Henkilötietojen käsittelyä koskeva politiikka ja ohjeistus

Kaikissa oppilaitoksissa, korkeakouluissa ja innovatiivisessa digiopetuksessa käsitellään paljon sekä opiskelijoiden, sidosryhmäedustajien että oman henkilökunnan henkilötietoja. Näin tapahtuu varsinkin Metropolia Ammattikorkeakoulu Oy:ssä.

Henkilötietojen käsittelyä tapahtuu kaiken aikaa Metropolian opetustoiminnassa, TKI-toiminnassa sekä erityisesti kaikissa yhteistyöhankkeissa ja projekteissa, joihin Metropolia on lähtenyt mukaan. Henkilötietojen luonteesta johtuen niiden käsittelyyn liittyy tiettyjä lainsäädännöllisiä velvollisuuksia. Rekisterinpitäjävelvollisuuksia.

Tämän vuoksi on laadittu Metropolian tietosuojapolitiikka, joka on ylimmän johdon hyväksymä ja joka koskee Metropolian oman henkilökunnan, opiskelijoiden ja kolmansien osapuolten (mm. jatkuvan oppimisen ja liiketoiminta-asiakkaiden) henkilötietojen käsittelyä sekä muun arkaluonteisen aineiston käsittelyä.

Myös Metropolian tietoturvallisuuspolitiikka on päivitetty helmikuussa 2019 vastaamaan GDPR-aikaista tietoturvallisuuspolitiikkaa. Tietoturvaa ja tietojärjestelmiä koskevat päätökset heijastavat aina organisaation tietosuojaan ja toisinpäin.

Niin Metropolian tietosuojapolitiikka - kuin tietoturvallisuuspolitiikka -dokumentit perustuvat Metropoliaa velvoittavaan kansalliseen ja kansainväliseen lainsäädäntöön (mm. tietosuojalaki, laki yksityisyydensuojasta työelämässä, EU:n yleinen tietosuoja-asetus, General Data Protection Regulation eli "GDPR", e-Privacy directive, julkisuuslaki, EU:n saavutettavuusdirektiivi ja sitä tukeva kansallinen digipalvelulaki sekä tiedonhallintalaki).

Lisäksi Metropoliassa sovelletaan Suomen korkeakoulujen yhteisesti hyväksymiä ja Tietosuojavaltuutetun toimistolla (TSV) hyväksytettyjä korkeakoulujen yhteisiä käytännesääntöjä, joista ensimmäisenä on ehditty TSV:llä hyväksyttää ja julkaista opintotietohallinnon tietosuojan käytännesäännöt.

Työn alla korkeakouluilla on yhteiset opintotietojen ja tutkimuksen tietosuojan käytännesäännöt, jotka valmistunevat vuoden 2020 aikana. Metropolia tulee soveltamaan toimintaansa myös niitä.

Henkilötietoja koskeva lainsäädäntö

EU:n yleistä tietosuoja-asetusta (2016/679) on ryhdytty soveltamaan kaikissa EU:n jäsenvaltioissa 25.5.2018 alkaen täysimääräisesti.

Kansallinen tietosuojalaki (1050/2018) on 1.1.2019 astuttuaan voimaan kumonnut Suomessa ns. vanhan henkilötietolain (523/1999). Tietosuojalaki täydentää EU:n yleistä tietosuoja-asetusta, General Data Protection Regulation, ”GDPR”).

Tietosuojavaltuutetun toimistolle on annettu tietosuojalaissa Suomen ylimmän tietosuojalainsäädäntöä valvovan viranomaisen mandaatti - myös ns. GDPR:n hallinnollisen sakon määräämisoikeus GDPR:n artiklan 83 mukaisesti on laissa annettu Tietosuojavaltuutetun toimistolle. Se tarkoittaa sitä, että Tietosuojavaltuutetun toimistolla on lupa langettaa rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei ole asetuksenmukainen, hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Suomessa tietosuojavaltuutettu Reijo Aarniolla tai Tietosuojavaltuutetun toimiston muilla viranhaltijoilla on oikeus suorittaa tarkastuskäyntejä toimea hoitaessaan, ja pyytää rekisterinpitäjää esimerkiksi esittämään GDPR:n artiklan 30 mukainen seloste käsittelytoimista nähtävilleen.

Laki yksityisyyden suojasta työelämässä (759/2004). Laki kattaa keskeisimmät työelämän tietosuojakysymykset luomalla menettelytapoja työelämän tarpeita varten.

Laki sähköisen viestinnän palveluista (917/2014) (aiemmin tunnettu myös sähköisen viestinnän tietosuojalakina) sääntelee sähköisen viestinnän luottamuksellisuutta, suoramarkkinointia ja yksityisyydensuojaa.

Julkisuuslain (621/1999) (laki viranomaisen toiminnan julkisuudesta) mukaan määräytyy esimerkiksi se, mitä henkilötietoja viranomaisen rekisteristä voidaan luovuttaa eteenpäin ja keille tahoille.

Laki julkisen hallinnon tiedonhallinnasta (ns. tiedonhallintalaki, 906/2019) säätelee ja määrittää 1.1.2020 lukien mm. yhteiset tietoturvallisuusvaatimukset tietojärjestelmien käyttöön koko Suomen julkishallinnolle. Riskienhallinnan vaatimukset tiukkenevat, muutoksenhallinta on velvoitettu dokumentoimaan, lokitusvaatimukset tietyille järjestelmille astuvat voimaan ja siirtyminen sähköiseen asianhallintaan ja arkistointiin on kirjattu auki tiedonhallintalakiin.

Laki digitaalisten palveluiden tarjoamisesta (ns. digipalvelulaki, 306/2019) toteuttaa Suomessa EU:n saavutettavuusdirektiiviä. Suomessa 1.4.2019 lukien voimaanastunut digipalvelulaki velvoittaa mm. kaikki Suomen julkisen sektorin elinten verkkosivustot ja mobiilisovellukset olemaan saavutettavia mm. näkövammaisille henkilöille.

Muut osiot