REHTORIN PÄÄTÖS 1 (9) HY/1148/00.00.06.00/2018 19.11.2018 HELSINGIN YLIOPISTON TIETOSUOJAA KOSKEVAT PERIAATTEET Sisällys 1 Tarkoitus ja tavoitteet 2 Tietosuojaa koskevien periaatteiden noudattamisvelvollisuus 3 Julkisuusperiaate 4 Roolit ja vastuut tietosuojan toteuttamisessa 5 Arkaluonteisten henkilötietojen käsittely yliopistossa 6 Tietosuojan toteuttaminen yliopistossa 6.1 Sisäänrakennettu ja oletusarvoinen tietosuoja 6.2 Henkilötietojen käsittelystä informoiminen 6.3 Henkilötietojen oikeellisuudesta huolehtiminen 6.4 Henkilötietojen säilytysajat 6.5 Henkilötietojen käsittelyn ulkoistaminen 6.6 Automaattinen päätöksenteko 7 Tietosuoja tutkimuksessa ja opinnoissa 7.1 Henkilötietojen käsittely tutkimuksessa 7.2 Henkilötietojen käsittely osana opintoja 8 Tietoturva 9 Tietoturvapoikkeamia koskeva ilmoitusvelvollisuus 10 Henkilötiedon siirtäminen Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle 11. Tietosuojaa koskevien periaatteiden vastainen menettely 12. Tietosuojaa koskevien periaatteiden voimaantulo ja ylläpito
2 (9) 1 Tarkoitus ja tavoitteet Yliopisto on tiedon, oppimisen ja tutkimuksen keskus. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa suuri osa tiedosta koskee eläviä ihmisiä ja on siten heidän henkilötietoaan. Helsingin yliopisto henkilötietojen rekisterinpitäjänä ja käsittelijänä on sitoutunut suojelemaan yksilön oikeuksia ja vapauksia henkilötietojen käsittelyssä. Tietosuojalla tarkoitetaan elävän ihmisen yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja laillisen perusteen nojalla. Muut näissä periaatteissa käytetyt käsitteet viittaavat tietosuojalainsäädännössä niille annettuihin sisältöihin. Nämä tietosuojaa koskevat periaatteet määrittelevät ne periaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Lisäksi tietosuojan toteuttamiseksi yliopistossa on voimassa käytännesääntöjä ja muuta ohjeistusta, jotka yhdessä näiden periaatteiden kanssa muodostavat kokonaisuuden. Tietosuojaa koskevien periaatteiden tavoitteena on varmistaa, että yliopisto noudattaa EU:n yleisen tietosuoja-asetuksen (EU) 2016/679, kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja että lainsäädännön noudattaminen on osoitettavissa dokumentaation avulla. 2 Tietosuojaa koskevien periaatteiden noudattamisvelvollisuus Yliopistoyhteisön jäsenet (johto, työntekijät, opiskelijat sekä akateemiset vierailijat) ovat velvollisia noudattamaan näitä tietosuojaa koskevia periaatteita sekä muita yliopiston tietoturvaa ja tietosuojaa koskevia käytäntöjä, sääntöjä ja ohjeita. Jos henkilötietojen käsittely tehdään yliopiston lukuun, näitä periaatteita tulee noudattaa riippumatta siitä, missä tietoa säilytetään ja huolimatta siitä, kuka omistaa käsittelyyn käytetyt välineet. Tietosuojaa koskevia periaatteita tulee myös noudattaa aina, kun henkilötietojen käsittelyyn käytetään yliopiston tietojärjestelmiä tai muita tietotekniikkaresursseja. 3 Julkisuusperiaate
