Tietosuojaseloste

Henkilötietolaki 22.4.1999/523, 2 luku,  10 § velvoittaa jokaisen rekisterinpitäjän laatimaan henkilörekisteristä rekisteriselosteen, jossa kerrotaan seuraavat asiat:

  1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;
  2. henkilötietojen käsittelyn tarkoitus;
  3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;
  4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä
  5. kuvaus rekisterin suojauksen periaatteista.

Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Tästä velvollisuudesta voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi.

Määritelmiä

  • Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi.
  • Henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.
  • Tietosuojaseloste on laajennettu rekisteriseloste, jossa lisäksi informoidaan rekisteröidyn oikeuksista.

Ketä tämä koskee ylioppilaskunnassa?

Lähes kaikki sektorit käsittelevät toiminnassaan erilaisia rekistereitä. Muun muassa lähes jokainen lomake.ayy.fi -järjestelmään tehty lomake muodostaa rekisterin, josta tietosuojaiseloste olisi tehtävä.

Esimerkkejä asioista, jotka muodostavat henkilörekisterin on alla.

  1. Tietojen kerääminen internetin kautta, esim.
    1. Internetissä toteutettavat asiakaskyselyt,
    2. Työpaikkahakemukset verkossa,
    3. Internetissä täytettävät ilmoittautumislomakkeet, joissa kerätään muitakin henkilötietoja kuin vain nimi (esim. ruokavalio),
    4. Verkkokaupankäynti,
    5. Palautetiedon kerääminen;
  2. Keskustelupalstat, jotka  edellyttävät  rekisteröitymistä;
  3. Vastaavat paperiset luettelot;

Jokaisen sektorilla toimivan vastuulla on varmistaa, että hänen käyttämistään sektorin rekisteristä on asianmukainen rekisteriseloste tehtynä.

Kuinka teen tietosuojaselosteen?

Tämän sivun lopussa on kommentoitu esimerkki tietosuojaselosteesta. Esimerkkejä valmiista seloisteista löytyy esimerkiksi http://rekisterit.ayy.fi/ -sivustolta, jossa on mm. AYY:n jäsenrekisterin tietosuojaseloste.

Tarkempaa tietoa henkilötietojen käsittelystä löytyy tietosuojavaltuutetun nettisivuilta http://www.tietosuoja.fi/fi/index/rekisterinpitajalle.html

Kuvaus tietosuojaselosteesta, sen tarkoituksesta ja ohejistusta laatimisesta löytyy samoilta sivuilta osoitteesta http://www.tietosuoja.fi/fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.html

lomake.ayy.fi:ssä seloste voidaan kirjoittaa erilliselle WordPress-sivulle, joka linkataan lomakkeen alasivuksi. Esim, jos lomake on IT:n palautelomake osoitteessa http://lomake.ayy.fi/it/palaute, tulisi tietosuojaselosteen osoitteeksi http://lomake.ayy.fi/it/palaute/tietosuojaseloste ja tämä myös linkitetään lomakkeen sivulta.

Arkaluonteisten tietojen ja henkilötunnuksen käsittely

Etnisen syntyperän, seksuaalisen suuntautumisen, erilaisten vakaumusten jne. käsittely on lähtökohtaisesti kiellettyä. Näiden kohdalla varmista mahdollise poikkeudet henkilötietolaista, luvusta 3.

Samoin henkilötunnuksen käsittelystä on erillisiä määräyksiä, jotka tulee myös varmistaa samasta henkilötietolain luvusta.

Esimerkki

Alla on esimerkki rekisteri- ja tietosuojaselosteesta. Kommentit on merkitty sinisellä ja yliviivatut kohdat ovat sellaisia, jotka ainakin tulisi muuttaa rekisterin mukaisiksi.

Yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/1999) 10 ja 24§.

Laatimispäivämäärä 31.8.2011.

1. Rekisterinpitäjä

Rekisterinpitäjä on AYY, ei yksittäinen työntekijä tai sektori.

Aalto-yliopiston ylioppilaskunta (AYY)

PL 69

02151 Espoo

puh. +358 50 520 9400

2. Yhteyshenkilö rekisteriä koskevissa asioissa

AYY:n työntekijä/luottamustoimija/vapaaehtoinen, joka ylläpitää reksiteriä.

Asiantuntija A. Ankka

PL 69

02151 Espoo

puh. +358 50 520 94XX

3. Rekisterin nimi

Rekisterin nimi. Esimerkiksi “Laulusitsien ilmoittautuminen” tai  “Edustajistovaalien ehdokasrekisteri”

lomake.ayy.fi – laulusitsi-ilmoittautuminen

4. Henkilötietojen käsittelyn tarkoitus

Miksi teidot kerätään ja mihin niitä käytetään

Henkilötietojen käsittelyn tarkoituksena on tapahtumailmoittautumisten rekisteröinti.

5. Rekisterin tietosisältö

Mitä henkilötietoja kerätään, kuinka kauan niitä säilytetään.

Rekisteri sisältää rekisteröidyistä seuraavat tiedot:

  • Nimi
  • Sähköpostiosoite
  • Hassut allergiat
  • jne. jne.

6. Henkilötietojen säilytysaika

Kuinka kauan henkilötietoja säilytetään. Esimerksiksi 12 kk, kunnes tapahtuma on ohi, tai arkistoidaan pysyvästi.

7. Säännönmukaiset tietolähteet

Mistä tiedot tulevat. Esimerkiksi Aalto-yliopistolta tai rekisteröidyltä itseltään. Jos tietoja tulee eri lähteistä, erittele ne.

Tiedot saadaan rekisteröidyltä itseltään, hänen täyttäessään lomakkeen.

8. Tietojen säännönmukaiset luovutukset

Luovutetaanko tietoja muille tahoille (esim. yhdistyksille, yliopistolle).

Tietoja voidaan luovuttaa viranomaisille lakisääteisissä tapauksissa. AYY ei luovuta tietoja muille kolmansille osapuolille.

Tietoja ei luovuteta Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

9. Rekisterin suojauksen periaatteet

Millä tavoin rekisteri on suojattu ja kenellä siihen on käyttöoikeus. Alla oleva esimerkki on lomake.ayy.fi-järjestelmästä.

Rekisteritietoja ei säilytetä muussa kuin sähköisessä muodossa. Verkon yli siirrettäessä tiedot suojataan SSL- tai SSH-tekniikalla. Rekisterin palvelinlaitteistoa ylläpidetään hyvän ylläpitotavan mukaisesti.

Rekisterin käyttö on ohjeistettu.

Pääsy rekisteritietoja sisältävään tietokantaan on rajoitettu sekä verkkotekniikan että henkilökohtaisten käyttäjätunnusten ja salasanojen avulla.

Rekisterin käyttöoikeus on tapahtumaa järjestävillä ylioppilaskunnan toimihenkilöillä.

Rekisterin ylläpito-oikeudet on rajoitetulla joukolla ylioppilaskunnan palkattuja toimihenkilöitä, joiden toimenkuvaan järjestelmän ylläpito kuuluu.

10. Tarkastusoikeus

Viimeiset kolme kohtaa (9-11) kertovat rekisteröidyn henkilön oikeuksista ja voidaan yleensä jättää muuttamatta.

Rekisterissä olevalla on henkilötietolain mukainen oikeus tietojensa tarkastukseen korvauksetta kerran vuodessa. Sen, joka haluaa tarkastaa itseään koskevat tiedot, on esitettävä tästä kirjallinen ja omakätisesti allekirjoitettu tai vastaavalla tavalla varmennettu pyyntö rekisteriasioista vastaavalle yhteyshenkilölle.

11. Oikeus vaatia tiedon korjaamista

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.

Rekisterinpitäjä korjaa tiedot henkilötietolain 29 §:n mukaisesti. Tiedonkorjaamispyynnöt on osoitettava rekisteriasioista vastaavalle yhteyshenkilölle.

12. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.

Rekisteröidyllä on oikeus henkilötietolain 30 §:n mukaiseen kieltoon henkilötietojensa käyttämisestä.