Tietosuojaseloste: Metropolian tietosuojapalveluiden henkilörekisteri

Metropolian tietosuojapalveluiden henkilörekisterin rekisteröityjä ovat Metropolian opiskelijat, henkilökunta/työntekijät, Metropolian alumnit, asiakkaat ja muut sidosryhmät (esimerkiksi ulkopuolisten organisaatioiden yhteyshenkilöt). Lisäksi rekisteröityjä ovat myös kaikki ulkopuoliset tietosuojavastaavaan/tietosuojapalveluihin yhteydenpidossa olevat henkilöt.

Metropolian tietosuojapalveluiden henkilörekisteriin tallennetaan seuraavia henkilötietoja henkilötietoryhmittäin:

YHTEYDENPITO SÄHKÖPOSTITSE/PUHELIMITSE:

Metropolian tietosuojapalveluihin rekisteröidyt voivat ottaa yhteyttä sähköpostitse geneerisen tietosuojavastaavan osoitteen (tietosuojavastaava [at] metropolia.fi) tai tietosuojapalveluiden työntekijöiden henkilökohtaisten sähköpostiosoitteiden kautta taikka puhelimitse ottamalla yhteyttä tietosuojapalveluihin. Rekisteröity voi lähettäessään sähköpostia tai ollessaan puhelimitse yhteydessä Metropolian tietosuojapalveluihin/tietosuojavastaavaan antaa yhteydenottonsa yhteydessä usein seuraavia tietoja:

• Perustiedot: etunimi, sukunimi, sähköpostiosoite
• rekisteröidyn mahdollisesti ilmoittama postiosoite, syntymäaika/henkilötunnus
• rekisteröidyn antamat muut tiedot sähköpostissa/puhelimitse, jotka voivat sisältää myös arkaluonteisiksi luokiteltavia, GDPR 9 artiklassa mainittuja henkilötietoja, kuten tieto ammattiliiton jäsenyydestä, uskonnollisesta vakaumuksesta, terveystiedosta tai terveystiedon kaltaisesta tiedosta. Arkaluonteisten tai muuten luottamuksellisten henkilötietojen lähettämiseen sähköisesti tulee käyttää turvapostia.

Lisäksi tietosuojavastaava/tietosuojapalvelut voivat käsitellä henkilötietoja esimerkiksi koskien opinnäytetöitä/tutkimuksia, rekisteröidyn suostumuksenannon arviointia tai muuta tietosuoja-asetuksen /tietosuojalainsäädännön soveltamiseen liittyvää konsultaatiotilannetta.

Henkilötietoja käsitellessään tietosuojavastaavaa/tietosuojapalveluita sitoo salassapitovelvollisuus luottamuksellisten ja arkaluonteisten tietojen osalta. Tietoja voidaan kuitenkin antaa Metropolia Ammattikorkeakoululle tai viranomaiselle niiden tehtävien toteuttamiseksi lain edellyttämissä tilanteissa.

REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMINEN:

Rekisteröidyillä on oikeus:

• saada pääsy henkilötietoihinsa/tarkastaa itseään koskevat henkilötiedot (GDPR 15 artikla) (”saada pääsy tietoihin”)
• pyytää tietojensa oikaisemista (GDPR 16 artikla) (”tietojen oikaisupyyntö”)
• vaatia tietojensa poistamista (GDPR 17 artikla) (”tietojen poistopyyntö”) (ei koske lakisääteisiä tehtäviä)
• vaatia henkilötietojensa käsittelyn rajoittamista (GDPR 18 artikla)
• vastustaa henkilötietojensa käsittelyä (GDPR 21 artikla) (”käsittelyn rajoittamispyyntö”)
• pyytää toimittamiensa henkilötietojen siirtämistä rekisterinpitäjältä toiselle (GDPR 20 artikla) (”Pyyntö siirtää tiedot järjestelmästä toiseen”)
• peruuttaa antamansa suostumus, mikäli henkilötietojen käsittely perustuu suostumukseen (GDPR 7 artiklan 3 kohta)
• olla joutumatta automaattisen päätöksenteon kohteeksi (GDPR 22 artikla)
• olla joutumatta GDPR 33 artiklassa mainitun tietosuoja- tai turvapoikkeaman kohteeksi

Jotta rekisteröity voi käyttää oikeuksiaan, voi hän toimittaa Metropolian julkisilta verkkosivuilta löytyvällä lomakkeella pyyntönsä Metropolian johonkin opiskelija- ja hakijapalveluiden toimipisteeseen (opiskelijat, Metropolian sidosryhmäedustajat, alumnit) tai toimittaa OMA:n GDPR ja tietosuoja -sivuilla saatavalla lomakkeella pyyntönsä Metropolian henkilöstöhallintoon (työntekijät/henkilöstö). Pyynnön voi jättää ainoastaan rekisteröity itse. Rekisteröityjen on myös mahdollista toteuttaa oikeuksiaan olemalla suoraan yhteydessä ammattikorkeakoulun tietosuojavastaavaan.

Pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla (esim. virallisella henkilöllisyystodistuksella tai ajokortilla). Virallisesta henkilöllisyystodistuksesta tai ajokortista ei oteta jäljennöstä (valokuvaa).

Rekisteröidyn tietopyynnön vastaanottavalla Metropolian taholla (opiskelija- ja hakijapalveluiden toimiston henkilökunta ja/tai henkilöstöhallinnon yksikkö) on vastuu tunnistaa rekisteröity hänen esittämästään luotettavasta henkilöllisyystodistuksesta sekä merkitä rekisteröidyn tietopyyntö -lomakkeen asianmukaiseen kohtaan tarkastus tehdyksi.

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisteröidyllä on lisäksi oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin, oikeus tarkastaa rekisteriin tallennetut itseään koskevat tiedot ja saada niistä kopiot. Rekisteröidyn oikeuksien toteuttamispyyntöön on GDPR 12 artiklan 3 kohdan mukaisesti rekisterinpitäjän annettava vastaus kuukauden kuluttua pyynnön vastaanottamisesta.

Rekisteröidyn tietopyyntölomakkeelle toteutetaan edellä mainittuja rekisteröidyn oikeuksia ja kyseiselle lomakkeelle tallennetaan seuraavia tietoja rekisteröidystä:

• Pyynnön esittäjä: (etunimi ja sukunimi) sekä osoite, henkilöturvatunnus, puhelinnumero ja sähköpostiosoite.
• Pyynnön tyyppi: saada pääsy tietoihin/tietojen poistopyyntö/ tietojen oikaisupyyntö/käsittelyn rajoittamispyyntö/ pyyntö siirtää tiedot järjestelmästä toiseen/vastustamisoikeus/muu oikeus).
• Tietoa pyynnöstä: rekisteröidyn kuvaus siitä, mitä tietoa pyyntö koskee, miten rekisteröity haluaa pyyntöään käsiteltävän sekä miltä ajalta hän haluaa saada tietonsa.
• Pyynnön käsittely: rekisteröidyn ilmoitus siihen, miten hän toivoo pyyntöönsä vastattavan. (Tietoon tutustuminen Metropolian tiloissa, nouto Metropoliasta tulosteena, postitse vai sähköpostitse)
• Päiväys ja allekirjoitus: päiväys (päivämäärä ja pyynnön esittäjän allekirjoitus.
• Henkilöllisyys vahvistettu: Metropolian taholta henkilöllisyyden rekisteröidyltä tarkastaneen merkintä tietopyyntölomakkeeseen, mistä henkilöllisyys on vahvistettu: ajokortti/passi/kuvallinen henkilökortti/muu kuvallinen henkilöllisyystodistus.
• Päiväys ja allekirjoitus: Päiväys (päivämäärä) ja Metropolian edustajan etunimi ja sukunimi sekä allekirjoitus ja tehtävänimike.
• Pyynnön käsittely ja tulos: Päätös merkitään merkitsemällä rasti lomakkeelle siitä, että pyyntö on joko hyväksytty/pyyntö on hylätty osittain tai kokonaan (ks. lisätiedot)/pyynnön jättäjästä ei ole tietoja rekisterissä)/Pyynnön käsittelystä merkitään lomakkeelle rastittamalla ruutu siitä, onko pyyntöön on vastattu pyynnön jättäjän toivomalla tavalla/pyynnön jättäjälle on annettu vastaus henkilökohtaisesti/Pyynnön jättäjälle on annettu tilaisuus tutustua häntä koskeviin tietoihin.
• Päivämäärä(t), jolloin pyyntö/pyynnöt on toteutettu
• Pyynnön käsittelijän nimi, allekirjoitus, tehtävänimike ja päätöksen päivämäärä
• Lisätietoja päätöksestä.

Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetun toimistoon, mikäli rekisteröity katsoo, että henkilötietojensa käsittelyssä on Metropoliassa rikottu voimassa olevaa tietosuojalainsäädäntöä.

TIETOSUOJA/-TIETOTURVAPOIKKEAMAILMOITUKSET

Metropolian tietosuojavastaava saa tiedon mahdollisesta tietosuoja-/tietoturvapoikkeamasta tietoturvapoikkeamailmoituksena rekisteröidyiltä itseltään tai Metropolian organisaatiolta (puhelimitse/sähköpostitse/Requeste -palvelupyyntöjärjestelmän kautta).

Jos tietoturvapoikkeamasta ilmoitetaan Requeste -palvelupyyntöjärjestelmän kautta tietoturvapoikkeamailmoitukseen tallennetaan rekisteröidyn tietoina:

• rekisteröidyn puhelinnumero ja sähköpostiosoite (opiskelijan tai henkilökuntaan kuuluvan työntekijän/opettajan)
• otsikko ja kuvaus palvelupyynnön kohteesta
• liitetiedosto palvelupyynnön kohteesta

Metropolian tietosuojavastaava saa tiedon tietoturvapoikkeamasta (sähköpostitse tietosuojavastaava [at] metropolia.fi -osoitteeseen). Tietosuojavastaava merkitsee poikkeamasta tiedon Metropolian omalla palvelimella käytössä olevaan Wiki-confluence -organisaatiowikiohjelmistoon tekemällä tietoturvapoikkeamaraportin kyseisen ohjelmiston avulla.

Tietoturvapoikkeamaraporttiin tallennetaan seuraavia tietoja:

• ilmoittaja/tietoturvaloukkauksen uhri (etunimi, sukunimi/asema)
• yksikkö/tiimi
• suojaustaso (ketkä Metropolian työntekijät näkevät poikkeamaraportin)
• tapahtuma-ajankohta
• tapahtumapaikka/-kohde
• poikkeamatyyppi (kuvaus tietoturvapoikkeamasta)
• tapahtumankuvaus (selostus ilmi tulleesta tietoturvapoikkeamasta, suoritetuista toimenpiteistä, yhteydenpidosta ilmoittajan/Metropolian henkilöstön ja/Metropolian ulkopuolisen tahon kanssa, jolla on ollut pääsy rekisteröityjen henkilötietoihin sekä kuvaus jatkotoimenpiteistä.
• tapahtumasta aiheutuneet vahingot tai mahdollisesti seuraavat vahingot
• selvitystyöhön käytetyt henkilöresurssit (merkittynä h)
• sisäinen viestintä/ulkoinen viestintä
• Muut tiedot ja lisätietojen antaja sekä yhteystiedot

Jos tällainen henkilötietojen tietoturvaloukkaus tapahtuu, rekisterinpitäjän (Metropolia Ammattikorkeakoulun) on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta GDPR 33 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle (Suomen tietosuojavaltuutetun toimistolle), paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Metropolia Ammattikorkeakoulussa mahdollisesta tietoturvapoikkeamasta tekee ensisijaisesti arvion Metropolian tietosuojavastaava, joka myös päättää tehdäänkö ilmoitus tietosuojavaltuutetun toimistolle. Ilmoitus on tehtävä viimeistään 72 tunnin kuluessa siitä, kun tietoturvapoikkeama on tullut rekisterinpitäjän tietoon.

Mikäli tietosuojavastaava tekee ilmoituksen tietoturvapoikkeamasta tietosuojavaltuutetun toimistolle, tallennetaan tietosuojavaltuutetulle tehtävään ilmoitukseen seuraavia tietoja:

• ilmoituksen tyyppi (koko ilmoitus/alustava ilmoitus/täydennys aiempaan ilmoitukseen)
• yritys- ja yhteisötunnus
• yrityksen oma tunnus tietoturvaloukkaukselle
• organisaation nimi
• osoite ja muut tarpeelliset yhteystiedot
• yhteyshenkilö (nimi, tehtävä, puhelin ja postiosoite)
• yhteyshenkilön sähköpostiosoite
• muut osalliset (tieto siitä, koskeeko tietoturvaloukkaus muita tahoja)
• tietoturvaloukkauksen alkamispäivä/arvioitu alkamispäivä, jos päivämäärä ei ole tiedossa
• tietoturvaloukkauksen päättymispäivä/arvioitu päättymispäivä, jos päivämäärä ei ole tiedossa
• päivämäärä, milloin tietoturvaloukkaus tuli ilmi/arvioitu päivämäärä, jos päivämäärä ei ole tiedossa
• kuvaus siitä, miten tietoturvaloukkaus havaittiin
• päivämäärä, milloin henkilötietojen käsittelijä/rekisterinpitäjä on ilmoittanut tietoturvaloukkauksesta, jos päivämäärä ei ole tiedossa
• lisätietoja ilmoituksen tekemisen ajankohdasta (esimerkiksi myöhästymisen syy tai muita tietoja)
• tietoturvaloukkauksen kuvaus (luvaton luovuttaminen tai pääsy tietoihin/Tietojen muuttaminen/tietojen lainvastainen/vahingossa tapahtunut tuhoutuminen/hävittäminen/tietojen saatavuus/käytettävyys on tilapäisesti estynyt
• kuvaus tietoturvaloukkauksesta
• tietoturvaloukkauksen tapa
• tietoturvaloukkauksen syy
• tietoturvaloukkauksen kohteena olevat henkilötiedot
• arvio tietoturvaloukkauksen kohteena olevien tallenteiden määrästä
• toimenpiteet ennen tietoturvaloukkausta, mitä teknisiä ja organisatorisia suojatoimenpiteitä on tehty ennen tietoturvaloukkausta (kuvaus siitä, millaisilla toimenpiteillä loukkauksen kohteena olevat henkilötiedot on suojattu, esimerkiksi henkilöstölle annetut toimintaohjeet ja käytössä olevat tekniset suojaustoimenpiteet)
• fyysinen, aineellinen tai aineeton vahinko tai merkittävät seuraukset rekisteröidyille (tapa, jolla tietoturvaloukkaus mahdollisesti vaikuttaa rekisteröityihin
• arvioi mahdollisten vaikutusten vakavuus rekisteröidylle (vähäinen/ kohtainen/korkea/hyvin korkea)
• tieto siitä, onko rekisteröidylle ilmoitettu tietoturvaloukkauksesta
• Tietoturvaloukkauksen johdosta toteutetut toimenpiteet (rekisterinpitäjän tietoturvaloukkauksen vuoksi toteuttamat toimenpiteet)
• Tietoturvaloukkauksen liityntä muihin EU/ETA-maihin, jos organisaatiolla toimipaikka useammassa kuin yhdessä EU/ETA-maassa
• tieto siitä, onko organisaatiolla toimipaikkoja useammassa kuin yhdessä EU/ETA-maassa
• missä EU/ETA-maissa oleviin rekisteröityihin tietoturvaloukkauksella on vaikutuksia?
• lisätietoja
• muut tietoturvaloukkauksen johdosta tehdyt ilmoitukset (onko tietoturvaloukkauksesta ilmoitettu tai ilmoitetaanko siitä suoraan muulle tietosuojaviranomaiselle EU:n alueella/onko tietoturvaloukkauksesta ilmoitettu/ilmoitetaanko siitä ETA-alueen ulkopuoliselle tietosuojaviranomaiselle/onko tietoturvaloukkauksesta ilmoitettu/ilmoitetaanko siitä muille ETA-alueen viranomaisille EU-säännösten perusteella (NIS-direktiivi tai eIDAS-asetus).

Rekisteröidyn (tietoturvaloukkauksen uhrin) informoiminen tietoturvaloukkauksesta:

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän (Metropolia Ammattikorkeakoulun) on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä (GDPR 34 artikla). Metropolian tietosuojavastaava ilmoittaa, mikäli katsoo mainitun 34 artiklan edellytysten täyttyvän, rekisteröidylle/rekisteröidyille (tietoturvaloukkauksen uhrille/-uhreille) selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonteen ja antaa GDPR 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet:

• tietosuojavastaavan nimen ja yhteystiedot tai muun yhteyspisteen, josta voi saada lisätietoa
• kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seuraukset
• kuvaus toimenpiteistä, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta
• sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

TYÖVÄLINE-/TUTKIMUS-/PERUSMUOTOINEN DPIA -LOMAKE (Data Protection Impact Assessment)

GDPR 35 artiklan mukainen, DPIA (Data Protection Impact Assessment) eli tietosuojaa koskeva vaikutustenarviointi koskee usein Metropoliassa tietojärjestelmä- ja ohjelmistohankintoja, järjestelmäkehitystä, uusien palvelujen tai toimintojen suunnittelua, projekteja, hankkeita ja laitehankintoja yms., joissa on mukana henkilötietoa.

Kun Metropolian työntekijä esittää uutta työvälinettä hankittavaksi Metropoliaan, tulee työvälineestä (esim. uusi tietojärjestelmä, digisovellus, ohjelmisto) tehdä ensin DPIA/tietosuojan vaikutustenarviointi. Tätä varten työntekijän tulee täyttää Metropolian OMA-intranetin kautta e-lomake-ohjelmistolla toteutettu työväline-DPIA -lomake.

Työväline-DPIA -lomakkeelle tallennetaan seuraavia tietoja rekisteröidystä:

• Vastuuhenkilö ja -yksikkö
• mitä muutosta tämä vaikutusten arviointi koskee
• yksikkö/kustannuspaikka, joka maksaa työvälineen kulut
• henkilö, joka toimisi yksikön pääkäyttäjänä työvälineelle Metropoliassa (etunimi, sukunimi, sähköpostiosoite/puhelinnumero)
• konsultaatioprosessi (rekisteröidyt, joiden näkemys tulisi ottaa huomioon työvälinettä hankittaessa)
• mahdolliset riskit/uhat rekisteröidyille

Kun Metropolian työntekijän/opiskelijan suunnittelemassa tutkimuksessa tai opinnäytetyössä aiotaan käsitellä tutkittavien terveystietoja, esim. tietoja heidän käyttämistään mielenterveyspalveluista, tietoja kohderyhmän seksuaalisesta suuntautumisesta tai etnisestä taustasta taikka muista vastaavista arkaluonteisista henkilötiedoista, edellyttää tietosuojalainsäädäntö sitä, että ennen tutkimusaineiston keruuvaihetta ja henkilötietojen käsittelyä, tehdään tutkimuksesta ja/tai sen tausta-aineistosta DPIA - tietosuojan vaikutustenarviointi.

Tutkimuksen DPIA -lomake täytetään Metropolian OMA-intranetin kautta e-lomake-ohjelmistolla. Kyseiselle lomakkeelle tallennetaan rekisteröidyn tietoina:

• yhteyshenkilö henkilötietojen käsittelyä koskevissa asioissa (etunimi, sukunimi, puhelinnumero ja sähköpostiosoite)
• sidosryhmien kuuleminen (suunnitelma siitä, kuinka sidosryhmät otetaan huomioon tutkimuksessa/opinnäytetyössä)
• mahdolliset riskit/uhat rekisteröidyille

Perusmuotoinen DPIA -lomake täytetään Metropolian OMA-intranetin kautta e-lomake-ohjelmistolla, kun kumpikaan edellisistä lomakkeista ei sovellu. Tällöin Metropolian opiskelija/työntekijä täyttää ns. perusmuotoisen DPIA -lomakkeen. Kyseiselle lomakkeelle tallennetaan rekisteröidyn tietoina:

• vastuuhenkilö ja -yksikkö
• mitä muutosta tämä vaikutusten arviointi koskee
• minkälaista henkilötietojen käsittelyä toiminnan parissa tulee tapahtumaan?
• jos on laadittuna hankesuunnitelma/projektisuunnitelma yms., voi lomakkeen täyttäjä liittää sen loppuun liitteeksi.
• tieto siitä, jaetaanko henkilötietoa joidenkin Metropolian muiden yksikköjen tai sidosryhmien kera
• konsultaatioprosessi (rekisteröidyn näkemysten huomioiminen)
• mahdolliset riskit/uhat rekisteröidyille

Tietosuojaselosteet

Metropolian tietosuojapalvelut laativat rekisteröidyn informointivelvoitteen edellyttämiä tietosuojaselosteita (GDPR 13 ja 14 artikla). Tietosuojaselosteet sisältävät henkilötietoina:

• tietosuojavastaavan yhteystiedot (etunimi ja sukunimi sekä sähköpostiosoite);
• rekisterinpitäjän vastuuhenkilön etunimen ja sukunimen sekä tehtävän/aseman;
• rekisterin sisällöstä vastaavan henkilön ja rekisterin yhteyshenkilön etunimen, sukunimen, tehtävän/aseman sekä sähköpostiosoitteen.

Metropolian tietosuojapalveluiden laatiessa näitä tietosuojaselosteita voivat he käsitellä näihin tehtäviin liittyen myös muita henkilötietoja (esim. tarkastellessaan, mistä henkilötiedoista kyseinen henkilörekisteri muodostuu).

Henkilötietojen käsittelysopimukset

Henkilötietojen käsittelysopimukset Metropolia Ammattikorkeakoulu laatii tietosuojapalveluiden toimesta GDPR 28 artiklan mukaisesti Metropolian ja henkilötietojen käsittelijän välillä. Henkilötietojen käsittelysopimukset saattavat sisältää seuraavaa tunnisteellista tietoa:

• allekirjoittajan yhteystiedot Metropolia Ammattikorkeakoulussa (etunimi, sukunimi, asema organisaatiossa) sekä allekirjoitus, nimenselvennys ja päivämäärä
• allekirjoittajan yhteystiedot henkilötietojen käsittelijän osalta(etunimi, sukunimi, asema organisaatiossa) sekä allekirjoitus, nimenselvennys ja päivämäärä