3 (9) Julkisuusperiaatteen mukaan yliopiston hallussa oleva tieto on julkista, jollei laissa erikseen toisin säädetä. Henkilötietojen julkisuus määräytyy siten julkisuuslain (621/1999) mukaisesti. Julkisuuslakia sovelletaan myös yliopiston käsittelemien henkilötietojen luovuttamiseen. Julkisuuslain nojalla yliopisto voi olla velvollinen luovuttamaan henkilötietoja sisältäviä tietoja sivullisille. 4 Roolit ja vastuut tietosuojan toteuttamisessa Yliopiston johdolla on tietosuoja-asioiden yliopistotasoinen vastuu. Tiedekuntien, erillisten laitosten ja palveluyksiköiden johtajilla on vastuu varmistaa, että yksiköissä noudatetaan tietosuojalainsäädäntöä ja näitä tietosuojaa koskevia periaatteita. Johtajat voivat delegoida tietosuoja-asioiden hallinnoinnin yksikön tietosuoja-asioiden yhteyshenkilöille, mutta oikeudellinen vastuu on tällöinkin johtajalla. Yksiköiden johtajien vastuulla on, että henkilötietoja käsittelevät työntekijät perehtyvät yliopiston tietoturva- ja tietosuojamääräyksiin ja ohjeisiin. Esimiesten tehtävä on valvoa, että henkilöstö noudattaa tietoturva- ja tietosuojamääräyksiä ja ohjeita. Yksiköiden johtajien tulee varmistua siitä, että yksiköissä käytetään tietojärjestelmiä, jotka vastaavat yliopiston tietoturva-, tietosuoja- ja kokonaisarkkitehtuuriperiaatteita. Henkilötietoja käsittelevän järjestelmän, palvelun tai muun henkilötiedon käsittelytoimen vastuuhenkilöksi tulee yleensä nimetä asianomaisesta toiminnosta vastaava henkilö. Vastuuhenkilö on velvollinen varmistamaan vastuullaan olevan käsittelytoimen osalta, että henkilötietojen käsittely on suunniteltu tietosuojaperiaatteet huomioiden ja tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein. Henkilötietoja käsittelevän järjestelmän, palvelun tai muun henkilötiedon käsittelytoimen yhteyshenkilöksi nimetään käsittelytoimen tai henkilörekisterin käytännön hallinnoinnista vastaava(t) henkilö(t), esimerkiksi järjestelmän pääkäyttäjä(t). Yhteyshenkilö vastaa muun muassa käsiteltävien henkilötietojen ja tietosuojadokumentaation ajantasaisuudesta, kuten tietosuojaselosteen laatimisesta ja päivittämisestä. Vastuullinen johtaja tutkimushankkeissa vastaa siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja näitä tietosuojaa koskevia periaatteita. Lisäksi hänen vastuullaan on, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimuksen vastuullinen johtaja täsmentää työntekijöiden roolien (vastuuhenkilö/yhteyshenkilö/käsittelijä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tutkimusaineiston osalta noudattaen soveltuvin osin edellä kuvattua vastuunjakomallia.
4 (9) Yliopiston tietosuojavastaava antaa neuvontaa ja opastusta tietosuoja-asioista, seuraa tietosuoja-asetuksen ja näiden tietosuojaa koskevien periaatteiden noudattamista yliopistossa sekä raportoi poikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle, tietosuojavaltuutetulle, ilmoittamana yliopiston tietosuojayhteyshenkilönä. Yliopiston tietoturvapäällikkö vastaa yliopiston tietojärjestelmien tietoturvallisuuteen ja muutoin tietoturvaan liittyvästä neuvonnasta ja opastuksesta sekä ilmoitettujen tietoturvapoikkeamien käsittelystä. Jokainen yliopiston työntekijä, opiskelija ja yliopiston järjestelmien ja palveluiden käyttäjä osallistuu omalta osaltaan tietosuojan toteuttamiseen, ylläpitämiseen ja valvontaan mm. noudattamalla yliopiston tietosuoja- ja tietoturvamääräyksiä ja muita ohjeita. 5 Arkaluonteisten henkilötietojen käsittely yliopistossa Yliopiston toiminnassa on tarve käsitellä arkaluontoisia henkilötietoja eli erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Tällaisten henkilötietojen käsittely on tarkkaan säänneltyä ja niiden käsittelyn osalta on noudatettava erityistä tarkkuutta varsinkin käsittelyperusteiden määrittelyssä. 6 Tietosuojan toteuttaminen yliopistossa 6.1 Sisäänrakennettu ja oletusarvoinen tietosuoja Tiedon käsittelyn elinkaari tulee suunnitella etukäteen. Kaikessa henkilötietojen käsittelyssä on noudatettava EU:n tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita. Kaikessa henkilötietojen käsittelyssä tulee noudattaa seuraavia tietosuojaan liittyviä toimintatapoja: henkilötiedon käsittelyllä on käyttötarkoitukseen sidottu lainmukainen käsittelyperuste; arkaluonteisten henkilötietojen osalta on määritelty käsittelyperusteen lisäksi lainmukainen erityisperuste; henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä; käsittely rajoitetaan ennalta määriteltyyn käyttötarkoitukseen;
5 (9) käsittelyssä noudetaan tietoturvaa koskevia määräyksiä; opiskelijat ja työntekijät, jotka käsittelevät henkilötietoja, ovat suorittaneet yliopiston tietosuojakoulutuksen; niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä; henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan esimerkiksi pseudonymisoinnin tai tiedon salaamisen avulla ja laaditaan tietosuojaa koskeva vaikutustenarviointi, jos riskit ovat suuret; rekisteröityjen oikeuksien toteuttamiseksi toteutetaan asianmukaiset toimenpiteet; käsitellään vain tarpeellisia henkilötietoja; huolehditaan tietojen oikeellisuudesta; noudatetaan sisäänrakennetun tietosuojan periaatetta; tietojenkäsittelytoimet dokumentoidaan; henkilötietoja säilytetään vain käyttötarkoituksen edellyttämän ajan; tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti ja työntekijöiden ja opiskelijoiden, hakijoiden, alumnien, yhteistyökumppaneiden, palveluiden käyttäjien, verkkosivuilla vierailevien ja muiden rekisteröityjen henkilötietoja käsittelevät yksinomaan ne henkilöt, joiden työtehtäviin se kuuluu. 6.2 Henkilötietojen käsittelystä informoiminen Henkilötietojen käsittelystä annetaan tietosuoja-asetuksen edellyttämä informaatio yliopiston verkkosivuilla julkaistavissa tai muutoin rekisteröityjen tietoon saatettavissa tietosuojailmoituksissa. Käsittelykokonaisuuden vastuuhenkilö on myös velvollinen huolehtimaan siitä, että käsittelykokonaisuudesta on laadittu yliopiston sisäinen tietosuojaseloste. 6.3 Henkilötietojen oikeellisuudesta huolehtiminen Henkilötietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia. Yliopiston työntekijöitä koskevien henkilötietojen ajantasaisuuden varmistamiseksi jokainen työntekijä vastaa ilmoittamiensa tietojen oikeellisuudesta ja ajantasaisuudesta. Opiskelijarekisteritietojen ajantasaisuuden varmistamiseksi opiskelijoiden tulee tarkistaa henkilötietojensa oikeellisuus ja päivittää henkilötietonsa opiskelijoiden portaalissa. Muiden henkilötietojen osalta tietojen päivityksistä sovitaan rekisteröityjen kanssa tai tiedot päivitetään julkisia viranomaisrekistereitä hyödyntämällä (esimerkiksi Väestötietojärjestelmän kautta).
