Karelia-ammat­ti­kor­kea­koulun tietosuojapolitiikka

Karelia-ammat­ti­kor­kea­koulun tieto­suoja- ja tieto­tur­va­ryhmän laatima

Käsitelty 20.2.2018 Karelia-ammat­ti­kor­kea­koulun yhteistyö- ja työsuo­je­lu­toi­mi­kun­nassa. Päivi­tetty 11.8.2022.

EU:n tieto­suoja-asetuksen (EU 2016/679)1 sovel­ta­minen on alkanut 25.05.2018 ja tässä tieto­suo­ja­po­li­tii­kassa on tämä asetus otettu huomioon.

Tieto­suo­jasta huoleh­ti­mi­sella varmis­tetaan toiminnan vastuul­lisuus ja asian­mu­kaisuus niin lainsää­dännön kuin eettisten toimin­ta­ta­pojen kannalta. Lisäksi tieto­suo­jasta huoleh­ti­minen on osa ammat­ti­kor­kea­koulun riskien hallintaa. Tieto­suo­ja­po­li­tii­kassa määri­tellään perus­pe­ri­aatteet, kuinka kaikissa ammat­ti­kor­kea­koulun toimin­noissa pyritään varmis­tamaan henki­lö­tie­tojen lainmu­kainen käsittely ja tieto­suojan korkea taso. Tieto­suo­ja­po­li­tiikkaa täyden­netään käytännön työohjeistuksilla.

Tieto­suo­ja­po­li­tiikan kattavuus, tavoitteet ja periaatteet

Tieto­suojaan kuuluvat henki­löiden yksityi­se­lämän suoja ja yksityi­syyden suojaa turvaavat muut oikeudet henki­lö­tietoja käsitel­täessä. Tieto­suo­jalla tarkoi­tetaan henki­lö­tie­tojen ja muiden henkilön luotta­muk­sel­listen tai arkaluon­teisten tietojen suojaa­mista. Tieto­suo­ja­lain­sää­däntö edellyttää, että henki­lö­tie­tojen käsittely on turvattava ja henki­lö­tiedot on suojattava asiat­to­malta käsit­te­lyltä. Tietojen ja tieto­jär­jes­telmien käyttöä seurataan ja väärin­käy­töksiin puututaan ammat­ti­kor­kea­koulun IT-sääntöjen mukaisesti.

EU:n tieto­suoja-asetus sisältää sisään­ra­ken­netun ja oletusar­voisen tieto­suojan periaatteet.

Tieto­suo­ja­pe­ri­aatteet ovat:

  • käsit­telyn lainmu­kaisuus, kohtuul­lisuus ja läpinäkyvyys
  • käyttö­tar­koi­tus­si­don­naisuus
  • tietojen minimointi
  • tietojen täsmäl­lisyys
  • tietojen säily­tyksen rajoittaminen
  • tietojen eheys ja luottamuksellisuus
  • rekis­te­rin­pi­täjän osoitusvelvollisuus

”Sisään­ra­ken­netun tieto­suojan periaate edellyttää, että edellä mainitut tieto­suo­ja­pe­ri­aatteet otetaan tehok­kaasti osaksi henki­lö­tie­tojen käsit­telyä sisäl­täviä toimintoja niiden kaikissa vaiheissa.

Oletusar­voisen tieto­suojan periaate merkitsee, että rekis­te­rin­pi­täjän tulee oletusar­voi­sesti käsitellä vain käsit­telyn kunkin erityisen tarkoi­tuksen kannalta tarpeel­lisia henki­lö­tietoja. Velvol­lisuus koskee kerät­tyjen henki­lö­tie­tojen määrää, käsit­telyn laajuutta, säily­ty­saikaa ja saata­villa oloa. Rekis­te­rin­pi­täjän on toteu­tettava toimen­piteet, jotka varmis­tavat etenkin sen, että henki­lö­tietoja ei oletusar­voi­sesti saateta rajoit­ta­mat­toman henki­lö­määrän saata­ville ilman luonnol­lisen henkilön myötävaikutusta.”

Ammat­ti­kor­kea­kou­lussa kerätään ja käsitellään muun muassa opintoihin, työnte­ki­jöihin sekä tutkimus-, kehit­tämis- ja innovaa­tio­toi­mintaan (TKI) liittyviä henki­lö­tietoja sisäl­täviä rekis­te­reitä. Karelia Ammat­ti­kor­kea­koulu Oy on näissä rekis­te­rin­pi­täjänä ja henki­lö­tietoja käsit­te­levät ovat henki­lö­tie­tojen käsit­te­li­jöitä. Osa käsitel­tä­västä tiedosta on luotta­muk­sel­lista, arkaluon­teista sekä salassa pidet­tävää ja voi paljas­tut­tuaan rikkoa yksityi­syyden suojan ja heikentää luotta­musta ammat­ti­kor­kea­koulun toimintaa kohtaan.

Henki­lö­tie­tojen oikeel­lisuus on varmis­tettava, niitä on käsiteltävä asian­mu­kai­sesti ja niiden on oltava tarpeen mukaan käytet­tä­vissä. Väärien, vanhen­tu­neiden ja virheel­listen tietojen käsittely on kielletty, ja näiden oikai­se­minen on tehtävä tarpeen mukaan.

Tietoja saavat käyttää ainoastaan niitä työssään tai opinnoissaan tarvit­sevat henkilöt ja työteh­tä­vänsä tai opinto­jensa suorit­ta­misen edellyt­tä­mässä laajuu­dessa. Tietoja saa luovuttaa ainoastaan henkilön itsensä suostu­muk­sella tai lainsää­dännön nojalla.

Tieto­suo­jalla on kiinteä yhteys tieto­turvaan. Ammat­ti­kor­kea­koulun tieto­tur­va­po­li­tiikka määrit­telee, mitä tarkoi­tetaan tieto­tur­valla ja kuinka sitä ylläpidetään.

Tieto­suo­ja­po­li­tiikka ottaa huomioon myös ammat­ti­kor­kea­koulun avoimen tieteen politiikan ja periaatteet. Tieto­suojan ja tieteen avoimuuden yhteen sovit­ta­minen otetaan huomioon erityi­sesti tutki­musai­neistoja kosket­tavia käytännön ohjeis­tuksia ja ratkaisuja laadittaessa.

Tietojen elinkaari ja käyttö

Henki­lö­tie­tojen käsittely perustuu henkilön suostu­mukseen tai laissa määri­teltyyn muuhun käsit­te­ly­pe­rus­teeseen. Henki­lö­tietoja käsitellään vain perus­tellun käyttö­tar­koi­tuksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttö­tar­koi­tuksen kannalta tarpeel­lista. Käytet­tävien tietojen oikeel­lisuus pyritään varmis­tamaan ja tietoja päivi­tetään henki­löltä itseltään tai luotet­ta­vista lähteistä, joita ovat esim. viran­omaiset. Kun tiedot eivät enää ole käyttö­tar­koi­tuk­sensa vuoksi tarpeel­lisia, tiedot tulee tuhota asianmukaisesti.

Tietoja käytetään niitä kerät­täessä kuvat­tuihin tarkoi­tuksiin lainsää­dännön kulloinkin salli­missa rajoissa. Tietoja luovu­tetaan vain nimen­omai­sesti kerro­tulla tai laissa maini­tulla perus­teella ja nimen­omai­sesti kerro­tuille tai laissa maini­tuille luovu­tuksen saajille. Tietoja saatetaan siirtää rekis­te­rin­pi­täjän sijain­ti­valtion ulkopuo­lelle tai poikkeus­ta­pauk­sissa EU:n ulkopuo­lelle. Tällöin nouda­tetaan siirtoa koskevia, tieto­suo­ja­lain­sää­dän­nössä säädettyjä menet­te­lyitä. EU:n ulkopuo­lelle henki­lö­tietoja siirret­täessä nouda­tetaan erityistä huolel­li­suutta ja siihen liittyviä säännöksiä.

Rekis­te­röi­tyjen informointi

Rekis­te­rin­pi­täjänä toimii Karelia Ammat­ti­kor­kea­koulu Oy. Infor­moin­ti­vel­vol­li­suutta toteu­tetaan kuvaa­malla henki­lö­tie­tojen käsit­telyä rekis­te­ri­se­los­teissa. Rekis­te­röi­dyille tarjotaan laissa tarkoi­tettu tai muuten tarpeel­linen infor­maatio henki­lö­tie­tojen käsit­te­lystä tietoja kerättäessä.

Vastuut ja organisointi

Vastuu tieto­suojan toteut­ta­mi­sesta ja henki­lö­tie­tojen käsit­telyn lainmu­kai­suu­desta on ammat­ti­kor­kea­koulun johdolla. Jokaisen työnte­kijän ja henki­lö­tietoja opinnoissaan käsit­te­levän opiske­lijan tulee tuntea ja hallita oman vastuu­alu­eensa tieto­suo­ja­sääntely ja -riskit. Ammat­ti­kor­kea­kou­lulle on nimitetty tieto­suo­ja­vas­taava, joka ohjaa ja kehittää tieto­suojan toteu­tu­mista ammat­ti­kor­kea­kou­lussa. Tieto­suo­ja­vas­taavan asema ja tehtävät noudat­telee EU:n tieto­suoja-asetuksen artikloja 38 ja 39 (katso liite 1). Tieto­suo­ja­vas­taavan yhteys­tiedot ovat julki­sesti saatavilla.

Tieto­suo­ja­vas­taavan tukena toimii ammat­ti­kor­kea­koulun tieto­suoja- ja tieto­tur­va­ryhmä. Ryhmään kuuluvat tieto­suo­ja­vas­taava, hallinto- ja talous­johtaja, henki­lös­tö­pääl­likkö, opiske­li­ja­pal­ve­lujen päällikkö, työsuo­je­lu­val­tuu­tettu ja turval­li­suus­pääl­likkö. Ryhmän tehtävät on kuvattu liitteessä 1.

Tieto­jen­kä­sit­telyä ulkois­tet­taessa tulee huolehtia, että valittu kumppani noudattaa tätä tieto­suo­ja­po­li­tiikkaa. Henki­lö­tie­tojen käsit­telyn ulkois­ta­mi­sesta laaditaan aina kirjal­linen sopimus, jossa osapuolten vastuut ja velvol­li­suudet määritellään.

Tieto­suojan varmistaminen

Tieto­suojan varmis­ta­miseen liittyy oleel­li­sesti riski­pe­rus­tainen lähestyminen.

”Jotta rekis­te­rin­pitäjä voi toteuttaa asetuksen sisään­ra­ken­nettua ja oletusar­voista tieto­suojaa ja muita asetuk­sessa säädettyjä velvol­li­suuksia, on rekis­te­rin­pi­täjän tehtävä perus­teel­linen arvio henki­lö­tie­tojen käsit­telyyn liitty­vistä riskeistä. Tieto­suoja-asetuk­sessa riskeillä tarkoi­tetaan henki­lö­tie­tojen käsit­te­lystä rekis­te­röi­dylle mahdol­li­sesti aiheu­tuvia fyysisiä, aineel­lisia tai aineet­tomia vahinkoja esimer­kiksi silloin, kun käsittely saattaa johtaa syrjintään, identi­teet­ti­var­kauteen tai petokseen, talou­del­lisiin menetyksiin, sosiaa­liseen vahinkoon tai pseudo­ny­mi­soinnin2 kumoutumiseen.

Riski voi olla korkeampi silloin, kun käsitellään esimer­kiksi erityisiä henki­lö­tie­to­ryhmiin kuuluvia tietoja. Kun henki­lö­tie­tojen käsit­telyyn toden­nä­köi­sesti kohdistuu korkea riski, on tieto­suoja- asetuksen mukaan rekis­te­rin­pi­täjän tehtävä tieto­suojaa koskeva vaiku­tus­te­nar­viointi. Riskin tasoa arvioi­taessa on otettava huomioon henki­lö­tie­tojen käsit­telyn luonne, laajuus, asiayhteys ja tarkoi­tukset edellä selos­tetun mukai­sesti.” [1]

Vaiku­tus­te­nar­vioinnin yhtey­dessä rekis­te­rin­pi­täjän on pyydettävä neuvoja tietosuojavastaavalta.

Tieto­suoja-asiat kuuluvat osana henki­lö­tietoja käsit­te­levien uusien työnte­ki­jöiden pereh­dy­tykseen. Opiske­li­joille tämä sisältyy ammatil­lisen kasvun opinto­jaksoon. Kaikkia henki­lö­tietoja käsit­te­leviä henki­löitä sitoo laissa säännelty tai erikseen sovittu ja dokumen­toitu vaitiolovelvollisuus.

Henki­lö­tietoja sisäl­tävien tieto­jär­jes­telmien käyttöä kontrol­loidaan ammat­ti­kor­kea­koulun käyttä­jä­hal­lin­ta­rat­kai­sulla tai muuten dokumen­toi­duilla menettelyillä.

Ammat­ti­kor­kea­koulu arvioi ja valvoo tieto­suojan toteu­tu­mista ja tekee tarkas­tuksia tieto­suoja-asioissa osana normaalia tarkas­tus­toi­min­taansa. Tieto­suojan toteu­tu­minen varmen­netaan vuosittain rapor­toin­nilla johdolle.

1 Pseudo­ny­mi­sointi (’salani­mellä julkai­se­minen’) Henki­lö­tie­tojen käsit­te­le­mistä niin, että tietoja ei voida enää suoraan yhdistää tiettyyn rekis­te­röityyn käyttä­mättä lisätietoja. Tällaiset lisätiedot tulee säilyttää erillään ja niihin sovel­letaan teknisiä ja organi­sa­to­risia toimen­pi­teitä, joilla varmis­tetaan, ettei tällaista yhdis­tä­mistä tunnis­tettuun tai tunnis­tet­ta­vissa olevaan henkilöön tapahdu. Lähde: Vahti-raportti 1/2016

Tieto­suojan ongelmatilanteet

Tieto­suoja-asetuk­sessa säädetään rekis­te­rin­pi­täjän velvol­li­suu­desta ilmoittaa henki­lö­tie­tojen tieto­tur­va­louk­kauk­sista tieto­suo­ja­vi­ran­omai­selle ja rekis­te­röi­dylle. Tieto­tur­va­louk­kauk­sella tarkoi­tetaan loukkausta, jonka seurauksena on henki­lö­tie­tojen vahin­gossa tapahtuva tai lainvas­tainen tuhoa­minen, häviä­minen, muutta­minen, luvaton luovut­ta­minen taikka pääsy tietoihin.

Osana henki­lö­tie­tojen käsit­telyn suunnit­telua ammat­ti­kor­kea­kou­lulla on prosessi myös mahdol­listen tieto­tur­va­louk­kausten varalle, jotta tieto­tur­va­louk­kaukseen liittyvien ilmoi­tus­vel­vol­li­suuksien täyttä­minen on mahdol­lista. Jokainen ammat­ti­kor­kea­koulun yhteisöön kuuluva on velvol­linen ilmoit­tamaan havait­se­mistaan tieto­suojaan liitty­vistä puutteista, uhkista tai menet­te­ly­vir­heistä osoit­teeseen [email protected]. Mikäli tieto­suojan epäillään tai havaitaan vaaran­tuneen, asia tutkitaan viipy­mättä. Lisäksi asiasta ilmoi­tetaan viipy­mättä rekis­te­röi­dylle, jonka tieto­suoja on vaaran­tunut, edellyttäen, että ilmoit­ta­minen on aiheel­lista korjaavien toimen­pi­teiden suorit­ta­mi­seksi tai vahingon rajaamiseksi.

Tiedot­ta­minen henki­lös­tölle, rekis­te­röi­dyille ja sidosryhmille

Tästä tieto­suo­ja­po­li­tii­kasta ja sen muutok­sista tiedo­tetaan ammat­ti­kor­kea­koulun henki­lö­kun­nalle ja opiske­li­joille intra­ne­tissä. Tieto­suo­ja­po­li­tiikka päivi­tetään tarpeen mukaan. Tämän lisäksi annetaan sisäisiä ohjeita tietosuoja-asioista.

Ammat­ti­kor­kea­koulun tieto­suo­ja­po­li­tiikka on voimassa toistai­seksi. Se on asiakirjana julkinen ja saata­vissa ammat­ti­kor­kea­koulun ulkoi­silta ja sisäi­siltä verkkosivuilta.

Tieto­suo­ja­po­li­tiikan vahvistaminen

Tieto­suo­ja­po­li­tiikan on vahvis­tanut Karelian tieto­suoja- ja tieto­tur­va­ryhmä kokouk­sessaan 13.3.2018.

Lähteet:

Lapin yliopiston tieto­suo­ja­po­li­tiikan luonnos 7.9.2017 (iso osa tekstistä perustuu tähän), linkki 6.1.2018 (edellyttää pääsyn ja kirjau­tu­misen eduuniin korkea­kou­lujen GDPR-yhteistyön materi­aaliin): https://tt.eduuni.fi/sites/kity/EUGDPR/Dokumentteja/_Tiimi_MP_Muut_Palvelut/Ryhm%C3%A4%201%20d okumentit/Lapin%20yliopiston%20tietosuojapolitiikka%20LUONNOS.docx?Web=1

Tieto­suo­ja­val­tuu­tetun ohje ”Miten valmis­tautua EU:n tieto­suoja-asetukseen?” oikeus­mi­nis­teriön ohje 4/2017, linkki 6.1.2018 tieto­suo­ja­val­tuu­tetun www-sivuille: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html#mitenvalmistautuatietosuoja-asetukseen

Linkit: Tieto­tur­va­po­li­tiikka, IT-säännöt

Liitteet:

Liite 1 Tieto­suoja- ja tietoturvaryhmä

Liite 2 Tieto­suo­ja­vas­taavan asema ja tehtävä

Liite 1.

Toimen­hal­ti­ja­päätös 16.03.2022 § 72, Karelia-ammat­ti­kor­kea­koulun tieto­suoja- ja tieto­tur­va­ryhmän täydentäminen

Karelia-ammat­ti­kor­kea­kou­lussa on toistai­seksi toimiva tieto­suoja- ja tieto­tur­va­ryhmä, joka

  • on valmis­tellut voimassa olevan EU:n tieto­suoja-asetuksen sovel­ta­mista Karelia-ammattikorkeakoulussa,
  • käsit­telee, kommentoi, antaa lausuntoja sekä hyväksyy tieto­suojaan ja tieto­turvaan liittyviä Karelia-ammat­ti­kor­kea­koulun ohjeita ja linjauksia