Tietosuoja
Henkilötietojen asianmukainen käsittely on HAMKille tärkeä asia.
HAMKissa noudatetaan henkilötietojen käsittelyssä EU:n yleistä tietosuoja-asetusta (2016/679) ja Suomen kansallista lainsäädäntöä. HAMKin tietosuojapolitiikassa kuvataan ylimmällä tasolla henkilötietojen käsittelyn periaatteet ja vastuut.
Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja käsitellään huolellisesti, eettisesti sekä lainsääntöä ja sisäisiä ohjeita noudattaen. Lähtökohtana on avoimuus rekisteröityjä kohtaan. Henkilötietoja käsitellään vain yhdessä sovituilla menettelyillä ja tietojärjestelmillä. Henkilötietojen käsittelyn dokumentoinnin avulla pystytään myös osoittamaan, että olemme toimineet oikein. Tietosuoja otetaan huomioon jo palveluiden, prosessien ja järjestelmien suunnitteluvaiheessa. Tietosuoja on mukana myös tietojärjestelmien kilpailutuksessa. Käytämme luotettavia palveluita ja järjestelmiä. HAMK on tietosuoja-asioissa aktiivisesti mukana korkeakouluyhteistyössä. Hyvin toteutettu henkilötietojen käsittely edesauttaa organisaation tehokasta toimintaa, kun henkilöstö tietää, miten henkilötietoja pitää käsitellä.
Tietosuojaperiaatteet ovat:
- Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- Käyttötarkoitussidonnaisuus
- Tietojen minimointi
- Tietojen täsmällisyys
- Tietojen säilytyksen rajoittaminen
- Tietojen eheys ja luottamuksellisuus
- Rekisterinpitäjän osoitusvelvollisuus
Erityisiä (arkaluonteisia) henkilötietoja käsitellään vain laissa erikseen määritellyissä tilanteissa. Tällöin käsittelyssä noudatetaan erityistä huolellisuutta. Erityisiä henkilötietoja ovat terveydentila, rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen sekä tunnistamiseen käytettävät geneettiset ja biometristen tiedot. Mahdollisuuksien mukaan henkilötietoja sisältävästä aineistosta poistetaan henkilötiedot tai muunnetaan ne tunnistamattomiksi (anonymisointi tai pseudonymisointi). Rekisteröidyllä on oikeus pyytää pääsy häntä itseään koskeviin henkilötietoihin, oikeus pyytää käsittelyn rajoittamista, tietojen oikaisemista tai (tietyin rajoituksin) poistamista tai vastustaa käsittelyä. Rekisteröidyllä on myös oikeus tehdä valitus valvovalle viranomaiselle.
Tietosuojasta vastaa ylin johto. Nimetty tietosuojavastaava raportoi tietosuoja-asioista suoraan ylimmälle johdolle. Tietosuojavastaavan tehtävinä on mm. tietosuojaan liittyvien asioiden valvonta, neuvonta ja kehittäminen. Tietosuojavastaava on myös kontaktihenkilönä valvovan viranomaisen suuntaan. Tietosuojavastaava on tehtävässään riippumaton. Tietosuojavastaavalla on apunaan tietosuojan ydinryhmä. Ydinryhmään kuuluvat tietosuojavastaavan lisäksi hallintopäällikkö ja riskienhallinnan päällikkö. Jokaisen työntekijän tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.
Tietosuoja sisäänrakennetaan ohjeisiin. Tämän lisäksi käytössä on omia henkilötietojen käsittelyyn suunniteltuja erityisiä ohjeita. Tietosuojan tiedotuskanavina ovat julkiset www-sivut, Yammer ja intran sivut. Tietosuojakoulutuksen todentamisessa käytetään itsenäisesti tehtäviä osaamismerkkejä. Tietosuojaan liittyvät asiat ja koulutukset käydään läpi uusien työntekijöiden perehdyttämisprosessissa. Tietosuoja-asiat ovat mukana myös kehityskeskusteluissa. Jokaisesta henkilörekisteristä laaditaan lainsäädännön edellyttämät tietosuojailmoitukset
Henkilötietojen käsittelylle määritellään oikeusperusta ennen käsittelyn aloittamista. Samoin henkilötietojen käsittelylle tehdään riskianalyysi. Mikäli henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, tehdään tietosuojaa koskeva vaikutustenarviointi. Erityisen tärkeää tämä on silloin, kun otetaan käyttöön uutta teknologiaa tai käsitellään rikkomuksia tai erityisiä henkilötietoja. Henkilötietoja luovutetaan EU / ETA -alueen ulkopuolelle ainoastaan poikkeustapauksissa. Tällöin luovutuksen perusteet käydään läpi etukäteen tietosuojavastaavan kanssa. Henkilötietojen käsittelyä ja tietojärjestelmien käyttöä seurataan ja havaittuihin ongelmiin puututaan. Tiedonohjaussuunnitelmaan kuvataan tietojen säilytysajat. Tarpeettomat henkilötiedot tuhotaan tietoturvallisesti. Henkilökunnan ja opiskelijoiden tulee tarvittaessa päivittää henkilötietonsa HAMKin järjestelmiin. Jokaiselle henkilörekisterille on määritelty vastuuyksikkö ja yhteyshenkilö, jotka vastaavat rekisterikohtaisiin yhteydenottoihin.
Tietosuoja-asioiden raportointi tapahtuu vuosikellon mukaisesti. Tietosuojaan liittyvistä tapahtumista kerätään erillinen tapahtumaloki.
HAMK hoitaa myös Hämeen ammatti-instituutin (HAMI) ja HAMK Akatemian tietosuoja-asioita.
Henkilötietojen käsittelyn informointi
Henkilötietojen käsittelyn informointi toteutetaan tietosuojailmoituksilla:
- Alumnitietojen käsittely
- Asiakastietojen käsittely
- Avainhallinta
- ESR-hankkeisiin osallistuvien henkilötietojen käsittely
- Henkilöstötietojen käsittely
- Julkaisutoiminta
- Kameravalvonta
- Kirjaston asiakastietojen käsittely
- Kulunhallinta
- Maksullinen palvelutoiminta
- Markkinointi
- Opiskelijahuollon henkilötietojen käsittely
- Opiskelijaksi hakevan henkilötietojen käsittely, HAMK
- Opiskelijan henkilötietojen käsittely, HAMK
- Rekrytointi
- Saadut tarjoukset
- Sidosryhmäyhteistyö
- Tapahtumiin liittyvä henkilötietojen käsittely
- Tietosuojatoiminta
- TKI-hankkeiden hallinnointi
- Toimittajatietojen käsittely
- Turvallisuuteen liittyvät ilmoitukset
- Tutkimusluvat
- Valokuva, video, ja muu audiovisuaalinen aineistorekisteri markkinointi ja viestintätarkoitukseen
- Varainhankinnan lahjoittajatietojen käsittely
- Vuokraus ja majoitus
Rekisteröidyn oikeuksien käyttäminen
Mikäli havaitset järjestelmissä tai palveluissa olevissa henkilötiedoissasi virheitä, tilanteen korjaaminen tapahtuu seuraavasti:
- Osassa tietojärjestelmiä henkilö voi itse muokata tietoja. Mikäli tämä on mahdollista, näin tulee ensisijaisesti menetellä.
- Vaihtoehtoisesti voit ottaa suoraa tiedosta vastaavaan henkilöön yhteyttä.
- Mikäli sinulla on HAMKin käyttäjätunnukset, niin voit tehdä pyynnön HAMKin ServiceDeskiin
- Tietosuoja-asetuksen mukaisen korjauspyynnön voit tehdä tietosuojavastaavalle.
Henkilötietolain (523/99) 10 §:n mukainen Rekisteriseloste
Rekisterinpitäjä
Hämeen ammatikorkeakoulu
PL 230
13101 Hämeenlinna
Rekisteriasioita hoitava henkilö
–
Rekisterin nimi
Hämeen ammattikorkeakoulun keskitetty käyttäjäidententeettien hallintajärjestelmä (IDM)
Rekisterin käyttötarkoitus
IDM:ssä ylläpidetään ajantasaista keskitettyä tietoa (käyttäjärekisteri) Hämeen ammattikorkeakoulun (HAMK) sekä Hämeen ammatti-instituutin henkilöstöstä, opiskelijosta sekä sellaisista muista henkilöistä, joilla täytyy sallia käyttöoikeuksia IDM:n käyttöoikeushallinnan piirissä oleviin järjestelmiin. IDM sisältää tiedot käyttäjistä sekä heille myönnetyistä käyttöoikeuksista, käyttöoikeuden kestosta ja käyttöoikeuksien sisällöstä.
IDM synkronoi käyttäjä- ja käyttäjäoikeustietoja eri järjestelmien välillä siten että kuhinkin järjestelmään siirretään vain järjestelmän toiminnan kannalta välttämättömät tiedot. IDM huolehtii myös käyttäjäidentiteetin eheydestä eri järjestelmien välillä.
IDM huolehtii käyttäjäidentitettien ja käyttöoikeuksien elinkaaren kokonaisvaltaisesta hallinnasta (luonti, päivitys, terminointi) skeä mahdollistaa yhdenmukaisen käyttäjien tunnistamisen sekä käyttöoikeuksien asianmukaisen hallinnan eri järjestelmissä.
Rekisterin sisältämät tiedot
Säännön mukaiset tietolähteet
IDM käyttää tietolähteinään seuraavia autoritäärisiä järjestelmiä
Säännön mukaiset tietojen luovutukset
Rekisterin ja sen tiedot ovat sisäiseen käyttöön tarkoitettuja. Käyttöoikeushallinnon rekisterin tietoja ei ilman lakiin oikeuttavaa perustetta luovuteta sivullisille.
Tietojen luovutukset EU:n tia ETA:n ulkopuolelle
Ei luovuteta
Rekisterin suojauksen periaatteet
IDM ja siihen kuuluva keskitetty käyttäjärekisteri säilytetään ulkopuolisilta suojattuna ja siihen on pääsy vain ennalta määritellyiltä ylläpitäjiltä ja heidän työasemiltaan.