Aalto-yliopisto

IT-palvelujen tietosuojailmoitus

IT-palvelujen tietosuojailmoituksessa kuvataan yliopiston tietosuojakäytäntöjä, jotka koskevat Aalto-yliopiston Tietotekniikkapalveluiden (Aalto ITS) tuottamien palveluiden ja toteuttamien prosessien yhteydessä kerättäviä ja käsiteltäviä henkilötietoja.
Someone working on a laptop typing.

Tämä tietosuojailmoitus on päivitetty 17.9.2024.

Kun ilmoitus päivitetään, uusimman päivityksen päivämäärä merkitään ilmoituksen alkuun. Jos teemme sisällöllisiä muutoksia tähän ilmoitukseen, saatamme toteuttaa aiheellisia toimenpiteitä tiedottaaksemme sinua tavalla, joka on johdonmukainen suhteessa muutosten merkittävyyteen.

Miten ja miksi Aalto käsittelee henkilötietojasi IT-palveluja järjestäessään?

Aalto ITS käsittelee henkilötietoja palvelutuottajaroolin perusteella kaikissa Tietotekniikkapalveluiden tuottamissa ja ylläpitämissä järjestelmissä. Osa palveluista tuotetaan sopimuskumppaneiden ja alihankkijoiden toimesta. Näistä Aalto ITS vastaa kuin itse tuottamistaan palveluista.

IT-palveluiden tuottaminen edellyttää, että käsittelemme henkilötietoja

  • asiakassuhteen hallintaan 
  • asiakkaiden tai käyttäjien tunnistamiseen 
  • tilausten käsittelyyn, laitteiden ja palveluiden toimittamiseen
  • palvelun ja tuotteiden laadunvalvontaan
  • asiakaspalvelua varten sekä
  • erilaisten vika- ja häiriötilanteiden korjaamiseen ja reklamaatioiden käsittelyyn.

Käsittelemme henkilötietoja myös asiakasviestintään kuten palveluihin liittyvien ilmoitusten lähettämiseen ja ollaksemme asiakkaaseen yhteydessä palveluihimme liittyvissä asioissa.

Henkilö- ja välitystietoja käsitellään teknisten vikojen ja virheiden havaitsemiseksi sekä kaikkien palveluidemme, tietojärjestelmiemme ja viestintäverkkojemme tietoturvasta huolehtimiseksi sekä niiden toimivuuden testaamiseksi. Välitystietoja käsitellään viestintäpalvelun teknistä kehittämistä varten kuten optimoidaksemme viestintäverkkojen toimintaa. Lisäksi voimme muodostaa tilastoja palveluiden kehittämistä tai muita analysointitarpeita varten. 

Tietovarastossa, joka on Aalto-yliopiston yksiköilleen tarjoama raportointi- ja integrointipalvelu, käsitellään myös henkilötietoja. Tietovarastoa käytetään myös viranomaisraportoinnissa.

Aalto ITS:n käytössä on edistyksellisiä analysointi-, koneoppimis- ja tekoälytyökaluja, joissa käsitellään henkilötietoja mm. kyberturvallisuuden lisäämiseksi ja tiedon eheyden varmistamiseksi.

Aalto-yliopiston tietojärjestelmäsalkku on hyvin laaja ja Aalto ITS:llä on tiedonhallintalain edellyttämä tiedonhallintamalli, johon sisältyy säännöllisesti ylläpidettävä erillinen tietojärjestelmäkartta. Tietojärjestelmäkartassa on kuvattu tietojärjestelmäsalkussa olevien tietojärjestelmien tärkeimmät ominaisuudet kuten käyttötarkoitus, omistaja, ylläpitäjä ja mahdollinen sopimuskumppani.

Lue täältä lisää Aallon tietovarannoista ja tietojärjestelmistä

Henkilötietojen käsittelyn oikeusperuste

Henkilötietojen käsittely tietotekniikkapalveluiden toteuttamiseksi liittyy usein yliopiston päätehtäviin, lakisääteisten velvoitteiden kuten taloudellisten tehtävien hoitamiseen sekä palvelutoimintaan ja on osa niiden toteuttamista – tarvitsemme tietotekniikkapalveluja esimerkiksi mahdollistaaksemme työn tekemisen, opiskelun, vaikuttamisen ja viestinnän, taloudenhoidon sekä yliopiston palvelujen toteuttamisen ja käytön. Käsittelyn perusteet ovat tällöin käyttäjäryhmittäin:

  • Työntekijöiden henkilötietojen käsittely perustuu sopimuksen täytäntöönpanemiseen, oikeutettuun etuun, lakisääteisten velvollisuuksien noudattamiseen tai nimenomaiseen suostumukseen. Lisätietoa työntekijöiden henkilötietojen käsittelystä on saatavilla työsuhdeasioiden tietosuojailmoituksessa.
  • Opiskelijoiden osalta yliopiston oikeus käsitellä henkilötietoja rekisterinpitäjänä perustuu lakisääteisiin tehtäviin, yleistä etua koskevaan tehtävään tai julkisen vallan käyttämiseen. Tietyissä tapauksissa käsittely perustuu sopimukseen tai suostumukseen. Voit lukea lisää opiskelijan henkilötietojen käsittelystä opiskelijan tietosuojailmoituksesta.
  • Sidosryhmien edustajien, vierailijoiden ja alumnien henkilötietojen käsittelyn perusteista saat lisätietoa viestinnän ja kumppanuuspalveluiden tietosuojailmoituksista. Aalto-yliopiston ulkopuolisten käyttäjien osalta käsittelyperuste voi järjestettäessä yliopiston järjestelmään tai käyttöympäristöön pääsy olla lisäksi sopimus tai suostumus. 

Tietotekniikkapalveluihin sisältyy myös työasemien, palvelujen ja tietojärjestelmien tietoturvaan ja järjestelmänhallintaan liittyviä tehtäviä esimerkiksi turvallisuuden varmistamiseksi sekä henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden suojaamiseksi. Tietosuoja-asetuksen mukaisesti henkilötietojen käsittely tietoturvaloukkausten estämiseksi perustuu oikeutettuun etuun. Tietojärjestelmien hallinta, tietoturvan varmistaminen ja tietojen luovuttamisen järjestäminen teknisten rajapintojen avulla perustuvat myös lakisääteisen velvoitteen hoitamiseen (laki julkisen hallinnon tiedonhallinnasta 906/2019).

Yliopiston tietotekniikkapalveluiden ja prosessien kehittäminen ja laadunvarmistus sekä asiakkaiden tarpeiden ja toiveiden selvittäminen perustuvat lakisääteisiin velvoitteisiimme sekä oikeutettuun etuun.

Tarvittaessa Aalto-yliopisto antaa prosessi- tai palvelukohtaisesti lisätietoa henkilötietojen käsittelystä.

Aalto-yliopiston mobiilisovellusten osalta käsittelyperusteet on kuvattu näiden sovellusten tietosuojailmoituksissa. Sähköisessä työskentely-ympäristössä käyttäjällä on mahdollisuus halutessaan sallia tuottamansa tietosisällön hyödyntämistä ja saada tietoja verkostoitumisestaan ja kavereistaan.

Mitä henkilötietoja Aalto-yliopisto kerää ja käsittelee

Käsiteltävät henkilötiedot voidaan jaotella seuraavasti:

Yksilöivät tunnistetiedot, kuten:

  • nimi
  • henkilötunnus
  • syntymäaika
  • yhteystiedot, esimerkiksi työpuhelinnumero 
  • työntekijännumero (henkilöstö)
  • opiskelijanumero (opiskelija)
  • kansallinen oppijanumero (opiskelija)
  • asema
  • biometriset tunnisteet (esimerkiksi sormenjälki)

Käyttäjätunnukset
Käyttöoikeudet
Laitetiedot, kuten

  • tietoa yhteishallinnassa olevista päätelaitteista
  • hallintajärjestelmään liitettyjen älypuhelimien ohjelmisto- ja laitetiedot

Asiakaspalvelun keräämät tiedot:

  • nimi
  • yhteystiedot (ml. kotiosoite ja henkilökohtainen puhelinnumero ja sähköposti esim. tilattaessa it-laitteita kotiosoitteeseen tai tilattaessa it-laitteita ennen työsuhteen alkua)
  • käyttäjätunnus sekä siihen liittyvät tietojärjestelmien käyttämät identifiointi- ja muut tekniset tiedot
  • sijainti kampuksella
  • palvelupyyntöön liittyvät tiedot
  • työntekijännumero (henkilöstö)
  • yksikkö (henkilöstö)
  • esimies (henkilöstö)
  • opiskelijanumero (opiskelija)
  • koulu (opiskelija)

Sähköisessä työskentely-ympäristössä käsitellään viestintään osaa ottavien kahden tai useamman osapuolen ja/tai sähköistä ryhmätyöskentely-ympäristöä käyttävien henkilöiden henkilötietoja:

  • nimi
  • tehtävänimike
  • organisaatioyksikkö
  • käyttäjätunnus
  • sähköpostiosoite
  • puhelinnumero
  • lisäksi käyttäjällä on mahdollisuus itse antaa haluamiaan tietoja palveluun esim. kuva

Tulostuspalvelun käytön yhteydessä kerättävät tiedot:

  • nimi
  • sähköposti
  • käyttäjätunnus
  • tulostimen tunnus
  • aikaleima
  • turvatulostuksen yhteydessä kortin tunnus

Järjestelmien käytön yhteydessä kerättävät tiedot sisältävät yleensä ainakin seuraavia tietoja:

  • aikaleima
  • käyttäjätunnus
  • viestintä

Sähköisessä työskentely-ympäristössä viestin sisältö sekä sen mahdolliset liitetiedostot (olipa tämä sitten tekstiä, kuvia, ääntä, videota tai muuta sähköistä viestintää) kuuluvat pääsääntöisesti viestinnän suojan piiriin eikä niitä käsitellä muuta kuin lain mahdollistamissa poikkeustapauksissa.

Aalto-yliopisto myös lokittaa järjestelmien käyttöä tietoturvallisuuden varmistamiseksi.

Miten keräämme henkilötietoja

Identiteetin hallintaan ja käyttäjän tunnistamiseen liittyvät tiedot saadaan yliopiston opiskelijoita ja henkilökuntaa koskevista perusrekistereistä.

Henkilöstä kertyy tietoja myös sähköisten palvelupyyntöjen kautta sekä tulostuspalveluiden käytön yhteydessä.

Lisäksi henkilöstä kertyvät tiedot ovat yliopiston omistamien/hallinnoimien palveluiden ja järjestelmien käytöstä havainnoituja ja johdettuja, henkilön käyttäessä yliopiston käyttöön tarjoamia toimisto-, tietokone- ja puhelinlaitteita sekä ohjelmistoja, mukaan lukien sähköiset viestintä-, sähköposti- ja internet-sovellukset.

Kenelle luovutamme henkilötietoja

Tietoja käsittelevät vain ne Aalto-yliopiston työntekijät tai Aalto-yliopiston toimeksiannosta ja lukuun toimivat henkilöt, joilla on oikeus henkilötietojen käsittelyyn.

Voimme jakaa henkilötietojasi kolmansille osapuolille, mikäli pääsy henkilötietoihin tai niiden muu käsittely on tarpeen:

  • soveltuvan lainsäädännön ja/tai oikeuden määräyksen täyttämiseksi.  Esimerkiksi työnantajana Aalto-yliopistolla on lakisääteisiä velvoitteita luovuttaa työntekijöidensä henkilötietoja muun muassa viranomaisille, pankeille, vakuutusyhtiöille ja työterveyshuoltoon. 
  • turvallisuusriskin tai teknisen ongelman taikka väärinkäytöksen havaitsemiseen, estämiseen tai käsittelemiseen.

Lisätietoa tietojen luovutuksesta eri käyttäjäryhmien osalta on saatavissa näitä tahoja koskevista tietosuojailmoituksista.

Henkilötietojen siirto kolmansiin maihin

Yliopiston tietosuojapolitiikkana on noudattaa erityistä huolellisuutta, jos henkilötietoa siirretään EU:n ja European Economic Area -alueen (EEA) ulkopuolelle maihin, jotka eivät tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa. Henkilötiedon siirtäminen EU:n ja EEA-alueen ulkopuolelle suoritetaan aina tietosuoja-asetuksen vaatimusten mukaisesti.

Lähtökohtaisesti käsittelemme työntekijöiden henkilötietoja vain EU:n tai ETA:n sisällä. Joissakin poikkeustapauksissa mm. kansainvälisten työkomennusten tai joidenkin palveluiden käytön yhteydessä henkilötietojasi voidaan joutua siirtämään EU:n tai ETA:n ulkopuolelle. Opiskelijoiden henkilötietoja saatetaan myös siirtää ETA:n ulkopuolisille korkeakouluille tietyissä tilanteissa. Siinä tapauksessa huolehdimme henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla, esimerkiksi Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen. 

Kuinka kauan henkilötietoja säilytetään

Järjestelmiin tallennettujen henkilötietojen säilytysajat perustuvat lainsäädäntöön ja Aalto-yliopiston tiedonohjaussuunnitelmaan (TOS).

Henkilötietoihin liittyvät rekisteröidyn oikeudet

Rekisterinpitäjä ja henkilötietojen suojauksen periaatteet

Rekisterinpitäjä, vastuuhenkilö ja yhteystiedot

Rekisterinpitäjänä on Aalto-yliopisto.
Rekisterin vastuuhenkilönä toimii Christa Winqvist.
Puhelinvaihde: 09 47001

Sähköposti: servicedesk(at)aalto.fi

Aalto-yliopiston yliopistotasoisen viestinnän ja markkinoinnin osalta vastuuhenkilö on Aalto-yliopiston viestintäjohtaja.

Oma vastuusi

Olet vastuussa tiedoista, jotka toimitat tai tarjoat Aalto-yliopiston saataville ja sinun tulee varmistaa, että tiedot ovat oikeita.

Henkilötietojen suojauksen periaatteet

Henkilötietojen käsittelyssä noudatetaan yleistä huolellisuutta ja tietoturvasta huolehditaan asianmukaisesti. Käytössä on ajanmukaiset tekniset ratkaisut, kuten palomuurit ja salaukset. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä käyttöoikeuksia ja muita henkitietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja annettujen ohjeiden mukaan vain niiden henkilöiden toimesta, joiden työnkuvaan se kuuluu.

Muut tietosuojailmoitukset

People at Learning Centre

Tietosuojailmoitukset

Sivulta löytyvät Aalto-yliopiston tietosuojailmoitukset. Kukin tietosuojailmoitus antaa tietoa henkilötietojen käsittelyn tarkoituksista ja oikeusperusteista yliopistolla samoin kuin rekisteröityjen oikeuksista. Ilmoituksesta on käytetty myös nimityksiä rekisteriseloste tai tietosuojaseloste.

Palvelut
  • Julkaistu:
  • Päivitetty: