Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Nimi: Metropolia Ammattikorkeakoulu Oy
Y-tunnus: 2094551-1
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): + 358 9 7424 5000
Tietosuojavastaava: Matti Hyvönen
Sähköposti: tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Metropolian AURI2027-hankkeen ja sen sisältämien henkilötietojen käsittelyn tarkoitus on tukea julkisten rakennusten aurinkoenergia- ja energiajoustoratkaisujen käyttöönottoa sekä kehittää työkaluja ja toimintamalleja, joiden avulla kunnat ja pk-yritykset voivat vastata EU:n EPBD-direktiivin velvoitteisiin ja saavuttaa hiilineutraaliustavoitteensa. Henkilötietoja käsitellään hankkeen hallinnoinnin, yhteydenpidon, tapahtumien järjestämisen, yhteistyön koordinoinnin sekä työpajoihin, kyselyihin ja selvityksiin osallistumisen yhteydessä. Tiedot voivat sisältää esimerkiksi osallistujien nimiä, yhteystietoja, organisaatiotietoja ja rooleja hankkeessa.
Henkilörekisterissä olevien henkilötietojen käsittely perustuu yleisen tietosuoja-asetuksen (EU) 2016/679 (GDPR) 6 artiklan 1 kohdan e alakohtaan, eli käsittely on tarpeen rekisterinpitäjän lakisääteisen tehtävän suorittamiseksi yleistä etua koskevassa hanketoiminnassa.
Joissakin tapauksissa käsittely voi perustua rekisteröidyn suostumukseen (GDPR 6 artiklan 1 a alakohta), esimerkiksi viestintään liittyvissä tilanteissa.
Metropolia noudattaa henkilötietojen käsittelyssä tietosuojavaltuutetun hyväksymiä korkeakoulujen yhteisiä käytännesääntöjä, jotka ohjaavat vastuullista ja lainmukaista tietosuojakäytäntöä korkeakoulusektorilla.
Henkilöstörekisterin rekisteröityjä ovat hankkeen sidosryhmien edustajat, kuten kuntien ja pk-yritysten edustajat sekä hankkeen tapahtumiin ja työpajoihin osallistuvat henkilöt.
Henkilörekisteriin tallennetaan seuraavia henkilötietoja:
Nimi, organisaatio, sähköpostiosoite, puhelinnumero, tehtävänimike
Henkilötiedot on saatu rekisteröidyltä itseltään (esim. ilmoittautumislomakkeiden kautta), sekä yhteistyökumppaneilta, kuten kunnilta tai pk-yrityksiltä, osana hankkeen toteutusta
Henkilörekisteristä luovutetaan henkilötietoja seuraaville vastanottajaryhmille:
- Hankkeen rahoittaja (Pohjois-Pohjanmaan ELY-keskus)
- Hankkeen osatoteuttajat (LAB-ammattikorkeakoulu Oy, Karelia Ammattikorkeakoulu Oy ja Oulun Ammattikorkeakoulu Oy)
Henkilöstörekisterin tietoja käsitellään eri tietojärjestelmissä ja ohjelmistoissa ja rekisterin sisältämiin henkilötietoihin annetaan tarpeen vaatiessa pääsy esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa tai vikatilanteen korjaamistilanteessa. Näiden työvälineiden takana olevat ulkopuoliset järjestelmäntoimittajat ja palveluntarjoajat ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi.
Metropolian henkilöstörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 45 tai 46 artiklan mukaisella suojatoimella kuten tietosuojan riittävyyttä koskevan päätöksen perusteella tai jos sellaista ei ole annettu ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta tai muuta sopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Henkilötietoja säilytetään 5 vuoden ajan hankkeen päättymisestä (31.7.2027).
Säilytysaikojen määräytyminen perustuu mm. seuraavaan lainsäädäntöön:
- EU:n yleinen tietosuoja-asetus (679/2016)
- Tietosuojalaki (1050/2018)
- Ammattikorkeakoululaki (932/2014).
Säilytysaika (5 vuotta hankkeen päättymisestä) perustuu rahoittajan (ELY-keskus) ja EU:n alue- ja rakennepolitiikan ohjelman sääntöihin sekä kansalliseen lainsäädäntöön (757/2021).
Rekisteröity voi tehdä tietopyynnön toimittamalla Metropolian julkisilta verkkosivuilta ja/tai Metropolian intranetistä löytyvän huolellisesti täytetyn, tulostetun ja henkilökohtaisesti allekirjoitetun rekisteröidyn tietopyyntölomakkeen Metropolialle joko sähköisesti osoitteeseen tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi) tai toimittamalla sen henkilökohtaisesti Metropolian toimipisteeseen Myllypurossa. Jos tulostaminen ei ole mahdollista, toimita vastaavat tiedot kuin lomakkeessa pyydetään osoitteeseen tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi). Sinua voidaan pyytää tunnistautumaan, jotta voimme vastata tietopyyntöön turvallisesti.
Metropolian Myllypuron kampus
Myllypurontie 1, 00920 Helsinki
Rekisteröidyn tietopyyntöön vastauksen antaa Metropolian tietosuojavastaava. Tarpeen vaatiessa tietosuojavastaavalta voi tiedustella lisätietoja pyynnön käsittelyn etenemisestä tai vastauksen sisällöstä.
Rekisteröidyn oikeuksien toteuttamispyyntöön on tietosuoja-asetuksen mukaisesti rekisterinpitäjän annettava vastaus kuukauden kuluttua pyynnön vastaanottamisesta.
Rekisteröity voi tehdä tietopyyntöjä seuraavia aiheita koskien:
A. Oikeus saada pääsy henkilötietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja henkilötietorekisteriin on tallennettu ja saada niistä kopiot.
B. Oikeus tietojen oikaisemiseen ja käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:
- rekisteröity kiistää henkilötietonsa paikkansapitävyyden (oikeus tietojen oikaisemiseen), jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden;
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
C. Oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua Metropolian rekisteristä ilman aiheetonta viivytystä edellyttäen, että jokin seuraavista täyttyy:
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
- henkilötietoja on käsitelty lainvastaisesti; tai
- henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.
D. Oikeus siirtää tiedot järjestelmästä toiseen
Ei sovellu.
E. Oikeus olla joutumatta henkilötietojen tietoturvapoikkeaman kohteeksi
Rekisteröidyllä on oikeus olla joutumatta sellaisen EU:n tietosuoja-asetuksen artiklassa 33 mainitun henkilötietojen tietoturvapoikkeaman kohteeksi, joka perustuu rekisterinpitäjän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen, tai rekisterinpitäjän käyttämän henkilötietojen käsittelijän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen. Rekisteröidyllä on oikeus tulla informoiduksi ilman tarpeetonta viivytystä, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
F. Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelin (vaihde): + 358 29 56 66700
Faksi: + 358 9 56 66735
Sähköposti: tietosuoja [at] om.fi (tietosuoja[at]om[dot]fi)