Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolian tietohallinnon ja kirjastopalveluiden henkilörekisterin tarkoitus on mm. tarjota opiskelijoiden, henkilöstön ja sidosryhmien käyttöön laadukkaita työvälineitä ja palveluita, toteuttaa sisäistä auditointia, tilasointia ja viestintää, toteuttaa tietohallintopalveluita ja auttaa Metropolian loppukäyttäjiä erilaisissa tietojärjestelmiä, ohjelmistoja ja työvälineiden hankintatilanteita tai IT-palveluita koskevissa kysymyksissä sekä hallinnoida Metropolian opiskelijoiden ja henkilökunnan lähettämiä palvelupyyntöjä koskien mm. tietohallintoa, kiinteistöpalveluja, turvallisuuspalveluita ja kirjasto- ja tietopalveluita.
Suostumukseen perustuva käsittely
- Turvaposti
- Palvelupyyntöjärjestelmän käyttö osittain
- Kirjastopalveluiden käyttö osittain
Yleiseen etuun, julkisen vallan käyttöön tai lakisääteiseen velvoitteeseen perustuva käsittely
- Palvelupyyntöjärjestelmän käyttö osittain
- Tietohallinnon tehtävät
- IT-palveluiden käyttö
- Kirjastopalveluiden käyttö osittain
Lakisääteinen velvoite perustuu seuraaviin lakeihin tai asetuksiin:
Ammattikorkeakoululaki (932/2014)
Laki julkisen hallinnon tiedonhallinnasta (906/2019)
Sopimukseen perustuva käsittely
- Kirjastopalveluiden käyttö osittain
Metropolia tietohallinnon ja kirjastopalveluiden henkilörekisterin rekisteröityjä ovat Metropolian henkilöstö ja opiskelijat sekä opiskelijakunta sekä kaikki muut Metropolian käyttäjätunnuksen omistavat henkilöt sekä kirjasto- ja tietopalveluiden käyttäjät sekä palveluihin liittyvien järjestelmien käyttäjät (pääkäyttäjät, käyttäjät).
Rekisteröidyistä tallennetaan seuraavia henkilötietoja:
Kirjasto- ja tietopalvelut
Nimi
Yhteystiedot
Henkilötunnus
Asiakasryhmä
Tutkinto- ja opintotiedot (opiskelijoilta)
Asiakastyytyväisyyskyselyn sisältö
Kirjasto- ja tietopalveluiden osalta tätä henkilörekisteriä täydentää 3AMK-henkilörekisterin tietosuojaseloste, jonka löydät täältä: https://www.metropolia.fi/fi/metropoliasta/tietosuoja-ja-gdpr/tietosuojaselosteet/3amk-kirjastojen-asiakasrekisteri
Aineistojen lainaus ja käyttö
Kirjastokortin tiedot
Lainaustiedot
Metropolian käyttäjätunnus
Julkaisutiedonkeruu (Justus):
Nimi
Opinnäytetöiden julkaisu Theseuksessa:
Nimi
HAKA-tunnus
Tutkinto-ohjelma
Tietohallinto- ja IT-palvelut
Nimi
Yhteystiedot
Henkilötunnus
Käyttäjätunnus ja käyttäjärooli
Työsuhteen tiedot
Organisaation tiedot
Palaute
Requeste-palvelupyyntöjärjestelmä
Nimi
Yhteystiedot
Käyttäjätiedot
Työsuhteen tiedot
Organisaatiotiedot
Kielitiedot
Opinto- ja tutkintotiedot (opiskelijat)
Palvelupyynnön sisältö
Requeste-palvelupyyntöjärjestelmän tapauksen tiedot (mm. tiedot työasemasta, sijainti ja IP-osoite)
Palaute
Turvaposti
Nimi
Yhtesytiedot
Käyttäjätiedot
Henkilötunnus
IP-osoite
Sijaintitieto
Lokitiedot
Sisäinen auditointi
Nimi
Yhteystiedot
Organisaatiotiedot
Henkilötiedot on saatu pääosin rekisteröidyltä itseltään, jonka lisäksi henkilötietoja saadaan Metropolian muista rekistereistä, LDAP-hakemistosta sekä muista käyttäjätietoja hallinnoivista hakemistoista.
Requeste-palveluun vastaanotetut palvelupyynnöt ohjataan palvelun sisällä yhteydenotossa käytetyn palveluosoitteen mukaisesti vastaanottajille, joita palvelupyyntö koskee. Palvelupyyntöön on pääsy ainoastaan sellaisilla henkilöillä, joiden työtehtävien hoitaminen edellyttää rekisterin käyttöä. Erillisillä palveluosoitteilla on rekisterissä omat käsittelijäryhmänsä, jotka käsittelevät palvelupyyntöjä omissa palvelupyyntöjonoissaan.
Kirjastopalveluiden osalta henkilötietoja voidaan luovuttaa erääntyneiden lainojen perimiseksi perintäyhtiölle.
Henkilöstörekisterin tietoja käsitellään eri tietojärjestelmissä ja ohjelmistoissa ja rekisterin sisältämiin henkilötietoihin annetaan tarpeen vaatiessa pääsy esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa tai vikatilanteen korjaamistilanteessa. Näiden työvälineiden takana olevat ulkopuoliset järjestelmäntoimittajat ja palveluntarjoajat ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi.
Metropolian henkilöstörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella kuten tietosuojan riittävyyttä koskevan päätöksen perusteella tai jos sellaista ei ole annettu, ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta tai muuta sopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Henkilötietojen säilytysaika voi perustua lakiin ja säilytysajat vaihtelevat tietojen luonteen ja käyttötarkoituksen perusteella. henkilötiedot säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista henkilötietoryhmittäin suhteessa henkilötietojen käsittelyn tarkoitukseen. Lisäksi henkilötietoja säilytetään mahdolliseen lakiin, viranomaisehtoihin tai sopimukseen perustuvan säilytysajan mukaisesti. Tietojen säilyttämisen tarpeellisuutta arvioidaan säännönmukaisesti.
Säilytysajat perustuvat muun muassa EU:n yleiseen tietosuoja-asetukseen (”GDPR”, 2016/679) ja tietosuojalakiin (1050/2018), Ammattikorkeakoululakiin, (932/2014), arkistolakiin (831/1994 sekä Kansallisarkiston ammattikorkeakouluja koskevaan päätökseen säilytysajoista (AL/20757/07.01.01.03.02/ 2016). Säilytysajat on laskettu joko siitä päivästä, kun henkilötiedot on kerätty tai henkilö lakkaa käyttämästä palvelua.
Tietoja säilytetään muun muassa seuraavanlaisesti:
- Asiakastietoja säilytetään 3 vuotta viimeisestä tapahtumasta kirjastojärjestelmässä.
- Kirjastokorttihakemus, kaukolainalomake ja hankintaehdotuslomake: palvelun käsittelyn ajan.
- Asiakastyytyväisyyskyselyn tiedot: kyselytietojen käsittelyn ajan.
- Requeste-palvelupyyntöasiat: Vuodesta useampaan vuoteen riippuen palvelupyynnön laadusta ja sisällöstä
- Itsearviointikyselyn tiedot: itsearviointitietojen käsittelyn ajan