« Takaisin

Tietosuojainfo-lomake ja sen täyttö

Tietosuojainfo

EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovellettu henkilötietojen käsittelyyn 25.5.2018 lähtien.

Tietosuojaperiaatteiden mukaan henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • käsiteltävä luottamuksellisesti ja turvallisesti
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Suora lainaus osoitteesta https://tietosuoja.fi/henkilotietojen-kasittely, haettu 4.6.2018

Tietosuojainfon tarkoitus on kertoa rekisteröidylle ymmärrettävästi ja selkeästi, mihin hänen henkilötietojaan palvelussa käytetään ja miten niitä käsitellään. Tietosuojainfo-lomakkeen otsikot ja tämä ohje auttavat sinua kertomaan vaaditut asiat rekisteröidylle. Tietosuojainfon täyttää sellainen henkilö, joka tuntee palvelun hyvin ja jonka työtehtäviin palvelun käyttö tai hallinnointi kuuluvat. Lisäksi mukana on hyvä olla IT-palveluista henkilö, joka tuntee palvelun teknisen toiminnan (käyttöoikeudet, lokit, rajapinnat).


Kirjaudu ensin Oamkin tunnuksellasi (huom. vain henkilöstö) rekisterit ja tietokannat -listaukseen. (Huom. Osoite toimii vain Oamkin verkossa tai VPN-yhteydessä)

Valitse sitten Työkalut-osiosta kohta Tietosuojainfo.

Seuraavassa näkymässä näet luettelon kaikista niistä tietosuojainfoista, joissa olet yhteyshenkilönä. Jos et näe yhtään tietosuojainfoa, se tarkoittaa ettet olet luonut yhtään tietosuojainfoa eikä kukaan ole lisännyt sinua yhteyshenkilöksi luomaansa infoon.

Sivun alareunassa on Luo uusi tietosuojainfo -linkki. Klikkaa sitä ja saat eteesi uuden tietosuojainfolomakkeen täytettäväksesi.

Huomaa, että pääset samassa näkymässä tekemään tietosuojainfon paitsi suomeksi, myös englanniksi: Jos täytät tiedot myös englanniksi, saat aikaan myös erillisen englanninkielisen selosteen (GDPR Privacy Notice). Huom! Et näe tietosuojainfoa täyttäessäsi englanninkielisiä otsikoita, mutta ne näkyvät käyttäjille englanninkielisessä tietosuojainfossa ihan oikein, sitten kun olet julkaissut tietosuojainfon.

Katso halutessasi esimerkki: Helpdeskin tietosuojainfo suomeksi ja sama englanniksi, eli Helpdesk GDPR Privacy Notice.

Lomakkeen täyttöohje

  1. Palvelun nimi
  2. Selosteen tila
  3. Rekisterinpitäjä (vastuuorganisaatio)
  4. Yhteyshenkilö palvelua koskevissa asioissa
  5. Oamkin tietosuojavastaava
  6. Henkilötietojen käsittelyn tarkoitus
  7. Automaattinen päätöksenteko tai profilointi käyttäjän tietojen perusteella
  8. Palvelussa käytettävät henkilötiedot
  9. Tietolähteet
  10. Henkilötietojen käsittelijät ja tarkastelijat (roolit, joilla on pääsy tietoihin)
  11. Henkilötietojen siirrot muihin palveluihin
  12. Tietojen säilytysaika
  13. Tietojen siirto EU:n tai ETA:n ulkopuolelle
  14. Rekisteröidyn oikeudet
  15. Tietojen käsittelyperuste

1. Palvelun nimi – Name of the service

Palvelun nimen tulisi kuvata, mistä on kysymys. Esimerkiksi järjestelmän tuotenimi yksinään ei ole hyvä palvelun nimeksi, eikä tuotenimeä ole aina tarpeellista mainita ollenkaan. Esimerkkejä:

  • Verkko-opiskeluympäristö (Moodle)
  • Opiskelijatietojärjestelmä (PEPPI)
  • Sähköinen tenttijärjestelmä (Exam)

Huom. Ethän käytä erikoismerkkejä kuten ajatusviivaa yms. palvelun nimessä.

2. Selosteen tila

Vaihtoehdot ovat Uusi (ei julkinen), Julkinen (käytössä oleva) ja vanha (ei enää käytössä).
Kun info tallennetaan ensimmäisen kerran, sille muodostuu oma uniikki osoitteensa. Osoite toimii vasta, kun tilaksi on muutettu julkinen. Tilaa tarvitaan myös Tietosuojainfo-työkalun omaa selostelistausta selkeyttämään, jotta ne joilla listaus on pitkä, hahmottavat kokonaisuuden paremmin ja näkevät mitkä infoista ovat julkisia ja mitkä eivät.

Tila kannattaa muuttaa julkiseksi vasta kun kaikki vastuuhenkilöt ovat osaltaan hyväksyneet tietosuojainfon tekstit, tietosuojavastaava on tarvittaessa tarkistanut tekstin ja tietosuojainfo on saatettu rekisteröityjen saataville.

3. Rekisterinpitäjä (vastuuorganisaatio) – Data controller (liable organisation)

Tässä on esitäytettynä aina Oamk.

4. Yhteyshenkilö palvelua koskevissa asioissa – Contact information

Tähän kohtaan tulevat tietosuojainfosta vastaavat henkilö, jotka tietävät, miksi ja miten palvelussa käsitellään henkilötietoja ja ketkä niihin pääsevät käsiksi. Lisäksi mukana voi tarvittaessa olla henkilö IT-palveluista.

Jos alat kirjoittaa henkilön nimeä kenttään, löydät vaihtoehdoista vain sellaisia, jotka ovat jo vastuuhenkilönä jossain. Jos tarvitset sellaisen nimen, jota ei jo löydy, se onnistuu henkilöhakukoneella, joka avautuu yhteyshenkilöt-kentän oikeassa reunassa olevasta napista. Voit hakea tätä kautta vain Oamkin henkilöstöä. Jos palvelulla on käytössä esim. yleisosoite kuten tukijono, sen osoitteen voit laittaa lisäkenttään, joka on yhteyshenkilöt-kentän alla. Esimerkiksi, “yhteydenotot tulisi lähettää ensisijaisesti palvelun omaan tukijonoon joku@osoite.fi”

5. Oamkin tietosuojavastaava – Data Protection Officer (DPO)

Tässä on esitäytettynä linkki Oamkin tietosuojavastaavan yhteystietoihin

6. Henkilötietojen käsittelyn tarkoitus – The purposes of processing the personal data

Palvelun käytön hyvin tunteva henkilö täyttää tämän kentän. Vastaa tässä kysymykseen MIKSI henkilötietoja käsitellään. Mahd. säädösperuste on mainittava, mutta lain nimi riittää. (Ks. erityisesti ammattikorkeakouluja koskevat säädökset; esim. ammattikorkeakoululaissa määritellään ammattikorkeakoulujen yhdeksi tehtäväksi työelämän vaatimuksiin vastaavan korkeakouluopetuksen järjestäminen.)

Esimerkkejä:

  • “Käsittelyn tarkoitus on tehdä päätös opiskelijan oikeudesta suorittaa opintonsa loppuun varsinaisen opiskeluoikeuden päättymisen jälkeen.”
  • “Ilmoittautumistiedot tarvitaan tapahtuman toteuttamiseksi.”

7. Automaattinen päätöksenteko tai profilointi käyttäjän tietojen perusteella – Automated decision-making or profiling based on personal data

Oamkissa ei pääsääntöisesti vielä ole käytössä henkilötietoja käyttävää automaattisen päätöksenteon työkaluja tai profilointia. Tämänhetkisistä palveluista sellaista käyttää Urkund ja esim. verkko-oppimisen tueksi on suunnitteilla oppimisanalyytikan käyttöönotto.

8. Palvelussa käytettävät henkilötiedot – Personal data used in the service

Nämä tiedot saa esittää tietoryhminä.
Esimerkkejä:

  • Yhteystiedot
  • Opintosuoritukset
  • Opintojaksoilmoittautumiset
  • Palkkaustiedot
  • Maksutiedot
  • Matkan tiedot
  • Tiedot työkokemuksesta

9. Tietolähteet – Data sources

Kaikki tietolähteet on merkittävä: tyypillisesti tiedot saadaan henkilöltä itseltään, mutta ne voivat siirtyä palveluun suoraan esim. opiskelijatietojärjestelmästä tai yhteystiedot voidaan esim. tarkistaa väestörekisteristä.

10. Henkilötietojen käsittelijät ja tarkastelijat (roolit, joilla on pääsy tietoihin) – Data processors (roles that can access the data)

Luetellaan ne henkilöryhmät tai roolit, jotka tietoja käsittelevät tai tarkastelevat.
Esimerkkejä:

  • Tietoja käsittelevät henkilöstöpalveluiden henkilöstö, esimiehet omien alaistensa osalta ja IT-palvelut liittyen tietojärjestelmien käyttöön. Tietojen käsittelijät käyttävät tietoja omilla henkilökohtaisilla tunnuksillaan ja vain omiin työtehtäviinsä liittyen.

11. Henkilötietojen siirrot muihin palveluihin – Transfers of personal data to other services (both inside OUAS and to other services inside the EU)

Mainittava, minne tietoja luovutetaan automaattisesti, ja minne muilla keinoin (esim. pyydettäessä)
Esimerkkejä:

  • Valmistumistiedot (tutkintonimike, nimi, kotikunta) julkaistaan kuukausittain oamk.fi-sivulla ja/tai Forum24/Kaleva-sanomalehdissä ja/tai muissa medioissa. Suostumukset tietojen julkaisemiseksi kysytään opiskelijoilta lomakkeen täyttämisen yhteydessä.
  • Maksutiedot siirtyvät talouspalveluille ja kirjanpitoon.

12. Tietojen säilytysaika – Data retention period (how long the data will be kept)

Jos poiston päivämäärää ei ole antaa, kuvataan millä kriteereillä tiedot poistetaan. Tämä tieto pitäisi löytyä arkistointisuunnitelmasta (lakisääteinen dokumentti).

Huom. Ne asiakirjat, joita ei ole määrätty pysyvästi säilytettäviksi on arkistolain mukaan hävitettävä määrätyn säilytysajan päätyttyä huolehtien, ettei tietosuoja vaarannu. Esim. paperiarkistot on tällöin huolehdittava tietosuojaroskiin sekä tiedot tietokannoista ja tiedostoista on poistettava tai anonymisoitava. Asiasta on huolehdittava varmuuskopion osalta siinä tapauksessa, jos varmuuskopio palautetaan ja siinä on tallessa tietoja, jotka on sittemmin poistettu. (Varmuuskopiosta tietoa ei siis ole erikseen poistettava muutoin kuin palautuksen yhteydessä).
Esimerkkejä:

  • Tiedot säilytetään pysyvästi.
  • Tiedot säilytetään toistaiseksi.
  • Tiedot poistetaan 7 vrk tunnuksen voimassaolon loputtua.
  • Jos käyttäjä ei ole kirjautunut palveluun kahteen vuoteen, käyttäjätunnus tietoineen poistetaan.

13. Tietojen siirto EU:n tai ETA:n ulkopuolelle – International data transfers outside the EU or the EEA

Tämä kohta on esitäytetty. Jos epäilet, että palvelussa siirretään jossain tilanteessa tietoja EU:n tai ETA:n ulkopuolelle, ole yhteydessä tietosuojavastaavaan.

14. Rekisteröidyn oikeudet – Individual rights

Tässä on valmis teksti, joka on kaikille sama.

15. Tietojen käsittelyperuste – Basis for processing personal data

Tietosuoja-asetus sallii henkilötietojen käsittelyn ilman henkilön lupaa silloin kun laki sitä edellyttää tai henkilön tietoja tarvitaan, jotta hänelle voidaan tarjota rekisterinpitäjän perustehtävää (Oamkilla koulutuksen tarjoaminen sekä rooli työnantajana) tukeva palvelu. Ainoastaan jos tiedonkeruuta ei voida perustella lain ja perustehtävän kautta, siihen on pyydettävä lupa. Käsittelyperuste on aina määriteltävä.

  • Rekisterinpitäjän lakisääteiset velvoitteet – tämä kohta valitaan, mm. silloin, kun täytetään AMK:n perustehtävää joka perustuu ammattikorkeakoululakiin. Samoin kirjanpitolaki, arkistolaki ja julkisuuslaki ovat keskeisiä ammattikorkeakoulun toimintaa ohjaavia lakeja
  • Rekisteröidyn oikeutettu etu – tämä kohta valitaan, kun rekisteröity, eli esim. opiskelija tarvitsee palvelua opiskellakseen, henkilöstön edustaja työtään tehdäkseen tai työsuhde-edun saadakseen tai vaikka kirjaston asiakas lainaa kirjan sen lukeakseen
  • Yleinen etu / julkisen vallan käyttö – tämä vaihtoehto valitaan, jos tietoja käytetään esimerkiksi tieteellisessä tutkimuksessa tai kyse on julkaisurekisteristä.
  • Sopimus – tämä kohta rinnastuu oikeutettuun etuun ja tarkoittaa sitä, että palvelun käyttäjän kanssa on tehty sopimus, jossa käyttäjä sitoutuu noudattamaan käyttöehtoja saadakseen palvelun käyttöönsä.
  • Suostumus – tätä vaihtoehtoa pyritään välttämään, sillä suostumus on uusittava puolen vuoden välein, tämä tarkoittaa sitä, että rekisteröityyn on otettava erikseen yhteyttä suostumuksen uusimiseksi. Esimerkiksi markkinointitarkoitukseen kerätyt yhteystiedot edellyttävät suostumusta.

Tietosuojainfon asettaminen saataville

Kun tallennat tietosuojainfon, löydät seuraavassa näkymässä lomakkeen yläreunasta suoran linkin tietosuojainfoon, joka on julkinen webbisivu ja linkitettävissä palvelun yhteyteen. Jos olet kirjoittanut tekstin myös englanniksi, sivun yläreunassa on kaksi linkkiä, molempiin kieliversioihin omansa. Jos mahdollista, sivu(t) olisi hyvä linkittää sen palvelun kirjautumissivulle, jota info koskee (joko molemmat kieliversiot samaan näkymään, tai jos kirjautumissivusta on kieliversiot, niin luonnollisesti linkki sen mukaan). Jos palveluun itseensä ei saa lisättyä linkkiä, niin sille tulee löytyä joku muu helposti löydettävä paikka, esim. palvelun esittelysivu ja sen voi myös laittaa palveluun vievän linkin alle/viereen, esim. näin:

[Kuva jossa näkyy, miten helpdeskin yhteystietojen yhteydessä on linkki tietosuojainfoon]

Kuva on tämän sivuston eli it.oamk.fi:n pääsivulta, josta löydät tukipyyntöjärjestelmän sähköpostiosoitteen ja tukipyyntöjärjestelmän eli helpdeskin tietosuojainfon.

Sisällön tarkistaminen

Kun sinä ja muut palvelusta työtehtävissään vastaavat olette saaneet tietosuojainfon valmiiksi, olkaa yhteydessä Oamkin tietosuojavastaavaan, jos haluatte että hän tarkistaa tekstin. Muista, että linkki toimii vasta kun infon tilaksi on asetettu julkinen.

Käyttötarkoituksen muutos

Huomaa, että jos käyttötarkoitus muuttuu, se on kirjattava tietosuojainfoon ja rekisteröityjä on tiedotettava asiasta tai (asiasta riippuen) heiltä voi olla tarpeen kysyä tähän suostumus, jos uusi käyttötarkoitus sitä edellyttää. Kannattaa merkitä omaan vuosikelloon säännöllinen toistuva ajankohta, jolloin tietosuojainfon teksti on varmistettava. Esimiesten tulisi tietää, ketkä alaiset vastaavat tietosuojainfoista, jotta tarvittaessa pitkien työlomien ajaksi tai työsuhteen päättyessä tietosuojainfolle määritellään uusi vastuuhenkilö.

« Takaisin

Tämä artikkeli julkaistiin kategorioissa henkilöstölle, Oamk, OHJE, Ohjeet & tiedotteet and tagged . Lisää permalink suosikkeihisi. Seuraa tänne tulevia kommentteja RSS-feedin avulla. Jätä kommentti tai trackback: Trackback URL.
Kirjaudu sisälle kommentoidaksesi tätä artikkelia