HELSINGIN YLIOPISTON TIETOSUOJAA KOSKEVAT PERIAATTEET

Samankaltaiset tiedostot
TIETOSUOJAPOLITIIKKA: SUUN TERVEYDENHOIDON AMMATTILIITTO

Taideyliopiston tietosuojapolitiikka

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Haminan tietosuojapolitiikka

Yliopistoyhteisön jä senet (johto, työnt ekijät, opiskelijat sekä aka teemi set vierai lija t) ovat velvoll isia

Eläketurvakeskuksen tietosuojapolitiikka

Henkilötietojen käsittelyn ehdot. 1. Yleistä

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Vaikutustenarviointi GDPR:n mukaan

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tutkittavan informointi ja suostumus

Salon kaupunki , 1820/ /2018

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Politiikka: Tietosuoja Sivu 1/5

Salon kaupunki , 1820/ /2018

Salon kaupunki / /2018

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Salon kaupunki / /2018

Ulvilan kaupungin tietosuojapolitiikka

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Henkilötietojen käsittelyn ehdot

Teknologia avusteiset palvelutverkostopalaveri

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojavaltuutetun toimiston tietoisku

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

EU:n tietosuoja-asetus

EU:n tietosuoja-asetus (GDPR)

4. Tutkimuksen vastuullinen johtaja tai siitä vastaava ryhmä

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Henkilötietojen käsittelyn ehdot

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

LIITE 3: HENKILÖTIETOJEN KÄSITTELYN EHDOT

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Organisaatioluvan hakeminen

Tietoturvallisuusliite

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

Asiakaskilpailuja koskeva tietosuojaseloste

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Kolarin kunnan tietosuojapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Termit. Tietosuojaseloste

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste 1 (6)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Varustekorttirekisteri - Tietosuojaseloste

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

1 Tietosuojapolitiikka

Oulun Maanmittauskerho ry. Tietosuojaseloste

LIITE HENKILÖTIETOJEN KÄSITTELYSTÄ

Tampereen Aikidoseura Nozomi ry

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Tietosuojaseloste / Tapahtumatukiselvitys

Suostumus ja informointi tietosuojan muuttuneet käytännöt. Avoimen tieteen kevätpäivät

Kangasalan Moottorikerhon tietosuojakäytännöt

Verkkosivujen palautelomakkeen käsittelyä koskeva tietosuojaseloste

TIETOSUOJAPOLITIIKKA

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

ENERSENSE OY:N TIETOSUOJASELOSTE TYÖNHAKIJOILLE. Viimeksi päivitetty:

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tiedon elinkaaren hallinta Henkilötietojen suoja

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tuotenäytteiden jakelua koskeva tietosuojaseloste

Transkriptio:

REHTORIN PÄÄTÖS 1 (9) HY/1148/00.00.06.00/2018 19.11.2018 HELSINGIN YLIOPISTON TIETOSUOJAA KOSKEVAT PERIAATTEET Sisällys 1 Tarkoitus ja tavoitteet 2 Tietosuojaa koskevien periaatteiden noudattamisvelvollisuus 3 Julkisuusperiaate 4 Roolit ja vastuut tietosuojan toteuttamisessa 5 Arkaluonteisten henkilötietojen käsittely yliopistossa 6 Tietosuojan toteuttaminen yliopistossa 6.1 Sisäänrakennettu ja oletusarvoinen tietosuoja 6.2 Henkilötietojen käsittelystä informoiminen 6.3 Henkilötietojen oikeellisuudesta huolehtiminen 6.4 Henkilötietojen säilytysajat 6.5 Henkilötietojen käsittelyn ulkoistaminen 6.6 Automaattinen päätöksenteko 7 Tietosuoja tutkimuksessa ja opinnoissa 7.1 Henkilötietojen käsittely tutkimuksessa 7.2 Henkilötietojen käsittely osana opintoja 8 Tietoturva 9 Tietoturvapoikkeamia koskeva ilmoitusvelvollisuus 10 Henkilötiedon siirtäminen Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle 11. Tietosuojaa koskevien periaatteiden vastainen menettely 12. Tietosuojaa koskevien periaatteiden voimaantulo ja ylläpito

2 (9) 1 Tarkoitus ja tavoitteet Yliopisto on tiedon, oppimisen ja tutkimuksen keskus. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa suuri osa tiedosta koskee eläviä ihmisiä ja on siten heidän henkilötietoaan. Helsingin yliopisto henkilötietojen rekisterinpitäjänä ja käsittelijänä on sitoutunut suojelemaan yksilön oikeuksia ja vapauksia henkilötietojen käsittelyssä. Tietosuojalla tarkoitetaan elävän ihmisen yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja laillisen perusteen nojalla. Muut näissä periaatteissa käytetyt käsitteet viittaavat tietosuojalainsäädännössä niille annettuihin sisältöihin. Nämä tietosuojaa koskevat periaatteet määrittelevät ne periaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Lisäksi tietosuojan toteuttamiseksi yliopistossa on voimassa käytännesääntöjä ja muuta ohjeistusta, jotka yhdessä näiden periaatteiden kanssa muodostavat kokonaisuuden. Tietosuojaa koskevien periaatteiden tavoitteena on varmistaa, että yliopisto noudattaa EU:n yleisen tietosuoja-asetuksen (EU) 2016/679, kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja että lainsäädännön noudattaminen on osoitettavissa dokumentaation avulla. 2 Tietosuojaa koskevien periaatteiden noudattamisvelvollisuus Yliopistoyhteisön jäsenet (johto, työntekijät, opiskelijat sekä akateemiset vierailijat) ovat velvollisia noudattamaan näitä tietosuojaa koskevia periaatteita sekä muita yliopiston tietoturvaa ja tietosuojaa koskevia käytäntöjä, sääntöjä ja ohjeita. Jos henkilötietojen käsittely tehdään yliopiston lukuun, näitä periaatteita tulee noudattaa riippumatta siitä, missä tietoa säilytetään ja huolimatta siitä, kuka omistaa käsittelyyn käytetyt välineet. Tietosuojaa koskevia periaatteita tulee myös noudattaa aina, kun henkilötietojen käsittelyyn käytetään yliopiston tietojärjestelmiä tai muita tietotekniikkaresursseja. 3 Julkisuusperiaate

3 (9) Julkisuusperiaatteen mukaan yliopiston hallussa oleva tieto on julkista, jollei laissa erikseen toisin säädetä. Henkilötietojen julkisuus määräytyy siten julkisuuslain (621/1999) mukaisesti. Julkisuuslakia sovelletaan myös yliopiston käsittelemien henkilötietojen luovuttamiseen. Julkisuuslain nojalla yliopisto voi olla velvollinen luovuttamaan henkilötietoja sisältäviä tietoja sivullisille. 4 Roolit ja vastuut tietosuojan toteuttamisessa Yliopiston johdolla on tietosuoja-asioiden yliopistotasoinen vastuu. Tiedekuntien, erillisten laitosten ja palveluyksiköiden johtajilla on vastuu varmistaa, että yksiköissä noudatetaan tietosuojalainsäädäntöä ja näitä tietosuojaa koskevia periaatteita. Johtajat voivat delegoida tietosuoja-asioiden hallinnoinnin yksikön tietosuoja-asioiden yhteyshenkilöille, mutta oikeudellinen vastuu on tällöinkin johtajalla. Yksiköiden johtajien vastuulla on, että henkilötietoja käsittelevät työntekijät perehtyvät yliopiston tietoturva- ja tietosuojamääräyksiin ja ohjeisiin. Esimiesten tehtävä on valvoa, että henkilöstö noudattaa tietoturva- ja tietosuojamääräyksiä ja ohjeita. Yksiköiden johtajien tulee varmistua siitä, että yksiköissä käytetään tietojärjestelmiä, jotka vastaavat yliopiston tietoturva-, tietosuoja- ja kokonaisarkkitehtuuriperiaatteita. Henkilötietoja käsittelevän järjestelmän, palvelun tai muun henkilötiedon käsittelytoimen vastuuhenkilöksi tulee yleensä nimetä asianomaisesta toiminnosta vastaava henkilö. Vastuuhenkilö on velvollinen varmistamaan vastuullaan olevan käsittelytoimen osalta, että henkilötietojen käsittely on suunniteltu tietosuojaperiaatteet huomioiden ja tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein. Henkilötietoja käsittelevän järjestelmän, palvelun tai muun henkilötiedon käsittelytoimen yhteyshenkilöksi nimetään käsittelytoimen tai henkilörekisterin käytännön hallinnoinnista vastaava(t) henkilö(t), esimerkiksi järjestelmän pääkäyttäjä(t). Yhteyshenkilö vastaa muun muassa käsiteltävien henkilötietojen ja tietosuojadokumentaation ajantasaisuudesta, kuten tietosuojaselosteen laatimisesta ja päivittämisestä. Vastuullinen johtaja tutkimushankkeissa vastaa siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja näitä tietosuojaa koskevia periaatteita. Lisäksi hänen vastuullaan on, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimuksen vastuullinen johtaja täsmentää työntekijöiden roolien (vastuuhenkilö/yhteyshenkilö/käsittelijä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tutkimusaineiston osalta noudattaen soveltuvin osin edellä kuvattua vastuunjakomallia.

4 (9) Yliopiston tietosuojavastaava antaa neuvontaa ja opastusta tietosuoja-asioista, seuraa tietosuoja-asetuksen ja näiden tietosuojaa koskevien periaatteiden noudattamista yliopistossa sekä raportoi poikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle, tietosuojavaltuutetulle, ilmoittamana yliopiston tietosuojayhteyshenkilönä. Yliopiston tietoturvapäällikkö vastaa yliopiston tietojärjestelmien tietoturvallisuuteen ja muutoin tietoturvaan liittyvästä neuvonnasta ja opastuksesta sekä ilmoitettujen tietoturvapoikkeamien käsittelystä. Jokainen yliopiston työntekijä, opiskelija ja yliopiston järjestelmien ja palveluiden käyttäjä osallistuu omalta osaltaan tietosuojan toteuttamiseen, ylläpitämiseen ja valvontaan mm. noudattamalla yliopiston tietosuoja- ja tietoturvamääräyksiä ja muita ohjeita. 5 Arkaluonteisten henkilötietojen käsittely yliopistossa Yliopiston toiminnassa on tarve käsitellä arkaluontoisia henkilötietoja eli erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Tällaisten henkilötietojen käsittely on tarkkaan säänneltyä ja niiden käsittelyn osalta on noudatettava erityistä tarkkuutta varsinkin käsittelyperusteiden määrittelyssä. 6 Tietosuojan toteuttaminen yliopistossa 6.1 Sisäänrakennettu ja oletusarvoinen tietosuoja Tiedon käsittelyn elinkaari tulee suunnitella etukäteen. Kaikessa henkilötietojen käsittelyssä on noudatettava EU:n tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita. Kaikessa henkilötietojen käsittelyssä tulee noudattaa seuraavia tietosuojaan liittyviä toimintatapoja: henkilötiedon käsittelyllä on käyttötarkoitukseen sidottu lainmukainen käsittelyperuste; arkaluonteisten henkilötietojen osalta on määritelty käsittelyperusteen lisäksi lainmukainen erityisperuste; henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä; käsittely rajoitetaan ennalta määriteltyyn käyttötarkoitukseen;

5 (9) käsittelyssä noudetaan tietoturvaa koskevia määräyksiä; opiskelijat ja työntekijät, jotka käsittelevät henkilötietoja, ovat suorittaneet yliopiston tietosuojakoulutuksen; niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä; henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan esimerkiksi pseudonymisoinnin tai tiedon salaamisen avulla ja laaditaan tietosuojaa koskeva vaikutustenarviointi, jos riskit ovat suuret; rekisteröityjen oikeuksien toteuttamiseksi toteutetaan asianmukaiset toimenpiteet; käsitellään vain tarpeellisia henkilötietoja; huolehditaan tietojen oikeellisuudesta; noudatetaan sisäänrakennetun tietosuojan periaatetta; tietojenkäsittelytoimet dokumentoidaan; henkilötietoja säilytetään vain käyttötarkoituksen edellyttämän ajan; tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti ja työntekijöiden ja opiskelijoiden, hakijoiden, alumnien, yhteistyökumppaneiden, palveluiden käyttäjien, verkkosivuilla vierailevien ja muiden rekisteröityjen henkilötietoja käsittelevät yksinomaan ne henkilöt, joiden työtehtäviin se kuuluu. 6.2 Henkilötietojen käsittelystä informoiminen Henkilötietojen käsittelystä annetaan tietosuoja-asetuksen edellyttämä informaatio yliopiston verkkosivuilla julkaistavissa tai muutoin rekisteröityjen tietoon saatettavissa tietosuojailmoituksissa. Käsittelykokonaisuuden vastuuhenkilö on myös velvollinen huolehtimaan siitä, että käsittelykokonaisuudesta on laadittu yliopiston sisäinen tietosuojaseloste. 6.3 Henkilötietojen oikeellisuudesta huolehtiminen Henkilötietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia. Yliopiston työntekijöitä koskevien henkilötietojen ajantasaisuuden varmistamiseksi jokainen työntekijä vastaa ilmoittamiensa tietojen oikeellisuudesta ja ajantasaisuudesta. Opiskelijarekisteritietojen ajantasaisuuden varmistamiseksi opiskelijoiden tulee tarkistaa henkilötietojensa oikeellisuus ja päivittää henkilötietonsa opiskelijoiden portaalissa. Muiden henkilötietojen osalta tietojen päivityksistä sovitaan rekisteröityjen kanssa tai tiedot päivitetään julkisia viranomaisrekistereitä hyödyntämällä (esimerkiksi Väestötietojärjestelmän kautta).

