Korkeakoulun tietosuojapolitiikka

Sisällysluettelo

  1. Tietosuojapolitiikan voimaantulo
  2. Tietosuojapolitiikan tarkoitus ja tavoitteet
  3. Soveltamisala
  4. Määritelmät
  5. Roolit ja päävastuut
  6. Tietosuojan toteuttaminen korkeakoulussa
  7. Tietosuoja tutkimuksessa
  8. Tietosuoja opinnoissa
  9. Tietoturva
  10. Tietosuojapoikkeamia koskeva ilmoitusvelvollisuus
  11. Koulutus ja ohjeistus
  12. Tietosuojapolitiikan vastainen menettely

1. Tietosuojapolitiikan voimaantulo

Korkeakoulun rehtori on hyväksynyt tämän tietosuojapolitiikan korkeakoulun henkilöstöä, opiskelijoita ja muita korkeakouluyhteisön jäseniä sitovaksi säännöstöksi 3.1.2019.

2. Tietosuojapolitiikan tarkoitus ja tavoitteet

Korkeakoulu on tiedon, oppimisen ja tutkimuksen keskus. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa käsitellään jatkuvasti suurta tietomäärää, josta suuri osa on yksittäiseen henkilöön yhdistettävissä olevaa tietoa eli henkilötietoa.

Korkeakoulu on sitoutunut suojelemaan yksilön oikeuksia ja vapauksia. Korkeakoulun tietointensiivisen toimintaympäristön vuoksi korkeakoulun henkilöstön on oltava tietoinen kulloinkin voimassa olevan tietosuojalainsäädännön, kuten EU :n yleisen tietosuoja-asetuksen, kansallisen tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä ohjaavien säännösten, asettamista vastuista ja velvoitteista.

Korkeakoulun tietosuojapolitiikan tarkoitus on määritellä ne vastuut, pääperiaatteet ja toimintatavat, joita korkeakoulussa noudatetaan henkilötietoja käsiteltäessä.

Tämän tietosuojapolitiikan lisäksi korkeakoulussa on tietosuojan ja tietoturvan toteuttamiseksi voimassa käytännesääntöjä ja tarkentavaa ohjeistusta, jotka yhdessä tämän asiakirjan kanssa muodostavat kokonaisuuden.

Tietosuojapolitiikan ja täydentävän ohjeistuksen tavoitteena on varmistaa, että korkeakoulu noudattaa EU:n tietosuoja-asetuksen, kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja, että lainsäädännön noudattaminen on osoitettavissa asianmukaisen ja ajantasaisen dokumentaation avulla.

Korkeakouluyhteisön jäsenet (johto, työntekijät, opiskelijat sekä vierailijat) ovat velvollisia noudattamaan tätä tietosuojapolitiikkaa sekä muita korkeakoulun tietoturvaa ja tietosuojaa koskevia käytäntöjä, sääntöjä ja ohjeita.

3. Soveltamisala

3.1 Henkilötietojen käsittely korkeakoulun lukuun

Tätä tietosuojapolitiikkaa on noudatettava aina, kun henkilötietojen käsittely suoritetaan korkeakoulun lukuun, riippumatta siitä missä tietoa säilytetään tai kuka omistaa käsittelyyn käytetyt välineet.

3.2 Henkilötietojen käsittely korkeakoulun resursseilla

Tietosuojapolitiikkaa on noudatettava lisäksi aina, kun henkilötietojen käsittelyyn käytetään korkeakoulun tietojärjestelmiä tai tietotekniikka- tai henkilöresursseja riippumatta siitä, tapahtuuko käsittely korkeakoulun lukuun.

4. Määritelmät

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

Henkilötietoja ovat tai voivat olla esimerkiksi nimi, osoite, henkilötunnus, paikkatieto, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain tietystä henkilöstä.

Erityisillä henkilötietoryhmillä (ent. arkaluonteisilla henkilötiedoilla) tarkoitetaan tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettisiä tai biometrisiä tietoja, joista henkilö voidaan yksiselitteisesti tunnistaa, terveystietoja tai tietoja luonnollisen henkilön seksuaalista käyttäytymisestä ja suuntautumisesta.

Pseudonymisoidulla tiedolla tarkoitetaan tietoa, joka on käsitelty niin, ettei tietoa voi enää suoraan yhdistää tiettyyn henkilöön käyttämättä lisätietoja.

Anonymisoidulla tiedolla tarkoitetaan tietoa, joka on käsitelty siten, ettei sen yhdistäminen henkilöön ole enää mahdollista.

Henkilötietojen käsittelyä on esimerkiksi tietojen kerääminen ja tallentaminen, järjestäminen, jäsentäminen ja säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely ja käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen, sekä tietojen rajoittaminen, poistaminen tai tuhoaminen.

5. Roolit ja päävastuut

Korkeakoulun johdolla on tietosuoja-asioiden noudattamisen ja seurannan korkeakoulutasoinen vastuu.

Tietosuojavastaava ja tietoturvapäällikkö vastaavat yhdessä korkeakoulun tietosuojaryhmän kanssa tietosuojan ja tietoturvan korkeakoulutasoisen ohjeistuksen sekä koulutuksen laatimisesta ja tarjoamisesta. Tietosuojaryhmän jäsenet osallistuvat kukin oman vastuu- ja osaamisalueensa osalta korkeakoulun ohjeistuksen ja koulutuksen laatimiseen ja tarjoamiseen.

Tietosuojavastaava vastaa lisäksi tietosuoja-asioiden neuvonnasta ja opastuksesta, seuraa tietosuoja-asetuksen ja tämän tietosuojapolitiikan noudattamista korkeakoulussa, käsittelee tietosuojapoikkeamat, raportoi johdolle ja toimii korkeakoulun tietosuojayhteyshenkilönä suhteessa valvontaviranomaiseen.

Tietoturvapäällikkö vastaa korkeakoulun tietojärjestelmien tietoturvallisuuteen ja muutoin tietoturvaan liittyvästä neuvonnasta ja opastuksesta sekä ilmoitettujen tietoturvapoikkeamien käsittelystä.

Yksiköiden johtajilla on velvollisuus varmistaa, että yksikössä noudatetaan tietosuojalainsäädäntöä, tietosuojapolitiikkaa ja korkeakoulun tietosuoja- ja tietoturvaohjeistusta. Yksiköiden johtajat voivat delegoida tietosuoja-asioiden hallinnoinnin yksikön (esimerkiksi tiedekunnan tai palveluyksikön) tietosuoja-asioiden yhteyshenkilöille, mutta oikeudellinen vastuu säilyy yksikön johtajalla.

Jokaisessa yksikössä tulee täsmentää työntekijöiden roolien mukaiset vastuut ja velvollisuudet henkilörekisterin osalta. Lisäksi yksikön johtajan tulee varmistaa, että kaikki laitoksen tai yksikön työntekijät, jotka käsittelevät henkilötietoja, on perehdytetty korkeakoulun tietoturva- ja tietosuojamääräyksiin ja -ohjeisiin. Yksikönjohtajan tulee lisäksi omalla vastuualueellaan varmistua siitä, että yksikön toiminnassa käytetään tietojärjestelmiä, jotka vastaavat korkeakoulun tietoturva-, tietosuoja- ja kokonaisarkkitehtuuriperiaatteita.

Tutkimuksen vastuullinen johtaja vastaa tutkimushankkeissaan siitä, että hankkeessa noudatetaan voimassa olevaa tietosuojalainsäädäntöä, korkeakoulun tietosuojapolitiikkaa ja muita korkeakoulun tietosuojasta ja tietoturvasta annettuja määräyksiä ja ohjeita, että henkilötietojen käsittely on suunniteltu, toteutettu ja dokumentoitu asianmukaisesti, että henkilötietoja käsittelevät tutkijat ovat suorittaneet henkilötietojen käsittelyyn perehdyttävän koulutuksen ennen käsittelyn alkamista ja että työntekijöiden roolit (vastuuhenkilö/yhteyshenkilö/käsittelijä) ja roolien mukaiset vastuut ja velvollisuudet (mukaan lukien tarvittavat käyttöoikeudet) on määritelty tarkasti.

Esimiehen tulee valvoa, että hänen alaisensa noudattavat voimassa olevaa tietosuojalainsäädäntöä, korkeakoulun tietosuojapolitiikkaa ja muita korkeakoulun tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita. Esimies vastaa lisäksi uusien työntekijöiden perehdyttämisestä korkeakoulun tietosuoja- ja tietoturvamääräyksiin ja ohjeisiin.

Työntekijän tulee kaikessa toiminnassaan noudattaa voimassa olevaa tietosuojalainsäädäntöä, korkeakoulun tietosuojapolitiikkaa ja muita korkeakoulun tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita.

Opiskelijan tulee kaikessa toiminnassaan noudattaa voimassa olevaa tietosuojalainsäädäntöä, korkeakoulun tietosuojapolitiikkaa ja muita korkeakoulun tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita.

Opiskelija toimii tutkimustyötään (kuten harjoitus- ja opinnäytetöitään) varten keräämiensä henkilötietojen rekisterinpitäjänä, ellei erikseen ole toisin sovittu. Tämä tarkoittaa, että opiskelija vastaa itse tietosuojalainsäädännön rekisterinpitäjälle asettamien velvoitteiden huomioimisesta.

Henkilörekisterin tai käsittelytoimen vastuuhenkilöksi nimetään asianomaisesta toiminnosta vastaava henkilö. Vastuuhenkilö on velvollinen varmistamaan, että henkilötietojen käsittely on suunniteltu ja dokumentoitu tietosuojaperiaatteet huomioiden, ja että tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein.

Vastuuhenkilö vastaa lisäksi siitä, että henkilörekisteristä on laadittu korkeakoulun ohjeistuksen mukainen tietosuojailmoitus.

Henkilörekisterin tai käsittelytoimen yhteyshenkilöksi nimetään käsittelytoimen tai henkilörekisterin käytännön hallinnoinnista vastaava(t) henkilö(t), kuten järjestelmän pääkäyttäjä(t). Yhteyshenkilö vastaa mm.käsiteltävien henkilötietojen ja tietosuojadokumentaation ajantasaisuudesta.

Henkilötietojen suojan varmistava tietosuojatyö edellyttää koko korkeakouluyhteisön sitoutumista.

Jokainen korkeakoulun työntekijä ja opiskelija ja korkeakoulun järjestelmien ja palveluiden käyttäjä on velvollinen osallistumaan omalta osaltaan tietosuojan ja tietoturvan toteuttamiseen, ylläpitämiseen ja valvontaan.

6. Tietosuojan toteuttaminen korkeakoulussa

6.1 Henkilötietojen käsittelyn periaatteet

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys: Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

Käyttötarkoitussidonnaisuus: Henkilötietoja on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

Tietojen minimointi: Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Täsmällisyys: Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä.

Säilytyksen rajoittaminen: Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Eheys ja luottamuksellisuus: Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Henkilötietojen käsittelyn sisäänrakennettu ja oletusarvoinen tietosuoja edellyttää, että käsittelyn periaatteiden sisältö ja ulottuvuus arvioidaan tapauskohtaisesti ja jo siinä vaiheessa, kun henkilötietojen käsittelyä tai käsittelytavan muutosta ryhdytään suunnittelemaan.

Käsittelyn periaatteet on huomioitava sekä silloin, kun suunnitellaan uusia käsittelytoimia, että silloin kun olemassa olevien käsittelytoimien tai järjestelmien laajuus, luonne tai tarkoitus muuttuu. Arvion tekeminen on kussakin tapauksessa henkilötietojen käsittelyä suunnittelevan henkilön vastuulla. Henkilörekisterin tai käsittelytoimen vastuuhenkilön vastuulla on varmistaa, että käsittelyn periaatteet on huomioitu ja arvio dokumentoitu asianmukaisesti.

6.2 Tietosuojan toteuttaminen

Korkeakoulu on sitoutunut noudattamaan kaikessa toiminnassaan henkilötietojen käsittelyn periaatteita ja toteuttamaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita.

Henkilötietojen asianmukainen käsittely edellyttää, että jokainen korkeakouluyhteisön jäsen huomioi ja toteuttaa omassa toiminnassaan soveltuvin osin ainakin seuraavat toimenpiteet:

Suunniteltaessa käsittelytoimia noudatetaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita

  • Käsittelyn periaatteet huomioidaan jo käsittelytoimia suunniteltaessa
  • Käsittelyn vaikutukset ja riskit arvioidaan rekisteröidyn näkökulmasta
  • Käsittelyyn kohdistuvat riskit minimoidaan asianmukaisilla suojatoimilla
  • Käsittelytoimien suunnittelu ja arviot dokumentoidaan asianmukaisesti

Suoritettaessa käsittelytoimia

  • Käsittelytarkoitusten on aina oltava selviä käsittelyyn osallistuville henkilöille
  • Käsittelyllä on aina oltava tarkoitukseen sidottu lainmukainen käsittelyperuste
  • Käsittely rajoitetaan ennalta määriteltyyn käyttötarkoitukseen
  • Käsittely rajoitetaan käyttötarkoituksen edellyttämään säilytysaikaan
  • Käsittely rajoitetaan vain käsittelytarkoituksen kannalta olennaisiin henkilötietoihin
  • Käsittelytoimista laaditaan asianmukainen tietosuojailmoitus
  • Käsittelytoimet dokumentoidaan asianmukaisesti (ml. lokitietojen ylläpito)
  • Käsittelyn toimintatapoja arvioidaan säännöllisesti

UIkoistettaessa käsittelytoimia

  • Käsittelijä sitoutetaan korkeakoulun edellyttämiin tietoturva- ja suojavaatimuksiin
  • Käsittelijän ja korkeakoulun välillä solmitaan korkeakoulun tietojenkäsittelysopimus
  • Käsittelijän toimintatapoja arvioidaan säännöllisesti

Käsittelyyn osallistuvat henkilöt

  • Käsittelyyn osallistuvat vain ne henkilöt, joiden osallistuminen on tarpeen käsittelytoimen tarkoituksen toteuttamiseksi; käyttöoikeudet rajataan asianmukaisesti
  • Käsittelyyn osallistuvat henkilöt ovat tietoisia rooleistaan ja vastuistaan
  • Käsittelyyn osallistuneet henkilöt ovat suorittaneet tietoturva- ja -suoja koulutuksen
  • Käsittelyyn osallistuvat henkilöt noudattavat tietoturvaa koskevia määräyksiä

Rekisteröidyn asema

  • Rekisteröidylle tarjotaan informaatiota rekisteröityä koskevista käsittelytoimista
  • Rekisteröityjen tietopyyntöihin reagoidaan ilman aiheetonta viivytystä
  • Rekisteröidyille taataan tehokkaat keinot käyttää oikeuksiaan

Henkilötietojen käsittelyn prosessi tulee aina suunnitella ja dokumentoida ennen käsittelyn aloittamista. Henkilötietojen käsittelyn suunnittelussa on huomioitava käsittelyn koko elinkaari.

6.3 Henkilötietojen oikeellisuudesta huolehtiminen

Henkilörekisteritietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia. Kukin työntekijä, opiskelija ja vierailija vastaa itse siitä, että hänen korkeakoululle ilmoittamansa tiedot ovat oikeat ja ajantasaiset.

6.4 Henkilötietojen säilytysajat

Henkilötietoja on pääsääntöisesti sallittua käsitellä niin kauan, kuin ennalta määritetty käsittelytarkoitus edellyttää. Korkeakoulu säilyttää henkilötietoja noudattaen kulloinkin voimassa olevaa tiedonohjaussuunnitelmaa tai arkistonmuodostussuunnitelmaa, jossa on lueteltu eri prosesseissa syntyvät asiakirjat tai tiedot sekä niiden säilytysajat. Säilytysaika tai säilytysajan määrittävä peruste kirjataan kyseistä henkilörekisteriä tai käsittelytoimea koskevaan tietosuojailmoitukseen.

Tutkimusaineistojen säilytysajat on määritettävä tutkimussuunnitelmassa ja aineistonhallintasuunnitelmassa, ja tietojen säilytysaika ilmoitetaan tutkimushankkeen tietosuojailmoituksessa.

Kun määritetty säilytysaika on ohi, henkilötiedot hävitetään tai anonymisoidaan korkeakoulun voimassa olevaa ohjeistusta noudattaen.

6.5 Rekisteröityjen tieto-, tarkastus- ja muut tietosuojapyynnöt

Korkeakoulussa on määritetty toimintaprosessit rekisteröityjen oikeuksien toteuttamiseksi.

Rekisteröidyn oikeudet toteutetaan voimassa olevan lainsäädännön mukaisesti.

6.6 Henkilötietojen käsittelyn ulkoistaminen

Korkeakoulu voi rekisterinpitäjänä ulkoistaa osan henkilötietojen käsittelytoimistaan ulkopuoliselle käsittelijälle. Ulkopuoliseksi henkilötietojen käsittelijäksi voidaan valita ainoastaan sellaisia toimijoita, joilla on riittävät tekniset ja organisatoriset valmiudet käsitellä henkilötietoja tietosuojalainsäädännön mukaisesti. Arvion toimijan soveltuvuudesta tekee henkilörekisterin tai käsittelytoimen vastuuhenkilö.

Henkilörekisterin tai käsittelytoimen vastuuhenkilön velvollisuutena on huolehtia, että korkeakoulun ja palveluntarjoajan välille laaditaan aina kirjallinen sopimus, jossa sovitaan henkilötietojen käsittelyn ehdot. Palveluntarjoaja on sitoutettava korkeakoulun edellyttämiin tietoturva- ja tietosuojavaatimuksiin ja muihin toiminnallisiin vaatimuksiin, ja henkilötietojen käsittelyä on aina määritettävä korkeakoulun tietojenkäsittelysopimuksella.

6.7 Henkilötiedon siirtäminen EU:n ja Euroopan talousalueen (ETA) ulkopuolelle

Henkilötietojen siirto EU:n ja Euroopan talousalueen (ETA) ulkopuolelle edellyttää erityistä huolellisuutta. Henkilötietoja ei saa siirtää alueen ulkopuolelle ilman, että siirrossa on huomioitu tietosuojalainsäädännön mukaiset asianmukaiset suojatoimet.

7. Tietosuoja tutkimuksessa

Tieteellisessä tutkimustarkoitusta varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita ottaen huomioon ne akateemiset tavoitteet, joita yksittäisellä tutkimuksella on. Tieteellisessä tutkimuksessa henkilötietojen käsittelyn on aina perustuttava hyväksyttyyn tutkimussuunnitelmaan.

Henkilötietojen käsittelyn tulee myös tutkimuksessa rajoittua siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi.

Tutkimusaineistojen käsittelytarkoitukset, -perusteet ja säilytysajat sekä muut tietosuojalainsäädännön edellyttämät tiedot on määritettävä jo henkilötietojen käsittelyä suunniteltaessa ja kirjattava tutkimussuunnitelmaan ja aineistonhallintasuunnitelmaan. Käsittelytiedot on ilmoitettava kyseistä tutkimushanketta tai -aineistoa koskevassa tietosuojailmoituksessa.

Tutkittavia voidaan lisäksi informoida muulla tavalla, joka on selkeä ja ymmärrettävä.

Kukin henkilötietojen käsittelyyn osallistuva tutkija vastaa informoinnista.

Mikäli tutkimusaineiston kerääminen edellyttää tutkittavan suostumusta, suostumus tulee pyytää kirjallisesti korkeakoulun ohjeistusta noudattaen.

Korkeakoulun tutkimushankkeissa henkilötietoja käsittelevien henkilöiden tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen korkeakoulu on sitoutunut. Korkeakoulun tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa toimintatapaa ja kulloiseenkin tutkimushankkeeseen sovellettavia eettisiä käytännesääntöjä noudattaen. Mikäli tutkimushanke edellyttää tutkimuseettisen ennakkoarvioinnin tekemistä, ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan.

Korkeakoulu on tutkimushankkeissa rekisterinpitäjä silloin, kun korkeakoulu määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. Tämä toteutuu tutkimushankkeissa, jotka ovat korkeakoulun hyväksymiä ja jotka toteutetaan korkeakoulun perusrahoituksella tai ulkopuolisella korkeakoululle osoitetulla rahoituksella. Korkeakoulu voi lisäksi toimia henkilötietojen käsittelijänä, mikäli korkeakoulu käsittelee toisen rekisterinpitäjän henkilötietoja kyseisen rekisterinpitäjän lukuun.

8. Tietosuoja opinnoissa

Opintoja varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita. Opiskelijan tulee sopia henkilötietojen käsittelystä osana tutkimussuunnitelmaansa opinnäytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkilötietojen kerääminen tai muu käsittely alkaa. Opiskelijan tulee osana opintoja tutustua korkeakoulun henkilötietojen käsittelyä koskevaan ohjeistukseen. Korkeakoulu voi velvoittaa opiskelijan suorittamaan korkeakoulun tarjoaman tietosuojakoulutuksen ennen henkilötietojen käsittelyä.

Opiskelija toimii tutkimustyötään (kuten harjoitus- ja opinnäytetöitään) varten keräämiensä henkilötietojen rekisterinpitäjänä, ellei erikseen ole toisin sovittu. Tämä tarkoittaa, että opiskelija vastaa itse tietosuojalainsäädännön rekisterinpitäjälle asettamien velvoitteiden huomioimisesta.

Opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkilötietojen käsittely tutkimuksessa siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi, sekä huolehtia muutoinkin osaltaan tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan.

9. Tietoturva

Jokaisen henkilötietojen käsittelyyn osallistuvan korkeakouluyhteisön jäsenen tulee noudattaa korkeakoulun tietoturvapolitiikkaa, sääntöjä ja ohjeita.

10. Tietosuojapoikkeamia koskeva ilmoitusvelvollisuus

Jokaisella yliopistoyhteisön jäsenellä on velvollisuus raportoida henkilötietojen suojaa vaarantavista poikkeamista. Tapahtuneesta tai epäillystä poikkeamasta on välittömästi ilmoitettava korkeakoulun kulloinkin voimassa olevan ohjeistuksen mukaisesti.

Henkilöä, joka huomaa, ettei tietosuojapolitiikkaa ole noudatettu hänen henkilötietojensa käsittelyssä, pyydetään asian korjaamiseksi ottamaan yhteyttä korkeakoulun tietosuojavastaavaan.

Henkilöllä on myös oikeus saattaa korkeakoulun toiminnan lainmukaisuus Tietosuojavaltuutetun toimiston arvioitavaksi.

11. Koulutus ja ohjeistus

Jokainen korkeakouluyhteisön jäsen on velvollinen tutustumaan korkeakoulun tietosuojaa ja tietoturvaa koskevaan ohjeistukseen ja noudattamaan sitä. Verkkokoulutuksen tai muun koulutuksen suorittamista voidaan edellyttää, mikäli henkilön tehtävät tai asema korkeakouluyhteisössä tätä edellyttää.

12. Tietosuojapolitiikan vastainen menettely

Tietosuojapolitiikan noudattamatta jättäminen saattaa johtaa siviili- ja julkisoikeudellisiin (mukaan lukien työoikeudellisiin) seuraamuksiin.

Lisätiedot: tietosuoja [at] tuni.fi, dpo [at] tuni.fi