Tapahtumarekisterin tietosuojaseloste

1.  Rekisterin nimi

Tapahtumarekisteri

2. Rekisterinpitäjä

Turun yliopisto
Postiosoite: Turun yliopisto, 20014 TURUN YLIOPISTO
Sähköposti: kirjaamo@utu.fi
Puhelin: +358 29 450 5000 (vaihde)
www.utu.fi

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja kerätään rekisterinpitäjän järjestämiin tilaisuuksiin, tapahtumiin ja koulutuksiin osallistuvilta tahoilta ilmoittautumisten yhteydessä.

Henkilötietojen käsittely on tarpeellista tilaisuuksien valmisteluun, osallistujatietojen ylläpitoon, osallistujapalautteiden keräämiseen sekä maksullisten tapahtumien laskutustietojen keräämiseen.

Tieto tapahtumaan osallistumisesta siirtyy Turun yliopiston sidosryhmärekisteriin, jos osallistuja on jo rekisterissä, tai hänet liitetään siihen tapahtumailmoittautumisen yhteydessä. Rekisteriin merkityt ovat yliopiston näkökulmasta asiakkaan tai alaisen asemassa liittyen yliopiston kolmanteen tehtävän eli yhteiskunnallisen vuorovaikutuksen toteuttamiseen. Henkilö on otettu / otetaan mukaan rekisteriin asemansa, työtehtävänsä tai yliopiston kannalta merkittävän sidosryhmäyhteyden vuoksi.

Henkilötietoja voidaan käsitellä myös rekisterinpitäjän toiminnan tiedottamiseen ja palveluiden tai tapahtumien markkinointitarkoituksiin.

Keräämme ja käsittelemme vain henkilötietoja, jotka ovat tarpeen tapahtumien hoitamista ja järjestämistä varten.

Henkilötietoja ei käytetä suoramarkkinointitarkoituksiin ilman rekisteröidyn suostumusta.

Rekisterinpitäjän järjestämiin tilaisuuksiin ja tapahtumiin osallistuminen on vapaaehtoista.

Henkilötietojen käsittelyä koskeva pääasiallinen lainsäädäntö:

  • EU:n yleinen tietosuoja-asetus (2016/679)
  • Tietosuojalaki (2018/1050)
  • Yliopistolaki (2009/558).

4. Rekisteristä vastaavan vastuuhenkilön yhteystiedot

Anne Paasi, viestintäjohtaja, viestintä
sähköposti muotoa: etunimi.sukunimi@utu.fi

5. Tietosuojavastaavan yhteystiedot

DPO@utu.fi

Lisätietoja yliopiston tietosuojavastaavasta: www.utu.fi/dpo.

6. Henkilötietojen käsittelyn ulkoistaminen toimeksiantosopimuksella

Tapahtumarekisteriin kuuluvien henkilötietojen käsittelyssä käytetään ulkopuolisen palveluntuottajan välineitä tai se voidaan toteuttaa kokonaan palveluntuottajan toimesta. Tällöin rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella. Toimeksiannot voivat liittyä sähköisten tietojärjestelmien käyttöön tai rekisterinpitäjän omaan toimintaan liittyvään tilastointiin, seurantaan, viestintään, raportointiin ja niiden analysointiin.

Rekisterinpitäjän toimeksiannosta ulkopuoliset palveluntuottajat käsittelevät henkilötietoja rekisterinpitäjän lukuun sopimuksen edellyttämässä laajuudessa. Lisäksi rekisterin sähköisten tietojärjestelmien ja niiden palvelimien ylläpitotehtäviin ja sovellusasiantuntijatukeen liittyy toimeksiantoja.

Käytetyt ulkopuoliset palveluntuottajat:

  • Microsoft Ireland Operations Limited (tapahtumahallinta)
  • Digia Finland Oy (Microsoft Dynamicsin käytön konsultointi)
  • Visma Aquila Oy (tapahtumailmoittautumiset)
  • Certia Oy (maksusuoritusten kirjanpito)
  • Paytrail Oyj (maksupalvelu)

7. Henkilötietojen käsittelyn lainmukaisuus

Yliopiston lainmukainen tehtävä on edistää vapaata tutkimusta sekä tieteellistä ja taiteellista sivistystä, antaa tutkimukseen perustuvaa ylintä opetusta ja tarjota mahdollisuuksia jatkuvaan oppimiseen, toimia vuorovaikutuksessa muun yhteiskunnan kanssa sekä edistää tutkimustulosten ja taiteellisen toiminnan yhteiskunnallista vaikuttavuutta (yliopistolaki 2 §). Tehtäviinsä liittyen yliopisto järjestää erilaisia tapahtumia.

Käsittely perustuu yliopiston yleisen edun mukaiseen tehtävään ja julkisen vallan käyttämiseen. Käsittely voi perustua myös sopimukseen, joka syntyy tapahtumailmoittautumisen myötä ilmoittautuneen ja yliopiston välille niiden tietojen osalta, jotka ovat välttämättömiä sopimuksen täytäntöön panemiseksi. Joissakin tapauksissa käsittely voi perustua suostumukseen.

8. Rekisterissä olevat henkilötiedot

Henkilötiedot kerätään tapahtumaan ilmoittautuvilta ja kerättävät tiedot saattavat vaihdella tapahtumakohtaisesti. Keräämme ja käsittelemme esimerkiksi seuraavia henkilötietoryhmiä:

  • Henkilön henkilökohtaiset tiedot (etunimi, sukunimi, kieli)
  • Henkilön edustama organisaatio (nimi, tyyppi, sijainti, laskutustiedot)
  • Henkilön antamat ennakkotiedot (odotukset ja muut huomiot tapahtumaa koskien), joiden antaminen perustuu ilmoittautujan suostumukseen
  • Muita tilaisuuden teeman mukaan aiheeseen liittyviä tietoja, joiden antaminen perustuu ilmoittautujan suostumukseen (esim. ruokarajoitteet)
  • Palvelun käyttötiedot (luvat ja suostumukset, evästetiedot, lokitiedot, istuntotunnisteet, IP-osoitteet).

Ilmoittautujilta voidaan kysyä erilaisia taustatietoja, kuten ikä, sukupuoli, yhteystiedot (osoitetiedot, puhelinnumero, sähköposti). Lisäksi ilmoittautujat voivat myös kirjoittaa avoimiin ennakkotietoihin suoria tai epäsuoria henkilötietoja, vaikka niitä ei ilmoittautujalta pyydetä. Kaikki ilmoittautumisen yhteydessä kerätyt tiedot käsitellään luottamuksellisesti.

Mikäli ilmoittautuja ei toimita pyydettyjä pakollisia tietoja siltä osin, kun tiedot liittyvät tapahtumaan ilmoittautumiseen, rekisterinpitäjä ei voi ottaa vastaan rekisteröidyn ilmoittautumista eikä sitoutua tapahtumaan osallistumista koskevaan rekisterinpitäjän ja rekisteröidyn väliseen sopimukseen.

Mikäli rekisterinpitäjä tuottaa tilaisuuksista ja tapahtumista tilastoja ja raportteja muihin kuin oman toiminnan tarpeisiin, tuotetaan ne yleisellä tasolla, ettei yksittäisiä ilmoittautujia pystytä tunnistamaan.

9. Tapahtumissa valokuvaaminen ja videointi

Tapahtumissa voidaan ottaa valokuvia ja/tai videokuvaa. Kuvia/videoita voidaan julkaista yliopiston verkkosivuilla, sosiaalisen median tileillä tai muissa yliopistoon liittyvissä julkaisuissa. Henkilötietojen julkaisu perustuu tällöin sananvapauden ja tiedonvälityksen vapauden turvaamiseen, henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksiin. Kuvia/videoita ei käytetä kaupallisiin tarkoituksiin.

10. Rekisterin tietolähteet

Keräämme ja käsittelemme henkilötietoja, jotka on annettu meille tapahtumailmoittautumisen yhteydessä rekisteröidyltä itseltään.

Yhteystietoja voidaan tarkastaa julkisista lähteistä.

Koska käsittely perustuu suostumukseen, henkilöllä on milloin tahansa oikeus perua annettu suostumus, jolloin käsittely lopetetaan ja henkilötiedot poistetaan, jollei niiden käsittelylle ole muuta oikeusperustetta. Suostumuksen peruminen ei vaikuta ennen perumista tapahtuneeseen käsittelyyn. Suostumuksen peruaksesi ole yhteydessä crm@utu.fi.

11. Tietojen suojaamisen periaatteet

Tietojen säilytystä, arkistointia, hävittämistä ja muuta käsittelyä ohjataan tiedonohjaussuunnitelmalla ja tietoturva- ja tietosuojaohjeistuksella. Rekisteri on suojattu käyttäjätunnuksin, salasanoin sekä toiminto- ja ryhmäkohtaisin valtuuksin. Rekisteriin sähköisesti tallennettuja tietoja pääsevät käsittelemään vain tietoihin oikeutetut ja valtuutetut henkilöt. Jokainen käyttäjä hyväksyy tietojen ja tietojärjestelmien käyttöä ja salassapitoa koskevan sitoumuksen käyttöoikeudet saadessaan.

Toteutamme tarkoituksenmukaiset toimenpiteet (mukaan lukien fyysiset, digitaaliset ja hallinnolliset toimet) henkilötietojen suojaamiseksi häviämiseltä, tuhoutumiselta, väärinkäytöksiltä ja luvattomalta pääsyltä tai luovuttamiselta.

12. Rekisterissä olevien henkilötietojen luovutus

Rekisterin tietoja ei säännönmukaisesti luovuteta yliopiston ulkopuolelle.

Voimme kuitenkin luovuttaa henkilötietoja kolmansille osapuolille

  • kun yhteistyökumppanimme käsittelevät toimeksiannoistamme henkilötietoja puolestamme ja ohjeidemme mukaisesti
  • kun arvioimme, että luovuttaminen on välttämätöntä oikeuksiemme toteuttamiseksi, turvallisuuden suojelemiseksi, väärinkäytösten tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi, oikeuskäsittelyyn liittyen tai viranomaisen pyynnöstä tai muutoin lainsäädännön edellyttämissä tai sallimissa tilanteissa.

Rekisterinpitäjä voi myös luovuttaa tarvittavia tietoja vain sellaiselle yhteistyökumppanille, jonka kanssa rekisterinpitäjällä on voimassa oleva asianmukainen sopimus henkilötietojen käsittelystä.

Muutoin tietoja voidaan luovuttaa vain rekisteröidyn suostumuksella, tai

  1. viranomaiselle, jolla on siihen lakisääteinen oikeus
  2. toiminnan rahoittavalle viranomaiselle toiminnan raportointia varten.

Tietojen luovutuksen peruste: Ohjaava lainsäädäntö ja määräykset sekä rekisteröidyn suostumus.

13. Rekisterin tietojen siirto kolmanteen maahan

Henkilötietoja säilytetään EU:n ja Euroopan talousalueella. Tapahtumarekisterin sähköisessä tietojärjestelmässä käytetään Microsoftin tarjoamia sovelluksia, joiden palvelut tuotetaan pääosin EU:n alueella. Tietoihin voi rajatusti olla pääsy ETA-alueen ulkopuolelta. Tällaisten henkilötietojen siirroiksi katsottavien tapahtumien laillisuus perustuu Euroopan komission antamaan päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta, kun tietoja siirretään sertifioituneelle yritykselle Yhdysvaltoihin, kuten Microsoftille. Microsoft on sitoutunut noudattamaan kaikissa mahdollisissa tietojen siirroissa kolmansiin maihin tietosuoja-asetuksen mukaisia siirtomekanismeja ja suojakeinoja.

14. Henkilötietojen säilytysajan määrittäminen

Henkilötietoja säilytetään ainoastaan niin kauan kuin se on tarpeellista tässä selosteessa määriteltyjen käyttötarkoitusten toteuttamiseksi.

Tapahtumaan liittyvät henkilötiedot sekä muut ilmoittautumiseen liittyvät tiedot säilytetään rekisterissä 2 vuoden ajan tapahtuman tai koulutuksen päättymisen jälkeen, jonka jälkeen ne poistetaan tai anonymisoidaan.

Henkilötietoja voidaan säilyttää edellä mainittua 2 vuotta pidempi aika, mikäli lakisääteinen tai muu yliopiston ulkopuolinen velvoite (esimerkiksi koulutuksen rahoittajan ehdot) edellyttävät henkilötietojen säilyttämistä tätä pidemmän ajan.

Yliopisto säilyttää vain toiminnan ja tietojen käyttötarkoitusten kannalta tarpeellisia tietoja, joiden käsittelylle on lailliset edellytykset. Käyttötarkoitukseensa tarpeettomaksi muuttuneet tiedot, vanhentuneet tiedot tai tiedot, joiden käsittelylle ei enää muutoin ole perustetta tai henkilö on pyytänyt tietojensa poistamista/perunut suostumuksen, anonymisoidaan tai hävitetään tietoturvallisesti.

Palvelun käytöstä syntyy lokimerkintöjä, joita käytetään palvelun tietoturvallisuudesta huolehtimiseen, palvelun tekniseen kehittämiseen sekä vikatilanteiden havaitsemiseen, estämiseen ja selvittämiseen. Lokeja säilytetään näihin tarkoituksiin tarvittava aika eikä niitä käytetä muuhun tarkoitukseen.

Säilytys toteutetaan tiedonohjaussuunnitelman ja lainsäädännön velvoittaman ajan (esim. kirjanpito- ja raportointivelvoitteet, oikeudenkäyntiä tai vastaavan erimielisyystilanteen selvittämistä varten) tietoturvallisessa käyttöympäristössä noudattaen asiakirjoille säädettyä säilytysaikaa.

15. Rekisteröidyn oikeudet

EU:n yleinen tietosuoja-asetus takaa rekisteröidylle, jonka tietoja käsitellään, erilaisia oikeuksia. Oikeuksia sovelletaan eri tavalla riippuen henkilötietojen käsittelyperusteesta.

Sinulla on rekisteröitynä mm. oikeus tietää, käsitelläänkö henkilötietojasi ja mitä henkilötietojasi käsitellään, pyytää itseäsi koskevat tiedot sekä myös oikeus vaatia virheelliset henkilötiedot oikaistavaksi ja tietyissä tilanteissa vastustaa henkilötietojen käsittelyä ja oikeus saada henkilötiedot poistetuksi. Sinulla on myös oikeus peruuttaa antamasi suostumus, mikäli tietojesi käsittelytoimet perustuvat suostumukseen. Ks. rekisteröidyn oikeudet.

16. Evästeet

Kun vierailet verkkosivuillamme, sivustomme tallentaa päätelaitteellesi evästeitä eli pieniä tekstitiedostoja. Ks. evästeasetukset.

Voit antaa suostumuksesi evästeiden käytölle verkkosivuillamme.

17. Selosteen muuttaminen

Rekisterinpitäjällä on oikeus muuttaa tätä selostetta. Ilmoitamme muutoksista verkkosivullamme www.utu.fi, josta löydät tämän selosteen viimeisimmän version.

Sidosryhmärekisterien tietosuoja