6 (9) 6.4 Henkilötietojen säilytysajat Yliopisto säilyttää henkilötietoja arkistonmuodostussuunnitelman (AMS) mukaisesti. Arkistonmuodostamissuunnitelmassa on lueteltu eri prosesseissa syntyvät asiakirjat tai tiedot, sekä tiedot niiden säilytysajoista, lakisääteisistä julkisuustiedoista, henkilötietoluonteesta (sisältääkö asiakirja henkilötietoja), rekisteröintijärjestelmästä sekä muuta tarkentavaa lisätietoa. Kun arkistonmuodostamissuunnitelman mukainen säilytysaika on ohi, tulee asiakirjat hävittää turvallisesti tietoaineiston hävittämisestä annetun ohjeistuksen mukaisesti. Tutkimusaineistojen säilytysajat määräytyvät tutkimussuunnitelman ja aineistonhallintasuunnitelman mukaisesti ja säilytysaika tai sen määrittämisen kriteerit kerrotaan tutkimushankkeen tietosuojailmoituksessa. 6.5 Henkilötietojen käsittelyn ulkoistaminen Yliopisto voi rekisterinpitäjänä käyttää ulkopuolisia henkilötietojen käsittelijöitä. Tällaisiksi käsittelijöiksi valitaan kumppaneita, jotka noudattavat hyvää henkilötietojen käsittelytapaa sekä täyttävät EU:n tietosuoja-asetuksen vaatimukset. Yliopiston ja palveluntarjoajan välille laaditaan kirjallinen sopimus, jossa määritellään henkilötietojen käsittelyn kohde, tarkoitus sekä muut tietosuoja-asetuksen edellyttämät tiedot. 6.6 Automaattinen päätöksenteko Henkilön tai henkilön suorituksen arviointien tuloksena ei tehdä päätöksiä automatisoidusti, vaan esimerkiksi siten, että yliopiston henkilökunnan jäsen valvoo automaattisen arvioinnin tuloksia, tai koelautakunta päättää kokeiden lopputulokset. 7 Tietosuoja tutkimuksessa ja opinnoissa 7.1 Henkilötietojen käsittely tutkimuksessa Tieteellisessä tutkimustarkoitusta varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan näitä tietosuojaa koskevia periaatteita ottaen lisäksi huomioon ne akateemiset tavoitteet, joita
7 (9) yksittäisellä tutkimuksella on. Henkilötietojen käsittely tieteellisissä tutkimushankkeissa perustuu yliopistossa hyväksyttyyn tutkimussuunnitelmaan. Yksityiskohtaisempaa tietoa henkilötietojen käsittelystä kussakin tutkimuksessa annetaan tietosuojailmoituksessa, jossa selostetaan tarkemmin kyseistä tieteellisestä tutkimusta koskevia erityiskysymyksiä, kuten henkilötietojen käsittelyn tarkoitusta ja tutkittavien oikeuksia, minkä lisäksi siinä yksilöidään tutkimuksen vastuuhenkilö tai tutkimuksesta vastaava ryhmä. Tutkittavia voidaan informoida lisäksi muulla tavalla, joka on selkeä ja ymmärrettävä, kuten esimerkiksi videon tai infografiikan avulla. Tutkijat vastaavat tutkimusprojektiin osallistuvien informoinnista. Yliopistossa toimivien tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa European Code of Conduct for Research Integrity -toimintatavan mukaisesti. Tarvittava tutkimuseettinen ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan, noudattaen Tutkimuseettisen Neuvottelukunnan (TENK) ja yliopiston ohjeistusta. Yliopisto on tutkimushankkeissa rekisterinpitäjä silloin, kun yliopisto määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu erityisesti tutkimushankkeissa, jotka ovat yliopiston hyväksymiä ja joiden rahoitus on osoitettu yliopistolle. Tämä tarkoittaa sitä, että pääsääntöisesti yliopisto on rekisterinpitäjä. Henkilötietojen käsittelyn tulee myös tutkimuksessa rajoittua siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi, minkä lisäksi tulee käyttää mahdollisuuksien mukaan soveltuvia teknisiä ja organisatorisia toimenpiteitä, kuten tietojen pseudonymisointia tai anonymisointia. 7.2 Henkilötietojen käsittely osana opintoja Opintoja varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan näitä tietosuojaa koskevia periaatteita. Opiskelijan tulee sopia henkilötietojen käsittelystä osana tutkimussuunnitelmaansa opinnäytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkilötietojen kerääminen tai muu käsittely alkaa. Opiskelijan tulee osana opintoja tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen ja on suositeltavaa, että hän suorittaa yliopiston tietosuojakoulutuksen ennen henkilötietojen käsittelyä. Opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkilötietojen käsittely tutkimuksessa siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi sekä huolehtia muutoin tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan.
8 (9) 8 Tietoturva Jokaisen yliopistossa henkilötietoja käsittelevän tulee omalta osaltaan varmistaa, että henkilötietoja säilytetään turvallisesti ja että henkilötietoja ei anneta kolmannelle osapuolelle vahingossa tai tarkoituksella lainvastaisella tavalla. Eheyden, luottamuksellisuuden ja käytettävyyden varmistamiseen pyritään sekä tietoteknisien ratkaisujen että prosessien avulla. Vastuu eheyden, luottamuksellisuuden ja käytettävyyden toteutumisesta on jokaisella yliopistossa henkilötietoja käsittelevällä. 9 Tietoturva- ja tietosuojapoikkeamia koskeva ilmoitusvelvollisuus Tietoturvapoikkeama on tapahtuma, jonka seurauksena yliopiston vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyys vaarantuu. Jokaisella on velvollisuus raportoida tietoturvapoikkeamasta. Tietoturvapoikkeamia ovat esimerkiksi muistivälineiden tai laitteiden katoaminen, merkittävät haittaohjelmat tai henkilötietojen katsominen ilman lainmukaista perustetta. Tapahtuneesta tai epäillystä tietoturvapoikkeamasta on välittömästi ilmoitettava ottamalla yhteyttä yliopiston tietoturvaryhmään, esimerkiksi sähköpostilla osoitteeseen tietoturva@helsinki.fi tai muutoin tietoturvaryhmän ohjeistuksen mukaisesti. Tietoturvaryhmä käsittelee yliopistoa koskevat tietoturva- ja tietosuojapoikkeamailmoitukset, avustaa poikkeamien ratkaisemisessa muun muassa tutkimalla mahdolliset tietomurrot. Tietosuoja-asetuksen mukaisesti yliopiston tietosuojavastaava tai tietoturvapäällikkö ilmoittaa ilman aiheetonta viivästystä ja viimeistään 72 tunnin sisällä tietosuojavaltuutetulle, jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa riskin henkilöiden oikeuksille ja vapauksille. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa korkean riskin henkilöille, ilmoittaa tietosuojavastaava tai tietoturvapäällikkö viivytyksettä asianomaisille henkilöille. 10 Henkilötiedon siirtäminen Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle Yliopiston tietosuojaperiaatteena on noudattaa erityistä huolellisuutta, jos henkilötietoa siirretään Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle maihin, jotka eivät tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa. Tällainen henkilötietojen siirtäminen tulee toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti.
9 (9) 11 Tietosuojaa koskevien periaatteiden vastainen menettely Henkilöä, joka huomaa, ettei näitä tietosuojaa koskevia periaatteita ole noudatettu hänen henkilötietojensa käsittelyssä, pyydetään asian korjaamiseksi ottamaan yhteyttä yliopiston tietosuojavastaavaan sähköpostitse tietosuoja@helsinki.fi. 12 Tietosuojaa koskevien periaatteiden voimaantulo ja ylläpito Yliopiston rehtori on hyväksynyt nämä yliopiston tietosuojaa koskevat periaatteet yliopiston henkilökuntaa, opiskelijoita ja muita yliopistoyhteisön jäseniä sitovaksi säännöstöksi 19.11.2018. Yliopiston tietosuojavastaava vastaa siitä, että tietosuojaa koskevat periaatteet pysyvät ajankohtaisena ja niitä päivitetään muutostarpeita vastaavaksi. Rehtori Jari Niemelä Lakimies, tietosuojavastaava Veera Löthman
Tämä asiakirja on allekirjoitettu Asian HY/1148/00.00.06.00/2018 asiakirja Lista allekirjoittajista Allekirjoittaja Todennus