Palvelut

Henkilötietojen käsittelyn tietosuoja ja tietoturva - yleisohje

Tietosuojan ja tietoturvan toteuttaminen kuuluu osaksi jokaisen työntekijän päivittäistä työtä. Tähän lyhyeen ohjeeseen on koottu keskeiset huomioon otettavat asiat henkilötietojen käsittelystä ja tietoturvasta. Ohjeen tarkoitus on helpottaa EU-tietosuoja-asetuksen soveltamista henkilötietojen käsittelyssä. Muistathan myös tutustua Aalto-yliopiston tietosuojapolitiikkaan, joka määrittelee ne pääperiaatteet, vastuut ja toimintatavat, joita Aalto-yliopistossa noudatetaan henkilötietoja käsiteltäessä.
Aalto-yliopiston tietosuojapolitiikka

Henkilötietojen käsittelyn tietosuojan ja tietoturvan pikaohje:

  1. Tunnista, käsitteletkö työtehtävissäsi henkilötietoja ja noudata henkilötietojen käsittelyssä tämän ohjeen neuvoja. Henkilötiedon käsite on laaja. Henkilötietona pidetään mitä tahansa tietoja, jotka voidaan yhdistää johonkuhun henkilöön ja joista henkilö voidaan suoraan tai epäsuorasti tunnistaa (esim. nimi, henkilötunnus, puhelinnumero, luottokortin numero, kuva jne.).
  2. Muista, että yksityisyyden suoja on kaikkien perusoikeus. Käsittele henkilötietoja aina huolellisesti riippumatta siitä, onko kyse sähköisesti, suullisesti tai paperilla käsiteltävistä tiedoista ja muista tietojen suojaaminen sivullisilta. Yliopiston toiminnassa käsitellään tietoturvaltaan eri tasoista tietoa. Ole erityisen huolellinen käsitellessäsi salassapidettäviä henkilötietoja (esim. arkaluonteiset tiedot kuten terveystiedot). Tiedon luokittelun pikaohje (ks. liite alempana) auttaa sinua selvittämään millaista tietoturvan tasoa käsittelemäsi tieto edellyttää ja missä IT-palveluissa tarvittava tietoturvan taso saavutetaan. Tarkka ohjeistus tietojen luokitteluun löytyy sivulta Tietosuojakäytännöt Aallossa.
  3. Käsittele henkilötietoja aina kun mahdollista alkuperäisessä tietojärjestelmässä – Älä siirrä henkilötietoja tarpeettomasti alkuperäisen järjestelmän ulkopuolelle esim. excel-taulukkoihin. Henkilötietojen käsittely alkuperäisessä tietojärjestelmässä on tarpeen myös siitä syystä, että henkilötietojen käsittelystä voidaan tallentaa lokitietoja. Jos on tarpeellista käsitellä henkilötietoja alkuperäisen järjestelmän ulkopuolella tutustu alla olevaan erityisohjeeseen 1.
  4. Kun aloitat uuden henkilötietojen käsittelyä edellyttävän projektin (esim. uusi palvelu), suunnittele henkilötietojen käsittelyn koko elinkaari (kerääminen, hyödyntäminen, muokkaaminen, tuhoaminen) ennen kuin ryhdyt keräämään henkilötietoja ja dokumentoi suunnittelun tulokset
  5. Minimoi henkilötiedot - Harkitse tarkkaan mitä henkilötietoja tarvitsee kerätä ja tallentaa (esim. vältä henkilötunnuksen tarpeetonta käsittelyä).
  6. Uusissa projekteissa (esim. tutkimushanke) muista informoida henkilöitä, joiden tietoja kerätään ennen kuin ryhdyt keräämään henkilötietoja. Lainsäädännössä on tarkkaan määritelty se, mitä rekisteröidyille täytyy kertoa. Käytä siksi mallipohjia henkilöiden informointiin tutkimushankkeissa ja muussa toiminnassa.
  7. Käsittele henkilötietoa vain siihen mihin se on tarkoitettu - Henkilötiedon käsittelyllä pitää olla aina ennalta määritelty peruste ja käyttötarkoitus, voit tarkistaa EU:n tietosuoja-asetuksen mukaiset perusteet tietosuojavaltuutetun sivulta.
  8. Tuhoa tarpeeton ja vanhentunut henkilötieto – Älä säilytä henkilötietoja vain varmuuden vuoksi. Huomioi henkilötietojenkin osalta Tiedonohjaussuunnitelman (TOS) mukaiset henkilötietojen säilytysajat.
  9. Säilytä henkilötiedot turvallisesti - Ei pöydällä vaan lukitussa kaapissa, rajatuilla käyttöoikeuksilla Aallon verkkolevyillä, salattuna kannettavalla tietokoneella tai ulkoisilla muistivälineillä kuten muistitikuilla. Katso TOP-10 tietoturvavinkkien ohjeet salauksesta. Älä anna henkilötietoja kenelle tahansa - Henkilötietoja saavat käsitellä vain ne, joiden työtehtäviin se kuuluu.
  10. Pidä henkilötiedot ajan tasalla - Vain oikea tieto on hyödyllistä.
  11. Siirrä henkilötiedot turvallisesti – Varmista aina vastaanottaja. Jos lähetät luottamuksellisia tai salassa pidettäviä henkilötietoja sähköpostilla, muista lähettää viesti salattuna sähköpostina tai aineisto salattuna liitteenä (Älä lähetä salasanaa sähköpostilla). Jos siirrät henkilötietoja Aalto-yliopiston ulkopuolelle muista, että henkilötietojen siirtoon ETA-alueen ulkopuolelle liittyy erityisvaatimuksia, kts. erityisohje 3. Muista myös varmistaa, että sinulla on oikeus luovuttaa henkilötietoja (henkilötietojen luovutuksesta on informoitu tietosuojailmoituksessa tai muutoin ja vastaanottajan kanssa on sovittu henkilötietojen käsittelyn ehdoista, kts. erityisohje 4.
  12. Ilmoita henkilötiedoille mahdollisesta tapahtuneesta vahingosta tai epäilyttävästä toiminnasta [email protected] –  Toimi nopeasti. Paras tapa paikata virhe tai torjua uhka on kertoa siitä heti. Vahinkojen minimoinnissa aika ratkaisee.

Tiedon luokittelun perusohje ja palvelut

Aalto-yliopistolla on käytössään suuri määrä tietojärjestelmiä ja digitaalisia palveluita. Tähän tiedon luokittelun perusohjeeseen on koottu niistä keskeisimmät helpottamaan sopivaa tiedon käsittely- ja tallennuspaikan valintaa. Useimmiten tietoja käsitellään Aalto-yliopiston tarjoamissa palveluissa, jotka on kyseisen tiedon käsittelypaikoiksi määritelty. Tällöin aaltolaisen työntekijän tai opiskelijan ei tarvitse erikseen tarkistaa luokittelun perusohjeesta sopivaa tiedon käsittely- ja tallennuspaikkaa, riittää kun toimii kunkin palvelun omien ohjeiden mukaisesti.

Lue tiedon luokittelusta ja soveltuvista palveluista
Bookshelves full of books at Aalto University Learning Centre

Erityisohjeita henkilötietojen käsittelyyn

Huomioi erityisohjeet henkilötietojen käsittelystä näissä tilanteissa:

Lisätietoja

Tutustu tarkempiin ohjeisiin henkilötietojen käsittelystä yliopiston eri toiminnoissa, tietojen luokittelusta, säilytysajoista ja päivittäisen työn tietoturvallisuudesta.Ja kysy ellet tiedä! ([email protected]; [email protected]; lakimiehet ja ITS-palvelut).

Otaniemi kampus ilmakuva

Tiedonohjaussuunnitelma TOS

Tiedonohjaussuunnitelma TOS on yliopiston asiakirjojen ja niihin verrattavien tietoaineistojen rekisteröinnin, käsittelyn ja säilyttämisen ohjeisto. Tiedonohjaussuunnitelma sisältää tiedot organisaatiossa syntyvistä asiakirjoista ja tietoaineistoista sekä niiden rekisteröintiin ja käsittelyyn liittyvistä menettelyistä ja julkisuudesta.

Palvelut
gdpr-nn-banner-wj.jpg

Aalto-yliopiston tietosuojapolitiikka

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joita yliopistossa noudatetaan henkilötietoja käsiteltäessä.

Palvelut
Personal data

Henkilötietojen käsittely tutkimuksessa

Tunnista, käsitteletkö henkilötietoja tutkimuksessasi. Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, kuten videokuva tai ääninauhoite henkilöstä, IP-osoite, henkilön paikannustieto tai tietoja, joita yhdistelemällä ihminen voidaan tunnistaa (esimerkiksi osoitetiedot ja työnimike).

Palvelut
Tätä palvelua tarjoaa:

Lakipalvelut

Löysitkö tästä tarvitsemasi tiedon? Jos et, ota meihin yhteyttä.
  • Julkaistu:
  • Päivitetty: