Tietosuojaa koskeva vaikutustenarviointi (DPIA) ja sen suhde tutkimuseettiseen ennakkoarviointiin
Ohjeistus milloin ja miten DPIA liite tulee tehdä tutkimuseettiseen lausuntopyyntöön liiteeksi
Tietosuoja ja henkilötietojen käsittely Aalto-yliopistossa
Aalto-yliopisto käsittelee henkilötietoja yliopistolaissa (558/2009) säädetyn tehtävänsä toteuttamiseksi. Yliopisto käsittelee opiskelijoiden, henkilökunnan, sidosryhmien ja asiakkaiden henkilötietoja sekä tutkimusdataa, joka voi sisältää henkilötietoja.
Henkilötietoja ovat kaikki tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai epäsuorasti tunnistaa. Esimerkiksi nimi, henkilötunnus, ammatti, sähköpostiosoite, valokuva, äänitallenne, sijaintitieto, henkilön käytössä olevan laitteen ip-osoite tai jopa auton rekisteritunnus voi olla henkilötieto, jonka käsittelyssä on otettava huomioon henkilön tietosuoja.
Henkilötietoja ovat kaikki tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai epäsuorasti tunnistaa. Esimerkiksi nimi, henkilötunnus, ammatti, sähköpostiosoite, valokuva, äänitallenne, sijaintitieto, henkilön käytössä olevan laitteen ip-osoite tai jopa auton rekisteritunnus voi olla henkilötieto, jonka käsittelyssä on otettava huomioon henkilön tietosuoja.
Tietosuojalainsäädäntö
EU:n tietosuoja-asetus (GDPR) on sellaisenaan suoraan sovellettavaa lainsäädäntöä koko unionin alueella ja se koskee kaikkea henkilötietojen käsittelyä.
EU:n yleinen tietosuoja-asetus (EU 2016/679)
Tietosuoja-asetusta on täydennetty ja täsmennetty kansallisella lainsäädännöllä:
Aalto-yliopiston tietosuojapolitiikka
Aalto-yliopiston rehtori on vahvistanut 23.5.2018 yliopistolle tietosuojapolitiikan.
Tietosuojapolitiikan näärittelee ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Lisäksi tietosuojan toteuttamiseksi yliopistossa on voimassa käytännesääntöjä ja muuta ohjeistusta, jotka yhdessä tietosuojapolitiikan kanssa muodostavat kokonaisuuden.
Henkilötietoja saa käsitellä vain silloin, kun siihen on laillinen peruste. Tavoitteena on varmistaa, että yliopisto noudattaa EU:n tietosuoja-asetuksen (GDPR), kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja, että lainsäädännön noudattaminen on osoitettavissa dokumentaation avulla.
Aalto-yliopisto käsittelee henkilötietoja eri tehtävissään. Yliopistoyhteisössä käsitellään henkilötietoja työtehtävien hoitamiseksi, opiskelijan opiskelun mahdollistamiseksi sekä käyttövaltuuksien ja tietoturvallisuuden ylläpitämiseksi.
Aalto-yliopiston tietosuojapolitiikka
Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.
Yleiset tietosuojaohjeet
Ohjeeseen on tiivistetysti koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta. Ohjeen tarkoitus on helpottaa EU-tietosuoja-asetuksen soveltamista henkilötietojen käsittelyssä.
EU:n Komissio: Rules for the protection of personal data inside and outside the EU.
EU Agency for Fundamental Rights: Handbook on European data protection law - 2018 edition
Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje
Ohjeeseen on tiivistetysti koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta.
Vaikutustenarviointi (DPIA)
Vaikutustenarviointi (Data Protection Impact Assessment, DPIA) on tehtävä tietosuoja-asetuksen mukaisesti kaikista sellaisista yliopiston tutkimushankkeista, palveluista, prosesseista ja järjestelmistä, joissa tehtävä henkilötietojen käsittely aiheuttaa todennäköisesti korkean riskin niille henkilöille, joiden henkilötietoja käsitellään. Täältä löydät ohjeita vaikutustenarvioinnin tarpeen arviointiin ja sen toteuttamiseen:
Tietosuojan toteuttamiseen liittyviä muita ohjeita
Henkilötietojen käsittely eri palveluissa ja toiminnoissa
Opetus
Henkilötietojen käsittely - Tutkimus
Tutkimus on yliopiston perustehtävä. Jokaisessa tutkimushankkeessa määritellään erikseen henkilötietojen käsittelyn tarve ja siitä tiedotetaan tutkittavia erikseen.
Henkilötietojen käsittely tutkimuksessa
Tunnista, käsitteletkö henkilötietoja tutkimuksessasi. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, kuten videokuva tai ääninauhoite henkilöstä, IP-osoite, henkilön paikannustieto tai tietoja, joita yhdistelemällä ihminen voidaan tunnistaa (esimerkiksi osoitetiedot ja työnimike).
Henkilöstö
Henkilötietojen käsittely - Henkilöstöasiat ja esihenkilötyö
TÄTÄ SIVUA PÄIVITETÄÄN. Ohjeet HR:lle ja esihenkilöille koskien työntekijöiden henkilötietojen käsittelyä työsuhdeasioissa. Ohjetta ylläpitää lakipalvelut.
Tietosuojailmoitukset
Tietosuojailmoitus (EU:n tietosuoja-asetus 13 ja 14 artiklat) on rekisterinpitäjän rekisteröidyille antama informaatio mm. henkilötietojen laillisesta käsittelyperusteesta, käsittelyn tarkoituksista, kerättävistä henkilötiedoista ja rekisteröidyn oikeuksista. Tämä korvaa aikaisemman henkilörekisteriselosteen. Tietosuojailmoitukset pyritään laatimaan palvelu - tai toimintokokonaisuuksittain eikä tietojärjestelmäkohtaisia tietosuojailmoituksia pääosin tarvita.
Aalto-yliopiston tietosuojailmoitukset.
Tutkimushankkeissa, joissa käsitellään henkilötietoja, on laadittava hankekohtainen tietosuojailmoitus.
Pohjat tietosuojailmoitusten tekemiseen (saatavilla vain Aalto-tunnuksella):
- Pohja tietosuojailmoituksesta tutkimushankkeisiin
- Muihin tarkoituksiin kuin tutkimushankkeisiin voi käyttää yleiskäyttöistä tietosuojailmoituksen pohjaa
Tekniset ja organisatoriset turvatoimet
Yliopiston henkilötietoja suojataan osana normaalia tietoturvallisuuden ylläpitämistä.
Yliopiston tietojenkäsittely perustuu käyttöoikeuksiin, jotka riippuvat henkilön roolista ja asemasta yliopistolla, sekä tarvittaessa erikseen kunkin rekisterin vastuutahon myöntämiin käyttölupiin. Käyttöoikeuksien voimassaolo tarkistetaan päivittäin.
Yliopiston tietotekniset järjestelmät ja palvelut on suojattu alan hyvien käytäntöjen mukaisesti asiattomalta pääsyltä, niiden toimintakyky on tarvittavassa määrin varmistettu ja niiden elinkaari on hallittu.
Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista. Poistamisoikeus ei yleensä ulotu henkilötietoihin, joita yliopisto käsittelee lakisääteisen tehtävän perusteella, yleisen edun vuoksi, tai joihin yliopistolla on muu säilyttämisvelvoite. Rekisteröidyllä on tietyissä tapauksissa oikeus vaatia henkilötietojen käsittelyn rajoittamista ja vastustaa käsittelyä.
Aalto-yliopisto on ottanut käyttöön henkilötietoportaalin helpottaakseen rekisteröidyn oikeuksien käyttämistä. Portaalin kautta voi toimittaa henkilötietojen käsittelyä koskevia tietosuoja-asetuksen (GDPR) mukaisia pyyntöjä. Portaalin löydät täältä:
Aalto-yliopiston henkilötietoportaali
Huomaathan, että yhteystietojen muutoksiin ja muihin tavanmukaisiin muutoksiin tulee kuitenkin käyttää edelleen ensisijaisesti eri palvelujen omia palveluosoitteita.
Lisätietoja rekisteröidyn oikeuksista on saatavissa Tietosuojavaltuutetun sivuilta.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle. Valvontaviranomainen Suomessa on Tietosuojavaltuutettu (PL 800, 00521 Helsinki, 6700, tietosuoja(at)om.fi).
Aalto-yliopiston tietosuojavastaava
Yliopiston tietosuojavastaava vastaa tietosuoja-asioiden neuvonnasta ja opastuksesta, seuraa tietosuoja-asetuksen ja tämän tietosuojapolitiikan noudattamista yliopistossa sekä raportoi tietosuojapoikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle, tietosuojavaltuutetulle, ilmoittamamana yliopiston tietosuojayhteyshenkilönä.
Tietosuojavastaavan yhteystiedot:
Sirpa Syrjälä, [email protected]
- Julkaistu:
- Päivitetty: