Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolia Ammattikorkeakoulu Oy (y-tunnus: 2094551-1)
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): + 358 9 7424 5000
Rekisterinpitäjän vastuuhenkilö:
Riitta Konkola, Rehtori-Toimitusjohtaja
Tietosuojavastaava:
Matti Hyvönen, tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi), +358 40 844 0690
Sharing Cafe -hankkeen henkilörekisterin ja sen sisältämien henkilötietojen käyttötarkoitus on hankkeessa tehtävä toiminta ja sen kehittäminen.
Hankkeen päätoteuttaja on Metropolia Ammattikorkeakoulu ja osatoteuttaja African Care ry.
Hankkeen toimintaan osallistuminen on vapaaehtoista. Hankkeen kohderyhmän osallistujilta kerätään hanketoimijoiden toimesta henkilötiedoista nimi ja puhelinnumero toiminnasta tiedottamista varten. Toiminnasta tiedottaminen tapahtuu WhatsApp-sovelluksessa olevassa ryhmässä. Tietojen antamisen yhteydessä kerrotaan mihin tietoa käytetään. Näiden tietojen antaminen perustuu suostumukseen ja vapaaehtoisuuteen.
Hankkeessa kerätään osallistujilta rahoittajan edellyttämät aloituslomakkeet ja lopetuslomakkeet. Rahoittajan ohjeen mukaan osallistujat kirjautuvat Eura2021 järjestelmään täyttämään em.
lomakkeet. Kirjautuminen edellyttää vahvaa tunnistautumista. Lomakkeilla kerätään henkilö- ja yhteistiedot sekä tiedot koulutustasosta ja työmarkkina-asemasta. Ne hankkeen työntekijät, joille on myönnetty tunnukset Eura2021 järjestelmän käyttöön käyvät hyväksymässä aloitus- ja lopetuslomakkeet järjestelmässä.
Hankkeessa kerätään ilmoittautumisia tapahtumiin ja kokouksiin. Ilmoittautumisia ei kerätä sähköisesti hankkeen kohderyhmältä. Sähköiset ilmoittautumiset ja palautelomakkeet kerätään tilaisuuksiin kutsutuilta toimijoilta, kuten järjestöiltä ja julkisilta organisaatioilta. Hankkeessa kerätään työpajoissa aineistoa hankkeen arviointia ja kehittämistä sekä hankkeessa tuotettavaa mallia varten. Hankkeen osallistujilta kerätään suullisesti vastauksia toiminnan kehittämisen työpajoissa ja palautetta ryhmistä. Vastaukset kirjataan tunnisteettomassa muodossa.
Metropolia Ammattikorkeakoulun Sharing cafe -hankkeen henkilörekisterissä olevien henkilötietojen käsittely perustuu rekisteröidyltä saatuun suostumukseen.
Kun tarkoituksena on hankkeen rahoittajalle raportointi rahoittajan valvonta- ja seurantatoimia varten, perustuu käsittely rekisterinpitäjien oikeutettuun etuun tai lakisääteiseen velvoitteeseen (laki alueiden kehittämisen ja Euroopan unionin alue- ja rakennepolitiikan hankkeiden rahoittamisesta (757/2021) ja valtioneuvoston asetus rakennerahastoista osarahoitettavien kustannusten tukikelpoisuudesta (358/2014).
Rekisterinpitäjien oikeutettu etu perustuu hankkeen rahoittajan rahoituspäätöksessä antamiin vaatimuksiin sekä lainsäädännöstä johtuviin yleisiin velvoitteisiin toteuttaa raportointia hankkeen toteutuksesta, tuloksista, etenemisestä ja kustannuksista. Velvoitteen täyttäminen voi edellyttää rekisterinpitäjiltä henkilötietojen käsittelyä raportoinnin muodostamiseksi ja toimittamiseksi.
Metropolia Ammattikorkeakoulun Sharing Cafe -hankkeen henkilörekisterin rekisteröityjä ovat Metropolian projektissa työskentelevät työntekijät, projektin yrityskumppanien edustajat.
Metropolia Ammattikorkeakoulun Sharing Cafe -hankkeen henkilörekisteriin tallennetaan seuraavia henkilötietoja:
PERUS- JA YHTEYSTIEDOT
- perustiedot: etunimi(t), sukunimi, puhelinnumero, sähköpostiosoite, tieto, mitä yritystä/organisaatiota henkilö edustaa, tarjoilua varten mahdolliset ruokavaliotoiveet.
SUOSTUMUKSENANNOT JA TIEDOT TOIMENPITEISTÄ
- Tiedot rekisteröidyille suunnatuista toimenpiteistä: esim. tiedot annetuista palveluista/tapaamisista; tiedot lähetetystä mainospostista tai tapahtumakutsuista
- Tiedot suostumuksen annoista liittyen Metropolian Sharing Cafe -hankkeen toiminnan henkilörekisteriin rekisteröidyille suunnattuihin toimenpiteisiin: esim. suostumus toimintaan liittyvän mainospostin vastaanottamiseen
- Henkilön arviointi- ja palautekyselyihin antamien vastausten mahdollisesti sisältämät henkilötiedot.
Henkilötiedot on saatu rekisteröidyltä itseltää.
Asiakastietoja voidaan luovuttaa rahoittajalle rahoituspäätöksen vaatimusten mukaisesti.
Metropolian Sharing Cafe -hankkeessa henkilörekisterin sisältämiin tietoihin annetaan tarpeen vaatiessa pääsy African Care ry:lle sekä ns. admin-tunnusten avulla, esim. teknisen vian korjaustilanteessa järjestelmätoimittajalle/mittalaitteen huoltajalle seuraavaksi lueteltavissa järjestelmissä.
Henkilötietojen käsittelysopimukset GDPR:n artiklan 28 mukaisesti on laadittu Metropoliassa seuraavien yhteistyökumppanitahojen kanssa:
E-lomake-ohjelmisto.
Eventilla-tapahtumanhallintatyöväline.
Microsoft Corporation ja Microsoft Teams.
Metropolian sähköpostijärjestelmä.
Liana.
Metropolian Sharing Cafe -hankkeen sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Metropolian henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on pääasiassa Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan ensisijaisesti EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella eli ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Metropolian Sharing Cafe -hankkeessa kerätyt ja rekisterin piirissä käsiteltävät henkilötiedot säilytetään rekisterissä lähtökohtaisesti 5 vuoden ajan.
Säilytysaikojen määräytyminen perustuu mm. seuraavaan lainsäädäntöön:
- EU:n yleinen tietosuoja-asetus (679/2016)
- Tietosuojalaki (1050/2018)
- Ammattikorkeakoululaki (932/2014)
Rekisteröity voi tehdä tietopyynnön toimittamalla Metropolian julkisilta verkkosivuilta ja/tai Metropolian intranetistä löytyvän huolellisesti täytetyn, tulostetun ja henkilökohtaisesti allekirjoitetun rekisteröidyn tietopyyntölomakkeen Metropolialle joko sähköisesti osoitteeseen tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi) tai toimittamalla sen henkilökohtaisesti Metropolian toimipisteeseen Myllypurossa. Jos tulostaminen ei ole mahdollista, toimita vastaavat tiedot kuin lomakkeessa pyydetään osoitteeseen tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi). Sinua voidaan pyytää tunnistautumaan, jotta voimme vastata tietopyyntöön turvallisesti.
Metropolian Myllypuron kampus
Myllypurontie 1, 00920 Helsinki
Rekisteröidyn tietopyyntöön vastauksen antaa Metropolian tietosuojavastaava. Tarpeen vaatiessa tietosuojavastaavalta voi tiedustella lisätietoja pyynnön käsittelyn etenemisestä tai vastauksen sisällöstä.
Rekisteröidyn oikeuksien toteuttamispyyntöön on tietosuoja-asetuksen mukaisesti rekisterinpitäjän annettava vastaus kuukauden kuluttua pyynnön vastaanottamisesta.
Rekisteröity voi tehdä tietopyyntöjä seuraavia aiheita koskien:
A. Oikeus saada pääsy henkilötietoihin
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja henkilötietorekisteriin on tallennettu ja saada niistä kopiot.
B. Oikeus tietojen oikaisemiseen ja käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:
- rekisteröity kiistää henkilötietonsa paikkansapitävyyden (oikeus tietojen oikaisemiseen), jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden;
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
C. Oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua Metropolian rekisteristä ilman aiheetonta viivytystä edellyttäen, että jokin seuraavista täyttyy:
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
- henkilötietoja on käsitelty lainvastaisesti; tai
- henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.
D. Oikeus siirtää tiedot järjestelmästä toiseen
Ei sovellu.
E. Oikeus olla joutumatta henkilötietojen tietoturvapoikkeaman kohteeksi
Rekisteröidyllä on oikeus olla joutumatta sellaisen EU:n tietosuoja-asetuksen artiklassa 33 mainitun henkilötietojen tietoturvapoikkeaman kohteeksi, joka perustuu rekisterinpitäjän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen, tai rekisterinpitäjän käyttämän henkilötietojen käsittelijän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen. Rekisteröidyllä on oikeus tulla informoiduksi ilman tarpeetonta viivytystä, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
F. Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelin (vaihde): + 358 29 56 66700
Faksi: + 358 9 56 66735
Sähköposti: tietosuoja [at] om.fi (tietosuoja[at]om[dot]fi)