Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolian Ammattikorkeakoulun asianhallinnan henkilörekisterin tarkoituksena on laki- ja hallintopalveluiden, taloushallinnon ja hankintapalveluiden tehtävien toteuttaminen.
Laki- ja hallintopalveluiden tehtäviin kuuluu muun muassa tietosuojavastaavan tehtävät, Whistleblower-ilmoitukset ja erilaisten asiakirjojen, dokumenttien ja sopimusten hallinta, käsittely, säilytys ja arkistointi. Taloushallinnon tehtäviin kuuluu muun muassa laskujen ja avustusten maksaminen sekä tuotteiden ja palvelujen laskutus.
Hankintapalvelut käsittelevät henkilötietoja hankintailmoituksiin ja tarjouspyyntöihin tehtyjen tarjouksien käsittelyn ja siihen liittyvän kilpailutuksen yhteydessä hankintamenettelyn toteuttamiseksi Metropolia Ammattikorkeakoulussa sekä hankintayksikön asiakirjojen julkisuuden ja asianosaisten tiedonsaantioikeuksien toteuttamiseksi ja muutoksenhakuprosesseissa.
Yleiseen etuun tai lakisääteiseen velvoitteeseen perustuva käsittely
- Pitkäaikais- ja pysyväissäilytys
- Laki- ja arkistointipalvelut (osittain)
- Julkiset hankinnat
- Taloushallinnon tehtävät
Lakisääteinen velvollisuus tai julkisen vallan käyttö perustuu muun muassa seuraaviin lakeihin ja säädöksiin:
Ammattikorkeakoululaki (932/2014)
EU:n yleinen tietosuoja-asetus (2016/679)
Tiedonhallintalaki (906/2019)
Laki viranomaisen toiminnan julkisuudesta (621/1999)
Arkistolaki (831/1994)
Kansallisarkiston ammattikorkeakouluille antama pysyvää säilyttämistä sähköisessä muodossa koskeva päätös (AL/20757/07.01.01.03.02/2016)
Sopimukseen perustuva käsittely
- Sopimusten täytäntöönpano sellaisissa sopimuksissa, joissa rekisteröity on osapuolena
- Sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
Suostumukseen perustuva käsittely
Laki- ja arkistointipalvelut (osittain)
Metropolian asianhallinnan henkilörekisterin rekisteröityjä ovat Metropolian opiskelijat, henkilökunta/työntekijät, Metropolian alumnit, asiakkaat ja muut sidosryhmät (esimerkiksi ulkopuolisten yhteistyökumppaneiden ja muiden organisaatioiden yhteyshenkilöt), sekä muut ulkopuoliset laki- ja hallintopalveluihin yhteydessä olevat henkilöt. Julkisten hankintojen osalta rekisteröityjä ovat hankintamenettelyyn ehdokkaina tai tarjoajina osallistuvat toimittajat (luonnolliset henkilöt) tai oikeushenkilöiden puolesta toimivat luonnolliset henkilöt (yhteyshenkilöt) sekä kilpailutuksessa valituksi tulleet hankinnan toimittajat (luonnolliset henkilöt tai oikeushenkilön puolesta toimivat luonnolliset henkilöt).
Henkilörekisteriin voidaan tallentaa mm. seuraavia henkilötietoja:
Laki- ja arkistointipalvelut
Nimi
Yhteystiedot
Syntymäaika tai henkilötunnus
Organisaatio- ja työsuhdetiedot tai opintojen tiedot
Taloushallinto
Nimi
Yhteystiedot
Henkilötunnus tai syntymäaika
Sukupuoli
Organisaatio- ja työsuhdetiedot
Laskutustiedot ja maksutiedot
Tiedot työntekijän hankinnoista, ostoista ja matkavarauksista
Verkkotunnus
Hankinnat
Nimi
Yhteystiedot
Organisaatiotiedot
Tiedot ammatillisesta pätevyydestä
Luvat ja suostumukset
Tarjouskilpailun voittotiedot
Arkiston- ja sopimustenhallintarekisteri
Yhteystiedot
Henkilötunnus
Opiskelijanumero[SV1]
Pitkäaikais- ja pysyväissäilytys
Nimi
Yhteystiedot
Henkilötunnus
Organisaatiotiedot
Tiedot ammatillisesta pätevyydestä
Rekrytointi- ja työsuhdetiedot
Opiskelijanumero
Opintojen ja opiskelijavalinnan tiedot
Kuuluminen toimielimiin, lautakuntiin, neuvottelukuntiin, luottamuselimiin tai johtoryhmään
Palautteet
Kansainväliseen yhteistoimintaan osallistuminen
Palkka- ja palkkiotiedot
Suhdetoiminta (edustaminen, vierailut, tapahtumat ym.)
