Taideyliopiston sähköisten viestintä-, IT- ja tukipalveluiden tietosuojailmoitus

EU:n yleinen tietosuoja-asetus, artiklat 13 ja 14. Rekisteröidyn informointi. Laatimispäivä: 16.5.2018; Päivitetty: 11.8.2020

1. Henkilötiedon käsittelyn vastuutaho ja vastuuhenkilö

Taideyliopiston tietohallinto, tietohallintopäällikkö Liisa Huovinen
Sähköposti: etunimi.sukunimi@uniarts.fi, puhelin: +358 40 180 7265

2. Henkilötiedon käsittelyn yhteyshenkilö

Tietohallintopäällikkö Liisa Huovinen
Sähköposti: etunimi.sukunimi@uniarts.fi, puhelin: +358 40 180 7265

Kehityspäällikkö Mika Vidgren
Sähköposti: etunimi.sukunimi@uniarts.fi, puhelin: +358 50 501 5600

3. Rekisterin nimi

Taideyliopiston sähköiset viestintä-, it- ja tukipalvelut

4. Mitkä ovat henkilötietojen käsittelyn tarkoitus ja oikeusperuste?

Taideyliopiston yliopistolakiin pohjautuvana tehtävänä on opetus, tutkimus ja taiteellinen toiminta. Yliopistoilla on itsehallinto, jolla turvataan tieteen, taiteen ja ylimmän opetuksen vapaus. Itsehallintoon kuuluu myös päätöksenteko-oikeus sisäiseen hallintoon kuuluvista asioista. Laissa todetaan myös, että yliopistoyhteisöön kuuluvat opetus- ja tutkimushenkilöstö, muu henkilöstö ja opiskelijat. Lisäksi yliopistoyhteisöön voivat kuulua vierailevat tutkijat, emeritusprofessorit ym. henkilöt, joiden kanssa yliopisto on tehnyt tätä koskevan sopimuksen.

Tämän tietosuojailmoituksen mukaisen Taideyliopiston sähköisissä viestintä- ja tukipalveluissa tapahtuvan henkilötietojen käsittelyn tarkoituksena on mahdollistaa yliopiston edellä mainittujen käyttäjien sekä mahdollisten alihankkijoiden ja toimeksiantojen suorittajien sähköisten palveluiden käyttö sekä vikatilanteiden selvittäminen.

Tarkoitamme sähköisillä viestintä-, IT- ja tukipalveluilla tässä yhteydessä internet-yhteyden ylitse toteutettavan kahden tai useamman osapuolen välisen viestinnän, yhteistyön ja muun toiminnan mahdollistavia ohjelmia ja ohjelmistoalustoja, jollaisiksi luetaan esimerkiksi sähköpostiohjelmistot ja -palvelimet, erilaiset pikaviestimet sekä internetpuhelut, sähköiset yhteistyö- ja tiimityökalut, verkko-oppimisalustat, tilanvarauspalvelut sekä erilaiset palvelujen tukijärjestelmät, kuten tiketöintijärjestelmät, kalustonhallinta- ja leasing-järjestelmä, tulostuspalvelu, laitteiden etähallinnan ja –valvonnan järjestelmät, prosessien kuvaamisen työvälineet, kulunvalvonta jne.

Yllä kuvatun henkilötietojen käsittelyn perusteena on ensisijaisesti rekisterinpitäjänä toimivan yliopiston oikeutettu etu, jonka perusteella sähköisten palveluiden toiminnan vaatimia tietoja käsitellään yllä kuvattuihin käyttötarkoituksiin. Oikeutettu etu tarkoittaa tässä tapauksessa yliopiston oikeutettua etua käyttää toimintansa järjestämisen kannalta välttämättömiä työkaluja ja sähköisiä palveluita toimintansa toteuttamiseksi sekä opiskelijoiden, työntekijöiden ja muiden lukuumme työskentelevien opiskelun, tutkimuksen ja työnteon järjestämiseksi. Lisäksi yliopistomme oikeutettu etu tarkoittaa oikeutta dokumentoida sähköisten palvelujen käyttöä toiminnan analysoimiseksi, toiminnan jatkuvuuden takaamiseksi ja erilaisten lakisääteisten tai sopimuksellisten raportointi- ja osoitusvelvollisuuksien toteuttamiseksi.

Emme hyödynnä palveluissa tietosuoja-asetuksen tarkoittamaa automaattista päätöksentekoa tai profilointia.

5. Mitä tietoja käsittelemme?

Sähköisiä viestintäpalveluja toimitettaessa käsitellään viestintään osaa ottavien kahden tai useamman osapuolen, ts. viestinnän lähettäjien ja vastaanottajien, henkilötietoja. Viestintään osaa ottavat tahot voivat olla yliopiston omia käyttäjiä, alihankkijoita tai toimeksiantojen toteuttajia, nykyisiä tai potentiaalisia asiakkaita sekä yhteistyökumppaneita.

Näiden ryhmien osalta käsiteltäviä henkilötietoja ovat kaikki viestinnän välittämiseen, sisältöön sekä tekniseen toteutukseen liittyvät tiedot, joita ovat: lähettäjän (lähettäjien) ja vastaanottajan (vastaanottajien) etu- ja sukunimi tai nimimerkki, sähköpostiosoite, fyysinen työosoite/toimipiste, rooli tai asema organisaatiossa, käyttäjätunnus ja salasana, selailu- ja hakutiedot, käyttöoikeustiedot, IP-osoite, sessio-ID, reititystiedot, MAC-osoite, laite-ID sekä aikaleima- ja tunnistetiedot.

Viestin sisältö sekä sen mahdolliset liitetiedostot (olipa tämä sitten tekstiä, kuvia, ääntä, videota tai muuta sähköistä viestintää) kuuluvat pääsääntöisesti viestinnän suojan piiriin eikä niitä käsitellä muuta kuin lain mahdollistamissa poikkeustapauksissa.

Käsittelemme palveluissa käyttäjätunnistuksessa tarvittavien tietojen lisäksi seuraavia henkilötietoja:

  • O365 rekisteröidyn perustiedot: nimi, tehtävänimike, organisaatioyksikkö, käyttäjätunnus, sähköpostiosoite(/-osoitteet), puhelinnumero; lisäksi käyttäjällä on mahdollisuus itse antaa haluamiaan tietoja palveluun esim. kuva
  • palvelupyynnöissä palvelupyynnön tunniste, henkilön nimi, sähköpostiosoite, puhelinnumero, käyttäjätunnus sekä käyttäjän pyynnön koskiessa laitteita tai käyttöoikeuksia voidaan palvelupyyntöön lisätä linkki laitetietoihin ja/tai käyttäjätietoihin
  • vaihdepalvelussa vaihteenhoitajalla on käytössään työntekijän nimi, tehtävänimike, yksikkö, esimies, puhelinnumero, sähköpostiosoite, sijainen, toimipiste, tehtäviä koskeva lyhyt kuvaus ja avainsanoja helpottamaan oikean henkilön löytymistä asiakkaan tarpeeseen
  • laiterekisterissä laitteen käyttäjän nimi, käyttäjän työpisteen sijainti tai laitteen asennussijainti, laitteen sarjanumero ja/tai IMEI, verkkolaitteen MAC-osoite
  • tulostuspalvelussa rekisteröidyn perustietojen lisäksi tulostuskortin tunniste
  • Työasemien- ja puhelimien etähallinnassa, -tuessa ja -valvonnassa laitteenhostname, viimeksi kirjautuneen käyttäjän käyttäjätunnus, sarjanumero/IMEI, verkkolaitteen MAC-osoite, yhteyshetkellä ollut IP-osoite, WiFi SSID, asennetut ohjelmistot
  • tilavarausjärjestelmässä varaajan nimi, mahdolliset muut yhteystiedot ja varauksen tiedot
  • verkko-oppimisen järjestelmässä henkilön nimi ja sähköpostiosoite
  • prossessikuvausjärjestelmässä rekisteröidyn perustiedot
  • kulunvalvontajärjestelmässä rekisteröidyn perustietojen lisäksi myönnetyt kulkuoikeudet ja niiden kesto
  • lisäksi järjestelmissä voi olla käytössä järjestelmäkohtaisia uniikkejä käyttäjän tai toiminnon tunnisteita

Emme hyödynnä henkilötiedon käsittelyssä tietosuoja-asetuksen tarkoittamaa automaattista päätöksentekoa tai profilointia.

6. Mistä saamme tietoja?

Saamme yliopiston käyttäjiä koskevat tiedot automaattisesti Taideyliopiston käyttäjä- ja käyttövaltuushallinnasta. Henkilötietoja saadaan säännönmukaisesti sähköisistä viestipalveluista itsestään seuraamalla rekisteröityjen viestintää automatisoidusti sekä rekisteröidyiltä itseltään palveluihin rekisteröitymisen ja niiden käytön aikana.

Palvelupyyntöihin käyttäjä kirjaa itse kuvauksen palvelutarpeesta tai ratkaistavasta ongelmasta.

Vaihdepalvelun käyttämä puhelinluettelo koostetaan puhelinoperaattorin yliopiston liittymätiedoista ja  käyttäjä- ja käyttövaltuushallinnan rekisteristä ja sitä rikastetaan tehtävätiedoilla yhteistyössä HR:n, viestinnän ja esimiesten kanssa.

Laiterekisterin laitteita koskevat perustiedot kirjataan tietohallinto toimesta kun käyttäjä vastaanottaa laitteen käyttöönsä.

Työasemien ja puhelimien etähallinnassa ja -valvonnassa kerättävää tietoa rikastetaan laiterekisterin tiedoilla.

Kulunvalvontajärjestelmiin saadaan henkilöiden perustiedot käyttäjähallinnasta ja tarvittaessa käyttäjä luodaan tilapalveluissa manuaalisesti, kun henkilö tulee paikanpäälle hakemaan kulkutunnistetta tai avainta.

Tulostamisen yhteydessä käyttäjä aktivoi tulostuskorttinsa monitoimilaitteella ja antaa tässä yhteydessä käyttäjätunnuksen ja salasanan.

7. Kenelle luovutamme ja siirrämme tietoja sekä siirrämmekö tietoja EU:n tai ETA:n ulkopuolelle?

Sähköisten viestintäpalveluiden toiminnasta kerättyjä henkilötietoja ei luovuteta kolmansille osapuolille ilman rekisteröityjen nimenomaista etukäteistä suostumusta muissa kuin tilanteissa, joissa viranomaisella tai muulla taholla on kansalliseen tai EU-tasoiseen lakiin, asetukseen tai muuhun pakottavaan säädökseen perustuva oikeus vaatia rekisteröityjen henkilötietoja ja niiden käsittelyä koskevia tietoja tarkasteltavakseen. Näissä tapauksessa tietoja luovutetaan vain siinä määrin ja laajuudessa kuin on välttämätöntä kyseisen säädöksen nojalla.

Tämän tietosuojailmoituksen mukaisen tietojenkäsittelyn toteuttamiseksi yliopisto  käyttää alihankkijoita, jotka avustavat sähköisten palvelujen tarjoamisessa sekä siihen liittyvässä tietojenkäsittelyssä. Mahdollisesta alihankintaketjusta huolimatta yliopisto säilyy kaikkina ajankohtina tässä selosteessa kuvattujen henkilötietojen rekisterinpitäjänä ja vastaa alihankkijoidensa toimista kuin omistaan.

Yliopisto varmistaa alihankkijoiden kanssa tehtävin tietojenkäsittelysopimuksin näiden tahojen sitoutumisen rekisteröityjen henkilötietojen suojaamiseen tässä selosteessa kuvatulla tavalla.

Sähköisiin viestintäpalveluihin liittyvää henkilötietojen käsittelyä suoritetaan sekä EU- ja ETA-alueella että sen ulkopuolella. Silloin, kun henkilötietoa käsitellään EU- ja ETA-alueen ulkopuolella, huolehtii yliopisto siitä, että sen alihankkija on sitoutunut EU-komission henkilötietojen käsittelyä koskeviin mallilausekkeisiin ja/tai kuuluu Privacy Shield -suojajärjestelmän piiriin.

8. Miten suojaamme tiedot ja miten pitkään niitä säilytämme?

Järjestelmien käyttöön tarvitaan voimassaoleva käyttäjätunnus ja käyttövaltuudet.

Järjestelmien ylläpitokäyttöön ovat oikeutettuja vain ne Taideyliopiston ja palveluntarjoajan työntekijät, joilla on työnsä vuoksi tehtävänä käsitellä järjestelmän käyttäjätietoja. Kullakin ylläpitokäyttäjällä on oma käyttäjätunnus ja salasana järjestelmään.

Palveluiden tietoturva on teknisesti ja hallinnollisesti järjestetty alan parhaiden käytänteiden ja toimintatapojen mukaisesti. Järjestelmien palvelinlaitteita suojataan sekä ohjelmallisesti että fyysisesti palomuureilla, tietoturvaohjelmistoilla, kovennuksilla, salasanoilla ja käytönvalvonnalla. Konesalit, joissa palvelimet fyysisesti sijaitsevat, on lukittu ja niissä on käytössä kulunvalvonta.

Tämän tietosuojaselosteen mukaisia henkilötietoja säilytetään tietojärjestelmissä niin pitkään, kuin niiden tietosisällöstä on hyötyä kyseisen palvelun käyttämiseksi tai käytön seuraamiseksi ja dokumentoimiseksi. Käytännössä tietoja säilytetään viestintäpalvelusta riippuen normaalien alihankkijoiden kanssa tehtyjen sopimusten mukaisesti viestintäpalvelun luonne huomioiden. Kun työsuhde, opiskeluoikeus tai muu sopimussuhde yliopistoon päättyy, suljetaan käyttäjän tunnus ja poistetaan ko. käyttäjän tiedot järjestelmistä tietyn varoajan jälkeen, joka on maksimissaan 9 kuukautta.

Kun henkilötietojen käyttö yllä kuvattuihin tarkoituksiin ei ole enää mahdollista niiden säilytysajan kuluttua umpeen, tiedot poistetaan sähköisistä palveluista ja niiden tietojärjestelmistä. Joitain tietoja saattaa tallentua yliopiston palveluista tehtäviin varmuuskopioihin, jotka hävitetään säännöllisesti varmuuskopiointi-aikataulun mukaisesti.

9. Kehen voit olla yhteydessä?

Kaikki tätä selostetta koskevat yhteydenotot ja pyynnöt tulee esittää kirjallisesti tai henkilökohtaisesti kohdassa kaksi nimetylle yhteyshenkilölle, joka tarvittaessa ohjaa asian tietosuojavastaavalle. Mikäli katsot, että oikeutesi eivät toteudu voit ottaa yhteyttä suoraan Taideyliopiston tietosuojavastaavaan.