GDPR ja tietosuoja

Henkilötietojen käsittelyä koskeva politiikka ja ohjeistus

Kaikissa oppilaitoksissa, korkeakouluissa ja innovatiivisessa digiopetuksessa käsitellään paljon sekä opiskelijoiden, sidosryhmäedustajien että oman henkilökunnan henkilötietoja. Näin tapahtuu varsinkin Metropolia Ammattikorkeakoulu Oy:ssä.

Henkilötietojen käsittelyä tapahtuu kaiken aikaa Metropolian opetustoiminnassa, TKI-toiminnassa sekä erityisesti kaikissa yhteistyöhankkeissa ja projekteissa, joihin Metropolia on lähtenyt mukaan. Henkilötietojen luonteesta johtuen niiden käsittelyyn liittyy tiettyjä lainsäädännöllisiä velvollisuuksia. Rekisterinpitäjävelvollisuuksia.

Tämän vuoksi on laadittu Metropolian tietosuojapolitiikka, joka on ylimmän johdon hyväksymä ja joka koskee Metropolian oman henkilökunnan, opiskelijoiden ja kolmansien osapuolten (mm. jatkuvan oppimisen ja liiketoiminta-asiakkaiden) henkilötietojen käsittelyä sekä muun arkaluonteisen aineiston käsittelyä.

Myös Metropolian tietoturvallisuuspolitiikka on päivitetty hiljattain (helmikuussa 2019) vastaamaan GDPR-aikaista tietoturvallisuuspolitiikkaa. Tietoturvaa ja tietojärjestelmiä koskevat päätökset heijastavat aina organisaation tietosuojaan ja toisinpäin.

Niin Metropolian tietosuojapolitiikka - kuin tietoturvallisuuspolitiikka -dokumentit perustuvat Metropoliaa velvoittavaan kansalliseen ja kansainväliseen lainsäädäntöön (mm. tietosuojalaki, laki yksityisyydensuojasta työelämässä, julkisuuslaki, EU:n yleinen tietosuoja-asetus, General Data Protection Regulation eli "GDPR", e-Privacy directive).

Lisäksi Metropoliassa sovelletaan Suomen korkeakoulujen yhteisesti hyväksymiä ja Tietosuojavaltuutetun toimistolla (TSV) hyväksytettyjä korkeakoulujen yhteisiä käytännesääntöjä, joista ensimmäisenä on ehditty TSV:llä hyväksyttää ja julkaista opintotietojen yhteiset tietosuojan käytännesäännöt.

Työn alla korkeakouluilla on yhteisesti korkeakoulujen opetuksen tietosuojan ja tutkimuksen tietosuojan käytännesäännöt, jotka valmistunevat vuoden 2019 aikana. Metropolia tulee soveltamaan toimintaansa myös niitä.

Henkilötietoja koskeva lainsäädäntö

EU:n yleistä tietosuoja-asetusta (2016/679) on ryhdytty soveltamaan kaikissa EU:n jäsenvaltioissa 25.5.2018 alkaen täysimääräisesti.

Kansallinen tietosuojalaki (1050/2018) on 1.1.2019 astuttuaan voimaan kumonnut Suomessa ns. vanhan henkilötietolain (523/1999). Tietosuojalaki täydentää EU:n yleistä tietosuoja-asetusta, General Data Protection Regulation, ”GDPR”).

Tietosuojavaltuutetun toimistolle on annettu tietosuojalaissa Suomen ylimmän tietosuojalainsäädäntöä valvovan viranomaisen mandaatti - myös ns. GDPR:n hallinnollisen sakon määräämisoikeus GDPR:n artiklan 83 mukaisesti on laissa annettu Tietosuojavaltuutetun toimistolle. Se tarkoittaa sitä, että Tietosuojavaltuutetun toimistolla on lupa langettaa rekisterinpitäjälle tai henkilötietojen käsittelijälle, joka ei ole asetuksenmukainen, hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Suomessa tietosuojavaltuutettu Reijo Aarniolla tai Tietosuojavaltuutetun toimiston muilla viranhaltijoilla on oikeus suorittaa tarkastuskäyntejä toimea hoitaessaan, ja pyytää rekisterinpitäjää esimerkiksi esittämään GDPR:n artiklan 30 mukainen seloste käsittelytoimista nähtävilleen.

Laki yksityisyyden suojasta työelämässä (759/2004). Laki kattaa keskeisimmät työelämän tietosuojakysymykset luomalla menettelytapoja työelämän tarpeita varten.

Laki sähköisen viestinnän palveluista (917/2014) (ent. tietoyhteiskuntakaari) sääntelee sähköisen viestinnän luottamuksellisuutta ja yksityisyydensuojaa.

Julkisuuslain (621/1999) (laki viranomaisen toiminnan julkisuudesta) mukaan määräytyy esimerkiksi se, mitä henkilötietoja viranomaisen rekisteristä voidaan luovuttaa eteenpäin ja keille tahoille.