Dataskyddsmeddelande för Konstuniversitetets elektroniska kommunikationstjänster, IT-tjänster och supporttjänster

Publicerat 3.2.2020 | Updaterad 2.2.2021

1. Organ och person som ansvarar för behandling av personuppgifter

IT-direktör Mari Nyrhinen
E-postadress: fornamn.efternamn@uniarts.fi
Telefon: +358 40 704 4296

2. Kontaktpersoner för behandling av personuppgifter

IT-direktör Mari Nyrhinen
E-postadress: fornamn.efternamn@uniarts.fi
Telefon: +358 40 704 4296

Schef Erik Paalanen
E-postadress: fornamn.efternamn@uniarts.fi
Telefon: +358 50 435 7356

3. Registrets namn

Konstuniversitetets elektroniska kommunikations-, it-och supporttjänster

4. Vad är syftet med och den rättsliga grunden för behandling av personuppgifter?

Konstuniversitetets uppgift enligt universitetslagen är undervisning, forskning och konstnärlig verksamhet. Universiteten har självförvaltning, vilket garanterar vetenskapens, konstens och den högre utbildningens frihet. Till självförvaltningen hör även rätten att besluta om den interna administrationen. I lagen konstateras också, att lärar- och forskningspersonal, övrig personal och de studerande ingår i universitetsgemenskapen. Dessutom kan det i universitetsgemenskapen ingå gästforskare, professorer emerita och andra personer, med vilka universitetet har ingått ett avtal.

Syftet med behandlingen av personuppgifter i Konstuniversitetets elektroniska meddelande- och stödtjänster enligt detta dataskyddsmeddelande är att möjliggöra, att universitetets ovan nämnda användare, samt eventuella underleverantörer och utförare av tjänster, ska kunna använda elektroniska tjänster och utreda felsituationer.

Med elektroniska kommunikations-, IT- och supporttjänster avser vi i detta sammanhang kommunikation mellan två eller flera parter via internet, program och programplattformar som möjliggör samarbete och övrig verksamhet, till exempel e-postprogram och -servrar, olika snabbmeddelanden och internetsamtal, elektroniska samarbets- och teamverktyg, nätstudieplattformar, lokalbokningssystem och olika stödsystem för tjänsterna, till exempel ärendehanteringssystem, utrustningsadministrationssystem och leasing-system, leveranslösningen (t.ex. låneapparater, av-enheter), utskriftsservice, system för utrustningarnas fjärrstyrning och fjärrövervakning, verktyg för processbeskrivningar, inpasseringskontroll med mera.

Grunden för behandling av ovan beskrivna personuppgifter är i första hand det berättigade intresset hos det universitet som är personuppgiftsansvarigt, och på denna grund behandlas de uppgifter som behövs för funktionen hos de elektroniska tjänsterna för ovan beskrivna användningsändamål. Berättigat intresse innebär i detta fall universitetets berättigade intresse av att använda verktyg och elektroniska tjänster som är nödvändiga för att organisera sina aktiviteter, samt för att organisera de studerandes, medarbetarnas och andra aktörers studier, forskning och arbete. Dessutom innebär universitetets berättigade intresse rätten att dokumentera användningen av elektroniska tjänster för att kunna analysera verksamheten, för att säkerställa verksamhetens kontinuitet och för att uppfylla olika lagstadgade eller avtalsenliga rapport- och anvisningsskyldigheter.

Vid utförande av tjänsten utnyttjar vi inte sådant automatiserat beslutfattande eller sådan profilering som avses i dataskyddsförordningen.

5. Vilka uppgifter hanterar vi?

Vid utförandet av elektroniska kommunikationstjänster behandlas personuppgifter för två eller flera parter som deltar i kommunikationen. De som deltar i kommunikationen kan vara universitetets egna användare, underleverantörer eller uppdragstagare, nuvarande eller potentiella kunder och partners.

För dessa grupper utgör de behandlade personuppgifterna alla uppgifter, som hör samman med kommunikationens överföring, innehåll samt uppgifter hörande till det tekniska genomförandet, vilka är: avsändarens (avsändarnas) och mottagarens (mottagarnas) för- och efternamn eller signatur, e-postadress, fysisk arbetsadress/verksamhetsplats, roll eller position i organisationen, användarnamn och lösenord, bläddrings- och sökinformation, behörigheter, IP-adress, sessions-ID, routing-data, MAC-adress, apparat-ID samt tidsstämpel och identifieringsinformation.

Meddelandets innehåll inklusive eventuella bilagefiler (vare sig det är text, bilder, ljud, video eller annan elektronisk kommunikation) tillhör som regel skyddade kommunikationsdata och de behandlas inte utom i undantagsfall enligt lagreglerna.

Utöver de uppgifter som behövs för användarnamnen behandlar vi följande personuppgifter:

• O365 registrerades grunduppgifternamn, befattning, organisationsenhet, användarnamn, e-postadress(/-er), telefonnummer; dessutom har användaren möjlighet att själv föra in önskade uppgifter i tjänsten, till exempel fotografi.

• i servicebegäran anges servicebegärans identitet, personens namn, e-postadress, telefonnummer, användarnamn, samt om användarens begäran avser utrustningar eller behörigheter, kan servicebegäran kompletteras med en länk till utrustningsdata och/eller användardata.

• i växeltjänsten har växeloperatören tillgång till medarbetarens namn, befattning, enhet, förman, telefonnummer, e-postadress, vikarie, verksamhetsplats, kort beskrivning av arbetsuppgifterna och nyckelord för att lättare kunna hitta rätt person för kundens behov.

• i utrustningsregistret  finns apparatens användares namn, användarens arbetsplats eller apparatens plats, apparatens serienummer och/eller IMEI, nätapparatens MAC-adress.

• i leveranslösningen, utöver: för- och efternamn, användarnamn, e-postadress, attribut för enkel inloggningsroll och språkval (finska eller engelska); identifieraren för det ID-kort som valts av användaren.

• i utskriftstjänsten anges utöver den registrerades grunddata  även utskriftskortets identifikation.

• i arbetsstationernas och telefonernas fjärradministration, -support och -övervakning  anges utrustningenshostname, den senast inloggade användarens användar-ID, serienummer/IMEI, nätapparatens MAC-adress, kontaktpersonens tidigare IP-adress, WiFi SSID, installerade program.

• i lokalbokningssystemet  anges bokarens namn, eventuella övriga kontaktuppgifter och bokningsuppgifter.

• i nätutbildningssystemet  finns personens namn och e-postadress.

• i processbeskrivningssystemet anges den registrerades grunduppgifter.

• den registrerades grunduppgifter finns i inpasseringssystemet samt medgivna inpasseringsrättigheter och deras varaktighet.

• dessutom kan det i systemen förekomma systemspecifika unika av användar- eller funktionsidentifierare.

Vid behandling av personuppgifter utnyttjar vi inte sådant automatiserat beslutfattande eller sådan profilering som avses i dataskyddsförordningen.

6. Varifrån får vi uppgifterna?

Vi får automatiskt uppgifter om universitetets användare från Konstuniversitetets användar- och behörighetsadministration. Personuppgifter fås regelmässigt från elektroniska meddelandetjänster genom automatisk uppföljning, samt från de registrerade själv under registrering och användning av tjänsterna.

I servicebegäran anger användaren själv en beskrivning av servicebehovet eller problemet som ska lösas.

Växelns telefonkatalog sammanställs ur telefonoperatörens anslutningsuppgifter till universitetet, samt användar- och behörighetsregistret. Detta kompletteras med uppgifter i samarbete med HR, kommunikationsavdelningen och förmännen.

Grunddata om utrustningsregistrets utrustningar anges på initiativ av dataadministrationen när användaren tar emot enheten för användning.

De uppgifter som insamlas i fjärradministration och -övervakning av arbetsstationer och telefoner kompletteras med information från utrustningsregistret.

Grundläggande personuppgifter till inpasseringssystemet fås från användaradministrationen och vid behov skapas användaren manuellt i lokaltjänsten, när personen kommer till platsen för att hämta inpasserings-id eller nyckel.

I samband med utskrifterna aktiverar användaren sitt utskriftskort med en multifunktionsenhet och anger i samband med detta sitt användarnamn och lösenord.

7. Till vilka överlämnar och överför vi uppgifter, och överför vi uppgifter utanför EU eller EES?

Personuppgifter som insamlas inom den elektroniska kommunikationstjänster lämnas inte ut till tredje part utan den registrerades uttryckliga samtycke, annat än i situationer, där myndigheter eller andra instanser enligt lagar, förordningar eller övriga tvingande regler, nationella eller EU-baserade, har rätt att för undersökning begära in de registrerades personuppgifter och data om hur de hanterats. I sådana fall lämnas uppgifter ut endast i den omfattning som det är nödvändigt enligt ifrågavarande lagstiftning.

Universitetet anlitar underleverantörer för att behandla uppgifter enligt detta dataskyddsmeddelande. Underleverantörerna hjälper till att erbjuda elektroniska tjänster och tillhörande databehandling. Oavsett om underleverantörer anlitas, förblir universitet alltid personuppgiftsansvarigt för de personuppgifter som beskrivs i denna redogörelse, och ansvarar för underleverantörernas verksamhet på samma sätt som för sin egen. Universitetet säkerställer genom databehandlingsavtal med underleverantörerna att de åtar sig att skydda de registrerades personuppgifter enligt vad som anges i denna redogörelse.

I samband med den elektroniska kommunikationstjänsten behandlas personuppgifter både inom och utanför EU- och EES-området. Om personuppgifter hanteras utanför EU- och EES-området ser universitetet till, att dess underleverantör har åtagit sig att följa innehållet i lämpliga skyddsåtgärder som krävs enligt den allmänna dataskyddsförordningen för behandling av personuppgifter.

8. Hur skyddar vi uppgifterna och hur länge förvaras de?

För att använda systemen behövs gällande användarnamn och behörigheter.

Underhåll av systemet får endast utföras av de medarbetare hos Konstuniversitetet och tjänsteleverantören, som i sitt arbete har till uppgift att behandla systemets användaruppgifter. Varje underhållsanvändare har ett eget användarnamn och lösenord till systemet.

Dataskyddet för tjänsterna är tekniskt och administrativt upprättat enligt branschens bästa praxis och verksamhetssätt. Servern för systemen skyddas både programtekniskt och fysiskt med brandväggar, dataskyddsprogram, lösenord och driftövervakning. De datorhallar där servrarna fysiskt är placerade, är låsta och har inpasseringskontroll.

Personuppgifter enligt denna dataskyddsredogörelse förvaras i datasystemet så länge deras datainnehåll är till nytta för användning av den ifrågavarande tjänsten, eller för uppföljning och dokumentation av användningen. I praktiken förvaras uppgifterna, beroende på meddelandetjänst, enligt normala avtal med underleverantörerna, med hänsyn till meddelandetjänstens utformning. När anställningsförhållandet, studierätten eller annan avtalsrelation med universitetet avslutas, annulleras användarnamnet och användarens uppgifter tas bort ur systemet efter en viss reservtid, som maximalt kan vara 9 månader.

När behandling av personuppgifterna för ovan angivna ändamål inte längre är möjlig, beroende på att förvaringstiden har gått ut, tas uppgifterna bort ur de elektroniska tjänsterna och motsvarande datasystem. Vissa uppgifter kan lagras i de säkerhetskopior som görs av universitetets tjänster, men dessa uppgifter raderas regelbundet enligt schemat för säkerhetskopiering.

9. Vem kan du kontakta?

Alla kontakter och önskemål som berör denna redogörelse ska framställas skriftligt eller personligen till den kontaktperson som anges i punkt två, och som vid behov lämnar ärendet till dataskyddsombudet. Om du anser, att dina rättigheter inte uppfylls, kan du direkt kontakta Konstuniversitetets dataskyddsombud.