Versions Compared

Old Version 52

changes.mady.by.user Lassi Lager

Saved on

compared with

New Version Current

changes.mady.by.user Esa-Pekka Keskitalo

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents
maxLevel1

Kansalliskirjasto käsittelee henkilötietoja, eli se on rekisterinpitäjä. Tässä dokumentissa selostetaan, miten Kansalliskirjasto rekisterinpitäjänä käsittelee henkilötietoja erityisesti tuottaessaan palveluita organisaatioasiakkaille ja heidän edustajilleen. 

Helsingin yliopiston erillislaitoksena toimiva Kansalliskirjasto käsittelee organisaatioasiakkaidensa ja sidosryhmiensä (Asiakkaiden) tietoja voidakseen tarjota kirjastoihin, arkistoihin ja museoihin sekä muuhun toimintaansa liittyviä palveluja. Kansalliskirjasto käsittelee erilaisia henkilötietoja, joista Asiakkaiden edustajat on mahdollista tunnistaa. Tämä tekee meistä rekisterinpitäjän eli tahon, joka kontrolloi henkilötietojen käsittelyä edellä mainittua tarkoitusta varten.

...

1. Rekisterinpitäjä

...

Helsingin yliopisto
Kansalliskirjasto

...


PL 15 (Unioninkatu 36)
00014 Helsingin yliopisto
Puhelin: 02941 911

...

Yhteydenotot mieluiten sähköpostilla: kk-it-

...

tukipalvelut(at)helsinki.fi 

Kansalliskirjasto on osa Helsingin yliopistoa. Yliopiston tietosuojavastaavan sähköpostiosoite on tietosuoja(at)helsinki

...

.fi.

2.

...

Kansalliskirjasto käsittelee edellä mainittujen Asiakkaiden nimettyjen yhteyshenkilöiden tietoja seuraaviin tarkoituksiin:

  • Asiakkuuksiin ja palveluiden kehittämiskumppanuuksiin liittyvä yhteydenpito.
  • Pääsy palvelut toteuttaviin, asiakkaiden ja kumppaneiden tarvitsemiin järjestelmiin.
  • Vikatilanteiden ja tietoturvapoikkeamien selvittäminen osana järjestelmäpalvelua.

3. Käsittelyn oikeusperuste

Henkilötietojen käyttö Kansalliskirjastossa perustuu ensisijaisesti Helsingin yliopistoa, Kansalliskirjastoa sekä yliopistoyhteisöä koskevaan lainsäädäntöön ja tietyissä tarkoituksissa oikeutettuun etuun tai sopimukseen.

Pääasialliset säädökset:

Yliopistolaki (558/2009 )
Valtioneuvoston asetus yliopistojen tutkinnoista (794/2004 )
Laki valtakunnallisista opinto- ja tutkintorekistereistä 884/2017
Yleinen tietosuoja-asetus (EU) 2016/679 ja sitä täydentävät kansalliset säädökset
Tietosuojalaki (XXX/2018)
Laki viranomaisten toiminnan julkisuudesta 621/1999
Helsingin yliopiston johtosääntö
Helsingin yliopiston tutkinto- ja oikeusturvajohtosääntö
Helsingin yliopiston opetusta ja opiskelua koskevat yliopiston ja rehtorin päätökset
Helsingin yliopiston tiedekuntien pysyväismääräykset
Kulttuuriaineistolaki (1433/2007)

Kansalliskirjaston Uutiskirjeen osalta käsittely perustuu Kansalliskirjaston ja uutiskirjeen tilaajan väliseen sopimukseen, joka syntyy, kun henkilö tilaa itselleen uutiskirjeen.

4. Minkälaisia Asiakkaiden henkilötietoja Kansalliskirjasto käsittelee?

Käsittelemme sellaisia henkilötietoja, joista Asiakkaan yhteyshenkilö voidaan tunnistaa suoraan tai välillisesti.

Suoraan tunnistettavia tietoja ovat nimi ja sähköpostiosoite.

Lisäksi käsittelemme muita tietoja, joita yhdistelemällä henkilö on mahdollista tunnistaa. Näitä tietoja ovat järjestelmästä riippuen:

  • järjestelmien käyttäjätunnukset
  • IP-osoite
  • muut yhteystiedot, kuten puhelinnumero.

Tallennamme järjestelmästä riippuen seuraavia tietoja:

  • ilmoittautumis- ja kyselyvastauslomakkeet sähköisessä lomakejärjestelmässä
  • asiakas- ja kumppanitiedot asiakkuudenhallintajärjestelmässä
  • sähköpostiosoitteet sähköpostilistanhallintajärjestelmässä
  • viestit ja käyttäjäprofiilit keskustelufoorumijärjestelmässä
  • työtehtävien hoitoa kuvaavat asiakirjat
  • kokouspöytäkirjat
  • lokit
  • salasanat (salattuna)
  • kirjautumisiin liittyviä tietoja: esim. organisaatioon liittyvät tiedot, liitetyt ryhmät, salasanan vaihtamisajankohta, viimeinen kirjautumisajankohta, liitetyt sovellukset.

Tarkempaa tietoa järjestelmäkohtaisista käsiteltävistä henkilötietoryhmistä tarjotaan tämän ilmoituksen kohdassa 10.

5. Mitä oikeuksia Asiakkaalla on?

Oikeus henkilötietojen tarkastamiseen ja oikaisuun

...

Mitä tämä selostus koskee

Tämä selostus koskee seuraavia Kansalliskirjaston palveluita ja järjestelmiä:

  • asiakkuudenhallintajärjestelmä, jolla hallitaan Kansalliskirjaston organisaatioasiakkaiden tietoja;
  • Kiwi.fi eli Kiwi Kansalliskirjaston ja sen sidosryhmien yhteistyön wikialusta.
  • Foorumi.kiwi.fi eli Foorumi, Kansalliskirjaston ja sen sidosryhmien keskustelualusta; sekä
  • tunnistautumisjärjestelmä, jota käytetään Kansalliskirjasto Kiwi.fi:hin ja Foorumi.kiwi.fi:hin kirjauduttaessa.

Kansalliskirjastolla on myös muuta henkilötietojen käsittelyä.  Lue lisää tietosuojasta ja tietojen käsittelystä Kansalliskirjastossa.

Kansalliskirjasto on osa Helsingin yliopistoa. Lue lisää tietosuojasta ja tietojen käsittelystä Helsingin yliopistossa.

3. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Kansalliskirjastosta ja sen tehtävistä säädetään yliopistolaissa. Lain 70 § mukaan Kansalliskirjaston tehtävänä on

  • vastata toimialallaan kansallisen kulttuuriperinnön tallettamisesta, ylläpidosta ja saatavuudesta;
  • kehittää ja tarjota kansallisia palveluja korkeakoulukirjastoille, yleisille kirjastoille ja erikoiskirjastoille; sekä
  • edistää kirjastoalan kotimaista ja kansainvälistä yhteistyötä. 

Tässä selostuksessa käsitellyillä järjestelmillä Kansalliskirjasto toteuttaa lakisääteisiä tehtäviään.

Henkilötietoja käsitellään

  • yhteistyöalustojen käyttäjien tunnistamiseksi ja valtuuttamiseksi;
  • asiakassuhteiden hoitamiseen; sekä
  • vikatilanteiden ja tietoturvapoikkeamien selvittämisen yhteydessä.

Henkilötietojen käsittelyn oikeusperuste on

  • tunnistautumisjärjestelmässä, Kiwi.fi:ssä ja Foorumi.kiwi.fi:ssä henkilön suostumus; ja
  • asiakkuudenhallinnassa rekisterinpitäjän oikeutettu etu: yhteystietojen käsittely on välttämätöntä sopimus- ja lakisääteisten velvoitteiden täyttämiseksi.

4. Käsiteltävät henkilötiedot 

Käsiteltävät henkilötietoryhmät ovat

  • käyttäjätunnus;
  • salasana;
  • nimi;
  • sähköpostiosoite;
  • käyttäjäryhmä;
  • henkilöön liittyvä organisaatio;
  • henkilöön liittyvä sopimussuhde;
  • tekniset lokitiedot, katso tarkemmin alla; sekä
  • vapaaehtoisesti ja omatoimisesti annetut lisätiedot, katso tarkemmin alla.

Tekniset lokitiedot

Palvelun tuottamiseksi ja tietoturvasta huolehtimiseksi verkkopalveluiden käyttäjistä kerätään teknisiä lokitietoja. Lokitietoihin sisältyy tietoja, kuten esimerkiksi aikaleima, selainversio, käyttöjärjestelmä ja IP-osoite, joiden avulla käyttäjä voidaan yhdistää luonnolliseen henkilöön. Näitä tietoja käytetään ainoastaan virhetilanteiden tai tietoturvapoikkeamien selvittämisessä. Lokitietoihin sisältyvien henkilötietojen väliaikainen tallentaminen on välttämätöntä palvelun tuottamiseksi.

Kansalliskirjaston käyttää sopimuskumppani Cloudflare Inc:n palveluja tietojärjestelmien toimintavarmuuden parantamiseksi.  Ne keräävät  lokitietoja, kuten esimerkiksi aikaleima ja IP-osoite, joiden avulla käyttäjä voidaan yhdistää luonnolliseen henkilöön.

Vapaaehtoisesti ja omatoimisesti annetut lisätiedot

Kiwi.fi:ssä ja Foorumi.kiwi.fi:ssä henkilö voi itse täydentää profiiliaan esimerkiksi yhteystiedoillaan. Hän voi itse lisätä, muuttaa ja poistaa näitä tietoja; ja vastaa siten itse niiden oikeellisuudesta. 

5. Henkilötietojen säännönmukaiset lähteet

Henkilötietojen säännönmukaiset lähteet ovat

  • henkilö itse;
  • organisaatio, joka ilmoittaa henkilön edustajakseen asiakassuhteeseen;
  • Haka-käyttäjäntunnistusjärjestelmä,  kun henkilö käyttää tunnistautuessaan korkeakoulujen Haka-tunnistautumista; sekä
  • Kansalliskirjaston työntekijä, joka kutsuu toisen henkilön Kiwi.fi:n käyttäjäksi.

6. Henkilötietojen siirtäminen EU:n tai ETAn ulkopuolelle

Slack: Foorumi.kiwi.fi:hin kirjoitetuista viesteistä lähetetään automaattisesti kopio Slackiin, jonka kautta niiden kirjoittajan nimi voi siirtyä EU:n tai ETAn ulkopuolelle. Nämä ilmoitukset poistuvat Slackista kuukauden kuluttua. Slack on Kansalliskirjaston sopimuskumppanin Slack Technologies LCC:n tuottama palvelu, jolla on oma tietosuojaselosteensa (englanniksi).

Cloudflare: Kansalliskirjaston sopimuskumppani Cloudflare Inc:n palvelujen välttämättä tarvitsemat tekniset lokitiedot (ks. kohta 4) voivat siirtyä EU:n tai ETAn ulkopuolelle. Kansalliskirjasto käyttää Cloudflaren palveluita verkkopalveluiden toimintakyvyn varmistamiseksi. Sen tietosuojasta on lisätietoja sen omilla sivuilla (englanniksi).

Muuten henkilötietoja ei siirretä EU:n tai ETAn ulkopuolelle. 

7. Henkilötietojen säännönmukaiset luovutukset

Henkilötietoja ei säännönmukaisesti luovuteta Helsingin yliopiston ulkopuolelle.

8. Henkilötietojen säilytysaika ja tarpeettomien henkilötietojen poistaminen

Asiakkuudenhallinnasta henkilötiedot poistetaan, kun henkilö ei enää toimi missään roolissa.

Kiwi.fi:stä ja Foorumi.kiwi.fi:stä henkilötiedot poistetaan, kun käyttövaltuutus lakkaa, kuitenkin viimeistään kaksi vuotta viimeisen kirjautumisen jälkeen.

9. Evästeet

Selaimella käytettävät verkkopalvelut tallentavat käyttäjän päätelaitteelle evästeitä. Kaikki tämän selostuksen piiriin kuuluvien järjestelmien käyttämät evästeet ovat teknisiä evästeitä, jotka mahdollistavat verkkopalveluiden toiminnan ja parantavat käyttäjäkokemusta.

10. Rekisterin suojauksen periaatteet

Tietoja säilytetään ainoastaan sähköisessä muodossa.

Asiakkuudenhallintajärjestelmässä oleviin tietoihin pääsevät käsiksi ainoastaan ne Kansalliskirjaston työntekijät, joiden työssä se on välttämätöntä.

Järjestelmiin kirjaudutaan henkilökohtaisella käyttäjätunnuksella ja salasanalla.

Pääkäyttäjän oikeudet ovat vain niillä Kansalliskirjaston työntekijöillä, jotka vastaavat järjestelmien toiminnasta.

11. Automaattinen profilointi päätöksenteossa

Missään tämän selostuksen käsittämistä palveluista ja järjestelmistä ei tehdä automaattista profilointia. 

12. Arkaluontoisten henkilötietojen käsittely

Missään tämän selostuksen käsittämistä palveluista ja järjestelmistä ei käsitellä arkaluonteisia henkilötietoja.

13. Henkilötietojen tarkastaminen, korjaaminen ja poistaminen

Henkilöllä on oikeus

  • tarkastaa, mitä henkilötietoja hänestä on kerätty tässä selostuksessa käsiteltyihin järjestelmiin. 
  • korjauttaa henkilötiedoissaan olevat virheet; sekä
  • poistattaa henkilötietonsa, jos niiden käsittelylle ei ole perustetta. 

Kaikissa näissä tapauksissa tulee ottaa yhteyttä Kansalliskirjastoon, [email protected].

14. Henkilötietojen käsittelyn lainmukaisuuden arviointi

Käyttäjällä on oikeus saattaa palvelun toiminnan lainmukaisuus tietosuojavaltuutetun arvioitavaksi: [email protected].

Jos Asiakas vaihtaa työtehtäviä tai arvelee muista syistä, ettei hänen tietojaan enää tarvita Kansalliskirjaston järjestelmissä, hän voi ottaa yhteyttä palveluosoitteeseen: [email protected]

Mikäli Asiakas haluaa tietää vielä tarkemmin, mitä henkilötietoja hänestä käsitellään, tietoa voi pyytää palveluosoitteesta: [email protected]

Mikäli Asiakas haluaa tietoa Uutiskirjeen lähettämistä varten tallennetuista tiedoista tai mikäli Asiakas haluaa tietojaan muutettavan tai poistettavan Uutiskirjeen tilaajarekisteristä, hänen tulee ottaa yhteyttä osoitteeseen: [email protected].

Oikeus suostumuksen peruuttamiseen

Henkilötietojen käyttö Kansalliskirjastossa perustuu ensisijaisesti Helsingin yliopistoa, Kansalliskirjastoa sekä yliopistoyhteisöä koskevaan lainsäädäntöön ja tietyissä tarkoituksissa oikeutettuun etuun tai sopimukseen. Lähtökohtaisesti emme käsittele tietoa suostumuksen perusteella.

Jos Asiakas vaihtaa työtehtäviä tai arvelee, ettei hänen tietojaan enää tarvita Kansalliskirjaston järjestelmissä, hän voi ottaa yhteyttä yllä mainittuihin palveluosoitteisiin.

Asiakas voi perua Uutiskirjeen tilauksen ottamalla yhteyttä osoitteeseen: [email protected]

Oikeus tehdä valitus valvontaviranomaiselle

Asiakkaalla on oikeus saattaa Kansalliskirjaston toiminnan lainmukaisuus Tietosuojavaltuutetun arvioitavaksi: [email protected]

6. Mistä henkilötiedot ovat peräisin eli mikä tietojen alkuperä on?

Osa tarpeellisista henkilötiedoista on peräisin Asiakkaan yhteyshenkilöltä itseltään, jolloin hän vastaa niiden oikeellisuudesta. Jotkut henkilötiedot on saatu asiakasorganisaatiolta.

Jos Asiakkaan yhteyshenkilö kirjautuu Haka-tunnuksella, käyttäjätunnus, kirjautujan nimi, sähköpostiosoite sekä yhteyshenkilön organisaatioon liittyvät lisätiedot tallennetaan Kansalliskirjaston järjestelmiin.

7. Kuinka pitkään säilytämme henkilötietoja?

Säilytämme Asiakkaan tietoja niin kauan kuin se on hänen työtehtäviensä kannalta tarpeellista. Jos hän vaihtaa työtehtäviään tai arvelee, että tietoja ei enää tarvita Kansalliskirjaston järjestelmissä, hänen tulee ottaa yhteyttä kohdassa 5 mainittuihin palveluosoitteisiin. Pyydämme huomioimaan, että Asiakkaan tuottamat sisällöt säilyvät palvelussa myös sen jälkeen kun käyttäjätunnus on poistettu.

Poistamme Crowd- tunnistautumispalvelun inaktivoidut käyttäjätunnukset muine tietoineen, kun inaktivoinnista on kulunut enintään 18 kuukautta.

8. Tietojen siirtäminen EU:n tai ETA:n ulkopuolelle

Kansalliskirjasto ei siirrä käytössä olevissa sovelluksissaan henkilötietoa EU:n ja Euroopan talousalueen (ETA) ulkopuolelle maihin, jotka eivät tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa.

Poikkeuksen tästä periaatteesta muodostaa Uutiskirjeen tilaus. Uutiskirjeen tilaukseen käytetään toistaiseksi tietojärjestelmää, joka on EU:n ulkopuolisen palveluntoimittajan hallinnassa. Palvelun toimittaja on sitoutunut noudattamaan EU:n tietosuojalainsäädäntöä (GDPR). Mikäli Asiakas ei halua tietojaan siirrettävän EU:n ulkopuolelle eli haluaa poistaa tietonsa tästä rekisteristä ja lopettaa uutiskirjeen tilauksen, tulee hänen lähettää tietojen poistamispyyntö osoitteeseen: [email protected].

9. Käytämmekö päätöksenteossa automaattista profilointia?

Kansalliskirjasto ei käytä päätöksenteossa automaattista profilointia.

10. Lisätietoja henkilötietojen käsittelystä Helsingin yliopiston Kansalliskirjastossa

Tietoa järjestelmäkohtaisistä käsiteltävistä henkilötietoryhmistä:

ASKI
Henkilötietojen käyttötarkoitus: Asiakkaiden heidän yhteyshenkilöidensä tietojen ylläpito ja yhteydenpito Asiakkaisiin.
Käsiteltävät henkilötietoryhmät: nimi, sähköpostiosoite, muut osoitetiedot, puhelinnumero, rooli tai asema organisaatiossa, työryhmässä tai asiakassuhteessa.

...

Uusista kaikille näkyvistä foorumikirjoituksista välittyy viesti Kansalliskirjaston sisäisen viestinnän Slack-työtilan foorumia käsittelevälle kanavalle, josta viestit poistuvat 1 kuukauden kuluessa.
Välitetyt henkilötietoryhmät: etunimi, sukunimi, käyttäjätunnus.

JIRA

Henkilötietojen käyttötarkoitus: Asiakkaiden palvelupyyntöjen käsittely sekä järjestelmien kehitystehtävien hallinta.
Käsiteltävät henkilötietoryhmät: käyttäjätunnus, nimi, sähköposti, ryhmät, palvelut, kehitysprojektit, roolit, lähetetyt sähköpostit, kehitystehtäviin ja palvelupyyntöihin liittyvät kommentit sekä niiden käsittelyyn liittyvät parametrit.

KIWI
Henkilötietojen käyttötarkoitus: Kansalliskirjaston ja Asiakkaiden vuorovaikutteinen viestintäkanava ja työskentelyalusta.

UUTISKIRJE

Henkilötietojen käyttötarkoitus: Uutiskirjeen osalta henkilötietojen käsittely on tarpeen, koska ilman niitä uutiskirjeen tilaaja ei voi saada haluamaansa palvelua. (Ks. kohta 3 Uutiskirjeen osalta.)
Käsiteltävät henkilötietoryhmät: Etunimi, sukunimi, sähköpostiosoite ja organisaatio.

Lisätiedot yllämainituista järjestelmistä: [email protected]

...