6 (9) 6.4 Henkilötietojen säilytysajat Yliopisto säilyttää henkilötietoja arkistonmuodostussuunnitelman (AMS) mukaisesti. Arkistonmuodostamissuunnitelmassa on lueteltu eri prosesseissa syntyvät asiakirjat tai tiedot, sekä tiedot niiden säilytysajoista, lakisääteisistä julkisuustiedoista, henkilötietoluonteesta (sisältääkö asiakirja henkilötietoja), rekisteröintijärjestelmästä sekä muuta tarkentavaa lisätietoa. Kun arkistonmuodostamissuunnitelman mukainen säilytysaika on ohi, tulee asiakirjat hävittää turvallisesti tietoaineiston hävittämisestä annetun ohjeistuksen mukaisesti. Tutkimusaineistojen säilytysajat määräytyvät tutkimussuunnitelman ja aineistonhallintasuunnitelman mukaisesti ja säilytysaika tai sen määrittämisen kriteerit kerrotaan tutkimushankkeen tietosuojailmoituksessa. 6.5 Henkilötietojen käsittelyn ulkoistaminen Yliopisto voi rekisterinpitäjänä käyttää ulkopuolisia henkilötietojen käsittelijöitä. Tällaisiksi käsittelijöiksi valitaan kumppaneita, jotka noudattavat hyvää henkilötietojen käsittelytapaa sekä täyttävät EU:n tietosuoja-asetuksen vaatimukset. Yliopiston ja palveluntarjoajan välille laaditaan kirjallinen sopimus, jossa määritellään henkilötietojen käsittelyn kohde, tarkoitus sekä muut tietosuoja-asetuksen edellyttämät tiedot. 6.6 Automaattinen päätöksenteko Henkilön tai henkilön suorituksen arviointien tuloksena ei tehdä päätöksiä automatisoidusti, vaan esimerkiksi siten, että yliopiston henkilökunnan jäsen valvoo automaattisen arvioinnin tuloksia, tai koelautakunta päättää kokeiden lopputulokset. 7 Tietosuoja tutkimuksessa ja opinnoissa 7.1 Henkilötietojen käsittely tutkimuksessa Tieteellisessä tutkimustarkoitusta varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan näitä tietosuojaa koskevia periaatteita ottaen lisäksi huomioon ne akateemiset tavoitteet, joita

7 (9) yksittäisellä tutkimuksella on. Henkilötietojen käsittely tieteellisissä tutkimushankkeissa perustuu yliopistossa hyväksyttyyn tutkimussuunnitelmaan. Yksityiskohtaisempaa tietoa henkilötietojen käsittelystä kussakin tutkimuksessa annetaan tietosuojailmoituksessa, jossa selostetaan tarkemmin kyseistä tieteellisestä tutkimusta koskevia erityiskysymyksiä, kuten henkilötietojen käsittelyn tarkoitusta ja tutkittavien oikeuksia, minkä lisäksi siinä yksilöidään tutkimuksen vastuuhenkilö tai tutkimuksesta vastaava ryhmä. Tutkittavia voidaan informoida lisäksi muulla tavalla, joka on selkeä ja ymmärrettävä, kuten esimerkiksi videon tai infografiikan avulla. Tutkijat vastaavat tutkimusprojektiin osallistuvien informoinnista. Yliopistossa toimivien tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa European Code of Conduct for Research Integrity -toimintatavan mukaisesti. Tarvittava tutkimuseettinen ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan, noudattaen Tutkimuseettisen Neuvottelukunnan (TENK) ja yliopiston ohjeistusta. Yliopisto on tutkimushankkeissa rekisterinpitäjä silloin, kun yliopisto määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu erityisesti tutkimushankkeissa, jotka ovat yliopiston hyväksymiä ja joiden rahoitus on osoitettu yliopistolle. Tämä tarkoittaa sitä, että pääsääntöisesti yliopisto on rekisterinpitäjä. Henkilötietojen käsittelyn tulee myös tutkimuksessa rajoittua siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi, minkä lisäksi tulee käyttää mahdollisuuksien mukaan soveltuvia teknisiä ja organisatorisia toimenpiteitä, kuten tietojen pseudonymisointia tai anonymisointia. 7.2 Henkilötietojen käsittely osana opintoja Opintoja varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan näitä tietosuojaa koskevia periaatteita. Opiskelijan tulee sopia henkilötietojen käsittelystä osana tutkimussuunnitelmaansa opinnäytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkilötietojen kerääminen tai muu käsittely alkaa. Opiskelijan tulee osana opintoja tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen ja on suositeltavaa, että hän suorittaa yliopiston tietosuojakoulutuksen ennen henkilötietojen käsittelyä. Opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkilötietojen käsittely tutkimuksessa siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi sekä huolehtia muutoin tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan.

