Seinäjoen ammattikorkeakoulun tietosuojapolitiikka

Seinäjoen ammattikorkeakoulun johtoryhmä on hyväksynyt tämän henkilötietojen suojaa koskevan politiikan ammattikorkeakoulun henkilökuntaa ja opiskelijoita sitovaksi säännöstöksi 10.4.2018

1. Yleistä

Seinäjoen ammattikorkeakoulun tietosuojapolitiikka määrittelee, mitä tarkoitetaan tietosuojalla, tietoturvalla ja kuinka näitä ylläpidetään. Tietosuojalla tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista.

Seinäjoen ammattikorkeakoulu on sitoutunut noudattamaan EU:n yleistä tietosuoja-asetusta (2016/679) ja siihen liittyvien lakien ja muiden normien vaatimuksia. Tämä politiikka koskee kaikkia ammattikorkeakoulun vastuulla olevia henkilötietoja ja niiden käsittelyä riippumatta niiden käsittelypaikasta, välineistä tai muista järjestelyistä.

Seinäjoen ammattikorkeakoulu varmistaa, että tätä tietosuojapolitiikkaa ja lainsäädäntöä noudatetaan ja että politiikka pysyy ajankohtaisena ja sitä tarkistetaan muutostarpeita vastaavaksi.

2. Selosteet

Seinäjoen ammattikorkeakoulu ylläpitää lain ja asetusten vaatimaan tietosuojaselostetta vastuullaan olevista käsittelytoimista. Periaatteiden toteuttaminen on selostettu tarkemmin Seinäjoen ammattikorkeakoulun toiminnan eri alueiden tietosuojaselosteissa.

3. Henkilötietojen käsittelyn periaatteet ja toteuttaminen

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
2. Käyttötarkoitussidonnaisuus
3. Tietojen minimointi
4. Täsmällisyys
5. Säilytyksen rajoittaminen
6. Eheys ja luottamuksellisuus

Periaatteet toteutetaan mm. siten että:

1. Henkilötiedon käsittelyllä on lainmukainen käsittelyperuste
2. Henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä
3. Käsittely rajoitetaan käyttötarkoituksen mukaisesti
4. Käsittelyssä noudetaan tietoturvaa koskevia määräyksiä
5. Niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä
6. Henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan esimerkiksi pseudonymisoinninavulla ja käsittelyä koskeva    vaikutustenarviointi suoritetaan jos riskit ovat suuret
7. Käsitellään vain tarpeellisia henkilötietoja
8. Huolehditaan tietojen oikeellisuudesta
9. Tietojen käsittelytoimet dokumentoidaan
10. Tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti
11. Noudatetaan sisäänrakennetun tietosuojan periaatetta

Seinäjoen ammattikorkeakoulunon pystyttävä osoittamaan, että yllä mainittuja henkilötietojen käsittelyn periaatteita noudatetaan. Periaatteiden toteutuminen kuvataan vuosittaisessa tietotilinpäätöksessä.

Seinäjoen ammattikorkeakoulunon varmistettava työnantajan roolissa, että jokainen työntekijä ymmärtää periaatteiden merkityksen ja noudattaa niitä sekä huolehtii henkilötietojen erityisryhmiin kuuluvien tietojen (arkaluonteiset henkilötiedot) tarkemmista käsittelyehdoista ja suojaamisesta.

Tietoja voivat käyttää ainoastaan niitä työssään tarvitsemat henkilöt ja työtehtävänsä suorittamisen edellyttämässä laajuudessa. Tietoja voi luovuttaa ainoastaan henkilön itsensä suostumuksella tai lainsäädännön nojalla.

4. Sisäänrakennettu suoja

Seinäjoen ammattikorkeakoulun työntekijät, jotka ovat vastuussa uusien tai merkittävästi muuttuneiden henkilötietoja käsittelevien järjestelmien määrittelemisestä ja suunnittelusta ottavat huomioon henkilötietojen suojan ja suoritettavat tarpeelliset vaikutustenarvioinnit.

Tutkimus-, opinto-tai muu projekti voi myös vaatia tietosuojaa koskevan vaikutustenarvioinnin suorittamisen, jos henkilötietojen käsittely aiheuttaa riskejä käsittelyn kohteille.

Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettistä arviointiprosessia.

5. Vastuut

Seinäjoen ammattikorkeakoulu valvoo tietosuojalainsäädännön noudattamista toiminnassaan suorittamalla sisäistä valvontaa, auditointeja, opastusta ja ohjausta. Seinäjoen ammattikorkeakoulu tuottaa ohjeet tarvittavien teknisten ja organisatoristen toimenpiteiden täyttämiseksi eri ammattikorkeakoulun toiminnoissa.

Seinäjoen ammattikorkeakoulun johdolla on aina viimekätinen vastuu rekisterinpitäjänä henkilötietojen käsittelystä ja niiden lainmukaisuudesta.

6. Rekisteröidyn oikeudet

Seinäjoen ammattikorkeakoulu huolehtii rekisteröityjen oikeuksista lain ja asetuksen mukaisesti. Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä. Poistamisoikeus ei ulotu henkilötietoihin, joita ammattikorkeakoulu käsittelee lakisääteisen tehtävän perusteella, yleisen edun vuoksi, tai joihin ammattikorkeakoululla on muu säilyttämisvelvoite.

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.

Rekisteröidyllä voi olla oikeus siirtää tiedot järjestelmästä toiseen, mikäli kyseessä on sellainen tieto, johon kyseinen oikeus soveltuu.

7. Toimenpiteet

Seinäjoen ammattikorkeakoulu kouluttaa koko henkilökunnan tietosuojan peruskäsitteisiin ja toimenpiteisiin, ja tarjoaa syvällisempää koulutusta sitä tarvitseville.

Seinäjoen ammattikorkeakoululla on tietosuojavastaava. Tietosuojavastaava vastaa kysymyksiin, jotka liittyvät tähän tietosuojapolitiikkaan, ammattikorkeakoulun tietosuoja-asetuksen ja muun henkilötietoja koskevan lainsäädännön noudattamiseen ja henkilötietojen käsittelyyn ammattikorkeakoulussa. Tietosuojavastaava on suoraan raportointivelvollinen vain yrityksen ylimmälle johdolle. Tietosuojavastaavan hallinnollisena varahenkilönä on hallintojohtaja.

Rekisterikohtaisiin tiedusteluihin vastaavat selosteisiin merkityt yhteydenottopisteet.

8. Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan Seinäjoen ammattikorkeakoulun sisäisissä viestintäkanavissa. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi annetaan sisäisiä ohjeita tietosuoja-asioista. Seinäjoen ammattikorkeakoulun tietosuojapolitiikka on voimassa toistaiseksi. Se on asiakirjana julkinen ja saatavissa ammattikorkeakoulun ulkoisilta ja sisäisiltä verkkosivuilta.

9. Tietosuojapolitiikan vahvistaminen

Tietosuojapolitiikan on vahvistanut Seinäjoen ammattikorkeakoulun rehtori päätöksellään 18.6.2018.