SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Samankaltaiset tiedostot
1 Tietosuojapolitiikka

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Eläketurvakeskuksen tietosuojapolitiikka

Kolarin kunnan tietosuojapolitiikka

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Haminan tietosuojapolitiikka

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Ulvilan kaupungin tietosuojapolitiikka

EU:n tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetus (GDPR)

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAPOLITIIKKA

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

EU:n tietosuoja-asetus (2016/679)

TIETOSUOJAPOLITIIKKA. Turun kaupunki

TIETOSUOJA JA TIETOTURVA PIETARSAARENSEUDUN SEURAKUNTAYHTYMÄSSÄ

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Attendo Finland Oy (ja sen konserniyhtiöt) YLEINEN TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Strafican tietosuojakäytäntö

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

EU:n tietosuoja-asetus (GDPR)

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

Politiikka: Tietosuoja Sivu 1/5

Tampereen Aikidoseura Nozomi ry

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojalainsäädännön uudistus

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Salon kaupunki / /2018

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

LIIKENNE-JA VIESTINTÄMINISTERIÖN TIETOSUOJAKÄYTÄNNÖT

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

EU:n tietosuoja-asetus Matti Sarmela

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Salon kaupunki , 1820/ /2018

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Koulutuskiertue

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

IF-INFO MEKLAREILLE

Asiakaskokemus ja käyttäjäturvallisuus sovelluskehityksen keskiössä

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

Salon kaupunki / /2018

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojaseloste: Markkinointirekisteri

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojatehtävät. Järvenpään kaupungissa

TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Salon kaupunki , 1820/ /2018

Oulun Maanmittauskerho ry. Tietosuojaseloste

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietosuojalain ja kuntalain tuomat muutokset kuntien (verkko)viestintään

EU:n tietosuoja-asetus

GDPR Tietosuoja-asetus

Tietosuojapolitiikka. Arter Oy. Tietosuojaryhmä Arter Oy. Valimotie Helsinki

1. Henkilötietojen käsittely: Erilaisten oppijoiden liitto ry jäsenet sekä tapahtumat, koulutukset ja viestintä

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

REKISTERISELOSTE TALENT CENTER OY:N ASIAKKAILLE, YHTEISTYÖKUMPPANEILLE YMS

Teknologia avusteiset palvelutverkostopalaveri

Enersense käsittelee henkilötietoja seuraavilla tietosuojalainsäädäntöön pohjautuvilla perusteilla:

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

EU:n tietosuoja-asetus (GDPR)

Tietosuojapolitiikka. Tietoturvatyöryhmä (9)

Tietosuoja-asetus yhdistyksen kannalta mikä muuttuu?

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Mikä GDPR? General Data Protection Regulation

Kokemuksia ja näkemyksiä tietosuojaasetuksen

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

EU TIETOSUOJA- ASETUS

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietoturva- ja tietosuojapolitiikka

Transkriptio:

AKA/7/07.01.10/2018 5.12.2018 SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

2 (7) Sisällys Johdanto... 3 Vastuut ja organisoituminen... 3 Tietosuojaperiaatteet... 4 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys... 4 Käyttötarkoitussidonnaisuus ja tietojen minimointi... 4 Täsmällisyys, rajoittaminen, eheys ja luottamuksellisuus... 4 Riskienhallinta... 5 Sisäänrakennettu ja oletusarvoinen tietosuoja... 5 Osoitusvelvollisuus... 5 Hankinnat... 5 Henkilötietojen siirto ja luovutus... 6 Rekisteröidyn oikeudet ja informointi... 6 Vaikutustenarviointi... 6 Menettely tietosuojan vaarantuessa... 6 Tiedottaminen... 6

3 (7) Johdanto EU:n yleisen tietosuoja-asetuksen (2016/679) soveltaminen alkoi kaikissa jäsenmaissa 25.5.2018. Asetus on sellaisenaan suoraan sovellettavaa oikeutta sekä viranomaisissa että yritystoiminnassa. Tietosuojalla tarkoitetaan luonnollisten henkilöiden yksityisyyden suojaamista henkilötietojen käsittelyssä. Yksityisyyden suoja on Suomen perustuslain (731/1999) takaama perusoikeus. Rahoituksen hakijoiden, sidosryhmien edustajien sekä muiden yhteistyökumppaneiden luottamuksen säilyttäminen ja vastuullinen henkilötietojen käsittely on tärkeää Akatemialle. Akatemia sitoutuu kaikessa toiminnassaan noudattamaan EU:n yleistä tietosuojaasetusta ja muuta tietosuojalainsäädäntöä. Tämä tietosuojapolitiikka koskee kaikkia Akatemian palveluksessa olevia henkilöitä sekä Akatemian toimielinten luottamushenkilöitä. Lisäksi Akatemia toimii tämän tietosuojapolitiikan mukaisesti suhteessa palveluntuottajiin ja vastaaviin sidosryhmiin niiltä osin, kun ne tuottavat palveluja Akatemialle ja käsittelevät Akatemian toimintaan liittyviä henkilötietoja joko suoraan tai välillisesti. Vastuut ja organisoituminen Ylimmällä johdolla on kokonaisvastuu Akatemian tietosuojasta. Akatemiassa on lähtökohtana, että jokainen työntekijä tuntee tietosuojaan liittyvät perusasiat, osallistuu koulutuksiin, noudattaa työnantajalta saatuja ohjeita sekä raportoi välittömästi esimiehelle tai tietosuojavastaavalle havaitsemistaan henkilötietojen tietoturvaloukkauksista tai niiden epäilyistä sekä puutteista tietosuojaan liittyen. Akatemiassa on toiminut vuodesta 2007 tietoturvaryhmä, jonka tehtäviin lisättiin tietosuoja-asetukseen liittyvät tehtävät. Ryhmän nimi muutettiin tietoturva- ja tietosuojaryhmäksi ja se koostuu seuraavista: hallinnosta vastaava ylijohtaja, tietohallinnon vastuualueen johtaja, tietoturvavastaava ja tietosuojavastaava. Akatemian tavoitteena oli, että henkilötietojen käsittely Akatemiassa on toukokuussa 2018 tietosuoja-asetuksen mukaista. Tavoite saavutettiin. Tietoturva- ja tietosuojaryhmän säännöllisiin tehtäviin tästä eteenpäin kuuluvat tietosuojadokumentaation katselmointi ja päivitys, koulutustarpeen arviointi, riskiarvio, tietosuojan ja tietoturvan kehittäminen sekä seuranta, johdon raportointi ja valtionhallinnon antamien tietoturva- ja tietosuoja-asioiden valmistelu sekä täytäntöönpano Akatemiassa. Ryhmän tapaamisissa käsiteltäviin asioihin kuuluvat esimerkiksi tärkeimpien järjestelmähankkeiden ja muutosten tilanne, rekisteröidyiltä ja valvontaviranomaisilta tulleet yhteydenotot, tietosuojavaikutuksia sisältävien merkittävien tietoturvatapahtumien käsittely, henkilöstön koulutus sekä yleisesti havaitut puutteet ja tarpeet tietosuojaan liittyen. Säännöllisten ja määrämuotoisten tehtävien lisäksi tietosuojaorganisaation vastuulle kuuluvat

4 (7) operatiiviset tietosuojatehtävät, kuten rekisteröityjen pyyntöihin vastaaminen, vaatimusmäärittelyt tuotekehityksessä ja hankinnoissa, sopimusvaatimusten määrittelyt sekä käsittelyn seurannan tehtävät. Johdon nimeämänä tietosuojavastaavana Akatemiassa toimii tietosuojakysymyksistä vastaava lakimies. Tietosuoja-asetuksen mukaisesti tietosuojavastaavan tehtäviin kuuluvat muun muassa asetuksen vaatimusten täytäntöönpano ja soveltaminen organisaatiossa, neuvonta ja ohjaus kaikissa tietosuojakysymyksissä, dokumentaation laatiminen, saatavuuden ja säilyttämisen valvonta, ilmoitusvelvollisuuden toteutumisen seuranta, yhteistyö valvontaviranomaisen kanssa sekä rekisteröityjen oikeuksien toteuttamisen tukeminen. Tietosuojavastaava toimii tietosuojan yhteyspisteenä organisaation sisällä ja ulkoisille tahoille. Tietosuojavastaavan osaamista kehitetään jatkuvasti ja tälle taataan resurssit osaamisensa kehittämiseen. Tietosuojaperiaatteet Akatemiassa noudatetaan seuraavia tietosuojaan liittyviä periaatteita henkilötietojen käsittelyssä. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Tietosuoja-asetuksen mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Akatemia noudattaa toiminnassaan avoimuuden periaatetta. Henkilötietoja kerätään ja käsitellään asetuksen ja muun tietosuojalainsäädännön mukaisesti. Akatemian henkilörekistereistä on laadittu asetuksenmukaiset tietosuojaselosteet. Asetuksen vaatimat tiedot, muun muassa käsittelyn oikeusperuste, kuvataan selosteissa. Käyttötarkoitussidonnaisuus ja tietojen minimointi Akatemia kerää henkilötietoja tiettyjä, nimenomaisia ja laillisia tarkoituksia varten, eikä käsittele niitä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Kerättävän tiedon määrä minimoidaan ja rajoitetaan siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten kyseisiä tietoja käsitellään. Täsmällisyys, rajoittaminen, eheys ja luottamuksellisuus Akatemia huolehtii, että käsiteltävät henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä. Akatemia toteuttaa kaikki toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Akatemia säilyttää henkilötietoja muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Aka-

5 (7) temia käsittelee tietoja tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Näiden periaatteiden toteutumista valvotaan, poikkeuksiin puututaan ja niiden toteutuminen pystytään osoittamaan dokumentaation avulla. Esimiehet huolehtivat alaistensa osaamisesta sekä ohjeistuksesta työssä ja työvälineiden käytössä. Riskienhallinta ja tietoturva Akatemian tietosuojan osalta noudatetaan riskilähtöistä lähestymistapaa. Luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä tarkastellaan säännöllisesti ja niiden perusteella tehdään korjaavat toimenpiteet. Riskeistä raportoidaan ylimmälle johdolle. Tietoturva toimii tietosuojan periaatteiden toteutumisen mahdollistajana. Säännöllinen todentaminen, arviointi ja kehittäminen muodostavat toiminnan perusrungon. Tarkemmin tietoturvan periaatteita kuvataan Akatemian tietoturvadokumentaatiossa. Sisäänrakennettu ja oletusarvoinen tietosuoja Akatemian tietosuojapolitiikan lähtökohtana on sisäänrakennettu ja oletusarvoinen tietosuoja. Tietosuojavaatimukset asetetaan jo palvelun tai järjestelmän suunnittelu- ja hankintavaiheessa. Akatemia toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ennen palvelun käyttöönottoa, jotta rekisteröityjen oikeudet ja vapaudet voidaan turvata eikä näiden yksityisyys vaarannu. Akatemia huolehtii tietosuojavaatimuksista tiedon koko elinkaaren ajan. Osoitusvelvollisuus Tietosuoja-asetuksen mukaan ei riitä, että organisaatio noudattaa asetusta, vaan tämä on pystyttävä myös osoittamaan. Akatemia pystyy toimenpiteiden ja käytäntöjen dokumentoinnilla sekä erilaisten tietosuoja-asiakirjojen laatimisella osoittamaan, että asetuksen mukaisten tietosuojaperiaatteiden vaatimuksia noudatetaan. Tämä tietosuojapolitiikka on osa osoitusvelvollisuuden toteuttamista. Tietosuojaorganisaation tehtävänä on valvoa, ohjata ja kehittää Akatemian käytäntöjä osoitusvelvollisuuden täyttämisessä. Tietosuojasta myös raportoidaan säännöllisesti tietotilinpäätöksen muodossa. Hankinnat Akatemia varmistaa henkilötietojen käsittelyn lainmukaisuuden tilanteissa, joissa ulkoinen sopimuskumppani käsittelee Akatemian henkilötietoja hankintasopimuksen perusteella. Henkilötietoihin liittyvät riskit arvioidaan hankinnan suunnitteluvaiheessa. Tietosuojavaatimukset yksilöidään jo tarjouspyyntövaiheessa. Akatemia vastaa tietosuojasta

6 (7) ulkoistaessaan henkilötietojen käsittelyä sekä siitä, että valittu kumppani sitoutuu noudattamaan tietosuoja-asetusta ja muuta tietosuojalainsäädäntöä. Tietosuojan alaisia hankintoja katselmoidaan säännöllisesti. Akatemian ja henkilötietojen käsittelijän välillä laaditaan aina tietosuoja-asetuksen edellyttämä kirjallinen henkilötietojen käsittelysopimus. Henkilötietojen siirto ja luovutus Akatemian henkilötietojen siirrot ja luovutukset tapahtuvat lainsäädännön sallimissa ja velvoittamissa rajoissa ja tästä mainitaan tietosuojaselosteessa. Akatemian osalta viranomaisen asiakirjojen ja tietojen julkisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999). Yksityisyyden suojan lisäksi myös oikeus saada tieto julkisesta asiakirjasta on Suomen perustuslain takaama perusoikeus. Akatemialle on tärkeää, että sen toiminnassa tehdään jokaisessa yksittäistapauksessa huolellista ja perusteltua punnintaa näiden oikeuksien yhteensovittamiseksi. Julkisia asiakirjoja luovutetaan pyydettäessä julkisuuslain 13 ja 16 :n edellytysten mukaisesti. Julkinenkin asiakirja saattaa sisältää salassa pidettävää tietoa tai tietoja, joiden luovuttamista on rajoitettu (yleensä henkilötietoja). Salassa pidettäviä tietoja annetaan nähtäväksi ja luovutetaan vain asianomaisen suostumuksella, asianosaiselle tai lakiin perustuvan oikeuden nojalla. Rekisteröidyn oikeudet ja informointi Akatemian henkilörekisterien tietosuojaselosteet ovat Akatemian verkkosivuilla. Asiakkaat saavat informaatiota tietosuojasta myös tilannekohtaisesti viestinnän yhteydessä ja tarvittaessa tietosuojavastaavalta. Vaikutustenarviointi Mikäli hankittavan sovelluksen katsotaan aiheuttavan merkittäviä riskejä tietosuojalle, kohdistetaan siihen vaikutustenarviointi. Menettely tietosuojan vaarantuessa Mikäli oman valvonnan tai ilmoituksen perusteella tietosuoja todetaan vaarantuneeksi, tehdään riskiarvio rekisteröidyn oikeuksien näkökulmasta. Vakavista tietosuoja- ja tietoturvaloukkauksista Akatemia ilmoittaa tietosuoja-asetuksen mukaisesti rekisteröidylle itselleen, tietosuojaviranomaiselle ja poliisille. Tiedottaminen Tämä tietosuojapolitiikka on julkaistu Akatemian verkkosivuilla.

7 (7) Tämä tietosuojapolitiikka tulee voimaan 5.12.2018. Tietoturva- ja tietosuojaryhmä arvioi tietosuojapolitiikan ajanmukaisuutta ja tekee ehdotuksia sen kehittämiseksi. Heikki Mannila Pääjohtaja

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute