Tietosuoja Metropolian hankinnoissa, järjestelmäkehityksessä, uusissa opetuksen digi-innovaatioissa ja projekteissa
Kun Metropoliassa suunnitellaan sellaisia uusia henkilötietoja sisältäviä hankkeita, henkilötietojen käsittelyä edellyttäviä projekteja, järjestelmäkehitystä, innovoidaan hankkeita, joissa on mukana henkilötietoa tai aiotaan opetustoimessa ottaa käyttöön uusi työväline (henkilötietojen keruuta tai käsittelyä edellyttävän työväline), kuuluu metropolialaisen toimia näin:
- Tutustu Metropolian intranetin (OMA:n) ”Tunnista DPIA” -sivustolla oleviin ohjeisiin tietosuoja- ja tietoturvavaatimusten huomioimisesta kehitystyössä, opetustyön digitalisaatiossa, hankinnoissa, järjestelmäkehityksessä ja projekteissa. Katso myös intranetin GDPR ja tietosuoja -sivuilta löytyvä, Metropolian tietosuojavastaavan laatima PowerPoint-esitys DPIA:sta (Data Protection Impact Assesment) eli tietosuojaa koskevasta vaikutustenarvioinnista, GDPR:n artiklan 35 mukaisesti. Metropolian tietosuojavastaavan PowerPoint-esityksessä otettu huomioon Tietosuojavaltuutetun toimiston julkaisema ja 21.12.2018 viimeksi päivittämä kansallinen DPIA-luettelo (valvontaviranomaisen julkaisema luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan artiklan 35, kohdan 1 nojalla tietosuojaa koskeva vaikutustenarviointi)
- Mikäli tunnistat tai epäilet olevasi uuden hankkeesi, järjestelmähankintasi yms. kanssa DPIA-tilanteessa, ryhdy täyttämään Metropolian sähköistä DPIA-lomaketta ja suorita tarpeen vaatiessa rekisteröityjen ennakkokuuleminen (ks. lomakkeen kysymykset koskien rekisteröityjen kuulemista). Jos et ole varma, oletko DPIA-prosessin käynnistämistä edellyttävässä tilanteessa, soita Metropolian tietosuojavastaava Riikka Ikäheimonen, p. 050 565 8499 ja/tai lähetä asiastasi sähköpostia tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi), ja pyydä tunnistamisapua
- Täytetty sähköinen DPIA-lomake välittyy automaattisesti Metropolian tietosuojavastaavalle katselmointiin
- jos et ole osannut täyttää kaikkia kohtia lomakkeeseen, tietosuojavastaava haastattelee DPIA-lomakkeen laatijaa ja täydentää tarvittaessa lomakkeen loppuun yhdessä lähettäjän kanssa
- lomakkeessa on kohta, johon Metropolian tietosuojavastaavan (sekä tarpeen vaatiessa Metropolian tietohallinnon edustajan ja kokonaisarkkitehdin), kannanotto(t) DPIA:n kohteena olevaan uuteen työvälineeseen, toimintoon, hankkeeseen, projektiin yms. kirjataan myös ylös
- Tietosuojavastaava laatii esityksen talon ylimmälle johdolle DPIA:n hyväksymisen edellytyksistä. Tietosuojavastaava lähettää DPIA-lomakkeen talon ylimmälle johdolle käsiteltäväksi/hyväksyttäväksi heidän päätöksentekoaan varten (toimitusjohtaja-rehtori, varatoimitusjohtaja, TKI-johtaja)
Tietosuojan hallinta Metropoliassa
Metropoliassa on tietosuojaorganisaatio - talon sisäinen tietosuojatyöryhmä, jota vetää
Metropolian tietosuojavastaava Riikka Ikäheimonen
p. 050 565 8499
tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Ryhmän toimesta katselmoidaan, kommentoidaan ja tehdään parannusehdotuksia tietosuojavastaavan alustavasti luonnostelemiin kaikille metropolialaisille tarkoitettuihin tietosuojadokumentteihin ja GDPR-ohjeisiin, joita julkaistaan tällä sivustolla.
Tietosuojavastaava toimii GDPR:n ja muun tietosuojasääntelyn erityisasiantuntijana raportoiden talon johdolle tietosuoja-asioista. Tietosuojavastaava ei voi tehdä päätöksiä ja ns. linjanvetoja tietosuoja-asioissa, koska toimenkuvaan liittyvä rooli on neuvonantajarooli. Viime kädessä organisaation johdolla on vastuu tietosuojasta ja esimerkiksi GDPR:ään liittyvistä linjanvedoista.
Tietosuojavastaava on velvollinen seuraamaan kehittyvää kansallista ja EU-lainsäädäntöä, kouluttamaan ja opastamaan GDPR- ja tietosuoja-asioissa, laatimaan GDPR:n edellyttämiä dokumentteja (esimerkiksi art. 30 mukainen seloste käsittelytoimista -dokumentti, mallipohjia henkilötietojen käsittelysopimuksista) ja auttamaan organisaatiota olemaan vaatimustenmukainen.
Kysymykset ja lisätietoja
Kaikkiin henkilötietojen käsittelyyn liittyvissä kysymyksissä lisätietoja Metropoliassa antavat
tietosuojavastaava Riikka Ikäheimonen
p. 050 565 8499
tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
lakimies Sanna Saarnia
sanna.saarnia [at] metropolia.fi (sanna[dot]saarnia[at]metropolia[dot]fi)
Tietosuojavaltuutettu Anu Talus ja Tietosuojavaltuutetun toimisto muine viranhaltijoineen ohjaavat Suomessa toimivien rekisterinpitäjien toimintaa ja henkilötietojen käsittelyä.
EU-tasolla toimintaa ohjaa kansallisista tietosuojavaltuutetun toimistojen edustajista koostuva Euroopan tietosuojaneuvosto, European Data Protection Board (”EDPB” ns. entinen WP29-ryhmä): ks. tarkemmin toiminnasta EDPB:n kotisivuilta.
Tietosuojaohjeet ja mallipohjat
Metropolian sisäiset tietosuojaohjeet ja mallipohjat löydät Metropolian intranetin tietosuoja-sivuilta. Sinne kirjautumiseen tarvitset Metropolian käyttäjätunnukset.