Dataskyddsmeddelande för bibliotekets kunddata

EU:s allmänna dataskyddsförordning, artikel 13 och 14. Information till den registrerade. Utgivningsdatum: 2019-02-21

1. Personuppgiftsansvarig

Konstuniversitetet

Telefon: +358 294 47 2000 (växel)

Postadress: PB 1, 00097 Konstuniversitetet

2. Organ och person som ansvarar för behandling av personuppgifter

Bibliotekschef Tommi Harju
E-postadress: fornamn.efternamn@uniarts.fi, telefon: 040 701 4243

3. Kontaktpersoner för behandling av personuppgifter

Specialplanerare Erkki Huttunen
E-postadress: fornamn.efternamn@uniarts.fi, telefon: +358 50 514 7818

Webbtjänstplanerare Erkki Nurmi
E-postadress: fornamn.efternamn@uniarts.fi, telefon: +358 40 710 4222

4. Dataskyddsombud

Som dataskyddsombud vid Konstuniversitetet fungerar experten Antti Orava.

E-postadress: dataskydd@uniarts.fi

Telefon: +358 294 47 3568

Postadress: PB 1, 00097 Konstuniversitetet

5. Registrets namn

Bibliotekets kundregister

6. Vad är syftet med och den rättsliga grunden för behandling av personuppgifter?

Konstuniversitetets bibliotek är en central service för universitetets undervisning, forskning och konstnärliga verksamhet. Utöver de studerande och personalen lämnar biblioteket service även till utomstående användare, som kan registrera sig som bibliotekskunder. Bibliotekets kunder kan till exempel låna och boka material. Biblioteket kräver in förfallna utlån och förseningsavgifter. Biblioteket erbjuder även e-material från utomstående tjänsteleverantörer inom ramen för de licenser som förvärvats av biblioteket. Alla som finns i bibliotekets lokaler kan använda e-materialet, och universitetets studerande och personal kan även få tillgång till det på distans. Därför har biblioteket ett eget kundregister. Kunduppgifterna används även för statistiska ändamål.

Grunden för behandling av personuppgifterna är en avtalsrelation mellan biblioteket och kunden, samt universitetets berättigade intresse och allmänintresset, bland annat för statistikens del.

7. Vilka uppgifter hanterar vi?

I samband med kundregistret behandlar vi följande personuppgifter om de registrerade:

  • den registrerades grunduppgifter: namn*, födelsedatum*, personbeteckning*, kundnummer. användarnamn och/eller annan unik identifierare, lösenord
  • den registrerades kontaktuppgifter: e-postadress, telefonnummer, adressuppgifter*
  • uppgifter om kundförhållandet och avtalet: uppgifter om tidigare och aktuella lån, betalningar, begäran, avtal samt beställningar och brevväxling
  • uppgifter för statistisk information: relation till universitet*, antal lån och begäran
  • grunduppgifter och kontaktuppgifter för vårdnadshavare till registrerad under 15 år: namn* e-postadress. telefonnummer, adressuppgifter

Personuppgifter märkta med asterisk är en förutsättning för vår avtalsrelation och/eller kundrelation. Utan nödvändiga personuppgifter kan vi inte tillhandahålla tjänsten.

Grunden för behandling av personuppgifterna är behovet att entydigt kunna identifiera kunden i samband med utlåningsverksamheten och för att kunna kräva in material.

8. Varifrån får vi uppgifterna?

I första hand får vi uppgifter från den registrerade själv samt för Konstuniversitetets studerande och personal från universitetets användar- och behörighetsregister. Vid behov kan vi även uppdatera uppgifterna från Befolkningsdatasystemet.

9. Till vilka överlämnar och överför vi uppgifter, och överför vi uppgifter utanför EU eller EES?

Ifall användaren loggar in i Nationalbibliotekets Finna-söktjänst med Haka-inloggning, registreras användarnamn, namn och e-postadress.

Ifall användaren loggar in i Finna-söktjänsten med ID-numren på sitt Arsca-bibliotekskort eller ansluter sitt Arsca-bibliotekskort till ett i Finna tidigare skapat användarkonto, lagras bibliotekskortets ID, PIN-koden, för- och efternamn, e-postadress och hembibliotek i Finna-söktjänsten.

Ifall kunden via Arsca-databasen eller Finna-söktjänsten använder Depåbibliotekets samlånetjänst, förvaras hens grunddata och kontaktuppgifter tillfälligt även i Depåbibliotekets kundregister. Depåbiblioteket förvarar kundens uppgifter så länge kunden har gällande lån eller förfrågningar till Depåbiblioteket.

Vi anlitar underleverantörer som arbetar för vår räkning vid behandling av personuppgifterna. Vi har lagt ut IT-administrationen till en extern tjänste­leverantör, och personuppgifterna förvaras på en server som administreras och skyddas av tjänsteleverantören. Dessutom har vi lagt ut ekonomitjänsterna och kravaktiviteterna. Tillsammans med våra underleverantörer säkerställer vi ditt dataskydd genom ett avtal för behandling av personuppgifterna.

Vi överför inte personuppgifter utanför EU/EES-området.

10. Hur skyddar vi uppgifterna och hur länge förvaras de?

Endast de av våra medarbetare som har rättighet att i sitt arbete behandla uppgifter om kunder har tillgång till det system som innehåller personuppgifterna. Varje användare har ett eget användarnamn och lösenord till systemet. Uppgifterna sammanställs i databaser som är skyddade med brandväggar, lösenord och andra tekniska medel. Databaserna och säkerhetskopiorna finns i låsta utrymmen och endast vissa utsedda personer har tillgång till uppgifterna.

Vi förvarar personuppgifterna så länge det behövs med tanke på syftet med uppgifternas behandling. Kunduppgifterna är giltiga i tre år, varefter kunden måste uppdatera sina uppgifter. Om uppgifterna inte uppdateras, blir de föråldrade och tjänsten kan inte längre utnyttjas. Kunder vars kunduppgifter har varit föråldrade minst tre år tas bort ur kundregistret.

Vi bedömer regelbundet nödvändigheten av att förvara uppgifterna med hänsyn till gällande lagstiftning. Dessutom vidtar vi rimliga åtgärder som säkerställer, att det inte förvaras oförenliga, föråldrade eller felaktiga personuppgifter om den registrerade i registret. Vi rättar eller raderar sådana uppgifter omedelbart.

11. Vilka är dina rättigheter som registrerad?

Den registrerade har rättighet att granska de i personregistret förvarade uppgifterna om sig själv, och begära att felaktiga, föråldrade, onödiga eller lagstridiga uppgifter rättas eller tas bort. Ifall den registrerade har tillgång till sina uppgifter, kan hen själv ändra sina uppgifter. Ifall behandlingen grundas på samtycke, har de registrerade också rätt att ta tillbaka eller ändra sitt samtycke.

De registrerade har enligt dataskyddsförordningen (från och med 2018-05-25) rätt att motsätta sig eller begära begränsning av uppgifternas behandling, samt att anföra besvär angående personuppgifternas behandling till tillsynsmyndigheten.

De registrerade har även rätt att motsätta sig behandling av de egna uppgifterna av särskilda personliga skäl, även om vi har berättigat intresse av att behandla uppgifterna. I samband med sådana krav ska den registrerade beskriva den särskilda situation som är orsak till att den registrerade motsätter sig behandling av uppgifterna. Vi kan endast avslå en begäran om att uppgifterna inte får behandlas, om det finns en lagstadgad grund för detta.

Om den registrerade inte är nöjd med det sätt på vilket universitetet behandlat hens personuppgifter, kan den registrerade begära att saken utreds av de nationella dataskyddsmyndigheterna, (som i Finland utgörs av dataombudsmannen, vars kontaktuppgifter finns på http://www.tietosuoja.fi/sv/.)

12. Vem kan du kontakta?

Alla kontakter och önskemål som berör denna redogörelse ska framställas skriftligt eller personligen till den kontaktperson som anges i punkt tre, och som vid behov lämnar ärendet till dataskyddsombudet. Om du anser, att dina rättigheter inte uppfylls, kan du direkt kontakta universitetets dataskyddsombud, som anges i punkt fyra.