön mukaisesti esimiehet vastaavat myös riskien tunnistamisesta, arvioinnista, riskienhallinnan toimenpiteiden toteutuksesta ja toimivuudesta sekä raportoivat yhtymähallituksen antamien ohjeiden mukaisesti. Tämä riskienhallinta kattaa myös tietosuojan riskienhallinnan. Esimiehet myös käsittelevät esimiestehtäviä hoitaessaan alaistensa henkilötietoja eli toimivat henkilötietojen käsittelijöinä. Esimiehet voivat myös osallistua vuosittaiseen tietosuojan johdon katselmukseen. 3.5 Henkilökunnan yleiset velvollisuudet REDUssa jokaisella henkilökuntaan kuuluvalla täytyy olla vähintään tietosuojan perusosaaminen. REDUn johtoryhmässä Tietosuoja- ja asiakirjahallinnon työryhmän esityksestä päätetään tietosuojakoulutuksen toteuttamisesta. Henkilökunnan on osallistuttava johtoryhmässä päätetysti tietosuojakoulutuksiin. Tämän lisäksi henkilön on osallistuttava esimiehensä määräämiin tietosuojakoulutuksiin ja perehdytyksiin. Henkilön tietosuojaosaaminen kirjataan henkilöstöhallinnon HEMULI-järjestelmään tietosuojavastaavan antamien ohjeiden mukaisesti. Henkilökunnan, niin virassa kuin toimessa olevien yleisenä velvollisuutena on noudattaa tietosuojalainsäädäntöä sekä työnantajansa (REDU) ja esimiehiensä antamia tietosuoja- ja tietoturvaohjeita. Henkilökunnan on myös seurattava tietosuojalainsäädännössä tapahtuvia muutoksia erityisesti oman tehtäväalueensa osalta osana oman ammattialan ja osaamisensa kehittämistä. Henkilökunnan velvollisuus on myös ilmoittaa havaitsemistaan tietoturvan loukkauksista esimiehelle tai tietosuojavastaavalle. 3.6 Käsittelytoiminnon vastuullinen johtaja ja -yhteyshenkilö Jokaiselle laajalle ja pysyvälle henkilörekisterille määritellään käsittelytoiminnon vastuullinen johtaja sekä yhteyshenkilö. Käsittelytoiminnon vastuuhenkilö ja yhteyshenkilö kirjataan kyseisen käsittelytoiminnon tietosuojaselosteeseen, kts kohta 2.5.2. Käsittelytoiminnon vastuullinen johtaja on se henkilö, joka vastaa kyseisen toiminnan johtamisesta REDUn hallintosäännön tai sen perusteella annettujen toimivallan delegointipäätösten mukaisesti. Vastuullisella johtajalla on oltava mm päätösvalta päättää kyseisen käsittelytoiminnon osalta henkilöiden työtehtävistä sekä resursseista. Vastuullinen johtaja vastaa myös rekisterin yhteyshenkilön tehtävistä, silloin, kun yhteyshenkilö on nimeämättä tai hän on poissa. Rekisterin yhteyshenkilön nimeää ko. käsittelytoiminnosta vastaava johtaja. Nimittäminen tehdään joko erillisenä päätöksenä tai se on sisällyttävä dokumentoidusti yhteyshenkilön työtehtäviin esim. hyväksytyn tehtäväkuvauksen, palvelusopimuksen tms. mukaisesti. Yhteyshenkilö vastaa mm tietosuojaselosteen laatimisesta ja päivittämisestä, sekä käsittelee rekisteröidyn oikeuksien käyttämistä koskevat toimenpiteet, kts kohta 2.6.5.

