Turun yliopiston tietosuojapolitiikka
Tämä politiikka on hyväksytty yliopiston hallituksessa 16.2.2018.
Yleistä
Yliopistossa noudatetaan EU:n yleisen tietosuoja-asetuksen (2016/679 EU) ja siihen liittyvien lakien ja muiden säädösten vaatimuksia. Yliopisto huolehtii, että jokainen tuntee omaan asemaansa liittyvät tietosuojavelvoitteet.
Yliopisto kunnioittaa ja suojelee kaikkien perusoikeutta yksityisyyteen ja tietosuojaan.
Tämä politiikka koskee kaikkien yliopiston vastuulla olevien henkilötietojen käsittelyä riippumatta niiden käsittelypaikasta, välineistä tai muista järjestelyistä.
Tutkimuksessa noudatetaan EU:n yleisen tietosuoja-asetuksen vaatimuksia ja tämän lisäksi tutkimuseettisiä periaatteita ja hyvää tieteellistä käytäntöä.
Selosteet
Yliopisto ylläpitää lain ja asetusten vaatimaa selostetta vastuullaan olevista käsittelytoimista.
Henkilötietoja sisältävän tutkimusdatan selostetiedot liitetään aineistonhallintasuunnitelmaan. Henkilötietojen käsittelystä informoidaan tutkittavia asianmukaisissa tutkittaville annettavissa tutkimuksen tiedotteissa, tutkimuslupapyynnöissä, tutkimuskuvauksissa ja muissa tutkimuksen edellyttämissä asiakirjoissa.
Yliopisto pitää luetteloa vastuullaan olevan tutkimusaineiston aineistonhallintasuunnitelmista.
Henkilötietojen käsittelyn periaatteet
Henkilötietojen käsittelyn osalta on noudatettava seuraavia vaatimuksia:
a) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
b) Käyttötarkoitussidonnaisuus
c) Tietojen minimointi
d) Täsmällisyys
e) Säilytyksen rajoittaminen
f) Eheys ja luottamuksellisuus
Yliopiston on pystyttävä osoittamaan, että yllä mainittuja henkilötietojen käsittelyn periaatteita noudatetaan. Periaatteiden toteutuminen kuvataan vuosittaisessa tietotilinpäätöksessä.
Turun yliopiston on varmistettava työnantajan roolissa, että jokainen työntekijä tuntee henkilötietojen käsittelyn periaatteiden merkityksen ja noudattaa niitä, sekä huolehtii henkilötietojen erityisryhmiin kuuluvien tietojen (arkaluonteiset henkilötiedot) tarkemmista käsittelyehdoista ja suojaamisesta.
Sisäänrakennettu tietosuoja
Sisäänrakennetulla tietosuojalla tarkoitetaan, että jokaisessa yliopiston palvelussa tai toiminnossa, jossa käsitellään henkilötietoja, tietosuoja on sisäänrakennettu osa palvelun suunnittelua ja toteutusta. Hankintasopimuksissa käytetään tarvittaessa erillistä tietosuojaliitettä, jonka toteutumista valvotaan. Palveluiden suunnittelussa käytetään tarvittaessa tarkistuslistoja, joiden avulla huomioidaan palveluun liittyvät tietosuojavaatimukset.
Käsittelyn lainmukaisuus
Henkilötietojen käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Sellaisten henkilötietojen käsittely, jossa ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely, edellyttää erityisten ennakkoehtojen täyttämistä. (”Erityiset henkilötietoryhmät”)
Vastuut
Yliopisto valvoo tietosuojalainsäädännön noudattamista toiminnassaan suorittamalla sisäistä valvontaa, auditointeja, opastusta ja ohjausta. Yliopisto tuottaa ohjeet tarvittavien teknisten ja organisatoristen toimenpiteiden täyttämiseksi eri yliopiston toiminnoissa.
Jokaisella yliopistoyhteisöön kuuluvalla on vastuu tietosuojan toteutumisesta omassa tehtävässään ja omalta osaltaan.
Rekisterien ja henkilötietomassojen tietosuojasta vastaavat niiden omistajat tietoturvapolitiikassa kuvatun vastuunjaon mukaisesti.
Rekisteröidyn oikeudet
Turun yliopisto huolehtii rekisteröityjen oikeuksista lain ja asetuksen mukaisesti. Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä. Poistamisoikeus ei ulotu henkilötietoihin, joita yliopisto käsittelee lakisääteisen tehtävän perusteella, yleisen edun vuoksi, tai joihin yliopistolla on muu säilyttämisvelvoite.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.
Rekisteröidyllä voi olla oikeus siirtää tiedot järjestelmästä toiseen, mikäli kyseessä on sellainen tieto, johon kyseinen oikeus soveltuu.
Toimenpiteet
Yliopisto tuottaa ajantasaiset ohjeet tietosuojavelvoitteiden noudattamista varten.
Yliopisto kouluttaa koko henkilökunnan tietosuojan peruskäsitteisiin ja toimenpiteisiin, ja tarjoaa syvällisempää koulutusta sitä tarvitseville.
Yliopistolla on tietosuojavastaava.
Yliopisto vastaa yleisiin tietopyyntöihin normaalien asiointikanaviensa kautta. Rekisterikohtaisiin tiedusteluihin vastaavat selosteisiin merkityt yhteydenottopisteet.
Yliopisto tarjoaa tutkijoille mahdollisuuden eettiseen arviointiin tutkimusaineistoon liittyvistä tietosuojakysymyksistä.
Tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi suoritetaan aina, kun sille tunnistetaan tarve.
Tietotilinpäätös tuotetaan vuosittain. Tietotilinpäätöksessä kuvaillaan yliopiston vastuulla oleva henkilötietojen käsittely, sitä koskevat tekniset ja organisatoriset toimenpiteet sekä tehdyt ja havaitut kehityskohteet.