Hyppää sisältöön
Etusivu Tietosuoja

Tietosuoja

Henkilötietojen asianmukainen käsittely on HAMKille tärkeä asia.

HAMKissa noudatetaan henkilötietojen käsittelyssä EU:n yleistä tietosuoja-asetusta (2016/679) ja Suomen kansallista lainsäädäntöä. HAMKin tietosuojapolitiikassa kuvataan ylimmällä tasolla henkilötietojen käsittelyn periaatteet ja vastuut.

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja käsitellään huolellisesti, eettisesti sekä lainsääntöä ja sisäisiä ohjeita noudattaen. Lähtökohtana on avoimuus rekisteröityjä kohtaan. Henkilötietoja käsitellään vain yhdessä sovituilla menettelyillä ja tietojärjestelmillä. Henkilötietojen käsittelyn dokumentoinnin avulla pystytään myös osoittamaan, että olemme toimineet oikein. Tietosuoja otetaan huomioon jo palveluiden, prosessien ja järjestelmien suunnitteluvaiheessa. Tietosuoja on mukana myös tietojärjestelmien kilpailutuksessa. Käytämme luotettavia palveluita ja järjestelmiä. HAMK on tietosuoja-asioissa aktiivisesti mukana korkeakouluyhteistyössä. Hyvin toteutettu henkilötietojen käsittely edesauttaa organisaation tehokasta toimintaa, kun henkilöstö tietää, miten henkilötietoja pitää käsitellä.

Tietosuojaperiaatteet ovat:

  • Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • Käyttötarkoitussidonnaisuus
  • Tietojen minimointi
  • Tietojen täsmällisyys
  • Tietojen säilytyksen rajoittaminen
  • Tietojen eheys ja luottamuksellisuus
  • Rekisterinpitäjän osoitusvelvollisuus

Erityisiä (arkaluonteisia) henkilötietoja käsitellään vain laissa erikseen määritellyissä tilanteissa. Tällöin käsittelyssä noudatetaan erityistä huolellisuutta. Erityisiä henkilötietoja ovat terveydentila, rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, seksuaalinen käyttäytyminen ja suuntautuminen sekä tunnistamiseen käytettävät geneettiset ja biometristen tiedot. Mahdollisuuksien mukaan henkilötietoja sisältävästä aineistosta poistetaan henkilötiedot tai muunnetaan ne tunnistamattomiksi (anonymisointi tai pseudonymisointi). Rekisteröidyllä on oikeus pyytää pääsy häntä itseään koskeviin henkilötietoihin, oikeus pyytää käsittelyn rajoittamista, tietojen oikaisemista tai (tietyin rajoituksin) poistamista tai vastustaa käsittelyä. Rekisteröidyllä on myös oikeus tehdä valitus valvovalle viranomaiselle.

Tietosuojasta vastaa ylin johto. Nimetty tietosuojavastaava raportoi tietosuoja-asioista suoraan ylimmälle johdolle. Tietosuojavastaavan tehtävinä on mm. tietosuojaan liittyvien asioiden valvonta, neuvonta ja kehittäminen. Tietosuojavastaava on myös kontaktihenkilönä valvovan viranomaisen suuntaan. Tietosuojavastaava on tehtävässään riippumaton. Tietosuojavastaavalla on apunaan tietosuojan ydinryhmä. Ydinryhmään kuuluvat tietosuojavastaavan lisäksi hallintopäällikkö ja riskienhallinnan päällikkö. Jokaisen työntekijän tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.

Tietosuoja sisäänrakennetaan ohjeisiin. Tämän lisäksi käytössä on omia henkilötietojen käsittelyyn suunniteltuja erityisiä ohjeita. Tietosuojan tiedotuskanavina ovat julkiset www-sivut, Yammer ja intran sivut. Tietosuojakoulutuksen todentamisessa käytetään itsenäisesti tehtäviä osaamismerkkejä. Tietosuojaan liittyvät asiat ja koulutukset käydään läpi uusien työntekijöiden perehdyttämisprosessissa. Tietosuoja-asiat ovat mukana myös kehityskeskusteluissa. Jokaisesta henkilörekisteristä laaditaan lainsäädännön edellyttämät tietosuojailmoitukset

Henkilötietojen käsittelylle määritellään oikeusperusta ennen käsittelyn aloittamista. Samoin henkilötietojen käsittelylle tehdään riskianalyysi. Mikäli henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski, tehdään tietosuojaa koskeva vaikutustenarviointi. Erityisen tärkeää tämä on silloin, kun otetaan käyttöön uutta teknologiaa tai käsitellään rikkomuksia tai erityisiä henkilötietoja. Henkilötietoja luovutetaan EU / ETA -alueen ulkopuolelle ainoastaan poikkeustapauksissa. Tällöin luovutuksen perusteet käydään läpi etukäteen tietosuojavastaavan kanssa. Henkilötietojen käsittelyä ja tietojärjestelmien käyttöä seurataan ja havaittuihin ongelmiin puututaan. Tiedonohjaussuunnitelmaan kuvataan tietojen säilytysajat. Tarpeettomat henkilötiedot tuhotaan tietoturvallisesti. Henkilökunnan ja opiskelijoiden tulee tarvittaessa päivittää henkilötietonsa HAMKin järjestelmiin. Jokaiselle henkilörekisterille on määritelty vastuuyksikkö ja yhteyshenkilö, jotka vastaavat rekisterikohtaisiin yhteydenottoihin.

Tietosuoja-asioiden raportointi tapahtuu vuosikellon mukaisesti. Tietosuojaan liittyvistä tapahtumista kerätään erillinen tapahtumaloki.

HAMK hoitaa myös Hämeen ammatti-instituutin (HAMI) ja HAMK Akatemian tietosuoja-asioita.

Henkilötietojen käsittelyn informointi

Henkilötietojen käsittelyn informointi toteutetaan tietosuojailmoituksilla:

Rekisteröidyn oikeuksien käyttäminen

Mikäli havaitset järjestelmissä tai palveluissa olevissa henkilötiedoissasi virheitä, tilanteen korjaaminen tapahtuu seuraavasti:

Henkilötietolain (523/99) 10 §:n mukainen Rekisteriseloste

Rekisterinpitäjä

Hämeen ammatikorkeakoulu
PL 230
13101 Hämeenlinna

Rekisteriasioita hoitava henkilö

Rekisterin nimi

Hämeen ammattikorkeakoulun keskitetty käyttäjäidententeettien hallintajärjestelmä (IDM)

Rekisterin käyttötarkoitus

IDM:ssä ylläpidetään ajantasaista keskitettyä tietoa (käyttäjärekisteri) Hämeen ammattikorkeakoulun (HAMK) sekä Hämeen ammatti-instituutin henkilöstöstä, opiskelijosta sekä sellaisista muista henkilöistä, joilla täytyy sallia käyttöoikeuksia IDM:n käyttöoikeushallinnan piirissä oleviin järjestelmiin. IDM sisältää tiedot käyttäjistä sekä heille myönnetyistä käyttöoikeuksista, käyttöoikeuden kestosta ja käyttöoikeuksien sisällöstä.

IDM synkronoi käyttäjä- ja käyttäjäoikeustietoja eri järjestelmien välillä siten että kuhinkin järjestelmään siirretään vain järjestelmän toiminnan kannalta välttämättömät tiedot. IDM huolehtii myös käyttäjäidentiteetin eheydestä eri järjestelmien välillä.

IDM huolehtii käyttäjäidentitettien ja käyttöoikeuksien elinkaaren kokonaisvaltaisesta hallinnasta (luonti, päivitys, terminointi) skeä mahdollistaa yhdenmukaisen käyttäjien tunnistamisen sekä käyttöoikeuksien asianmukaisen hallinnan eri järjestelmissä.

Rekisterin sisältämät tiedot

Säännön mukaiset tietolähteet

IDM käyttää tietolähteinään seuraavia autoritäärisiä järjestelmiä

Säännön mukaiset tietojen luovutukset

Rekisterin ja sen tiedot ovat sisäiseen käyttöön tarkoitettuja. Käyttöoikeushallinnon rekisterin tietoja ei ilman lakiin oikeuttavaa perustetta luovuteta sivullisille.

Tietojen luovutukset EU:n tia ETA:n ulkopuolelle

Ei luovuteta

Rekisterin suojauksen periaatteet

IDM ja siihen kuuluva keskitetty käyttäjärekisteri säilytetään ulkopuolisilta suojattuna ja siihen on pääsy vain ennalta määritellyiltä ylläpitäjiltä ja heidän työasemiltaan.