Diakin tietosuojakäytäntö

Tietosuojalla tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista.

Diakonia-ammattikorkeakoulun tietosuojakäytäntö määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.

Diakonia-ammattikorkeakoulu on sitoutunut noudattamaan EU:n yleistä tietosuoja-asetusta (2016/679) ja siihen liittyvien lakien ja muiden normien vaatimuksia.

Tämä käytäntö koskee kaikkia ammattikorkeakoulun vastuulla olevia henkilötietoja ja niiden käsittelyä riippumatta niiden käsittelypaikasta, välineistä tai muista järjestelyistä.

Diakonia-ammattikorkeakoulu varmistaa, että tätä tietosuojakäytäntöä ja lainsäädäntöä noudatetaan ja että käytäntö pysyy ajankohtaisena ja sitä tarkistetaan muutostarpeita vastaavaksi.

Diakonia-ammattikorkeakoulu ylläpitää lain ja asetusten vaatimaa tietosuojaselostetta vastuullaan olevista käsittelytoimista.

Periaatteiden toteuttaminen on selostettu tarkemmin Diakonia-ammattikorkeakoulun toiminnan eri alueiden tietosuojaselosteissa.

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
2. Käyttötarkoitussidonnaisuus
3. Tietojen minimointi
4. Täsmällisyys
5. Säilytyksen rajoittaminen
6. Eheys ja luottamuksellisuus

Periaatteet toteutetaan mm. siten että:

1. henkilötiedon käsittelyllä on lainmukainen käsittelyperuste
2. henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä
3. käsittely rajoitetaan käyttötarkoituksen mukaisesti
4. käsittelyssä noudetaan tietoturvaa koskevia määräyksiä
5. opiskelijat ja työntekijät, jotka käsittelevät henkilötietoja ovat suorittaneet tietosuojakoulutuksen
6. niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä
7. henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan esimerkiksi pseudonyymisoinnin avulla ja käsittelyä koskeva vaikutustenarviointi suoritetaan jos riskit ovat suuret
8. käsitellään vain tarpeellisia henkilötietoja
9. huolehditaan tietojen oikeellisuudesta
10. tietojenkäsittelytoimet dokumentoidaan
11. tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti
12. noudatetaan sisäänrakennetun tietosuojan periaatetta

Diakonia-ammattikorkeakoulun on pystyttävä osoittamaan, että yllä mainittuja henkilötietojen käsittelyn periaatteita noudatetaan. Periaatteiden toteutuminen kuvataan vuosittaisessa tietotilinpäätöksessä. Tietotilinpäätös tehdään tammi-helmikuussa tietosuojatiimin toimesta ja se viedään johtoryhmälle tiedoksi.

Diakonia-ammattikorkeakoulun on varmistettava työnantajan roolissa, että jokainen työntekijä ymmärtää periaatteiden merkityksen ja noudattaa niitä sekä huolehtii henkilötietojen erityisryhmiin kuuluvien tietojen (arkaluonteiset henkilötiedot) tarkemmista käsittelyehdoista ja suojaamisesta.

Tietoja voivat käyttää ainoastaan niitä työssään tarvitsemat henkilöt ja työtehtävänsä suorittamisen edellyttämässä laajuudessa. Tietoja voi luovuttaa ainoastaan henkilön itsensä suostumuksella tai lainsäädännön nojalla.

Diakonia-ammattikorkeakoulun työntekijät, jotka ovat vastuussa uusien tai merkittävästi muuttuneiden henkilötietoja käsittelevien järjestelmien määrittelemisestä ja suunnittelusta ottavat huomioon henkilötietojen suojan ja suoritettavat tarpeelliset vaikutustenarvioinnit.

Tutkimus-, opinto- tai muu projekti voi myös vaatia tietosuojaa koskevan vaikutustenarvioinnin suorittamisen, jos henkilötietojen käsittely aiheuttaa riskejä käsittelyn kohteille.

Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettistä arviointiprosessia.

Diakonia-ammattikorkeakoulu valvoo tietosuojalainsäädännön noudattamista toiminnassaan suorittamalla sisäistä valvontaa, auditointeja, opastusta ja ohjausta. Diakonia-ammattikorkeakoulu tuottaa ohjeet tarvittavien teknisten ja organisatoristen toimenpiteiden täyttämiseksi eri ammattikorkeakoulun toiminnoissa.

Diakonia-ammattikorkeakoulu huolehtii rekisteröityjen oikeuksista lain ja asetuksen mukaisesti. Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä. Poistamisoikeus ei ulotu henkilötietoihin, joita ammattikorkeakoulu käsittelee lakisääteisen tehtävän perusteella, yleisen edun vuoksi, tai joihin ammattikorkeakoululla on muu säilyttämisvelvoite.

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.

Rekisteröidyllä voi olla oikeus siirtää tiedot järjestelmästä toiseen, mikäli kyseessä on sellainen tieto, johon kyseinen oikeus soveltuu.

Diakonia-ammattikorkeakoulu kouluttaa koko henkilökunnan tietosuojan peruskäsitteisiin ja toimenpiteisiin, ja tarjoaa syvällisempää koulutusta sitä tarvitseville.

Diakonia-ammattikorkeakoululla on tietosuojavastaava ja tietosuojatiimi.

Tietosuojavastaava vastaa kysymyksiin, jotka liittyvät tähän tietosuojakäytäntöön, ammattikorkeakoulun tietosuoja-asetuksen ja muun henkilötietoja koskevan lainsäädännön noudattamiseen ja henkilötietojen käsittelyyn ammattikorkeakoulussa.

Tämän lisäksi, tietosuojavastaavan tehtäviin kuuluvat seuraavat asiat:

a) valvoa, että tätä tietosuojakäytäntöä noudatetaan;
b) toimia valvontaviranomaisen yhteyshenkilönä; ja
c) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista, valvoo ja kehittää tietosuojakäytänteitä.

Rekisterikohtaisiin tiedusteluihin vastaavat ilmoituksiin ja selosteisiin merkityt yhteydenottopisteet.

Tästä tietosuojakäytännöstä ja sen muutoksista tiedotetaan Diakonia-ammattikorkeakoulun sisäisissä viestintäkanavissa.

Diakonia-ammattikorkeakoulun tietosuojakäytäntö on voimassa toistaiseksi. Se on asiakirjana julkinen ja saatavissa ammattikorkeakoulun ulkoisilta ja sisäisiltä verkkosivuilta.