Palvelut

Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje

Tietosuojan ja tietoturvan toteuttaminen kuuluu osaksi jokaisen työntekijän päivittäistä työtä. Tähän lyhyeen ohjeeseen on koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta. Ohjeen tarkoitus on helpottaa EU-tietosuoja-asetuksen soveltamista henkilötietojen käsittelyssä. Muistathan myös tutustua Aalto-yliopiston tietosuojapolitiikkaan, joka määrittelee ne pääperiaatteet, vastuut ja toimintatavat, joita Aalto-yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Tutustu politiikkaan

Henkilötietojen käsittelyn tietosuojan ja tietoturvan pikaohje:

Tunnista, käsitteletkö työtehtävissäsi henkilötietoja ja noudata henkilötietojen käsittelyssä tämän ohjeen neuvoja. Henkilötiedon käsite on laaja. Henkilötietona pidetään mitä tahansa tietoja, jotka voidaan yhdistää johonkuhun henkilöön ja joista henkilö voidaan suoraan tai epäsuorasti tunnistaa (esim. nimi, henkilötunnus, puhelinnumero, luottokortin numero, kuva jne.).
Muista, että yksityisyyden suoja on kaikkien perusoikeus. Käsittele henkilötietoja aina huolellisesti riippumatta siitä, onko kyse sähköisesti, suullisesti tai paperilla käsiteltävistä tiedoista ja muista tietojen suojaaminen sivullisilta. Yliopiston toiminnassa käsitellään tietoturvaltaan eri tasoista tietoa. Ole erityisen huolellinen käsitellessäsi salassapidettäviä henkilötietoja (esim. arkaluonteiset tiedot kuten terveystiedot). Tiedon luokittelun pikaohje (ks. liite alempana) auttaa sinua selvittämään millaista tietoturvan tasoa käsittelemäsi tieto edellyttää ja missä IT-palveluissa tarvittava tietoturvan taso saavutetaan. Tarkka ohjeistus tietojen luokitteluun löytyy sivulta Tietosuojakäytännöt Aallossa.
Käsittele henkilötietoja aina kun mahdollista alkuperäisessä tietojärjestelmässä – Älä siirrä henkilötietoja tarpeettomasti alkuperäisen järjestelmän ulkopuolelle esim. excel-taulukkoihin. Henkilötietojen käsittely alkuperäisessä tietojärjestelmässä on tarpeen myös siitä syystä, että henkilötietojen käsittelystä voidaan tallentaa lokitietoja. Jos on tarpeellista käsitellä henkilötietoja alkuperäisen järjestelmän ulkopuolella tutustu alla olevaan erityisohjeeseen 1.
Kun aloitat uuden henkilötietojen käsittelyä edellyttävän projektin (esim. uusi palvelu), suunnittele henkilötietojen käsittelyn koko elinkaari (kerääminen, hyödyntäminen, muokkaaminen, tuhoaminen) ennen kuin ryhdyt keräämään henkilötietoja ja dokumentoi suunnittelun tulokset
Minimoi henkilötiedot - Harkitse tarkkaan mitä henkilötietoja tarvitsee kerätä ja tallentaa (esim. vältä henkilötunnuksen tarpeetonta käsittelyä).
Uusissa projekteissa (esim. tutkimushanke) muista informoida henkilöitä, joiden tietoja kerätään ennen kuin ryhdyt keräämään henkilötietoja. Lainsäädännössä on tarkkaan määritelty se, mitä rekisteröidyille täytyy kertoa. Käytä siksi mallipohjia henkilöiden informointiin tutkimushankkeissa ja muussa toiminnassa.
Käsittele henkilötietoa vain siihen mihin se on tarkoitettu - Henkilötiedon käsittelyllä pitää olla aina ennalta määritelty peruste ja käyttötarkoitus, voit tarkistaa EU:n tietosuoja-asetuksen mukaiset perusteet tietosuojavaltuutetun sivulta.
Tuhoa tarpeeton ja vanhentunut henkilötieto – Älä säilytä henkilötietoja vain varmuuden vuoksi. Huomioi henkilötietojenkin osalta Tiedonohjaussuunnitelman (TOS) mukaiset henkilötietojen säilytysajat.
Säilytä henkilötiedot turvallisesti - Ei pöydällä vaan lukitussa kaapissa, rajatuilla käyttöoikeuksilla Aallon verkkolevyillä, salattuna kannettavalla tietokoneella tai ulkoisilla muistivälineillä kuten muistitikuilla. Katso TOP-10 tietoturvavinkkien ohjeet salauksesta. Älä anna henkilötietoja kenelle tahansa - Henkilötietoja saavat käsitellä vain ne, joiden työtehtäviin se kuuluu.
Pidä henkilötiedot ajan tasalla - Vain oikea tieto on hyödyllistä.
Siirrä henkilötiedot turvallisesti – Varmista aina vastaanottaja. Jos lähetät luottamuksellisia tai salassa pidettäviä henkilötietoja sähköpostilla, muista lähettää viesti salattuna sähköpostina tai aineisto salattuna liitteenä (Älä lähetä salasanaa sähköpostilla). Jos siirrät henkilötietoja Aalto-yliopiston ulkopuolelle muista, että henkilötietojen siirtoon ETA-alueen ulkopuolelle liittyy erityisvaatimuksia, kts. erityisohje 3. Muista myös varmistaa, että sinulla on oikeus luovuttaa henkilötietoja (henkilötietojen luovutuksesta on informoitu tietosuojailmoituksessa tai muutoin ja vastaanottajan kanssa on sovittu henkilötietojen käsittelyn ehdoista, kts. erityisohje 4.
Ilmoita henkilötiedoille mahdollisesta tapahtuneesta vahingosta tai epäilyttävästä toiminnasta [email protected] – Toimi nopeasti. Paras tapa paikata virhe tai torjua uhka on kertoa siitä heti. Vahinkojen minimoinnissa aika ratkaisee.

Tiedon luokittelun perusohje ja palvelut

Tiedon luokittelun perusohje tarjoaa kattavan yleiskuvan yliopistossa virallisesti käytössä olevista tietojärjestelmistä ja digitaalisista palveluista. Ohjeen avulla käyttäjät saavat tietoa siitä, millaisia tietoja saa käsitellä ja tallentaa eri järjestelmissä ja palveluissa. Tavoitteena on tukea työntekijöitä ja opiskelijoita oikean tiedon käsittely- ja tallennuspaikan valinnassa. Useimmiten kuitenkin tietoja käsitellään yliopiston tarjoamissa palveluissa, jotka on kyseisen tiedon käsittelypaikoiksi määritelty. Tällöin työntekijän tai opiskelijan ei tarvitse erikseen tarkistaa luokittelun perusohjeesta sopivaa tiedon käsittely- ja tallennuspaikkaa, riittää kun toimii kunkin palvelun omien ohjeiden mukaisesti.

Lue tiedon luokittelusta ja soveltuvista palveluista

Bookshelves full of books at Aalto University Learning Centre

Erityisohjeita henkilötietojen käsittelyyn

Huomioi erityisohjeet henkilötietojen käsittelystä näissä tilanteissa:

Jos joudut käsittelemään luottamuksellisia tai salassa pidettäviä henkilötietoja excel-taulukoissa, word-dokumentteina tai muissa dokumentaatiomuodoissa alkuperäisen tietojärjestelmän ulkopuolella:

Käsittele henkilötietoja aina Aalto-yliopiston työasemissa tai palveluissa, joissa Aalto-yliopistolla ja palvelutoimittajalla on asianmukaiset voimassa olevat sopimukset (kts. tiedon luokittelun pikaohje).
Älä koskaan siirrä henkilötietoja tai niitä sisältäviä rekistereitä henkilökohtaisiin laitteisiin tai pilvipalveluihin.
Jos lähetät luottamuksellisia tai salassa pidettäviä henkilötietoja sähköpostilla, salaa henkilötiedot esim. Aalto-yliopiston Outlookista löytyvällä Encrypt-painikkeella.
Käytä aina Aalto-yliopiston VPN-yhteyttä kytkeytyessäsi etänä Aalto-yliopiston palveluihin.

Kaikki Aalto-yliopiston kannettavat työasemat on oltava salattuja. Työasemille tallentuu verkkolevyiltä ja käyttäjien toimesta luottamuksellista ja salassa pidettävää tietoa ja työasemat on oltava riittävällä tavalla suojattuja. Tietotekniikkapalveluiden ylläpidossa olevien kannettavien työasemien salaus on hoidettu keskitetysti. Jos haluat varmistua kannettavan työasemasi salauksesta, ota yhteyttä IT palvelupisteeseen, servicedesk.aalto.fi

Henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle, jos EU Komissio on päättänyt, että kyseinen kolmas maa varmistaa riittävän tietosuojan tason (siirto tietosuojan riittävyyttä koskevan päätöksen perusteella), tai tekemällä vastaanottajan kanssa sopimus EU Komission antamia mallilausekkeita käyttäen. Lisätietoja: Henkilötietojen siirto ETA-alueen ulkopuolelle.

Henkilötietojen siirto ETA-alueen ulkopuolelle

Jos henkilötietoja luovutetaan ulkopuolisen palveluntarjoajan käsiteltäväksi (esim. ulkoistus tai SaaS-palvelu), tulee henkilötietojen käsittelystä tehdä kirjallinen tietojen käsittelysopimus (ks. tietojenkäsittelysopimusmalli).

Tiedonohjaussuunnitelma TOS on yliopiston asiakirjojen ja niihin verrattavien tietoaineistojen rekisteröinnin, käsittelyn ja säilyttämisen ohjeisto. Tiedonohjaussuunnitelma sisältää tiedot organisaatiossa syntyvistä asiakirjoista ja tietoaineistoista sekä niiden rekisteröintiin ja käsittelyyn liittyvistä menettelyistä ja julkisuudesta.

Palvelut

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Palvelut

Tunnista, käsitteletkö henkilötietoja tutkimuksessasi. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, kuten videokuva tai ääninauhoite henkilöstä, IP-osoite, henkilön paikannustieto tai tietoja, joita yhdistelemällä ihminen voidaan tunnistaa (esimerkiksi osoitetiedot ja työnimike).

Palvelut

Tätä palvelua tarjoaa:

Lakipalvelut

Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.

Julkaistu: 1.10.2018
Päivitetty: 2.11.2023

Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje

Henkilötietojen käsittelyn tietosuojan ja tietoturvan pikaohje:

Tiedon luokittelun perusohje ja palvelut

Erityisohjeita henkilötietojen käsittelyyn

Erityisohje 1: Henkilötietojen käsittely excelissä

Erityisohje 2: Kannettavan työaseman levyn salaaminen

Erityisohje 3: Henkilötietojen siirto ETA-alueen ulkopuolelle

Erityisohje 4: Henkilötietojen käsittely palveluntarjoajan toimesta

Lisätietoja

Tiedonohjaussuunnitelma TOS

Aalto-yliopiston tietosuojapolitiikka

Henkilötietojen käsittely tutkimuksessa

Lakipalvelut