Tietosuoja Metropolian hankinnoissa, järjestelmäkehityksessä, uusissa opetuksen digi-innovaatioissa ja projekteissa
Metropolialla on rekisterinpitäjänä velvollisuus arvioida henkilötietojen käsittelyn riskejä aina, kun tehdään hankintoja, kehitetään järjestelmiä tai opetuksen digi-innovaatioita. Riskiarvioinnissa on selvitettävä mitä henkilötietoja käsitellään, kuka käsittelee ja millä tavalla sekä voiko näiden henkilötietojen käsittelystä suunnitellulla tavalla seurata korkea riski rekisteröidyn oikeuksille. Riskiarvioinnin yhteydessä selvitetään myös millä keinoilla henkilötietojen käsittelyyn kohdistuvaa riskiä voidaan minimoida. Henkilötietojen käsittelyyn kohdistuva korkea riski voi olla este hankinnalle tai muulle projektille.
Miten arviointiprosessi aloitetaan?
1. Kun olet ehdottamassa järjestelmähankintaa, perehdy ensin itse järjestelmäntarjoajan antamiin tietoihin henkilötietojen käsittelystä. Tässä vaiheessa sinun tulee löytää vastaus ainakin seuraaviin kysymyksiin:
- Mitä tarkoitusta varten järjestelmä hankitaan?
- Ketkä käyttävät järjestelmää?
- Kuka on rekisterinpitäjä?
- Mitä henkilötietoja käsitellään? Käsitelläänkö arkaluonteisia henkilötietoja? Ovatko kaikki tiedot perusteltuja ja välttämättömiä järjestelmän käyttämisen kannalta? Voitko vaikuttaa itse käsiteltäviin henkilötietoihin?
- Siirretäänkö henkilötietoja EU/ETA-alueen ulkopuolelle? Jos siirretään, selvitä millä perusteella ja minne.
- Mitä riskejä tunnistat henkilötietojen käsittelyssä ja mitä niistä voi seurata rekisteröidyn oikeuksille? Kuinka todennäköistä on, että riski konkretisoituu?
2. Seuraavaksi voit siirtyä täyttämään Metropolian hankintalomaketta, jonka yhteydessä täytetään myös DPIA-lomake. Kun hakemus on täytetty onnistuneesti, se siirtyy Metropolian tietohallinnon ja lakipalveluiden käsiteltäväksi. Lomakkeen täyttäjään ollaan yhteydessä mikäli tarvitaan lisäselvitystä. Päätöksen hankinnasta tekee Metropolian johtoryhmä.
3. Rekisterinpitäjän on arvioitava henkilötietojen käsittelyn vaikutuksia uudelleen tarvittaessa.
Kohdan 1. mukainen selvitys tulee tehdä myös projektisuunnittelun alussa.
Yhteystiedot:
Tietosuojaan liittyvät kysymykset: tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
- Älä lähetä tietosuojakysymyksiä henkilökohtaisiin sähköpostiosoitteisiin. Tietosuojavastaavan sähköpostia lukee useampi henkilö, jotta pystymme delegoimaan kysymykset oikeille asiantuntijoille.
Lakimies Suvi Väänänen (tietosuojavastaava), sanna.saarnia [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Lakiasiantuntija Annika Ritala, tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Ohjeita ja mallipohjia
Metropolian sisäiset tietosuojaohjeet ja mallipohjat löydät Metropolian intranetin tietosuoja-sivuilta. Sinne kirjautumiseen tarvitset Metropolian käyttäjätunnukset.