Sidosryhmärekisterin tietosuojaseloste

1. Rekisterin nimi

Sidosryhmärekisteri

2. Rekisterinpitäjä

Turun yliopisto
Postiosoite: Turun yliopisto, 20014 TURUN YLIOPISTO
Sähköposti: kirjaamo@utu.fi
Puhelin: +358 29 450 5000 (vaihde)
www.utu.fi

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja kerätään rekisterinpitäjän asiakkaiden ja potentiaalisten asiakkaiden asiakassuhteiden hoitamiseksi ja oman toiminnan kehittämiseksi.

Henkilötietojen käsittelyn tarkoituksena on vuorovaikutuksen ja yhteistyön lisääminen sisäisten ja ulkoisten asiakkaiden ja kumppaneiden kanssa sekä yliopiston yhteiskunnallisen vaikuttavuuden edistäminen.

Keräämme ja käsittelemme vain henkilötietoja, jotka ovat tarpeen asiakassuhteiden hoitamista varten.

Henkilötietoja voidaan käsitellä asiakkuuteen ja asialliseen yhteyteen perustuvan suhteen eri kanavissa tapahtuvaan hoitamiseen, hallinnointiin, kehittämiseen, tiedottamiseen, analysointiin mukaan lukien kohdennetut palvelu-, viestintä-, markkinointi-, kysely-, tilastointi- ja muut vastaavat toimenpiteet.

Henkilötietoja voidaan käsitellä myös rekisterinpitäjän toiminnan tiedottamiseen ja palveluiden markkinointitarkoituksiin, kuten esimerkiksi yliopiston järjestämien tapahtumien kutsujen lähettämisessä.

Henkilötietoja ei käytetä suoramarkkinointitarkoituksiin ilman rekisteröidyn suostumusta.

Henkilötietojen käsittelyä koskeva pääasiallinen lainsäädäntö:

  • EU:n yleinen tietosuoja-asetus (2016/679)
  • Tietosuojalaki (2018/1050)
  • Yliopistolaki (2009/558).

4. Rekisteristä vastaavan vastuuhenkilön yhteystiedot

Anne Paasi, viestintäjohtaja
sähköposti muotoa: etunimi.sukunimi@utu.fi

5. Tietosuojavastaavan yhteystiedot

DPO@utu.fi

Lisätietoja yliopiston tietosuojavastaavasta: www.utu.fi/dpo.

6. Henkilötietojen käsittelyn ulkoistaminen toimeksiantosopimuksella

Rekisteriin kuuluvien asiakas- ja henkilötietojen käsittelyssä voidaan käyttää ulkopuolisen palveluntuottajan välineitä tai se voidaan toteuttaa kokonaan palveluntuottajan toimesta. Tällöin rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella. Toimeksiannot voivat liittyä sähköisten tietojärjestelmien käyttöön tai rekisterinpitäjän omaan toimintaan liittyvään tilastointiin, seurantaan, viestintään, raportointiin ja niiden analysointiin.

Rekisterinpitäjän toimeksiannosta ulkopuoliset palveluntuottajat käsittelevät henkilötietoja rekisterinpitäjän lukuun sopimuksen edellyttämässä laajuudessa. Lisäksi rekisterin sähköisten tietojärjestelmien ja niiden palvelimien ylläpitotehtäviin ja sovellusasiantuntijatukeen liittyy toimeksiantoja.

Käytämme tietojen käsittelyyn seuraavia palveluntarjoajia:

  • Microsoft Ireland Operations Limited
  • Digia Finland Oy (Microsoft Dynamicsin käytön konsultointi)

7.  Henkilötietojen käsittelyn lainmukaisuus

Henkilötietojen käsittely perustuu yleistä etua koskevan tehtävän suorittamiseen ja yliopistolle kuuluvan julkisen vallan käyttämiseen.

Rekisteriin merkityt ovat yliopiston näkökulmasta asiakkaan tai alaisen asemassa liittyen yliopiston kolmanteen tehtävän eli yhteiskunnallisen vuorovaikutuksen toteuttamiseen. Henkilö on otettu mukaan rekisteriin asemansa, työtehtävänsä tai yliopiston kannalta merkittävän sidosryhmäyhteyden vuoksi.

Rekisterin tietoja ei käytetä automatisoituihin yksittäispäätöksiin, profilointi mukaan lukien.

8. Rekisterissä olevat henkilötiedot

Keräämme ja käsittelemme esimerkiksi seuraavia henkilötietoryhmiä:

  • Henkilön henkilökohtaiset tiedot (etunimi, sukunimi, titteli, puhelinnumero, sähköpostiosoite, kotiosoite)
  • Henkilön edustama organisaatio (nimi, yhteystiedot, laskutustiedot)
  • Asiakassuhteen hoitamiseen liittyviä lisätietoja, kuten
    • Sidosryhmäluokka (esim. yliopistojen rehtorit, kansanedustajat)
      • Toimenpidetiedot (esim. tiedot tapahtuneista yhteydenotoista)
  • Asiakassuhteen hoitamiseen liittyviä muita lisätietoja, joiden antaminen perustuu suostumukseen
  • Palvelun käyttötiedot (luvat ja suostumukset, evästetiedot, lokitiedot, istuntotunnisteet, IP-osoitteet).

Mikäli rekisterinpitäjä tuottaa tilastoja ja raportteja muihin kuin oman toiminnan tarpeisiin, tuotetaan ne yleisellä tasolla niin, ettei yksittäisiä henkilöitä pystytä tunnistamaan.

Osa tiedoista on peräisin rekisteröidyltä itseltään. Turun yliopisto etsii tietoa myös julkisista lähteistä, kuten verkon hakukonepalvelut ja Digi- ja väestötietovirasto. Haemme tietoa lisäksi Turun yliopiston opinto- ja alumnirekistereistä sekä yliopiston tapahtumahallintajärjestelmästä.

9. Rekisterissä olevat manuaaliset (paperi)aineistot

Rekisteri ei sisällä manuaalista aineistoa.

10. Rekisterin tietolähteet

Keräämme ja käsittelemme henkilötietoja, jotka on annettu meille yhteydenottojen yhteydessä rekisteröidyltä itseltään.

Tietoja saadaan lisäksi vaikuttamistyöhön osallistuneilta henkilöiltä, yleisestä yritys- ja yhteisötietojärjestelmästä (YTJ) sekä julkisista lähteistä ja www-sivuilta.

Yhteystietoja voidaan tarkastaa julkisista lähteistä.

11. Tietojen suojaamisen periaatteet

Tietojen säilytystä, arkistointia, hävittämistä ja muuta käsittelyä ohjataan tiedonohjaussuunnitelmalla ja tietoturva- ja tietosuojaohjeistuksella. Rekisteri on suojattu käyttäjätunnuksin, salasanoin sekä toiminto- ja ryhmäkohtaisin valtuuksin. Rekisteriin sähköisesti tallennettuja tietoja pääsevät käsittelemään vain tietoihin oikeutetut ja valtuutetut henkilöt. Jokainen käyttäjä hyväksyy tietojen ja tietojärjestelmien käyttöä ja salassapitoa koskevan sitoumuksen käyttöoikeudet saadessaan.

Toteutamme tarkoituksenmukaiset toimenpiteet (mukaan lukien fyysiset, digitaaliset ja hallinnolliset toimet) henkilötietojen suojaamiseksi häviämiseltä, tuhoutumiselta, väärinkäytöksiltä ja luvattomalta pääsyltä tai luovuttamiselta.

12. Rekisterissä olevien henkilötietojen luovutus

Rekisterin tietoja ei säännönmukaisesti luovuteta yliopiston ulkopuolelle.

Voimme kuitenkin luovuttaa henkilötietoja kolmansille osapuolille

  • kun yhteistyökumppanimme käsittelevät toimeksiannoistamme henkilötietoja puolestamme ja ohjeidemme mukaisesti
  • kun arvioimme, että luovuttaminen on välttämätöntä oikeuksiemme toteuttamiseksi, turvallisuuden suojelemiseksi, väärinkäytösten tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi, oikeuskäsittelyyn liittyen tai viranomaisen pyynnöstä tai muutoin lainsäädännön edellyttämissä tai sallimissa tilanteissa.

Rekisterinpitäjä voi myös luovuttaa tarvittavia tietoja vain sellaiselle yhteistyökumppanille, jonka kanssa rekisterinpitäjällä on voimassa oleva asianmukainen sopimus henkilötietojen käsittelystä.

Muutoin tietoja voidaan luovuttaa vain rekisteröidyn suostumuksella, tai viranomaiselle, jolla on siihen lakisääteinen oikeus.

Tietojen luovutuksen peruste: Ohjaava lainsäädäntö ja määräykset sekä rekisteröidyn suostumus.

13.  Rekisterin tietojen siirto kolmanteen maahan

Henkilötietoja säilytetään EU:n ja Euroopan talousalueella. Sidosryhmärekisterin sähköisessä tietojärjestelmässä käytetään Microsoftin tarjoamia sovelluksia, joiden palvelut tuotetaan pääosin EU:n alueella. Tietoihin voi rajatusti olla pääsy ETA-alueen ulkopuolelta. Tällaisten henkilötietojen siirroiksi katsottavien tapahtumien laillisuus perustuu Euroopan komission antamaan päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta, kun tietoja siirretään sertifioituneelle yritykselle Yhdysvaltoihin, kuten Microsoftille. Microsoft on sitoutunut noudattamaan kaikissa mahdollisissa tietojen siirroissa kolmansiin maihin tietosuoja-asetuksen mukaisia siirtomekanismeja ja suojakeinoja.

14. Henkilötietojen säilytysajan määrittäminen

Henkilötietoja säilytetään rekisterissä 2 vuoden ajan tai niin kauan kuin se on tarpeellista tässä selosteessa määriteltyjen käyttötarkoitusten toteuttamiseksi, tai kun asiointisuhde lakkaa.

Yliopisto säilyttää vain toiminnan ja tietojen käyttötarkoitusten kannalta tarpeellisia tietoja, joiden käsittelylle on lailliset edellytykset. Käyttötarkoitukseensa tarpeettomaksi muuttuneet tiedot, vanhentuneet tiedot tai tiedot, joiden käsittelylle ei enää muutoin ole perustetta tai henkilö on pyytänyt tietojensa poistamista/perunut suostumuksen, anonymisoidaan tai hävitetään tietoturvallisesti.

Palvelun käytöstä syntyy lokimerkintöjä, joita käytetään palvelun tietoturvallisuudesta huolehtimiseen, palvelun tekniseen kehittämiseen sekä vikatilanteiden havaitsemiseen, estämiseen ja selvittämiseen. Lokeja säilytetään näihin tarkoituksiin tarvittava aika eikä niitä käytetä muuhun tarkoitukseen.

Säilytys toteutetaan tiedonohjaussuunnitelman ja lainsäädännön velvoittaman ajan (esim. kirjanpito- ja raportointivelvoitteet, oikeudenkäyntiä tai vastaavan erimielisyystilanteen selvittämistä varten) tietoturvallisessa käyttöympäristössä noudattaen asiakirjoille säädettyä säilytysaikaa.

15. Rekisteröidyn oikeudet

EU:n yleinen tietosuoja-asetus takaa rekisteröidylle, jonka tietoja käsitellään, erilaisia oikeuksia. Oikeuksia sovelletaan eri tavalla riippuen henkilötietojen käsittelyperusteesta.

Sinulla on rekisteröitynä mm. oikeus tietää, käsitelläänkö henkilötietojasi ja mitä henkilötietojasi käsitellään, pyytää itseäsi koskevat tiedot sekä myös oikeus vaatia virheelliset henkilötiedot oikaistavaksi ja tietyissä tilanteissa vastustaa henkilötietojen käsittelyä ja oikeus saada henkilötiedot poistetuksi. Sinulla on myös oikeus peruuttaa antamasi suostumus, mikäli tietojesi käsittelytoimet perustuvat suostumukseen. Ks. rekisteröidyn oikeudet

16. Evästeet

Kun vierailet verkkosivuillamme, sivustomme tallentaa päätelaitteellesi evästeitä eli pieniä tekstitiedostoja. Ks. evästeasetukset.

Voit antaa suostumuksesi evästeiden käytölle verkkosivuillamme.

17. Selosteen muuttaminen

Rekisterinpitäjällä on oikeus muuttaa tätä selostetta. Ilmoitamme muutoksista verkkosivullamme www.utu.fi, josta löydät tämän selosteen viimeisimmän version.

Sidosryhmärekisterien tietosuoja