18 (25) 3.7 Henkilötietojen käsittelijät Henkilöstön työtehtävistä riippuen hänen tehtäviin voi kuulua henkilötietojen käsittelyä. Käytännössä lähes kaikki REDUn henkilöstöön kuuluvat käsittelevät henkilötietoja joko päivittäin tai satunnaisesti. Tästä syystä tietosuojan perustason koulutus on ulotettu koskemaan koko henkilöstöä. Henkilötietojen käsittely on kyseessä, kun käsitellään yhden tai useamman henkilön henkilötietoja manuaalisesti tai sähköisesti. Henkilötietojen käsittely on määritelty tarkemmin kohdassa 2.4. Henkilötietojen käsittelijä vastaa, että hän noudattaa tietosuojasta annettua lainsäädäntöä sekä REDUn tietosuoja ja tietoturvaohjeistusta. Henkilö saa käsitellä vain niitä henkilötietoja, jotka kuuluvat hänen työtehtäviin ja vain niihin käyttötarkoituksiin, joihin tieto on kerätty ja henkilörekisteri koottu. Seuraavassa yleisiä henkilötietojen käsittelyä koskevia ohjeita: - Henkilötietojen käsittelijöitä koskee vaitiolovelvollisuus. Henkilötietoja ei saa luovuttaa eikä millään tavalla ilmaista, suoraan tai epäsuorasti niiden sisältöä ulkopuolisille. - Henkilötietojen käsittelyssä on otettava huomioon tietoturva eli ettei missään käsittelyn vaiheessa tiedot eivät ole sivullisten nähtävillä, kuultavilla tai millään tavalla saatavilla. Henkilötietoja sisältävät tulosteet ja tiedostot on säilytettävä ja hävitettävä asianmukaisesti tietoturvallisesti. - Henkilötiedoista ei saa käsitellä keskustellen sellaisessa paikassa, jossa sivullisten on mahdollista kuulla keskustelu, ei myöskään ilman nimeä. Sivullinen kuulija voi yhdistää kuulemansa henkilötiedot tietojen sekä niistä keskustelevien henkilöiden perusteella tiettyyn tunnistettavaan henkilöön (rekisteröityyn). - Henkilötietoja sisältäviä tulosteita, tiedostoja yms. on säilytettävä lukitussa huoneessa tai kaapissa tai ne on teknisesti suojattava tai salattava siten, ettei sivullinen näe niitä tai pääse niihin käsiksi silloin, kun eivät ole käsittelijän valvonnassa. Jos tietoja käsitellään sähköisesti työasemalla, on varmistettava, ettei sivullinen pääse näkemään näyttöä ja työasema lukitaan, kun se ei enää ole valvonnassa. - Erityisen varovainen pitää olla, kun kuljettaa tai lähettää henkilötietoja sisältäviä asiakirjoja. Henkilötietoja sisältäviä tietoja ja tiedostoja ei saa lähettää salaamattomina sähköpostilla, mikäli sähköposti lähetetään REDUn sähköpostijärjestelmän ulkopuolelle. - Henkilötietoja sisältäviä tiedostoja ei saa tallentaa tai niistä ottaa kopioita suojaamattomalle ulkopuoliselle tallennusmedialle (USB-tikku, CD-ROM tms.). - Kirjepostissa on käytettä suljettua kirjekuorta, jonka läpi henkilötiedot vastaanottajan osoitetietoja lukuun ottamatta eivät ole näkyvissä IT-palvelut antaa lisätietoa tietoturvallisista henkilötietojen lähettämis- ja tallentamisratkaisuista.

19 (25) REDUn henkilökuntaan kuuluvalla henkilötietojen käsittelijällä on oikeus ja velvollisuus kieltäytyä käsittelemästä henkilötietoja johdon, esimiehen tai muun henkilökunnan pyynnöstä tai määräyksestä silloin, kun ko. käsittelyssä rikottaisin voimassa olevaa tietosuojalainsäädäntöä tai REDUn ohjeistusta. Tällaisesta säädösten ja ohjeiden vastaisesta henkilötietojen käsittelyn ohjeistamisesta tai sen pyynnöstä tai määräämisestä on ilmoitettava tietosuojavastaavalle. Henkilötiedon käsittelijää ei saa erottaa, siirtää työtehtävästä toiseen tai antaa kurinpitorangaistusta sillä perusteella, että hän on kieltäytynyt toimimasta tietosuojasäädösten ja -ohjeiden vastaisesti ja että hän on ilmoittanut asiasta tietosuojavastaavalle. 3.8 Tietosuojavastaava Tietosuojavastaavan tehtävistä on säädetty tietosuoja-asetuksen 37 39 artikloissa. REDUn tietosuojavastaava toimii koko Rovaniemen koulutuskuntayhtymä -konsernin ml. sen omistamien tytäryhtiöiden tietosuojavastaavana, ellei yhtiö toisin päätä. REDUn tietosuojavastaavan nimi ja yhteystiedot löytyvät mm REDUn verkkosivuilta osoitteesta: redu.fi/tietosuojavastaava. Tietosuojavastaavalle voi myös lähettää sähköpostia suoraan osoitteeseen tietosuoja@redu.fi. Tietosuojavastaava ei vastaa REDUn tietosuojasta. Tietosuojasta vastaa REDUn toiminnasta vastaava johto ja esimiehet sekä henkilötietojen käsittelijät siten, kun edellä on esitetty. Tietosuojavastaa toimii tietosuoja-asioissa asiatuntijana ja yhteyshenkilönä (yhteyspisteenä) tietosuoja-asioissa mm tietosuojan valvontaviranomaisen (tietosuojavaltuutetun) suuntaan. Tietosuojavastaava vastaa kohdan 2.6.1 henkilötietojen käsittelytoiminnan luettelon ylläpidosta, sekä laajojen ja pysyvien henkilörekisterien tietosuojaselosteiden tarkastamisesta ja niiden julkaisemisesta kohdan 2.5.2 mukaisesti. Rekisteröidyt voivat ottaa suoraan yhteyttä tietosuojavastaavaan heidän henkilötietojen käsittelyyn ja tietosuoja-asetukseen perustuviin oikeuksiin liittyvissä asioissa. Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus. REDUn tietosuojavastaava on otettava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietoja koskevien kysymysten käsittelyyn. Tietosuojavastaava ylläpitää rekisteriä REDUn henkilötietojen käsittelytoiminnoista sekä laajoista pysyvistä henkilörekisteristä kohdan 2.6. mukaisesti. Tietosuojavastaava pitää kirjaa hänelle ilmoitetuista tietosuojaan liittyvistä havainnoista ja poikkeamista kuten tietosuojalainsäädännön tai REDUn ohjeistuksen vastaisista toiminnoista sekä tietosuojaloukkauksista tai niiden läheltäpiti -tilanteista. Nämä ilmoitetut tietosuojatapahtumat käydään läpi tietosuoja- ja asiakirjahallinnon työryhmässä ja niistä raportoidaan säännöllisesti johdolle osana kohdan 4.2 mukaisesti. Tietosuojavastaava myös raportoi suoraan ylimmälle johdolle tietosuoja-asioista (Tietosuojaasetus, 38 artikla) tarvittaessa. Ylimmällä johdolla tässä tarkoitetaan yleensä johtoryhmää ja kuntayhtymän johtajaa. Tarvittaessa tietosuojavastaava voi raportoida suoraan myös yhtymätai yhtiöhallitukselle tai -kokoukselle. Tietosuojavastaavan sijaisena mm vuosilomien aikana toimii tietosuoja- ja asiakirjahallinnon työryhmästä valittu sijainen. Mm. tietosuoja@redu.fi -sähköpostiosoite ohjataan sijaiselle. Mikäli tietosuojavastaava on jostain syystä estynyt hoitamasta tehtävää, eikä sijaista ole ehditty valita, sijaisena toimii REDUn kehitysjohtaja.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute