Dataskyddsmeddelanden
Meddelanden informerar om hur dina personuppgifter behandlas och vilka rättigheter du har till dina egna personuppgifter.
Dataskyddsmeddelande för Aalto-universitetets IT-tjänster
I detta dataskyddsmeddelande beskrivs universitetets dataskyddspraxis gällande insamling och behandling av personuppgifter inom ramen för tjänster och processer i anslutning till Aalto-universitetets IT-tjänster (Aalto ITS).
Uppdaterad17.9.2024.
När meddelandet uppdateras anges datumet för den nyaste versionen i början av meddelandet. Om vi gör innehållsliga ändringar i meddelandet kan vi vidta skäliga åtgärder för att informera dig på ett sätt som är ändamålsenligt med hänsyn till hur betydande ändringen är.
Varför och på vilka grunder behandlar Aalto dina personuppgifter när IT-tjänster ordnas?
Aalto ITS behandlar personuppgifter i egenskap av serviceproducent i anslutning till alla system som produceras och upprätthålls av IT-tjänsterna. En del av tjänsterna produceras av avtalspartner och underleverantörer. Aalto ITS ansvarar för dessa tjänster på samma sätt som för sina egna tjänster.
För att erbjuda IT-tjänster behöver vi behandla dina personuppgifter för att
- hantera kundrelationer
- identifiera kunder eller användare
- hantera beställningar samt leverera utrustning och tjänster
- följa upp kvalitén hos våra tjänster och produkter
- erbjuda kundservice
- lösa olika fel och störningar samt hantera reklamationer.
Därtill behandlar vi personuppgifter när vi informerar kunderna om våra tjänster och är i kontakt med dem i ärenden som gäller våra tjänster.
Personuppgifter och förmedlingsinformation behandlas för att upptäcka tekniska fel samt för att säkerställa informationssäkerheten och testa funktionaliteten hos alla våra tjänster, informationssystem och kommunikationsnät. Förmedlingsinformation behandlas för teknisk utveckling av kommunikationstjänsten, såsom optimering av funktionaliteten hos kommunikationsnäten. Därtill kan vi skapa statistik för att utveckla tjänsterna eller för analysbehov.
Personuppgifter behandlas även i datalagret, som är en rapporterings- och integreringstjänst som Aalto erbjuder sina enheter. Datalagret används även i myndighetsrapportering.
Aalto ITS använder avancerade verktyg för analys, maskininlärning och artificiell intelligens för att behandla personuppgifter i syfte att bland annat öka cybersäkerheten och säkerställa uppgifternas integritet.
För att kunna erbjuda IT-tjänster måste vi behandla dina personuppgifte:
Personuppgifter behandlas vid IT-tjänsterna i anslutning till
- administration av centraliserade identitetsuppgifter, användarnamn och behörigheter vid Aalto-universitetet samt administration av resurser i anslutning till informationssystem, såsom nätverk, applikationer, tjänster och nätenheter.
- administration av rättigheter och resurser, uppföljning och statistik över användningen, elektroniskt godkännande, underskrifter och arbetsflöden.
- hanteringssystemet för arbetsstationerna för att upprätthålla användbarheten och informationssäkerheten. Med arbetsstation avses i regel en dator (stationär eller bärbar) eller annan datateknisk apparat (t.ex. smarttelefon) avsedd för personlig användning.
- den elektroniska arbetsmiljön (O365), vars syfte är att med hjälp av användarnamn möjliggöra elektroniska kommunikationstjänster för Aalto-universitetets personal och studerande samt för eventuella underleverantörer och uppdragstagare.
- administration av utskrifter och användarbaserad debitering av kostnadsställe.
- intern utveckling, administration och kvalitetskontroll av våra tjänster och processer i anknytning till dessa tjänster, t.ex. analys av leveransprocessen och reklamationer i syfte att effektivera leveransprocessen och hitta bättre och snabbare metoder för kundservice.
- att förstå kundernas behov och önskemål i relation till egenskaperna och innehållet hos våra tjänster.
- informationssäkerhet gällande användning av tjänsterna, t.ex. lyckad och misslyckad inloggning i tjänster som kräver registrering.
- hantering av begäran om service och utredning av problemsituationer och informationssäkerhetsincidenter inom IT-tjänsterna.
- att upptäcka och motverka missbruk och bedrägeri i anknytning till tjänsterna.
Aaltos portfölj för informationssystem är mycket omfattande och Aalto ITS har en informationssystemkarta som upprätthålls regelbundet och som beskriver de viktigaste egenskaperna hos informationssystemen, såsom användningsändamål, innehavare, systemadministratör och eventuell avtalspartner.
Den rättsliga grunden för behandlingen av personuppgifter
Behandling av personuppgifter för att erbjuda IT-tjänster är ofta kopplat till universitetets huvuduppgifter, lagstadgade förpliktelser som att sköta finansiella uppgifter samt till tjänsteverksamheten och är en del av deras genomförande. Vi behöver IT-tjänster för att exempelvis möjliggöra arbete, studier, inflytande och kommunikation. Vi behöver dem även för att finansiella ärenden ska kunna skötas och för att universitetets tjänster ska kunna erbjudas och användas. Grunderna till behandlingen är därmed följande, enligt användargrupp:
- Behandling av personalens personuppgifter grundar sig på verkställande av kontrakt, berättigat intresse, på att fullgöra rättsliga förpliktelser eller på uttryckligt samtycke. Mer information om behandling av personalens personuppgifter finns i dataskyddsmeddelandet för ärenden som rör anställningsförhållanden.
- För studerandes del grundar sig universitetets rätt att i egenskap av personuppgiftsansvarig behandla personuppgifter på lagstadgade uppgifter för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. I specifika situationer kan behandlingen grunda sig på avtal eller samtycke. Du kan läsa mer om behandlingen av de studerandes personuppgifter i dataskyddsmeddelandet för studerande.
- Du hittar mer information om grunderna för behandling av personuppgifter tillhörande företrädare för intressegrupper, besökare och alumner i dataskyddsmeddelandet för Aalto-universitetets partnerskapstjänster. För användare utanför Aalto-universitetets kan behandlingsgrunden därutöver vara avtal eller samtycke när tillgång till universitetets system eller användarmiljö ordnas.
I IT-tjänsterna ingår även uppgifter som rör arbetsstationernas, tjänsternas och informationssystemens informationssäkerhet och systemadministration, till exempel i syfte att trygga säkerheten och för att personuppgifternas tillgänglighet, äkthet, riktighet och konfidentialitet skyddas. I enlighet med dataskyddsförordningen grundar sig behandlingen av personuppgifter på ett berättigat intresse att förhindra personuppgiftsincidenter. Hanteringen av informationssystemen, säkerställandet av dataskyddet och ordnandet av uppgifter genom tekniska gränssnitt grundar sig även på att fullgöra en rättslig förpliktelse (lagen om informationshantering inom den offentliga förvaltningen 906/2019).
Utvecklingen av universitetets IT-tjänster och tryggandet av deras kvalitet samt klargörande av kundernas behov och önskemål grundar sig på att fullgöra våra rättsliga förpliktelser samt på berättigat intresse.
Vid behov ger Aalto-universitetet process- eller tjänstespecifik tilläggsinformation om behandlingen av personuppgifter.
Behandlingsgrunderna för Aalto-universitetets mobilapplikationer beskrivs i dataskyddsmeddelandet i respektive applikation. I den elektroniska arbetsmiljön kan användaren tillåta användning av det informationsinnehåll som hen producerar och få information om sina nätverk och vänner.
VILKA PERSONUPPGIFTER SAMLAS IN OCH BEHANDLAS VID AALTO-UNIVERSITETET?
- De personuppgifter som behandlas kan delas in enligt följande:
- Identifikationsuppgifter,
- namn
- personbeteckning
- födelsetid
- kontaktuppgifter (till exempel arbetstelefonnummer)
- anställningsnummer (personal)
- studentnummer (studerande)
- nationellt studentnummer (studerande)
- position
- biometriska kännetecken (till exempel fingeravtryck)
- Användarnamn
- Användarrättigheter
- Information om apparat, såsom
- information om centralt administrerad terminalutrustning
- mjukvaru- och apparatinformation för smarttelefoner anslutna till hanteringssystemet
- Uppgifter som samlas in av kundservicen:
- namn
- kontaktuppgifter (inklusive hemadress, privat telefonnummer och e-postadress när du till exempel beställer it-utrustning till din hemadress eller när du beställer it-utrustning innan ditt anställningsförhållande har börjat).
- användarnamn
- position på campus
- information gällande begäran om service
- anställningsnummer (personal)
- enhet (personal)
- chef (personal)
- studentnummer (studerande)
- högskola (studerande)
- I den elektroniska arbetsmiljön behandlas personuppgifter för personer som tar del av kommunikationen och/eller som använder den elektroniska samarbetsmiljön:
- namn
- titel
- enhet inom organisationen
- användarnamn
- e-postadress
- telefonnummer
- därtill kan användaren själv ge de uppgifter hen önskar i tjänsten, t.ex. bilder
- Uppgifter som samlas in i anknytning till utskriftstjänsten:
- namn
- e-postadress
- användarnamn
- skrivarens kod
- tidsstämpel
- kortets kod (vid säker utskrift)
- Uppgifter som samlas in vid användning av systemen:
- tidsstämpel
- användarnamn
- kommunikation
- I den elektroniska arbetsmiljön utgör innehållet i ett meddelande och eventuella bilagor (till exempel text, bilder, ljud, video eller annan elektronisk kommunikation) i regel skyddad information och behandlas endast i undantagsfall som möjliggörs av lagen.
Hur samlar vi in personuppgifter?
Uppgifter i anknytning till identitetshantering och användaridentifiering får vi från de basregister som gäller studerande och personal.
Därtill samlas det in personuppgifter via begäran om service och vid användning av utskriftstjänster.
Vidare samlas uppgifter in i anknytning till användning av tjänster och system som innehas eller administreras av universitetet, vid användning av universitetets kontorsapparater, datorer, telefoner och program, inklusive elektroniska meddelande-, e-post- och internetapplikationer.
Vem lämnar vi ut personuppgifter till?
Uppgifterna behandlas endast av personer som är anställda vid Aalto-universitetet eller personer som arbetar på uppdrag av universitetet och för universitetets räkning och som har rätt att behandla uppgifterna.
Vi kan lämna ut dina personuppgifter till en tredje part om tillgången till eller behandlingen av personuppgifterna är nödvändig:
- med hänsyn till tillämplig lagstiftning och/eller förordnande av domstol eller
- för att upptäcka, förhindra eller hantera en säkerhetsrisk, ett tekniskt problem eller missbruk.
Ytterligare information om utlämnande av data för olika användargrupper finns i dataskyddsmeddelandena för dessa parter.
Överföring av personuppgifter till tredjeländer
Universitetet iakttar särskild noggrannhet om personuppgifter överförs till ett land utanför EU och EES som inte erbjuder dataskydd i enlighet med EU:s dataskyddsförordning. Överföring av personuppgifter utanför EU och EES görs alltid i enlighet med dataskyddsförordningen.
I regel behandlas anställdas personuppgifter endast inom EU och EES. I vissa undantagsfall, till exempel vid kommendering i utlandet eller vid användning av vissa tjänster, kan det vara nödvändigt att överföra dina personuppgifter utanför EU eller EES. Studerandes personuppgifter kan även i vissa fall föras över till högskolor utanför EES. I detta fall ansvarar vi för att dina personuppgifter skyddas i tillräcklig utsträckning i enlighet med lagstiftningen, till exempel genom att använda standardavtalsklausuler godkända av Europeiska kommissionen.
Hur länge lagras personuppgifter?
Lagringstiden för personuppgifter som sparas i systemen grundar sig på lagen och på Aalto-universitetets informationsstyrningsplan.
Den registrerades rättigheter gällande personuppgifter
I enlighet med dataskyddsförordningen har du i regel rätt att få veta vilka personuppgifter rörande dig som har förts in i registret.
Du har rätt att begära att vi utan onödigt dröjsmål rättar felaktiga uppgifter som rör dig. Om de uppgifter som du önskar rätta eller radera innehas av vår samarbetspartner ber vi denna gå till väga på motsvarande sätt.
Enligt dataskyddsförordningen har du också rätt att i vissa undantagsfall få dina uppgifter raderade, den så kallade ”rätten att bli bortglömd”. Denna rätt gäller i synnerhet inte då universitetets rätt att i egenskap av personuppgiftsansvarig behandla personuppgifter grundar på att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Om behandlingen av personuppgifter grundar sig på samtycke har du också rätt att återkalla ditt samtycke. Då kan du begära att vi tar bort uppgifter rörande dig i våra system. Om det inte finns någon annan laglig grund för behandlingen raderar vi uppgifterna.
Om du bestrider personuppgifternas korrekthet eller huruvida behandlingen av personuppgifterna är lagenlig, eller om du har invänt mot behandlingen av uppgifterna i enlighet med dina rättigheter, kan du begära att behandlingen av personuppgifterna begränsas till enbart lagring av personuppgifterna. Då begränsas behandlingen av personuppgifterna till enbart lagring av uppgifterna fram till att till exempel uppgifternas korrekthet har säkerställts.
Om du inte har rätt att begära radering av uppgifter kan du i stället begära att Aalto-universitetet begränsar behandlingen av dessa uppgifter till enbart lagring av uppgifterna.
Du har alltid rätt att invända mot att dina personuppgifter behandlas för till exempel marknadsföring.
Du kan utöva dina rättigheter genom att lämna in en begäran via portalen för personuppgifter: Aalto-universitetets portal för personuppgifter
Observera att om din begäran gäller ändring av kontaktuppgifter eller andra vanliga ändringar kan du kontakta servicedesk(at)aalto.fi.
Om du har frågor som gäller detta dataskyddsmeddelande kan du kontakta Aalto-universitetets dataskyddsombud:
Dataskyddsombud: Sirpa Syrjälä
Telefonväxel: 09 47001
E-postadress: tietosuojavastaava(at)aalto.fi
Om en registrerad upplever att hens personuppgifter har behandlats på ett sätt som strider mot dataskyddslagstiftningen har hen rätt att inge klagomål till dataombudsmannen (läs mer: https://tietosuoja.fi/sv).
Vi är skyldiga att informera om personuppgiftsincidenter personligen till de registrerade som berörs av incidenten. Rätten träder i kraft om incidenten sannolikt medför risk för personens rättigheter och friheter, till exempel i form av identitetsstöld, betalningsbedrägeri eller annan kriminell verksamhet.
Vid Aalto-universitetet finns en informationssäkerhetsgrupp (e-postadress: security(at)aalto.fi), som behandlar anmälningar om avvikelser gällande informationssäkerhet och dataskydd samt hjälper till med att lösa situationen, bland annat genom att undersöka eventuella dataintrång.
Register och principer för skydd av personuppgifter
Personuppgiftsansvarig, ansvarsperson och kontaktuppgifter
Aalto-universitetet är personuppgiftsansvarig.
Ansvarsperson för registret är Christa Winqvist.
Telefonväxel: 09 47001
E-postadress: servicedesk(at)aalto.fi
Universitetets kommunikationsdirektör är ansvarsperson för kommunikation och marknadsföring på universitetsnivå.
Ditt ansvar
Du är ansvarig för de uppgifter som du lämnar till Aalto-universitetet, och du ska försäkra dig om att uppgifterna är korrekta.
Principer för skydd av personuppgifter
Vid behandling av personuppgifter iakttas allmän noggrannhet, och informationssäkerheten sköts på ett lämpligt sätt med hjälp av moderna tekniska lösningar, såsom brandväggar och kryptering. Den personuppgiftsansvarige ansvarar för att lagrade uppgifter samt användarrättigheter och andra uppgifter som är kritiska ur säkerhetssynpunkt behandlas konfidentiellt och i enlighet med gällande anvisningar och endast av personer för vilka detta ingår i arbetsbeskrivningen.
Andra dataskyddsmeddelanden
- Publicerat:
- Uppdaterad: