Taideyliopiston tietosuojapolitiikka

Samankaltaiset tiedostot
TIETOSUOJAPOLITIIKKA: SUUN TERVEYDENHOIDON AMMATTILIITTO

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Yliopistoyhteisön jä senet (johto, työnt ekijät, opiskelijat sekä aka teemi set vierai lija t) ovat velvoll isia

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Haminan tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

Organisaatioluvan hakeminen

Henkilötietojen käsittelyn ehdot. 1. Yleistä

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

EU:n tietosuoja-asetus (GDPR)

Tutkittavan informointi ja suostumus

EU:N TIETOSUOJA-ASETUKSET WALMU

Ulvilan kaupungin tietosuojapolitiikka

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Vaikutustenarviointi GDPR:n mukaan

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietosuojavaltuutetun toimiston tietoisku

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Politiikka: Tietosuoja Sivu 1/5

Termit. Tietosuojaseloste

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

TIETOSUOJAPOLITIIKKA

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

1 Tietosuojapolitiikka

UUSI TIETOSUOJA-ASETUS. Kasvufoorumi ry Y-tunnus:

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuoja-asetus (GDPR)

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Usein kysyttyjä kysymyksiä tietosuojasta

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Henkilötietojen käsittelyn ehdot

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Kolarin kunnan tietosuojapolitiikka

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Teknologia avusteiset palvelutverkostopalaveri

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste 1 (6)

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

4. Tutkimuksen vastuullinen johtaja tai siitä vastaava ryhmä

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Tietosuoja-asetus Immo Aakkula Arkistointi

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tässä ilmoituksessa annetaan EU:n tietosuoja-asetuksen (artiklat 13 ja 14) edellyttämiä tietoja. Aalto Summer täydennyskoulutusopiskelijat

EU:n tietosuoja-asetus

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tietosuojaasiat. yhdistysten näkökulmasta

Salon kaupunki , 1820/ /2018

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Henkilötietojen käsittelyn ehdot

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5)

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietoturva yhdistyksessä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

EU TIETOSUOJA- ASETUS

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Salon kaupunki / /2018

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Tietosuoja-asetus ja sen kansallinen implementointi

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

IF-INFO MEKLAREILLE

Transkriptio:

9.5.2018 Taideyliopiston tietosuojapolitiikka 1. Tietosuojapolitiikan tarkoitus ja tavoitteet Taideyliopiston tehtävänä on opetus, tutkimus ja taiteellinen toiminta. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa suuri osa käsiteltävästä tiedosta koskee ihmisiä ja on siten heidän henkilötietoaan. Taideyliopisto on rekisterinpitäjänä sitoutunut suojelemaan yksilön oikeuksia ja vapauksia käsitellessään henkilötietoja. Tämän tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Lisäksi tietosuojan toteuttamiseksi yliopistossa on voimassa käytännesääntöjä ja muuta ohjeistusta, jotka yhdessä tietosuojapolitiikan kanssa muodostavat kokonaisuuden. Tavoitteena on varmistaa, että yliopisto noudattaa EU:n yleisen tietosuoja-asetuksen, kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja että lainsäädännön noudattaminen on osoitettavissa dokumentaation avulla. 2. Tietosuojapolitiikan noudattamisvelvollisuus Yliopistoyhteisön jäsenet (johto, työntekijät, opiskelijat sekä vierailijat) ovat velvollisia noudattamaan tietosuojapolitiikkaa sekä muita yliopiston tietoturvaa ja tietosuojaa koskevia käytäntöjä, sääntöjä ja ohjeita. Jos henkilötietojen käsittely tehdään yliopiston lukuun, tätä tietosuojapolitiikkaa tulee noudattaa riippumatta siitä, missä tietoa säilytetään ja huolimatta siitä, kuka omistaa käsittelyyn käytetyt välineet. Tietosuojapolitiikkaa tulee lisäksi noudattaa aina, kun henkilötietojen käsittelyyn käytetään yliopiston tietojärjestelmiä tai muita tietotekniikkaresursseja. 3. Määritelmät Tietosuojalla tarkoitetaan yksilön (rekisteröidyn) yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja laillisen perusteen nojalla. 1

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja ovat tai voivat olla esimerkiksi nimi, osoite, henkilötunnus, paikkatieto, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain tietystä henkilöstä. Arkaluonteisilla henkilötiedoilla tarkoitetaan - tietoja, joista ilmenee henkilön etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, taloudellinen tilanne tai ammattiliiton jäsenyys - geneettisiä tai biometrisiä tietoja, joista henkilö voidaan yksiselitteisesti tunnistaa - henkilön terveystietoja sekä tietoja henkilön seksuaalista käyttäytymisestä ja suuntautumisesta Pseudonymisoidulla tiedolla tarkoitetaan tietoa, jota on käsitelty niin, ettei tietoa voi enää suoraan yhdistää tiettyyn henkilöön käyttämättä lisätietoja. Anonymisoidulla tiedolla tarkoitetaan tietoa, jota on käsitelty siten, ettei sen yhdistäminen henkilöön ole enää mahdollista. Henkilötietojen käsittelyä on esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, hakeminen ja siirtäminen sekä muut henkilötietoihin kohdistuvat toimenpiteet. 4. Julkisuusperiaate Henkilötietojen suojaa koskevan lainsäädännön lisäksi toimintaamme Taideyliopistossa ohjaa julkisuuslain (621/1999) soveltaminen. Julkisuusperiaatteen mukaan yliopiston hallussa oleva tieto on julkista, jollei laissa erikseen toisin säädetä. Henkilötietojen julkisuus määräytyy siten julkisuuslain mukaisesti. Julkisuuslakia sovelletaan myös henkilötietojen luovuttamiseen yliopiston henkilörekisteristä. 5. Roolit ja vastuut tietosuojan toteuttamisessa Yliopiston johdolla on tietosuoja-asioiden yliopistotasoinen vastuu. Tietosuojan yliopistotasoisen ohjeistuksen ja koulutuksen laatimisesta ja tarjoamisesta vastaa yliopiston tietosuojavastaava apunaan yliopiston tietosuojan ohjausryhmä, tiedon omistajat ja tietoturvallisuuden asiantuntijat. Nämä ryhmät ja henkilöt osallistuvat kukin oman vastuu- ja osaamisalueensa osalta ohjeistuksen ja koulutuksen laatimiseen ja tarjoamiseen. Akatemioiden johdolla ja palvelualueiden sekä palveluyksiköiden johtajilla ja päälliköillä on velvollisuus varmistaa, että toiminnassa noudatetaan tietosuojalainsäädäntöä ja tätä tietosuojapolitiikkaa. 2

Esimiesten tulee huolehtia henkilöstön perehdyttämisestä ja valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita. Taideyliopistossa nimetään kullekin käytettävälle tietojärjestelmälle järjestelmän omistaja, joka vastaa siitä, että järjestelmä ja sen tilalle mahdollisesti hankittava uusi järjestelmä vastaa yliopiston tietoturva-, tietosuoja- ja kokonaisarkkitehtuuriperiaatteita. Mikäli jokin järjestelmä on käytössä vain yksittäisessä akatemiassa, nimeää akatemia järjestelmän omistajan. Järjestelmän omistajana on se organisaatioyksikkö ja organisaatioyksikön päällikkö, jonka vastuulle järjestelmä kuuluu. Yksiköiden päälliköiden tulee huolehtia siitä, että kaikissa yksiköissä täsmennetään työntekijöiden roolien (vastuuhenkilö / pääkäyttäjä / yhteyshenkilö / käyttäjä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä jokaisen henkilörekisterin osalta sekä varmistaa, että yksikön ne työntekijät, jotka käsittelevät henkilötietoja on perehdytetty yliopiston tietoturvaja tietosuojamääräyksiin ja ohjeisiin. Taideyliopistossa tiedon omistajaksi nimetään henkilötiedon käsittelytoimen tai henkilörekisterin vastuuhenkilönä toimiva asianomaisesta toiminnosta vastaava henkilö. Tiedon omistaja toimii myös osa-alueensa henkilörekisterien ja järjestelmien omistajana ja on velvollinen varmistamaan vastuullaan olevan henkilörekisterin osalta, että henkilötietojen käsittely on suunniteltu tietosuojaperiaatteet huomioiden ja tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein. Henkilörekisterin yhteyshenkilöksi nimetään henkilörekisterin käytännön hallinnoinnista vastaava(t) henkilö(t), tyypillisesti järjestelmän pääkäyttäjä(t). Yhteyshenkilö vastaa mm. henkilörekisterin ja tietosuojadokumentaation ajantasaisuudesta ja rekisterin käyttämisestä yliopiston tehtäviin. Tutkimushankkeen vastuullinen johtaja vastaa tutkimushankkeissaan siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja tätä tietosuojapolitiikkaa sekä siitä, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimushankkeen vastuullinen johtaja täsmentää työntekijöiden roolien (vastuuhenkilö/yhteyshenkilö/käsittelijä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tutkimusrekisterin osalta noudattaen soveltuvin osin edellä kuvattua vastuunjakomallia. Yliopiston tietosuojavastaava neuvoo ja opastaa tietosuoja-asioissa, seuraa EU:n yleisen tietosuoja-asetuksen ja muun lainsäädännön sekä tämän tietosuojapolitiikan noudattamista yliopistossa sekä raportoi poikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle eli tietosuojavaltuutetulle ilmoittamana yliopiston tietosuojayhteyshenkilönä. EU:n yleinen tietosuoja-asetus määrittelee tietosuojavastaavan tehtävät ja roolin organisaatiossa. 3

Yliopiston tietoturvapolitiikassa kuvataan tietoturvallisuuden toimintatavat ja vastuut. Tietoturvallisuuden asiantuntija neuvoo ja opastaa yliopiston tietojärjestelmien tietoturvallisuuteen ja muutoin tietoturvaan liittyen sekä käsittelee ilmoitukset tietoturvapoikkeamista. Jokainen yliopiston työntekijä ja opiskelija ja yliopiston järjestelmien ja palveluiden käyttäjä on velvollinen osallistumaan omalta osaltaan tietosuojan toteuttamiseen, ylläpitämiseen ja valvontaan mm. noudattamalla tietoturvamääräyksiä ja tietosuojaohjeistusta. 6. Henkilötietojen käsittely yliopistossa Yliopistossa käsitellään tietoja yliopistossa opiskelevista ja työskentelevistä henkilöistä sekä yliopiston kanssa yhteistyössä toimivista henkilöistä, kuten entisistä opiskelijoista ja työntekijöistä, hakijoista, tutkimukseen osallistuvista henkilöistä, alumneista ja yhteistyökumppaneista. Henkilötietoja tulee käsitellä tämän tietosuojapolitiikan ja voimassa olevan lainsäädännön mukaisesti ja seuraten hyväksyttyjä suunnitelmia, joissa määritellään käsittelyperusteet ja tarkoitukset, joiden mukaisesti yliopisto käsittelee ja säilyttää henkilötietoja. Yliopiston toiminnassa voi olla tarve käsitellä arkaluontoisia henkilötietoja, kuten tietoja terveydentilasta sairausloman yhteydessä tai tietoja toimintarajoitteisuudesta opetusjärjestelyiden yhteydessä. Arkaluonteisten tietojen ollessa kyseessä pyydetään niiden käsittelyyn erillinen suostumus, jos lainsäädäntö sitä edellyttää. Arkaluontoisten henkilötietojen käsittely tutkimuksessa edellyttää yliopiston eettisen toimikunnan antamaa lausuntoa. 7. Tietosuojan toteuttaminen yliopistossa 7.1. Sisäänrakennettu ja oletusarvoinen tietosuoja Kaikessa henkilötietojen käsittelyssä tulee noudattaa seuraavia tietosuojan perusperiaatteita: henkilötiedon käsittelyllä on laissa mainittu käsittelyperuste; henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä; käsittely rajoitetaan käyttötarkoituksen mukaisesti; käsittelyssä noudetaan tietoturvaa koskevia määräyksiä; yliopiston kuukausipalkkaiset työntekijät, jotka käsittelevät henkilötietoja, ovat suorittaneet tietosuojakoulutuksen; tuntiopettajat perehdytetään tehtäviensä hoitamisen kannalta riittävässä määrin tietosuojaan; opiskelijat, jotka käsittelevät henkilötietoja esim. opinnäytteessään, perehdytetään tietosuojaan; niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä; 4

henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan (esim. pseudonymisoinnin avulla) ja toteutetaan käsittelyä koskeva vaikutusten arviointi, jos riskit ovat suuret; käsitellään vain tarpeellisia henkilötietoja; huolehditaan tietojen oikeellisuudesta; noudatetaan sisäänrakennetun tietosuojan periaatetta; tietojenkäsittelytoimet dokumentoidaan; henkilötietoja säilytetään vain käyttötarkoituksen edellyttämän ajan; tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti. Henkilötietojen käsittelyn prosessi tulee aina suunnitella etukäteen huomioiden henkilötietojen käsittelyn koko elinkaari. Tämä tarkoittaa muun muassa seuraavaa: Yliopiston työntekijät, jotka ovat vastuussa uusien tai merkittävästi muuttuneiden henkilötietoja käsittelevien järjestelmien määrittelemisestä ja suunnittelusta ottavat huomioon henkilötietojen suojan ja suoritettavat tarpeelliset riskien- ja/tai vaikutustenarvioinnit. Vastaavasti tutkimus-, opinto- tai muussa projektissa tulee tehdä riskiarvio ja siihen perustuen valita sopivat tekniset ja organisatoriset ratkaisut henkilötietojen suojan toteuttamiseksi. Tutkimus-, opinto- tai muu projekti voi myös vaatia tietosuojaa koskevaa vaikutustenarviointia. Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettistä arviointiprosessia. Työntekijöiden ja opiskelijoiden, hakijoiden, alumnien, yhteistyökumppaneiden, palveluiden käyttäjien, verkkosivuilla vierailevien ja muiden rekisteröityjen henkilötietoja käsittelevät yksinomaan ne henkilöt, joiden työtehtäviin se kuuluu. Käyttö- ja lukuoikeudet tietojärjestelmiin määritetään ja myönnetään aina työtehtävän edellyttämässä laajuudessa vain niille henkilöille, jotka tarvitsevat ko. tietojärjestelmän sisältämän henkilörekisterin tietoja heille annetun tehtävän hoitamiseksi. Opiskelijoiden ja opiskelijaksi hakevien henkilötietoja käsittelevien työntekijöiden tulee noudattaa opintotietojen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. Vastaavasti tutkimuksessa henkilötietojen käsittelevien työntekijöiden tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. 7.2. Henkilötietojen käsittelystä informoiminen Henkilötietojen käsittelystä annetaan EU:n yleisen tietosuoja-asetuksen edellyttämä informaatio yliopiston verkkosivuilla julkaistavissa tai muutoin rekisteröityjen tietoon saatettavissa tietosuojailmoituksissa. Kunkin henkilörekisterin vastuuhenkilö on myös velvollinen huolehtimaan siitä, että rekisteristä on laadittu yliopiston tarvitsema sisäinen dokumentaatio. Henkilötietojen käsittely eri tilanteissa kuvataan yliopiston tietosuojailmoituksissa. 5

7.3. Henkilötietojen oikeellisuudesta huolehtiminen Henkilörekisteritietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia. Yliopiston työntekijöitä koskevien henkilörekisteritietojen ajantasaisuuden varmistamiseksi jokainen työntekijä vastaa palkanmaksua varten antamiensa henkilökohtaisten tietojen sekä muiden ilmoittamiensa tietojen oikeellisuudesta ja ajantasaisuudesta. Työsuhteen aikana työntekijän tulee ilmoittaa em. tietoja koskevat muutokset henkilöstöpalveluiden kulloinkin voimassa olevan ohjeistuksen mukaisesti (esimerkiksi tilinumeron- ja osoitteenmuutokset). Opiskelijarekisteritietojen ajantasaisuuden varmistamiseksi opiskelijoiden tulee tarkistaa henkilötietojensa oikeellisuus ja päivittää henkilötietonsa opiskelijoiden portaalissa tarvittaessa ja vähintään kerran lukuvuodessa. Muiden henkilörekisterien osalta tietojen päivityksistä sovitaan rekisteröityjen kanssa tai tiedot päivitetään julkisia rekistereitä hyödyntämällä (esim. Väestötietojärjestelmän kautta). 7.4. Henkilötietojen säilytysajat Yliopisto säilyttää henkilötietoja tiedonohjaussuunnitelman mukaisesti. Tiedonohjaussuunnitelmassa on lueteltu eri prosesseissa syntyvät asiakirjat tai tiedot, sekä niiden: Säilytysajat, jotka on vuositiedon lisäksi voitu ilmoittaa lyhenteillä voa = voimassaoloaika, op = opintojen päättymiseen tai sp = säilytetään pysyvästi. Lakisääteiset julkisuustiedot: Julkinen, OS = osittain salassapidettävä ja S = salassapidettävä. Tietoja on tarkennettu sen lain / lakien pykälällä, johon salassapito perustuu sekä salassapitoajalla. Henkilötietoluonne (H = sisältää henkilötietoja) Rekisteröintijärjestelmä (=järjestelmä johon tieto on tallennettu) Lisätiedot, eli tarkentavaa tietoa kyseisen asiakirjaryhmän julkisuudesta, säilytyksestä tai arkistoinnista Kun tiedonohjaussuunnitelman mukainen säilytysaika on ohi, tulee asiakirjat hävittää turvallisesti tietoaineiston hävittämisestä annetun ohjeistuksen mukaisesti. Tutkimusaineistojen säilytysajat määräytyvät tutkimussuunnitelman ja aineiston-hallintasuunnitelman mukaisesti ja säilytysaika kerrotaan tutkimushankkeen tietosuojailmoituksessa. 7.5. Henkilötietojen käsittelyn ulkoistaminen Yliopisto voi rekisterinpitäjänä ulkoistaa osan henkilötietojen käsittelytoimistaan ulkopuoliselle käsittelijälle. Ulkopuoliseksi henkilötietojen käsittelijäksi valitaan sellaisia kumppaneita, jotka noudattavat hyvää henkilötietojen käsittelytapaa sekä täyttävät EU:n yleisen tietosuojaasetuksen vaatimukset. Yliopiston ja palveluntarjoajan välille laaditaan kirjallinen sopimus, jossa määritellään henkilötietojen käsittelyn kohde, tarkoitus sekä muut tietosuoja-asetuksen edellyttämät tiedot. 6

7.6. Automaattinen päätöksenteko Henkilön tai henkilön suorituksen arviointien tuloksena ei tehdä päätöksiä automatisoidusti, vaan esimerkiksi siten, että yliopiston henkilökunnan jäsen valvoo arvioinnin tuloksia, tai koelautakunta päättää kokeiden lopputulokset. 8. Tietosuoja tutkimuksessa ja opinnoissa 8.1. Henkilötietojen käsittely tutkimuksessa Tieteellisessä tutkimustarkoitusta varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita ottaen lisäksi huomioon ne akateemiset tavoitteet, joita yksittäisellä tutkimuksella on. Tutkimussuunnitelmaa ja aineistonhallintasuunnitelmaa laadittaessa on otettava huomioon henkilötiedon käsittelyn vaatimukset ja EU:n yleisen tietosuoja-asetuksen noudattaminen. Yksityiskohtaisempaa tietoa henkilötietojen käsittelystä kussakin tutkimuksessa annetaan tietosuojailmoituksessa, jossa selostetaan tarkemmin kyseistä tieteellisestä tutkimusta koskevia erityiskysymyksiä. Tietosuojailmoituksessa kuvataan mm. henkilötietojen käsittelyn tarkoitusta ja tutkittavien oikeuksia, minkä lisäksi siinä yksilöidään tutkimuksen vastuuhenkilö tai tutkimuksesta vastaava ryhmä. Tutkittavia voidaan informoida lisäksi muulla tavalla, joka on selkeä ja ymmärrettävä, kuten esim. videon tai infografiikan avulla. Tutkijat vastaavat tutkimusprojektiin osallistuvien informoinnista. Niiden henkilöiden, jotka yliopiston tutkimushankkeissa käsittelevät henkilötietoja, tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. Yliopistossa toimivien tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa toimintatapaa European Code of Conduct for Research Integrity mukaisesti. Tarvittava tutkimuseettinen ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan, noudattaen tutkimuseettisen neuvottelukunnan (TENK) ja yliopiston ohjeistusta. Yliopisto on tutkimushankkeissa rekisterinpitäjä silloin, kun yliopisto määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu tutkimushankkeissa, jotka ovat yliopiston hyväksymiä ja joiden rahoitus on osoitettu yliopistolle. Yliopisto ja tutkija voivat myös olla yhteisrekisterinpitäjiä, esim. jos tutkija määrittää henkilötietojen käsittelyn tarkoituksen. Henkilötietojen käsittelyn tulee myös tutkimuksessa rajoittua siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi, minkä lisäksi tulee käyttää tietojen pseudonymisointia tai anonymisointia. 7

8.2. Henkilötietojen käsittely osana opintoja Opintoja varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita. Opiskelijan tulee sopia henkilötietojen käsittelystä osana tutkimussuunnitelmaansa opinnäytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkilötietojen kerääminen tai muu käsittely alkaa. Opiskelijan tulee osana opintoja tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen ja on suositeltavaa, että hän suorittaa yliopiston tarjoaman tietosuojakoulutuksen ennen henkilötietojen käsittelyä. Opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkilötietojen käsittely tutkimuksessa siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi sekä huolehtia muutoin tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan. 9. Tietoturva Jokaisen yliopistossa henkilötietoja käsittelevän tulee omalta osaltaan varmistaa, että henkilötietoja säilytetään turvallisesti ja henkilötietoja ei anneta kolmannelle osapuolelle vahingossa tai tarkoituksella lainvastaisella tavalla. Eheyden, luottamuksellisuuden ja käytettävyyden varmistamiseen pyritään sekä tietoteknisien ratkaisujen että prosessien avulla. Vastuu eheyden, luottamuksellisuuden ja käytettävyyden toteutumisesta on jokaisella yliopistossa henkilötietoja käsittelevällä. Perustan tiedon suojaamiselle (eheys ja luottamuksellisuus) antavat yliopiston tietoaineiston käsittelysäännöt. Tietoaineiston käsittelysäännöissä kuvataan toimintatavat, joiden avulla estetään aineiston joutuminen ulkopuolisten käsiin. Käsittelysäännöt sisältävät ohjeet esimerkiksi tiedon salaukseen eri tilanteissa. Tietoaineiston käsittelysäännöt koskevat tietoa sen kaikissa olomuodoissa, esimerkiksi tietojärjestelmissä, dokumentissa, tulostettuna, varmuuskopiona jne. Turvaluokitellun tiedon sijoittaminen johonkin tietojärjestelmään edellyttää, että tietojärjestelmä täyttää turvaluokan vaatimukset. 10. Tietoturvapoikkeamia koskeva ilmoitusvelvollisuus Tietoturvapoikkeama on tapahtuma, jonka seurauksena yliopiston vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyys vaarantuu. Jokaisella on velvollisuus raportoida tietoturvapoikkeamasta. Tietoturvapoikkeamia ovat esimerkiksi muistivälineiden tai laitteiden katoaminen sekä merkittävät haittaohjelmat. Tapahtuneesta tai epäillystä tietoturvapoikkeamasta on välittömästi ilmoitettava ottamalla yhteyttä yliopiston tietoturvaryhmään sähköpostilla osoitteeseen tietoturva@uniarts.fi. Tietoturvaryhmä käsittelee yliopistoa koskevat tietoturva- ja tietosuojapoikkeamailmoitukset, avustaa poikkeamien ratkaisemisessa, mm. tutkimalla mahdolliset tietomurrot. EU:n yleisen tietosuoja-asetuksen mukaisesti yliopiston tietosuojavastaava ilmoittaa ilman aiheetonta viivästystä ja viimeistään 72 tunnin sisällä tietosuojavaltuutetulle, jos tapahtuu 8

henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa riskin henkilöiden oikeuksille ja vapauksille. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa korkean riskin henkilöille, ilmoittaa tietosuojavastaava viivytyksettä asianomaisille henkilöille. 11. Henkilötiedon siirtäminen EU:n ja European Economic Area -alueen (EEA) ulkopuolelle Yliopiston tietosuojapolitiikkana on noudattaa erityistä huolellisuutta, jos henkilötietoa siirretään EU:n ja European Economic Area -alueen (EEA) ulkopuolelle maihin, jotka eivät tarjoa EU:n yleisen tietosuoja-asetuksen mukaista tietosuojaa. Henkilötiedon siirtäminen EU:n ja EEA-alueen ulkopuolelle tulee toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti. 12. Rekisteröityjen tieto-, tarkastus- ja muut tietosuojapyynnöt Henkilötietojen suojaan kuuluu mm. jokaisen oikeus tutustua hänestä kerättyihin tietoihin ja saada tiedot korjatuiksi tai tietyin rajoituksin poistetuiksi. Yliopistossa on määritetty toimintaprosessi ja toteutettu rekisteröityjen tieto- tarkastus-, korjaus- ja poistamispyyntöjä varten menettely, jota ylläpitää tietosuojavastaava. 13. Koulutus ja ohjeistus Yliopisto henkilötietojen rekisterinpitäjänä pyrkii varmistamaan, että henkilökunta on tietoinen tietoturvan heille asettamista vaatimuksista ja vastaa koulutuksen ja ohjeiden tarjoamisesta. Jokaisen henkilökunnan jäsenen tulee tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen. Kuukausipalkkainen henkilöstö suorittaa tietosuojan verkkokoulutuksen. Verkkokoulutusta tarjotaan lisäksi tuntiopettajille, tutkijoille ja opiskelijoille, joiden työtehtävät, tutkimustehtävät tai opinnäytetyöskentely sitä edellyttävät. Yliopiston tietosuojailmoitukset, käytännesäännöt- ja ohjeet, koulutusmateriaalit ja muu tietosuojainformaatio julkaistaan yliopiston www-sivuilla tai intranetissa. 14. Tietosuojapolitiikan vastainen menettely Henkilöä, joka huomaa, ettei tietosuojapolitiikkaa ole noudatettu hänen henkilötietojensa käsittelyssä, pyydetään asian korjaamiseksi ottamaan yhteyttä yliopiston tietosuojavastaavaan sähköpostitse tietosuoja@uniarts.fi.henkilöllä on myös oikeus saattaa yliopiston toiminnan lainmukaisuus Tietosuojavaltuutetun toimiston arvioitavaksi. 9

15. Tietosuojapolitiikan voimaantulo ja ylläpito Yliopiston rehtori on hyväksynyt tämän henkilötietojen suojaa koskevan politiikan yliopiston henkilökuntaa, opiskelijoita ja muita yliopisto-yhteisön jäseniä sitovaksi säännöstöksi päätöksellään toukokuussa 2018. Yliopiston tietosuojavastaava vastaa siitä, että tietosuojapolitiikka pysyy ajankohtaisena ja sitä tarkistetaan muutostarpeita vastaavaksi. 10

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute