Aalto-yliopiston tietosuojapolitiikka

1. Tietosuojapolitiikan tarkoitus ja tavoitteet

Yliopisto on tiedon, oppimisen ja tutkimuksen keskus, jossa käsitellään jatkuvasti tietoa. Opetuksessa, tutkimuksessa ja hallinnollisissa toimissa suuri osa tästä tiedosta koskee eläviä ihmisiä – ja on siten heidän henkilötietoaan. Aalto-yliopiston hallituksen 14.6.2017 vahvistaman Aalto-yliopiston Tapa Toimia toimintaperiaatteiden mukaisesti Aalto-yliopisto (jäljempänä yliopisto) on sitoutunut suojelemaan yksilön oikeuksia ja vapauksia, kun yliopisto käsittelee hänen henkilötietojaan.  

Tämän tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä. Lisäksi tietosuojan toteuttamiseksi yliopistossa on voimassa käytännesääntöjä ja muuta ohjeistusta, jotka yhdessä tietosuojapolitiikan kanssa muodostavat kokonaisuuden. 

Tavoitteena on varmistaa, että yliopisto noudattaa EU:n tietosuoja-asetuksen (GDPR), kansallisen lainsäädännön ja muun henkilötietojen käsittelyä koskevan lainsäädännön asettamien vaatimusten mukaisia velvoitteita ja, että lainsäädännön noudattaminen on osoitettavissa dokumentaation avulla. 

2. Tietosuojapolitiikan noudattamisvelvollisuus

Aalto-yhteisön jäsenet (johto, työntekijät, opiskelijat sekä akateemiset vierailijat) ovat velvollisia noudattamaan tietosuojapolitiikkaa, tietoturvapolitiikkaa sekä muita yliopiston tietoturvaa ja tietosuojaa koskevia sääntöjä, ohjeita ja hyväksyttyjä käytäntöjä. Jos henkilötietojen käsittely tehdään yliopiston lukuun, tätä tietosuojapolitiikkaa tulee noudattaa riippumatta siitä missä tietoa säilytetään ja riippumatta siitä kuka omistaa käsittelyyn käytetyt välineet. Tietosuojapolitiikkaa tulee myös noudattaa aina kun henkilötietojen käsittelyyn käytetään yliopiston tietojärjestelmiä tai muita tietotekniikkaresursseja.

3. Määritelmät

Tietosuojalla tarkoitetaan yksilön (rekisteröidyn) yksityisyyden ja luottamuksen turvaamista sekä henkilötietojen suojaamista luvattomalta käsittelyltä. Henkilötietojen käsittelyn on aina tapahduttava yksilöityä tarkoitusta varten ja EU:n tietosuoja-asetuksen 6 artiklan mukaisen laillisen käsittelyperusteen nojalla.

Tietoturvalla tarkoitetaan organisaation teknisiä ja hallinnollisia toimenpiteitä tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamiseksi.

Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötiedolla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Henkilötietoja ovat tai voivat olla esimerkiksi nimi, osoite, henkilötunnus, paikkatieto, sähköpostiosoite, IP-osoite, muu verkkotunniste, valokuva, tieto ruokavaliosta, terveystieto tai muu tieto, joka yksin tai yhdistettynä muuhun tietoon kertoo jotain tietystä henkilöstä. 

Arkaluonteisilla (erityisiä henkilötietoryhmiä koskevilla) henkilötiedoilla tarkoitetaan tietoja, joista ilmenee henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisiä tai biometrisiä tietoja, joista henkilö voidaan yksiselitteisesti tunnistaa, terveystietoja taikka tietoja luonnollisen henkilön seksuaalista käyttäytymisestä ja suuntautumisesta.

Pseudonymisoidulla tiedolla tarkoitetaan tietoa, joka on käsitelty niin, ettei tietoa voi suoraan yhdistää tiettyyn henkilöön käyttämättä lisätietoja.  

Anonymisoidulla tiedolla tarkoitetaan tietoa, joka on käsitelty siten, ettei sen yhdistäminen henkilöön ole enää mahdollista. 

Henkilötietojen käsittelyä on esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, muuttaminen, haku, yhdistäminen sekä tietojen luovuttaminen ja tuhoaminen.

Tietosuojailmoitus (EU:n tietosuoja-asetus 13 ja 14 artiklat) on rekisterinpitäjän rekisteröidyille antama informaatio mm. henkilötietojen laillisesta käsittelyperusteesta, käsittelyn tarkoituksista, kerättävistä henkilötiedoista ja rekisteröidyn oikeuksista.

Seloste käsittelytoimista (EU:n tietosuoja-asetus 30 artikla) on rekisterinpitäjän sisäinen dokumentti vastuullaan oleviin henkilörekistereihin liittyvistä käsittelytoimista.

4. Julkisuusperiaate

Henkilötietojen suojaa koskevan lainsäädännön lisäksi toimintaamme Aallossa ohjaa julkisuuslain (621/1999) soveltaminen. Julkisuusperiaatteen mukaan yliopiston hallussa oleva tieto on julkista, jollei laissa erikseen toisin säädetä. Henkilötietojen julkisuus määräytyy siten julkisuuslain mukaisesti. Julkisuuslakia sovelletaan myös henkilötietojen luovuttamiseen yliopiston henkilörekisteristä.  Julkisuuslain soveltamisen perusteella yliopisto voi olla velvollinen luovuttamaan henkilötietoja sisältäviä tietoja sivullisille. 

5. Vastuut ja roolit tietosuojan toteuttamisessa

Yliopiston johdolla on tietosuoja-asioiden yliopistotasoinen vastuu. Johto vastaa yliopiston tietosuojapolitiikasta, yliopistotasoisen ohjeistuksen vahvistamisesta sekä tietosuojan kehittämisen järjestämisestä ja resursoinnista. Tietosuojan ja tietoturvan yliopistotasoisen ohjeistuksen sekä koulutuksen laatimisesta ja tarjoamisesta vastaavat yliopiston tietosuojavastaava ja tietoturvapäällikkö apunaan yliopiston tietosuojatyöryhmä, jonka jäsenet kukin oman vastuu- ja osaamisalueensa osalta osallistuvat ohjeistuksen ja koulutuksen laatimiseen ja tarjoamiseen.

Laitosten ja palveluyksiköiden johtajilla on velvollisuus varmistaa, että laitoksessa tai palveluyksikössä noudatetaan tietosuojalainsäädäntöä ja tätä tietosuojapolitiikkaa. Johtajat voivat delegoida tietosuoja-asioiden hallinnoinnin laitoksen, yksikön tai hankkeen tietosuoja-asioiden yhteyshenkilöille, mutta oikeudellinen vastuu on tällöinkin johtajalla. 

Kaikissa yksiköissä ja laitoksissa tulee täsmentää työntekijöiden roolien (vastuuhenkilö/yhteyshenkilö/pääkäyttäjä/käyttäjä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä jokaisen henkilörekisterin osalta sekä varmistaa, että laitoksen tai yksikön ne työntekijät, jotka käsittelevät henkilötietoja on perehdytetty yliopiston tietosuoja- ja tietoturvamääräyksiin ja ohjeisiin. Palvelu- ja laitosjohtajan tulee omalla vastuualueellaan varmistua siitä, että käytetään tietojärjestelmiä, jotka vastaavat Aallon tietoturva-, tietosuoja- ja kokonaisarkkitehtuuri-periaatteita. Esimiesten tulee valvoa, että henkilöstö noudattaa tietoturvasta ja tietosuojasta annettuja määräyksiä ja ohjeita.

Henkilörekisterin vastuuhenkilöksi tulee yleensä nimetä asianomaisesta toiminnosta vastaava henkilö. Henkilörekisterin vastuuhenkilö on velvollinen varmistamaan vastuullaan olevan henkilörekisterin osalta, että henkilötietojen käsittely on suunniteltu tietosuojaperiaatteet huomioiden ja tietosuojavelvollisuuksien noudattamisesta huolehditaan tarvittavin teknisin ja organisatorisin toimenpitein.  

Henkilörekisterin yhteyshenkilöksi nimetään henkilörekisterin käytännön hallinnoinnista vastaava(t) henkilö(t), esimerkiksi järjestelmän pääkäyttäjä(t). Yhteyshenkilö vastaa mm. henkilörekisterin ja tietosuojadokumentaation ajantasaisuudesta ja rekisterin käyttämisestä yliopiston tehtäviin. 

Tutkimuksen vastuullinen johtaja vastaa tutkimushankkeissaan siitä, että projektissa noudatetaan tietosuojalainsäädäntöä ja tätä tietosuojapolitiikkaa sekä siitä, että tutkijat, jotka käsittelevät henkilötietoja suorittavat henkilötietojen käsittelyn käytäntöihin perehdyttävän koulutuksen ennen käsittelyn alkamista. Tutkimuksen vastuullinen johtaja täsmentää työntekijöiden roolien (vastuuhenkilö/yhteyshenkilö/käsittelijä) mukaiset vastuut ja velvollisuudet henkilötietojen käsittelyssä tutkimusrekisterin osalta noudattaen soveltuvin osin edellä kuvattua vastuunjakomallia.

Yliopiston tietosuojavastaava vastaa tietosuoja-asioiden neuvonnasta ja opastuksesta, seuraa tietosuoja-asetuksen ja tämän tietosuojapolitiikan noudattamista yliopistossa sekä raportoi poikkeamista johdolle. Tietosuojavastaava toimii yliopiston valvontaviranomaiselle, tietosuojavaltuutetulle, ilmoittamamana yliopiston tietosuojayhteyshenkilönä.

Yliopiston tietoturvapäällikkö vastaa yliopiston tietojärjestelmien tietoturvallisuudesta sekä tietoturvaan liittyvästä neuvonnasta ja opastuksesta sekä ilmoitettujen tietoturvapoikkeamien käsittelystä.       

Jokainen yliopiston työntekijä ja opiskelija ja yliopiston järjestelmien ja palveluiden käyttäjä on velvollinen osallistumaan omalta osaltaan tietosuojan toteuttamiseen, ylläpitämiseen ja valvontaan mm. noudattamalla tietosuoja-ja tietoturvamääräyksiä ja ilmoittamalla tietoturvaryhmälle jokaisesta havaitsemastaan tietoturvan tai tietosuojan vaarantumisesta.

6. Henkilötietojen käsittely yliopistossa

Yliopistossa käsitellään tietoja yliopistossa opiskelevista ja työskentelevistä sekä yliopiston kanssa yhteistyössä toimivista henkilöistä, kuten entisistä ja nykyisistä opiskelijoista ja työntekijöistä, hakijoista, tutkimukseen osallistuvista henkilöistä ja alumneista ja yhteistyökumppaneista. Henkilötietoja tulee käsitellä tämän tietosuojapolitiikan mukaisesti ja seuraten hyväksyttyjä suunnitelmia, joissa määritellään henkilötietojen käsittelyperuste ja tarkoitukset, joiden mukaisesti yliopisto käsittelee ja säilyttää henkilötietoja. 

Yliopiston toiminnassa voi olla tarve käsitellä arkaluonteisia henkilötietoja, kuten tietoja terveydentilasta sairasloman yhteydessä tai tietoja toimintarajoitteisuudesta luentosalijärjestelyiden yhteydessä. Arkaluontoisten henkilötietojen käsittely tutkimuksessa edellyttää yliopiston tutkimuseettisen toimikunnan antamaa lausuntoa. 

7. Tietosuojan toteuttaminen yliopistossa

7.1. Henkilötietojen käsittelyn suunnittelu ja tietosuojan yleiset periaatteet

Henkilötietojen käsittelyn koko elinkaari tulee suunnitella ennen kuin henkilötietoja ryhdytään keräämään tai kun järjestelmiin tehdään merkittäviä muutoksia. 

Kaikessa henkilötietojen käsittelyssä tulee noudattaa seuraavia tietosuojan perusperiaatteita: 

• henkilötiedon käsittelyllä on laillinen käsittelyperuste;
• henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot henkilötietojen keräämisestä ja käsittelystä;
• käsittelyn käyttötarkoitukset on määritelty ja rajattu käyttötarpeen mukaisesti;
• käsittelyssä noudetaan tietoturvaa koskevia määräyksiä;
• työntekijät ja opiskelijat, jotka käsittelevät henkilötietoja, ovat suorittaneet tietosuojakoulutuksen;
• niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä;
• henkilötietojen käsittelyn riskit arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan - esimerkiksi pseudonymisoinnin avulla - ja jos riskit ovat suuret, toteutetaan käsittelyä koskeva vaikutustenarviointi;
• käsitellään vain tarpeellisia henkilötietoja;
• huolehditaan tietojen oikeellisuudesta;
• noudatetaan sisäänrakennetun tietosuojan periaatetta;
• tietojenkäsittelytoimet dokumentoidaan;
• henkilötietoja säilytetään vain käyttötarkoituksen edellyttämän ajan;
• tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti.

Sisäänrakennetun tietosuojan periaatteen toteuttaminen tarkoittaa käytännössä muun muassa seuraavaa: 

Yliopiston työntekijät, jotka ovat vastuussa uusien tai merkittävästi muuttuneiden henkilötietoja käsittelevien järjestelmien määrittelemisestä ja suunnittelusta ottavat huomioon henkilötietojen suojan ja suoritettavat tarpeelliset riskien- ja/tai vaikutustenarvioinnit. Vastaavasti tutkimus-, opinto- tai muussa projektissa tulee tehdä riskiarvio ja siihen perustuen valita sopivat tekniset ja organisatoriset ratkaisut henkilötietojen suojan toteuttamiseksi. Tutkimus-, opinto- tai muu projekti voi myös vaatia tietosuojaa koskevan vaikutustenarvioinnin toteuttamisen. Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettistä arviointiprosessia. 

Työntekijöiden ja opiskelijoiden, hakijoiden, alumnien, yhteistyökumppaneiden, palveluiden käyttäjien, verkkosivuilla vierailevien ja muiden rekisteröityjen henkilötietoja käsittelevät yksinomaan ne henkilöt, joiden työtehtäviin se kuuluu. Käyttö- ja lukuoikeudet tietojärjestelmiin määritetään ja myönnetään aina työtehtävän edellyttämässä laajuudessa vain niille henkilöille, jotka tarvitsevat ko. tietojärjestelmän sisältämän henkilörekisterin tietoja heille annetun tehtävän hoitamiseksi.

Opiskelijoiden ja opiskelijaksi hakevien henkilötietoja käsittelevien työntekijöiden, tulee noudattaa opinto-asioiden tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. Vastaavasti tutkimuksessa henkilötietojen käsittelevien työntekijöiden tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut.  

7.2. Henkilötietojen käsittelystä informoiminen

Henkilörekisteristä vastaavan tulee huolehtia, että henkilötietojen käsittelystä annetaan tietosuoja-asetuksen edellyttämä informaatio yliopiston verkkosivuilla julkaistavissa tai muutoin rekisteröityjen tietoon saatettavissa tietosuojailmoituksissa. Kunkin henkilörekisterin vastuuhenkilö on myös velvollinen huolehtimaan siitä, että rekisteristä on laadittu yliopiston sisäinen seloste käsittelytoimista.

7.3. Henkilötietojen oikeellisuudesta huolehtiminen

Henkilörekisteritietojen ajantasaisuudesta ja oikeellisuudesta tulee huolehtia. Yliopiston työntekijöitä koskevien henkilörekisteritietojen ajantasaisuuden varmistamiseksi jokainen työntekijä vastaa palkanmaksua varten antamiensa henkilökohtaisten tietojen sekä muiden ilmoittamiensa tietojen oikeellisuudesta ja ajantasaisuudesta. Työsuhteen aikana työntekijän tulee ilmoittaa em. tietoja koskevat muutokset henkilöstöpalveluiden kulloinkin voimassa olevan ohjeistuksen mukaisesti (esimerkiksi tilinumeron- ja osoitteenmuutokset työntekijä ilmoittaa Personec ESS-järjestelmän kautta). Opiskelijarekisteritietojen ajantasaisuuden varmistamiseksi opiskelijoiden tulee tarkistaa henkilötietojensa oikeellisuus ja päivittää henkilötietonsa opiskelijoiden portaalissa tarvittaessa ja vähintään kerran lukuvuodessa. Muiden henkilörekisterien osalta tietojen päivityksistä sovitaan rekisteröityjen kanssa tai tiedot päivitetään julkisia rekistereitä hyödyntämällä (esim. Väestötietojärjestelmän kautta).

7.4. Henkilötietojen säilytysajat

Henkilötiedot säilytetään Aalto-yliopiston tiedonohjaussuunnitelman mukaisesti. Tiedonohjaussuunnitelmassa on lueteltu eri prosesseissa syntyvät asiakirjat tai tiedot, sekä niiden:

• säilytysajat tai säilytysajan määrittämiskriteerit, 
• lakisääteiset julkisuustiedot tai salassapitotiedot, lain säännös, johon salassapito perustuu ja salassapitoaika,
• henkilötietoluonne,
• rekisteröintijärjestelmä, johon tieto on tallennettu,
• tarkentavat tiedot kyseisen asiakirjaryhmän julkisuudesta, säilytyksestä tai arkistoinnista.

Kun tiedonohjaussuunnitelman mukainen säilytysaika on päättynyt, tulee asiakirjat ja järjestelmässä oleva tieto tuhota turvallisesti tietoaineiston tuhoamisesta annetun ohjeistuksen mukaisesti. 

Tutkimusaineistojen säilytysajat määräytyvät tutkimussuunnitelman ja aineistonhallintasuunnitelman mukaisesti ja säilytysaika kerrotaan tutkimushankkeen tietosuojailmoituksessa.  

​​​​​​​7.5. Henkilötietojen käsittelyn ulkoistaminen

Yliopisto voi rekisterinpitäjänä ulkoistaa osan henkilötietojen käsittelytoimistaan ulkopuoliselle käsittelijälle. Ulkopuoliseksi henkilötietojen käsittelijäksi valitaan sellaisia kumppaneita, jotka noudattavat hyvää henkilötietojen käsittelytapaa sekä täyttävät EU:n tietosuoja-asetuksen vaatimukset. Yliopiston ja palveluntarjoajan välille laaditaan kirjallinen sopimus (henkilötietojen käsittelysopimus), jossa määritellään henkilötietojen käsittelyn kohde, tarkoitus sekä muut tietosuoja-asetuksen edellyttämät tiedot. 

​​​​​​​7.6. Automaattinen päätöksenteko

Automaattista päätöksentekoa on yksinomaan automaattisesti toteutettu käsittely, jolla on henkilöä kokevia oikeusvaikutuksia. Yliopistossa henkilön tai esim. henkilön suorituksen arviointien tuloksena ei tehdä päätöksiä automatisoidusti, vaan esim. siten, että yliopiston henkilökunnan jäsen valvoo automaattisen arvioinnin tuloksia, tai koelautakunta päättää kokeiden lopputulokset. 

8. Tietosuoja tutkimuksessa ja opinnoissa ​​​​​​​

8.1. Henkilötietojen käsittely tutkimuksessa

Tieteellistä tutkimustarkoitusta varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita ottaen lisäksi huomioon ne akateemiset tavoitteet, joita yksittäisellä tutkimuksella on.  Tietosuoja- ja tietoturvavaatimukset otetaan huomioon tutkimussuunnitelmassa ja aineistonhallintasuunnitelmassa. Tutkittavan kannalta keskeiset seikat informoidaan tutkittaville selkeästi ja ymmärrettävästi ja henkilötietojen käsittelystä annetaan tutkittavalle lainsäädännön edellyttämät tiedot. Tutkijat vastaavat tutkimusprojektiin osallistuvien informoinnista.

Henkilöiden, jotka yliopiston tutkimushankkeissa käsittelevät henkilötietoja, tulee noudattaa tutkimuksen tietosuojan käytännesääntöjä, joiden noudattamiseen yliopisto on sitoutunut. Yliopistossa toimivien tutkijoiden tulee käsitellä henkilötietoja hyvän tieteellisen käytännön mukaisesti osana tutkimuksen eettisyyttä, laadukkuutta ja tiedeyhteisön integriteetin turvaavaa toimintatapaa European Code of Conduct for Research Integrity mukaisesti. Tarvittava tutkimuseettinen ennakkoarviointi tulee tehdä ennen kuin henkilötietojen keräys aloitetaan, noudattaen Tutkimuseettisen neuvottelukunnan (TENK) ja yliopiston ohjeistusta. 

Henkilötietojen käsittelyn tulee myös tutkimuksessa rajoittua siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi. Lisäksi tulee käyttää tietojen pseudonymisointia tai anonymisointia milloin se on tutkimuksen kannalta mahdollista. 

​​​​​​​8.2. Henkilötietojen käsittely osana opintoja  

Opintoja varten tapahtuvassa henkilötietojen käsittelyssä noudatetaan tämän tietosuojapolitiikan periaatteita. Opiskelijan tulee sopia henkilötietojen käsittelystä osana tutkimussuunnitelmaansa opinnäytteen vastuullisen ohjaajan tai kurssin vastuuopettajan kanssa ennen kuin henkilötietojen kerääminen tai muu käsittely alkaa. Opiskelijan tulee osana opintoja tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen ja on suositeltavaa, että hän suorittaa yliopiston tarjoaman tietosuojakoulutuksen ennen henkilötietojen käsittelyä. Opiskelijan tulee huolehtia tietosuojailmoituksen antamisesta tutkimukseen osallistuville, rajoittaa henkilötietojen käsittely tutkimuksessa siihen vähimmäismäärään, joka on tarpeen akateemisten tavoitteiden saavuttamiseksi sekä huolehtia muutoin tietosuojaperiaatteiden toteuttamisesta tutkimuksessaan. 

9. Tietoturva

Jokaisen yliopiston työntekijän ja opiskelijan tulee henkilötietoja käsitellessään omalta osaltaan varmistaa, että henkilötietoja säilytetään turvallisesti ja henkilötietoja ei anneta kolmannelle osapuolelle vahingossa tai tarkoituksella lainvastaisella tavalla taikka tallenneta alhaisen tietoturvatason palveluihin. Eheyden, luottamuksellisuuden ja käytettävyyden varmistamiseen pyritään sekä tietoteknisien ratkaisujen että prosessien avulla. Vastuu eheyden, luottamuksellisuuden ja käytettävyyden toteutumisesta on jokaisella yliopistossa henkilötietoja käsittelevällä. 

Perustan tiedon suojaamiselle (eheys ja luottamuksellisuus) antavat yliopiston tietoaineiston käsittelysäännöt. Tietoaineiston käsittelysäännöissä kuvataan toimintatavat, joiden avulla estetään aineiston joutuminen ulkopuolisten käsiin. Käsittelysäännöt sisältävät ohjeet esimerkiksi tiedon salaukseen eri tilanteissa. Tietoaineiston käsittelysäännöt koskevat tietoa sen kaikissa olomuodoissa, esimerkiksi tietojärjestelmissä, dokumentissa, tulostettuna, varmuuskopiona jne. Turvaluokitellun tiedon sijoittaminen johonkin tietojärjestelmään edellyttää, että tietojärjestelmä täyttää turvaluokan vaatimukset. 

10. Tietoturvapoikkeamat ja tietosuojaloukkaukset  

Tietoturvapoikkeama on tapahtuma, jonka seurauksena yliopiston vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyys vaarantuu. Jokaisella on velvollisuus raportoida tietoturvapoikkeamasta. Tietoturvapoikkeamia ovat esim. muistivälineiden tai laitteiden katoaminen sekä merkittävät haittaohjelmat. Tapahtuneesta tai epäillystä tietoturvapoikkeamasta on heti ilmoitettava ottamalla yhteyttä yliopiston tietoturvaryhmään, esimerkiksi sähköpostilla osoitteeseen security(at)aalto.fi, tai muutoin tietoturvaryhmän ohjeistuksen mukaisesti. Tietoturvaryhmä käsittelee yliopistoa koskevat tietoturva- ja tietosuojapoikkeamailmoitukset ja avustaa poikkeamien ratkaisemisessa mm. tutkimalla mahdolliset tietomurrot.

Tietosuoja-asetuksen mukaisesti yliopiston tietosuojavastaava ilmoittaa ilman aiheetonta viivästystä ja viimeistään 72 tunnin sisällä tietosuojavaltuutetulle, jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa riskin henkilöiden oikeuksille ja vapauksille. Jos tapahtuu henkilötietojen tietoturvaloukkaus, joka todennäköisesti aiheuttaa korkean riskin henkilöille, ilmoittaa tietosuojavastaava viivytyksettä asianomaisille henkilöille.

11. Henkilötiedon käsittely EU:n ja European Economic Area -alueen (EEA) ulkopuolella

Yliopisto siirtää tai luovuttaa henkilötietoja EU:n ja European Economic Area -alueen (EEA) ulkopuolelle maihin, jotka eivät tarjoa EU:n tietosuoja-asetuksen mukaista tietosuojaa vain, jos tämä voidaan toteuttaa tietosuoja-asetuksen vaatimusten mukaisesti. Jokaisen yliopistossa henkilötietoja käsittelevän tulee omalta osaltaan varmistaa, että esim. pilvipalveluja käytettäessä palvelun tietosuojataso on säännösten mukainen.

12. Rekisteröityjen tieto-, tarkastus- ja muut tietosuojapyynnöt

Henkilötietojen suojaan kuuluu mm. oikeus tutustua hänestä kerättyihin tietoihin ja tietyin rajoituksin, jotka koskevat mm. tutkimusaineistoja, saada tiedot korjatuiksi tai poistetuiksi. Yliopisto toteuttaa rekisteröityjen tieto- tarkastus-, korjaus- ja poistamispyyntöjä varten sähköisen menettelyn, jota ylläpitää tietosuojavastaava.

13. Koulutus ja ohjeistus

Yliopisto pyrkii varmistamaan, että henkilökunta on tietoinen tietosuoja- ja tietoturvavaatimuksista sekä vastaa koulutuksen ja ohjeiden tarjoamisesta. Jokaisen henkilökunnan jäsenen tulee tutustua yliopiston henkilötietojen käsittelyä koskevaan ohjeistukseen. Verkkokoulutuksen tai muun koulutuksen suorittaminen ennen henkilötietojen käsittelemistä edellytetään, jos työtehtävät sitä vaativat. 

Yliopiston tietosuojailmoitukset, käytännesäännöt- ja ohjeet, koulutusmateriaalit ja muu tietosuojainformaatio julkaistaan yliopiston verkkosivuilla.

14. Tietosuojapolitiikan vastainen menettely

Henkilötietoja sisältävien tietojärjestelmien käyttöä valvotaan teknisesti mm. käyttäjähallintaratkaisulla ja keräämällä lokitietoja. Jos tietosuojan epäillään tai havaitaan vaarantuneen rikkomuksen vuoksi, asia tutkitaan viipymättä ja rikkomuksen tekijää vastaan ryhdytään rikkomuksen luonteen vaatimiin toimenpiteisiin.

Henkilö, joka huomaa, ettei tietosuojapolitiikkaa ole noudatettu henkilötietojen käsittelyssä, on asian korjaamiseksi otettava yhteyttä yliopiston tietosuojavastaavaan sähköpostitse tietosuojavastaava(at)aalto.fi. Henkilöllä on myös oikeus saattaa yliopiston toiminnan lainmukaisuus Tietosuojavaltuutetun toimiston arvioitavaksi. 

15. Tietosuojapolitiikan voimaantulo ja ylläpito

Yliopiston rehtori on hyväksynyt tämän henkilötietojen suojaa koskevan politiikan yliopiston henkilökuntaa, opiskelijoita ja muita yliopisto-yhteisön jäseniä sitovaksi säännöstöksi 25.5.2018 lukien. Yliopiston tietosuojavastaava vastaa siitä, että tietosuojapolitiikka pysyy ajankohtaisena ja sitä tarkistetaan muutostarpeita vastaavaksi.