Kansalliskirjasto käsittelee henkilötietoja, eli se on rekisterinpitäjä. Tässä dokumentissa selostetaan, miten Kansalliskirjasto rekisterinpitäjänä käsittelee henkilötietoja erityisesti tuottaessaan palveluita organisaatioasiakkaille ja heidän edustajilleen.
1. Rekisterinpitäjä
Helsingin yliopisto
Kansalliskirjasto
PL 15 (Unioninkatu 36)
00014 Helsingin yliopisto
Puhelin: 02941 911
Yhteydenotot mieluiten sähköpostilla: kk-it-tukipalvelut(at)helsinki.fi
Kansalliskirjasto on osa Helsingin yliopistoa. Yliopiston tietosuojavastaavan sähköpostiosoite on tietosuoja(at)helsinki.fi.
2. Mitä tämä selostus koskee
Tämä selostus koskee seuraavia Kansalliskirjaston palveluita ja järjestelmiä:
- asiakkuudenhallintajärjestelmä, jolla hallitaan Kansalliskirjaston organisaatioasiakkaiden tietoja;
- Kiwi.fi eli Kiwi Kansalliskirjaston ja sen sidosryhmien yhteistyön wikialusta.
- Foorumi.kiwi.fi eli Foorumi, Kansalliskirjaston ja sen sidosryhmien keskustelualusta; sekä
- tunnistautumisjärjestelmä, jota käytetään Kansalliskirjasto Kiwi.fi:hin ja Foorumi.kiwi.fi:hin kirjauduttaessa.
Kansalliskirjastolla on myös muuta henkilötietojen käsittelyä. Lue lisää tietosuojasta ja tietojen käsittelystä Kansalliskirjastossa.
Kansalliskirjasto on osa Helsingin yliopistoa. Lue lisää tietosuojasta ja tietojen käsittelystä Helsingin yliopistossa.
3. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Kansalliskirjastosta ja sen tehtävistä säädetään yliopistolaissa. Lain 70 § mukaan Kansalliskirjaston tehtävänä on
- vastata toimialallaan kansallisen kulttuuriperinnön tallettamisesta, ylläpidosta ja saatavuudesta;
- kehittää ja tarjota kansallisia palveluja korkeakoulukirjastoille, yleisille kirjastoille ja erikoiskirjastoille; sekä
- edistää kirjastoalan kotimaista ja kansainvälistä yhteistyötä.
Tässä selostuksessa käsitellyillä järjestelmillä Kansalliskirjasto toteuttaa lakisääteisiä tehtäviään.
Henkilötietoja käsitellään
- yhteistyöalustojen käyttäjien tunnistamiseksi ja valtuuttamiseksi;
- asiakassuhteiden hoitamiseen; sekä
- vikatilanteiden ja tietoturvapoikkeamien selvittämisen yhteydessä.
Henkilötietojen käsittelyn oikeusperuste on
- tunnistautumisjärjestelmässä, Kiwi.fi:ssä ja Foorumi.kiwi.fi:ssä henkilön suostumus; ja
- asiakkuudenhallinnassa rekisterinpitäjän oikeutettu etu: yhteystietojen käsittely on välttämätöntä sopimus- ja lakisääteisten velvoitteiden täyttämiseksi.
4. Käsiteltävät henkilötiedot
Käsiteltävät henkilötietoryhmät ovat
- käyttäjätunnus;
- salasana;
- nimi;
- sähköpostiosoite;
- käyttäjäryhmä;
- henkilöön liittyvä organisaatio;
- henkilöön liittyvä sopimussuhde;
- tekniset lokitiedot, katso tarkemmin alla; sekä
- vapaaehtoisesti ja omatoimisesti annetut lisätiedot, katso tarkemmin alla.
Tekniset lokitiedot
Palvelun tuottamiseksi ja tietoturvasta huolehtimiseksi verkkopalveluiden käyttäjistä kerätään teknisiä lokitietoja. Lokitietoihin sisältyy tietoja, kuten esimerkiksi aikaleima, selainversio, käyttöjärjestelmä ja IP-osoite, joiden avulla käyttäjä voidaan yhdistää luonnolliseen henkilöön. Näitä tietoja käytetään ainoastaan virhetilanteiden tai tietoturvapoikkeamien selvittämisessä. Lokitietoihin sisältyvien henkilötietojen väliaikainen tallentaminen on välttämätöntä palvelun tuottamiseksi.
Kansalliskirjaston käyttää sopimuskumppani Cloudflare Inc:n palveluja tietojärjestelmien toimintavarmuuden parantamiseksi. Ne keräävät lokitietoja, kuten esimerkiksi aikaleima ja IP-osoite, joiden avulla käyttäjä voidaan yhdistää luonnolliseen henkilöön.
Vapaaehtoisesti ja omatoimisesti annetut lisätiedot
Kiwi.fi:ssä ja Foorumi.kiwi.fi:ssä henkilö voi itse täydentää profiiliaan esimerkiksi yhteystiedoillaan. Hän voi itse lisätä, muuttaa ja poistaa näitä tietoja; ja vastaa siten itse niiden oikeellisuudesta.
5. Henkilötietojen säännönmukaiset lähteet
Henkilötietojen säännönmukaiset lähteet ovat
- henkilö itse;
- organisaatio, joka ilmoittaa henkilön edustajakseen asiakassuhteeseen;
- Haka-käyttäjäntunnistusjärjestelmä, kun henkilö käyttää tunnistautuessaan korkeakoulujen Haka-tunnistautumista; sekä
- Kansalliskirjaston työntekijä, joka kutsuu toisen henkilön Kiwi.fi:n käyttäjäksi.
6. Henkilötietojen siirtäminen EU:n tai ETAn ulkopuolelle
Slack: Foorumi.kiwi.fi:hin kirjoitetuista viesteistä lähetetään automaattisesti kopio Slackiin, jonka kautta niiden kirjoittajan nimi voi siirtyä EU:n tai ETAn ulkopuolelle. Nämä ilmoitukset poistuvat Slackista kuukauden kuluttua. Slack on Kansalliskirjaston sopimuskumppanin Slack Technologies LCC:n tuottama palvelu, jolla on oma tietosuojaselosteensa (englanniksi).
Cloudflare: Kansalliskirjaston sopimuskumppani Cloudflare Inc:n palvelujen välttämättä tarvitsemat tekniset lokitiedot (ks. kohta 4) voivat siirtyä EU:n tai ETAn ulkopuolelle. Kansalliskirjasto käyttää Cloudflaren palveluita verkkopalveluiden toimintakyvyn varmistamiseksi. Sen tietosuojasta on lisätietoja sen omilla sivuilla (englanniksi).
Muuten henkilötietoja ei siirretä EU:n tai ETAn ulkopuolelle.
7. Henkilötietojen säännönmukaiset luovutukset
Henkilötietoja ei säännönmukaisesti luovuteta Helsingin yliopiston ulkopuolelle.
8. Henkilötietojen säilytysaika ja tarpeettomien henkilötietojen poistaminen
Asiakkuudenhallinnasta henkilötiedot poistetaan, kun henkilö ei enää toimi missään roolissa.
Kiwi.fi:stä ja Foorumi.kiwi.fi:stä henkilötiedot poistetaan, kun käyttövaltuutus lakkaa, kuitenkin viimeistään kaksi vuotta viimeisen kirjautumisen jälkeen.
9. Evästeet
Selaimella käytettävät verkkopalvelut tallentavat käyttäjän päätelaitteelle evästeitä. Kaikki tämän selostuksen piiriin kuuluvien järjestelmien käyttämät evästeet ovat teknisiä evästeitä, jotka mahdollistavat verkkopalveluiden toiminnan ja parantavat käyttäjäkokemusta.
10. Rekisterin suojauksen periaatteet
Tietoja säilytetään ainoastaan sähköisessä muodossa.
Asiakkuudenhallintajärjestelmässä oleviin tietoihin pääsevät käsiksi ainoastaan ne Kansalliskirjaston työntekijät, joiden työssä se on välttämätöntä.
Järjestelmiin kirjaudutaan henkilökohtaisella käyttäjätunnuksella ja salasanalla.
Pääkäyttäjän oikeudet ovat vain niillä Kansalliskirjaston työntekijöillä, jotka vastaavat järjestelmien toiminnasta.
11. Automaattinen profilointi päätöksenteossa
Missään tämän selostuksen käsittämistä palveluista ja järjestelmistä ei tehdä automaattista profilointia.
12. Arkaluontoisten henkilötietojen käsittely
Missään tämän selostuksen käsittämistä palveluista ja järjestelmistä ei käsitellä arkaluonteisia henkilötietoja.
13. Henkilötietojen tarkastaminen, korjaaminen ja poistaminen
Henkilöllä on oikeus
- tarkastaa, mitä henkilötietoja hänestä on kerätty tässä selostuksessa käsiteltyihin järjestelmiin.
- korjauttaa henkilötiedoissaan olevat virheet; sekä
- poistattaa henkilötietonsa, jos niiden käsittelylle ei ole perustetta.
Kaikissa näissä tapauksissa tulee ottaa yhteyttä Kansalliskirjastoon, [email protected].
14. Henkilötietojen käsittelyn lainmukaisuuden arviointi
Käyttäjällä on oikeus saattaa palvelun toiminnan lainmukaisuus tietosuojavaltuutetun arvioitavaksi: [email protected].