Henkilötietojen käsittely Metropoliassa

Tietosuoja Metropolian hankinnoissa, järjestelmäkehityksessä, uusissa opetuksen digi-innovaatioissa ja projekteissa

Kun Metropoliassa suunnitellaan sellaisia uusia henkilötietoja sisältäviä hankkeita, henkilötietojen käsittelyä edellyttäviä projekteja, järjestelmäkehitystä, innovoidaan hankkeita, joissa on mukana henkilötietoa tai aiotaan opetustoimessa ottaa käyttöön uusi työväline (henkilötietojen keruuta tai käsittelyä edellyttävän työväline), kuuluu metropolialaisen toimia näin:

  1. Tutustu Metropolian intranetin (OMA:n) ”Tunnista DPIA” -sivustolla oleviin ohjeisiin tietosuoja- ja tietoturvavaatimusten huomioimisesta kehitystyössä, opetustyön digitalisaatiossa, hankinnoissa, järjestelmäkehityksessä ja projekteissa. Katso myös tässä oleva Metropolian tietosuojavastaavan laatima PowerPoint-esitys DPIA:sta (Data Protection Impact Assesment) eli tietosuojaa koskevasta vaikutustenarvioinnista, GDPR:n artiklan 35 mukaisesti. Metropolian tietosuojavastaavan PowerPoint-esityksessä otettu huomioon Tietosuojavaltuutetun toimiston julkaisema ja 21.12.2018 viimeksi päivittämä kansallinen DPIA-luettelo (valvontaviranomaisen julkaisema luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan artiklan 35, kohdan 1 nojalla tietosuojaa koskeva vaikutustenarviointi)
  2. Mikäli tunnistat tai epäilet olevasi uuden hankkeesi, järjestelmähankintasi yms. kanssa DPIA-tilanteessa, ryhdy täyttämään Metropolian DPIA-lomaketta ja suorita tarpeen vaatiessa rekisteröityjen ennakkokuuleminen (ks. lomakkeen kysymykset koskien rekisteröityjen kuulemista). Jos et ole varma, oletko DPIA-prosessin käynnistämistä edellyttävässä tilanteessa, soita Metropolian tietosuojavastaava Tuulia Aarniolle, p. 040 8440690 ja/tai lähetä asiastasi sähköpostia (tuulia.aarnio@metropolia.fi; tietosuojavastaava metropolia fi), ja pyydä tunnistamisapua
  3. Täytetty DPIA-lomake lähetetään Metropolian tietosuojavastaavalle katselmointiin
    • jos et ole osannut täyttää kaikkia kohtia lomakkeeseen, tietosuojavastaava haastattelee DPIA-lomakkeen laatijaa ja täydentää tarvittaessa lomakkeen loppuun yhdessä lähettäjän kanssa
    • lomakkeessa on kohta, johon Metropolian tietosuojavastaavan (sekä tarpeen vaatiessa Metropolian tietohallinnon edustajan ja kokonaisarkkitehdin), kannanotto(t) DPIA:n kohteena olevaan uuteen työvälineeseen, toimintoon, hankkeeseen, projektiin yms. kirjataan myös ylös
  1. Tietosuojavastaava laatii esityksen talon ylimmälle johdolle DPIA:n hyväksymisen edellytyksistä. Tietosuojavastaava lähettää DPIA-lomakkeen talon ylimmälle johdolle käsiteltäväksi/hyväksyttäväksi heidän päätöksentekoaan varten (toimitusjohtaja-rehtori, varatoimitusjohtaja, TKI-johtaja)
    • Talon ylimmältä johdolta pyydetään kannanottoa ja päätöksentekoa DPIA-lomakkeen loppuosan kohtiin (”Tunnista riskit ja identifioi toimenpiteet riskien pienentämiseksi”) ja (” Allekirjoita ja hyväksy DPIA:n lopputulokset”)

    • DPIA-lomakkeessa on kohta, johon talon johto antaa kannanottonsa jäännösriskiin sekä lopulta hyväksyy tai hylkää esityksen esim. uudeksi työvälineeksi/suunnitelluksi uudeksi projektiksi/hankkeeksi

    • Johto arvioi riskiä suhteessa rekisteröityjen vapauksiin, oikeuksiin ja yksityisyydensuojalle, ja toisaalta puntaroidaan DPIA:n kohteena olevan uuden hankkeen, projektin, työvälineen yms. käyttöönoton toteuttamismahdollisuuksia/hyötyjä organisaatiolle (kumman edut /oikeudet ovat vahvemmat)

Tietosuojan hallinta Metropoliassa

Metropoliassa on tietosuojaorganisaatio - talon sisäinen tietosuojatyöryhmä, jota vetää Metropolian tietosuojavastaava Tuulia Aarnio

Ryhmän toimesta katselmoidaan, kommentoidaan ja tehdään parannusehdotuksia tietosuojavastaavan alustavasti luonnostelemiin kaikille metropolialaisille tarkoitettuihin tietosuojadokumentteihin ja GDPR-ohjeisiin, joita julkaistaan tällä sivustolla.

Tietosuojavastaava toimii GDPR:n ja muun tietosuojasääntelyn erityisasiantuntijana raportoiden talon johdolle tietosuoja-asioista. Tietosuojavastaava ei voi tehdä päätöksiä ja ns. linjanvetoja tietosuoja-asioissa, koska toimenkuvaan liittyvä rooli on neuvonantajarooli. Viime kädessä organisaation johdolla on vastuu tietosuojasta ja esimerkiksi GDPR:ään liittyvistä linjanvedoista.

Tietosuojavastaava on velvollinen seuraamaan kehittyvää kansallista ja EU-lainsäädäntöä, kouluttamaan ja opastamaan GDPR- ja tietosuoja-asioissa, laatimaan GDPR:n edellyttämiä dokumentteja (esimerkiksi art. 30 mukainen seloste käsittelytoimista -dokumentti, mallipohjia henkilötietojen käsittelysopimuksista) ja auttamaan organisaatiota olemaan vaatimustenmukainen.

Kysymykset ja lisätietoja

Kaikkiin henkilötietojen käsittelyyn liittyvissä kysymyksissä lisätietoja Metropoliassa antavat

Tietosuojavaltuutettu Reijo Aarnio ja Tietosuojavaltuutetun toimisto muine viranhaltijoineen ohjaavat Suomessa toimivien rekisterinpitäjien toimintaa ja henkilötietojen käsittelyä.

EU-tasolla toimintaa ohjaa kansallisista tietosuojavaltuutetun toimistojen edustajista koostuva Euroopan tietosuojaneuvosto, European Data Protection Board (”EDPB” ns. entinen WP29-ryhmä): ks. tarkemmin toiminnasta EDPB:n kotisivuilta.

Tietosuojaohjeet ja mallipohjat

Metropolian sisäiset tietosuojaohjeet ja mallipohjat löydät OMA-intranetistä  ”GDPR ja tietosuoja” -sivuilta. Sinne kirjautumiseen tarvitset Metropolian käyttäjätunnukset.