Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolia Ammattikorkeakoulun toimitilapalveluiden ja kiinteistöjen henkilörekisterin sisältämien henkilötietojen käsittelyn tarkoitus on varmistaa Metropolian kampuksien toimitiloissa asioivien henkilöiden turvallisuus, edesauttaa viihtyisää opiskelu- ja työskentely-ympäristöä, suojella omaisuutta sekä ennalta ehkäistä vaaratilanteita ja selvittää niitä, toteuttaa postipalveluita sekä pysäköintilupien ja sähköisten avainten hallintaa sekä tilojen vuokrausta.
Tarkoituksena on lisäksi toteuttaa Metropolian yhteistyötä eri toimijoiden kanssa ja edistää ammattikorkeakouluopetusta palvelevaa sekä työelämää ja aluekehitystä edistävää toimintaa, pitää yllä tietoa Metropolian vierailijoista, toteuttaa älykiinteistöpalveluita kampuksilla ja kerätä kampuskiinteistöjen käyttäjille, hallinnoijille ja omistajille tietoja kiinteistöjen käytöstä sekä ylläpitää ja kehittää Metropolian kampusympäristöä.
Suostumukseen perustuva käsittely
- Vierailijarekisteri
- Älykampustoiminta (Empathic Building -palvelu)
Yleiseen etuun tai lakisääteiseen velvoitteeseen perustuva käsittely
- Turvallisuuspalvelut
- Valmiussuunnitelman laatiminen
- Yhteistyön toteuttaminen elinkeino- ja muun työelämän kanssa sekä suomalaisten ja ulkomaisten korkeakoulujen ja muiden koulutuksen järjestäjien kanssa
Lakisääteinen velvollisuus tai julkisen vallan käyttö perustuu muun muassa seuraaviin lakeihin ja säädöksiin:
Ammattikorkeakoululaki (932/2014)
EU:n yleinen tietosuoja-asetus (2016/679)
Valmiuslaki (1552/2011)
Metropolian toimitilapalveluiden ja kiinteistöjen henkilörekisterin rekisteröityjä ovat Metropolian henkilökunta, opiskelijat, palveluntuottajat, Metropolian kampuskiinteistöissä asioivat asiakkaat ja vierailijat, yrityskumppanien edustajat sekä sidosryhmien edustajat, asiakkaat ja ulkopuoliset Metropoliassa vierailevat henkilöt ja tilojen vuokraajat.
Henkilörekisteriin voidaan tallentaa mm. seuraavia henkilötietoja:
Toimitilat
Nimi
Yhteystiedot
Organisaatiotiedot
Henkilöllisyystodistus
Pysäköintiluvan tiedot
Avainten luovutustiedot
Laitteen lainaustiedot
Tilan vuokraukseen liittyvät tiedot
Saapuvan ja lähtevän postin tapahtumatiedot
Huoltopyyntöjen tiedot
Y-tunnus
Älykampustoiminta
Nimi
Yhteystiedot
Tunnistetiedot
Organisaatiotiedot
Sosiaalisen median tiedot
Suostumustiedot
Vierailijat
Nimi
Yhteystiedot
Organisaatiotiedot
Vierailun tarkoitus
Turvallisuuspalvelut
Nimi
Henkilötunnus tai henkilönumero
Kuva (henkilökunta)
Työsuhteen tiedot tai opiskeluoikeustiedot
Organisaatiotiedot
Kulkutunnisteen tiedot
Kulkutiedot
Henkilön liikkuminen ja henkilön kuva videotallenteessa
Tiedot hälytystapahtumista ja turvallisuusilmoituksista
Henkilötiedot on saatu lähtökohtaisesti rekisteröidyltä itseltään. Tämän lisäksi henkilörekisterin säännönmukaisina tietolähteinä tietoja saadaan: Metropolian tietohallinnon käyttäjähallinnosta, Requeste-palvelupyyntöjärjestelmästä, OMA-intrasta, Metropolian verkkolevyltä (z-asema), kulunvalvontajärjestelmän lukijalaitteista, työajanseurantajärjestelmästä, tallentavan kameravalvonnan kameroiden välittämistä digitaalisista tallenteista, rikosilmoitinjärjestelmästä ja henkilökunnan mahdollisista ennakkoilmoituksista.
Henkilörekisterin tietoja käsitellään eri tietojärjestelmissä ja ohjelmistoissa ja rekisterin sisältämiin henkilötietoihin annetaan tarpeen vaatiessa pääsy esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa tai vikatilanteen korjaamistilanteessa. Näiden työvälineiden takana olevat ulkopuoliset järjestelmäntoimittajat ja palveluntarjoajat ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi.
Tämän rekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella kuten tietosuojan riittävyyttä koskevan päätöksen perusteella tai jos sellaista ei ole annettu, ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta tai muuta sopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Henkilötietojen säilytysaika perustuu lakiin ja säilytysajat vaihtelevat tietojen luonteen ja käyttötarkoituksen perusteella. henkilötiedot säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista henkilötietoryhmittäin suhteessa henkilötietojen käsittelyn tarkoitukseen. Lisäksi henkilötietoja säilytetään mahdolliseen lakiin, viranomaisehtoihin tai sopimukseen perustuvan säilytysajan mukaisesti. Tietojen säilyttämisen tarpeellisuutta arvioidaan säännönmukaisesti.
Säilytysajat perustuvat muun muassa EU:n yleiseen tietosuoja-asetukseen (”GDPR”, 2016/679) ja tietosuojalakiin (1050/2018), Ammattikorkeakoululakiin, (932/2014), lakiin yksityisyyden suojasta työelämässä (759/2004), Kansallisarkiston ammattikorkeakouluja koskevaan päätökseen säilytysajoista (AL/20757/07.01.01.03.02/ 2016) sekä Metropolian arkistonmuodostussuunnitelmaan. Säilytysajat on laskettu joko siitä päivästä, kun henkilötiedot on kerätty tai henkilö lakkaa käyttämästä palvelua.
Tietoja säilytetään muun muassa seuraavanlaisesti:
- Toimitilat: 1 vuosi
- Älykampustoiminta: 1 vuosi
- Turvallisuuspalvelut: 1 vuosi
- Kameravalvonta: 1 kuukausi