Valokuvat ja videotallenteet
Henkilötiedot on saatu rekisteröidyltä itseltään tai julkisista tietokannoista, viranomaisilta sekä eri sidosryhmiltä ja yhteysorganisaatioilta.
Henkilöstörekisterin tietoja käsitellään eri tietojärjestelmissä ja ohjelmistoissa ja rekisterin sisältämiin henkilötietoihin annetaan tarpeen vaatiessa pääsy esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa tai vikatilanteen korjaamistilanteessa. Näiden työvälineiden takana olevat ulkopuoliset järjestelmäntoimittajat ja palveluntarjoajat ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi.
Metropolian henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella kuten tietosuojan riittävyyttä koskevan päätöksen perusteella tai jos sellaista ei ole annettu, ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta tai muuta sopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Metropolia Ammattikorkeakoulun ICT-palveluntarjoaja ei saa siirtää tai luovuttaa henkilötietoja EU-/ETA-alueen ulkopuolelle tai käsitellä tietoja EU-/ETA-alueen ulkopuolella ilman rekisterinpitäjän etukäteen antamaa nimenomaista kirjallista suostumusta.
Jos tällainen tietojen siirto on rekisterinpitäjän taholta hyväksytty, on sitä edeltänyt TIA-arviointi dokumentoidusti ((Data) Transfer Impact Assessment). Jos tällainen tietojen siirto on rekisterinpitäjän taholta hyväksytty, sopimukseen tietojen siirrosta tulee sisällyttää EU:n komission hyväksymät vakiolausekkeet (Standard Contractual Clauses, SCC:t). Lisäksi rekisterinpitäjän tulee arvioida ja seurata tiedonsiirron kohteena olevan maan tietosuojan tasoa. Tietojen siirto voidaan toteuttaa myös käyttämällä muuta rekisterinpitäjän kirjallisesti hyväksymää menettelyä.
Henkilörekisterin sisältämiä henkilötietoja voidaan lisäksi siirtää EU:n tai ETA-alueen ulkopuolelle kansainvälisen liikkuvuuden, matkustuksen ja yhteistyön yhteydessä sekä niiden toteuttamiseksi sekä myös tilanteessa, jossa henkilöstö osallistuu kansainväliseen toimintaan.
Henkilötietojen säilytysaika perustuu lakiin ja säilytysajat vaihtelevat tietojen luonteen ja käyttötarkoituksen perusteella. Säilytysajat perustuvat muun muassa lakiin julkisen hallinnon tiedonhallinnasta (906/2019), kansalliseen tietosuojalakiin (1050/2018), Ammattikorkeakoululakiin, (932/2014), arkistolakiin (831/1994 sekä Kansallisarkiston ammattikorkeakouluja koskevaan päätökseen säilytysajoista (AL/20757/07.01.01.03.02/ 2016). Osa tiedoista poistetaan, kun niitä ei enää tarvita eikä laki velvoita säilyttämään niitä määräaikaa. Säilytysajat on laskettu joko siitä päivästä, kun henkilötiedot on kerätty tai henkilö lakkaa käyttämästä palvelua.
Tietoja säilytetään muun muassa seuraavanlaisesti:
- Ostoreskontrat, myyntireskontrat, tositteet sekä maksuluettelot: Kuusi vuotta
- Sopimusasiakirjat, muut pöytäkirjat, esitykset ja liitteet, lausunnot ja esityslistat sekä muistiot, hankintarekisteriin kerätyt ja rekisterin piirissä käsiteltävät tarjoukset liitteineen, hankintaesitykset, hankintapäätökset ja -sopimukset sekä niihin sisältyvät henkilötiedot, tilinpäätös, toimintakertomus, tase, kirjanpidot, tililuettelo sekä luettelo kirjanpidoista ja aineistoista: 10 vuotta
- Diaarimerkinnät, keskeiset valmisteluasiakirjat ja tytäryhtiöille annetut konserniohjeet, johtamisjärjestelmä, johtosääntö, strategia ja ohjelmat, vuosikertomukset, tietyt sopimukset, säätiöiden ja rahastojen hallintaan liittyvät asiakirjat, yhtiökokouksen ja hallituksen päätöksentekoon liittyvät asiakirjat, lautakunnassa tai vastaavan toimielimen tehtävässä syntyvät asiakirjatiedot, johtoryhmän pöytäkirjat tai laaditut kokousmuistiot liitteineen, tilintarkastus, auditoinnit, kunta-seutu -yhteistyön tai vastaavan paikallisen yhteistyön asiakirjatiedot, laadunhallinnan järjestelmäkuvaukset, toiminnanohjauskäsikirjat, laatukäsikirjat, vuositasolla laaditut koko ammattikorkeakoulua koskevat tilastot, ammattikorkeakoulujen tulosseurantaan, itsearviointeihin, vertailukehittämiseen ja ulkoisiin arviointeihin liittyvät asiakirjatiedot, henkilöstön ohjauksen ja suunnittelun asiakirjat, yhteistoiminta yhteistoimintaelinten pöytäkirjat/muistiot liitteineen, palkan, palkkioiden ja korvausten maksaminen, talousarviot tai vastaavat asiakirjatiedot, keskeiset markkinointiesitteet ja keskeiset mediatiedotteet, omien rakennusten hallintaan liittyvät rekisterit, rakennuksia koskevat kauppa- ja vaihtokirjat, lahja- ja lahjoituskirjat ja vastaavat sopimusasiakirjat, kiinteistöomistuksia ja hallintaa koskevat rekisteritiedot, vesi, maa- ja metsäalueiden omistusasiakirjat, koulutuksen, ohjauksen ja pedagogisen suunnittelun ohjaamiseen liittyvät asiakirjatiedot, ammattikorkeakoulujen valintaperusteet, yhteishaun ja niiden lisä- ja täydennyshakujen sekä erillishakujen tiedot, opintosuoritusten arvioinnin oikaisumenettely, tutkintolautakunnassa käsiteltävät asiat, opiskelijan opetuksen järjestäminen, läsnä- ja poissaoloilmoittautuminen, keskeyttäminen, eroaminen, opinnäytteestä annetut lausunnot, opiskelijan itsearvioinnit ja arvosanaehdotukset, opiskelijatietojärjestelmiin/opintohallinnon tietojärjestelmiin viedyt ja vietävät opiskeluoikeus, ilmoittautumis-, tutkinto- ja opintosuoritustiedot sekä muut tiedot, VIRTA-opintotietovarantoon siirrettävät opiskeluoikeus-, ilmoittautumis-, tutkinto- ja opintosuoritustiedot, Elinkeinoelämäyhteistyön asiakirjat, Konsortioiden asiakirjat: Pysyvästi
Säilytysajan määräytymisessä on otettu huomioon myös mm. seuraava sääntely
EU:n yleinen tietosuoja-asetus (”GDPR”, 2016/679)
Tietosuojalaki (1050/2018)
Ammattikorkeakoululaki (932/2014)
Kansallisarkiston päätös säilytysajoista - AMK:ita koskeva päätös (AL/20757/07.01.01.03.02/ 2016)
Laki yksityisyyden suojasta työelämässä (759/2004)