8 (9) 8 Tietoturva Jokaisen yliopistossa henkilötietoja käsittelevän tulee omalta osaltaan varmistaa, että henkilötietoja säilytetään turvallisesti ja että henkilötietoja ei anneta kolmannelle osapuolelle vahingossa tai tarkoituksella lainvastaisella tavalla. Eheyden, luottamuksellisuuden ja käytettävyyden varmistamiseen pyritään sekä tietoteknisien ratkaisujen että prosessien avulla. Vastuu eheyden, luottamuksellisuuden ja käytettävyyden toteutumisesta on jokaisella yliopistossa henkilötietoja käsittelevällä. 9 Tietoturva- ja tietosuojapoikkeamia koskeva ilmoitusvelvollisuus Tietoturvapoikkeama on tapahtuma, jonka seurauksena yliopiston vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyys vaarantuu. Jokaisella on velvollisuus raportoida tietoturvapoikkeamasta. Tietoturvapoikkeamia ovat esimerkiksi muistivälineiden tai laitteiden katoaminen, merkittävät haittaohjelmat tai henkilötietojen katsominen ilman lainmukaista perustetta. Tapahtuneesta tai epäillystä tietoturvapoikkeamasta on välittömästi ilmoitettava ottamalla yhteyttä yliopiston tietoturvaryhmään, esimerkiksi sähköpostilla osoitteeseen tietoturva@helsinki.fi tai muutoin tietoturvaryhmän ohjeistuksen mukaisesti. Tietoturvaryhmä käsittelee yliopistoa koskevat tietoturva- ja tietosuojapoikkeamailmoitukset, avustaa poikkeamien ratkaisemisessa muun muassa tutkimalla mahdolliset tietomurrot. Tietosuoja-asetuksen mukaisesti yliopiston tietosuojavastaava tai tietoturvapäällikkö ilmoittaa ilman aiheetonta viivästystä ja viimeistään 72 tunnin sisällä tietosuojavaltuutetulle, jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa riskin henkilöiden oikeuksille ja vapauksille. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa korkean riskin henkilöille, ilmoittaa tietosuojavastaava tai tietoturvapäällikkö viivytyksettä asianomaisille henkilöille. 10 Henkilötiedon siirtäminen Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle Yliopiston tietosuojaperiaatteena on noudattaa erityistä huolellisuutta, jos henkilötietoa siirretään Euroopan unionin (EU) ja Euroopan talousalueen (ETA) ulkopuolelle maihin, jotka eivät tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa. Tällainen henkilötietojen siirtäminen tulee toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti.

9 (9) 11 Tietosuojaa koskevien periaatteiden vastainen menettely Henkilöä, joka huomaa, ettei näitä tietosuojaa koskevia periaatteita ole noudatettu hänen henkilötietojensa käsittelyssä, pyydetään asian korjaamiseksi ottamaan yhteyttä yliopiston tietosuojavastaavaan sähköpostitse tietosuoja@helsinki.fi. 12 Tietosuojaa koskevien periaatteiden voimaantulo ja ylläpito Yliopiston rehtori on hyväksynyt nämä yliopiston tietosuojaa koskevat periaatteet yliopiston henkilökuntaa, opiskelijoita ja muita yliopistoyhteisön jäseniä sitovaksi säännöstöksi 19.11.2018. Yliopiston tietosuojavastaava vastaa siitä, että tietosuojaa koskevat periaatteet pysyvät ajankohtaisena ja niitä päivitetään muutostarpeita vastaavaksi. Rehtori Jari Niemelä Lakimies, tietosuojavastaava Veera Löthman

Tämä asiakirja on allekirjoitettu Asian HY/1148/00.00.06.00/2018 asiakirja Lista allekirjoittajista Allekirjoittaja Todennus

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute