Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolia Ammattikorkeakoulun tutkimus-, kehitys- ja innovaatiotoiminnan (TKI-toiminnan) henkilörekisterin ja sen sisältämien henkilötietojen käsittelyn tarkoitus on hallinnoida ja hoitaa Metropolian rekistereihin kohdistuvia tietopyyntöjä ja tutkimuslupapyyntöjä, projektien, hankkeiden, liiketoiminnan ja TKI-toimintaan liittyvän yhteydenpidon, viestinnän, tiedottamisen, yhteistyösuhteiden rakentamisen ja ylläpidon, edistymisen seurannan sekä taloudellisen raportoinnin hoitaminen, työ- ja elinkeinoministeriön hankerahoituksen edellyttämien tietojen kerääminen sekä keksintöilmoituksia tekevien henkilöiden tietojen kerääminen, käsitteleminen ja tallentaminen, tutkimuksen eettisen hyväksyttävyyden ja luotettavuuden sekä tuloksien luotettavuuden turvaaminen sekä HTK-loukkausepäilyjen selvittäminen ja niiden ratkaiseminen. Viestinnällä ja tiedottamisella voi olla myös markkinoinnillinen tarkoitus.
Henkilötietojen käsittely voi olla tarpeen raportoidessa hankkeen, tutkimuksen tai kehitystyön etenemisestä rahoittajalle rahoittajan edellyttämin tavoin.
Yleiseen etuun, oikeutettuun etuun, julkisen vallan käyttöön tai lakisääteiseen velvoitteeseen perustuva käsittely
TKI-toiminnan henkilörekisterissä olevien henkilötietojen käsittely perustuu pääasiassa yleiseen etuun, julkisen vallan käyttöön, rekisterinpitäjän tai kolmannen oikeutettuun etuun tai rekisterinpitäjän lakisääteiseen velvollisuuteen.
Lakisääteinen velvoite perustuu seuraaviin lakeihin tai asetuksiin:
Ammattikorkeakoululaki 932/2014
Laki ammattikorkeakoululain muuttamisesta 941/2017
ESR-asetus (EU 1304/2013)
Yleisasetus (EU 1303/2013)
Rakennerahastoista osarahoitettavien kustannusten tukikelpoisuudesta annettu valtioneuvoston asetus (358/2014)
Yleinen tietosuoja-asetus
Metropolian keksintöilmoitusrekisterissä olevien henkilötietojen käsittely perustuu yleiseen etuun (EU:n yleinen tietosuoja-asetus, ”GDPR” 6.1 artiklan e alakohta).
Suostumukseen perustuva käsittely
- Keksintöilmoitusrekisteri
- Suoramarkkinointi silloin, kun käsittelyn peruste ei ole oikeutettu etu
- Uutiskirjeet
Metropolian TKI-toiminnan henkilörekisterin rekisteröityjä ovat hankkeisiin osallistuvat Metropolian työntekijät ja muut hankkeen parissa toimivat henkilöt, HTK-loukkausepäilyjen esittäjä sekä ne Metropoliassa toimivat henkilöt tai tahot, joita loukkausepäily koskee tai epäilyjen parissa toimivat.
Rekistereihin tallennetaan muun muassa seuraavia henkilötietoja:
Tutkimuslupahakemukset
Nimi
Yhteystiedot
Organisaatiotiedot ja työsuhteen tiedot
Ammatillinen pätevyys
Projekti- ja hanketoiminta
Nimi
Yhteystiedot
Organisaatiotiedot ja työsuhteen tiedot
Osallistumis- tai ilmoittautumistiedot tapahtumiin, työpajoihin ja koulutuksiin
ESR-henkilöhankkeet
Nimi
Yhteystiedot
Henkilötunnus
Sukupuoli
Työllisyystilanne
Koulutus
Muut taustatekijät (ulkomaalaistaustaisuus tai vähemmistöön kuuluminen, vammaisuus, aseman heikkous työmarkkinoilla)
Keksintöilmoitukset
Nimi
Yhteystiedot
Koulutusohjelma
Hyvän tieteellisen käytännön loukkaamisepäilyt
Nimi
Yhteystiedot
Organisaatiotiedot ja työsuhteen tiedot
Muu epäilyn selvittämiseksi tarvittava tieto
Sidosryhmät ja rahoittajat, hankkeen toteuttajat, muut yhteistyökumppanit
Nimi
Sähköpostiosoite
Puhelinnumero
Työnimike, organisaatiotiedot
Hallinnolliset ja tekniset tiedot:
IP-osoitteet ja muut tekniset tiedot digitaalisista järjestelmistä
Lokitiedot käyttäjän toiminnasta hankkeen tietojärjestelmissä
Henkilötietoryhmiä:
Hankkeisiin osallistujat:
Opiskelijat
Opettajat ja muut asiantuntijat
Yritysten ja organisaatioiden edustajat
Työpajoihin, seminaareihin ja koulutuksiin osallistuvat henkilöt
Tutkimus- ja kehitystyöhön osallistuvat:
Kyselyihin, haastatteluihin ja muihin tutkimusaktiviteetteihin osallistuvat henkilöt
Pilottiprojekteihin ja testausryhmiin kuuluvat henkilöt
Kerättävät henkilötiedot sekä käsittelyn tarkemmat tarkoitukset, tavat ja käsittelyperusteet riippuvat hankkeesta tai tutkimuksesta ja informoidaan tarvittaessa osallistujille hanke- ja tutkimuskohtaisesti.
Henkilötiedot on saatu pääasiallisesti rekisteröidyltä itseltään tai julkisesti saatavilla olevista tietolähteistä kuten yritysten verkkosivuilta. HTK-loukkausepäilyn osalta epäilyn kohteena olevan henkilön sekä muiden asianosaisten tiedot saadaan prosessin alussa ilmoittajalta, sen jälkeen rekisteröidyltä itseltään.
Metropolian TKI- toiminnan rekisteristä luovutetaan henkilötietoja seuraaville vastanottajaryhmille:
- Ulkoiset tutkimuslaitokset
- Tilastokeskus tai vastaava taho kyselytutkimusten toteuttamista varten
- Keksintöilmoitusten osalta yhteistyökumppanit (esim. tilanteessa, jossa keksintöä arvioidaan yhteistyökumppanin kanssa) vain, jos ilmoituksen jättäjä (keksijä) antaa siihen suostumuksensa. Korkeakoulun on pidettävä salassa sille annetut keksintöön liittyvät tiedot, kunnes keksintö on riittävällä tavalla suojattu eikä salassapidolle ole muita erityisiä syitä (korkeakoulukeksintölaki 11.2 §).
- Viranomaisille lain, asetuksen tai viranomaisen päätöksen perusteella
- HTK-loukkausepäilyilmoitusten osalta Tutkimuseettisen neuvottelukunta (TENK)
- Yhteistyökumppanien välillä tarvittaessa ja kun laki sallii henkilötiedon jakamisen näille tahoille
- Hankkeen, tutkimuksen tai kehitystyön rahoittaja
Henkilöstörekisterin tietoja käsitellään eri tietojärjestelmissä ja ohjelmistoissa ja rekisterin sisältämiin henkilötietoihin annetaan tarpeen vaatiessa pääsy esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa tai vikatilanteen korjaamistilanteessa. Näiden työvälineiden takana olevat ulkopuoliset järjestelmäntoimittajat ja palveluntarjoajat ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi.
Metropolian TKI-toiminnan henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 45 tai 46 artiklan mukaisella suojatoimella kuten tietosuojan riittävyyttä koskevan päätöksen perusteella tai jos sellaista ei ole annettu, ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta tai muuta sopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Henkilötietojen säilytysaika perustuu osittain lakiin ja säilytysajat vaihtelevat tietojen luonteen ja käyttötarkoituksen perusteella. Säilytysajat perustuvat muun muassa lakiin valtakunnallisista opinto- ja tutkintorekistereistä (884/2017), Ammattikorkeakoululakiin, (932/2014) sekä Kansallisarkiston ammattikorkeakouluja koskevaan päätökseen säilytysajoista (AL/20757/07.01.01.03.02/ 2016). Osa tiedoista poistetaan, kun niitä ei enää tarvita eikä laki velvoita säilyttämään niitä määräaikaa. Säilytysajat on laskettu joko siitä päivästä, kun henkilötiedot on kerätty tai henkilö lakkaa käyttämästä palvelua.
Henkilötietojen säilytysaika voi myös perustua rekisterinpitäjän oikeutettuun etuun tai sopimukseen.
Muita tietoja säilytetään muun muassa seuraavanlaisesti:
- Metropolian tutkimuslupahakemusten henkilörekisteriin kerätyt ja rekisterin piirissä käsiteltävät henkilötiedot: 5 vuotta
- Metropolian projekti- ja hanketoiminnan hallintarekisterin yhteydessä kerätyt ja käsiteltävät henkilötiedot: pysyvästi
- ESR Henkilö –järjestelmää varten kerätyt ja rekisterin piirissä käsiteltävät henkilötiedot säilytetään seuraavasti: vähintään 10 vuotta hankkeen päättymisestä. Sähköisen rekisterin tiedot hävitetään ESR-ohjelmakauden päättymisen jälkeen
- Keksintöilmitukset: sopimukseen perustuvan ajan mukaisesti.
- Hyvän tieteellisen käytännön loukkaamisepäilyt: pysyvästi.
- Yhteistyö- ja hankekumppaneiden yhteystietoja säilytetään hankkeen ajan ja mahdollisesti hankkeen jälkeen niin kauan kuin yhteistyösuhteen ylläpitämiseksi ja rakentamiseksi on tarpeen, kuitenkin enintään 2 vuotta hankkeen päättymisen jälkeen, ellei yhteistyösuhde ole jatkunut aktiivisena.
Säilytysajan määräytymisessä on otettu huomioon mm. seuraava sääntely:
- EU:n yleinen tietosuoja-asetus (”GDPR”, 2016/679)
- Tietosuojalaki (1050/2018)
- Ammattikorkeakoululaki, (932/2014)
- Kansallisarkiston päätös säilytysajoista - AMK:ita koskeva päätös (AL/20757/07.01.01.03.02/ 2016)