Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolian henkilöstöhallinnon rekisteri
Nimi
Metropolia Ammattikorkeakoulu Oy
Yhteystiedot
Metropolia Ammattikorkeakoulu Oy (y-tunnus: 2094551-1)
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): 09 7424 5000
Rekisterinpitäjän vastuuhenkilö
Nimi: Riitta Konkola
Tehtävä: Toimitusjohtaja-rehtori
Rekisterin sisällöstä vastaava henkilö
Nimi: Mikko Jäkälä
Tehtävä: Henkilöstöjohtaja/Henkilöstöpalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: mikko.jakala [at] metropolia.fi (mikko[dot]jakala[at]metropolia[dot]fi)
Rekisterin yhteyshenkilön yhteystiedot
Nimi: Mikko Jäkälä
Tehtävä: Henkilöstöjohtaja/Henkilöstöpalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: mikko.jakala [at] metropolia.fi (mikko[dot]jakala[at]metropolia[dot]fi)
Metropolian tietosuojavastaava, Suvi Väänänen
Puhelin: +358 40 844 0690
Sähköposti: tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Henkilötietojen käsittelyn tarkoitus:
Metropolian henkilöstöhallinnon rekisterin ja sen sisältämien henkilötietojen käsittelyn tarkoitus on toteuttaa rekisterinpitäjän (Metropolia Ammattikorkeakoulu Oy:n) henkilöstöhallinnon (henkilöstöpalvelut, HRM) avulla Metropolia Ammattikorkeakoulu Oy:n lakisääteisiä työnantajan velvollisuuksia.
Henkilöstöhallinto käsittelee henkilötietoja seuraaviin tarkoituksiin:
- henkilöstösuunnittelu- ja raportointi;
- työntekijöiden rekrytointi ja perehdyttäminen;
- henkilöstön palkanlaskenta, palkanmaksu sekä palkkioiden hallinta;
- apurahojen sekä matka- ja kululaskujen maksatus;
- vuosilomien ja muiden vapaiden sekä poissaolojen hallinta;
- jäsenyysasioiden hallinnointi;
- tasa-arvo- ja yhdenvertaisuus;
- työsuhteiden hoitaminen;
- osaamisen johtaminen ja kehittäminen;
- toiminnan ohjaus ja seuranta (esim. henkilöstötutkimukset ja laatu);
- työkyvyn tukeminen sekä työterveys- ja työhyvinvointipalvelut;
- työturvallisuuslain velvoitteiden täyttäminen;
- työtapaturmavakuutukset;
- yhteistoiminta.
Henkilötietojen käsittelyn oikeusperuste:
Metropolian henkilöstöhallinnon rekisterissä olevien henkilötietojen käsittely perustuu sellaisen sopimuksen (kuten työ- tai muu toimeksiantosopimus) täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (EU:n yleisen tietosuoja-asetuksen ”GDPR” 6 art. 1. b ja GDPR 6 art. 1. f). Oikeutettu etu on kyseessä, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten se, että rekisteröity on rekisterinpitäjän palveluksessa.
Lisäksi henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (GDPR 6 art. 1. c). Metropolia Ammattikorkeakoulu Oy toteuttaa lakisääteisiä työnantajan velvollisuuksia henkilöstöhallinnon tehtäviä toteuttaessaan noudattaen sovellettavia työsopimus-,yhteistoiminta-, työsuojelun valvonta-, työturvallisuus- ja työterveyshuoltolain säännöksiä sekä työehtosopimuksen määräyksiä.
Jos kyse on erityiseen henkilötietoryhmään kuuluvasta henkilötiedosta (mm. ammattiliiton jäsenyys), joka on GDPR:ssä luokiteltu arkaluonteinen henkilötieto, perustuu tällaisten henkilötietojen käsittely rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan unionin oikeudessa tai kansallisessa lainsäädännössä tai työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista (GDPR 9 art. 2. b).
Henkilötietojen käsittely perustuu rekisteröidyltä saatuun nimenomaiseen suostumukseen (terveystiedot), jotka ovat erityiseen henkilötietoryhmään kuuluvia arkaluonteisia henkilötietoja (GDPR 9 art. 2. a).
Oikeutettu etu on kyseessä, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten se, että rekisteröity on rekisterinpitäjän palveluksessa.
Metropolian henkilöstöhallinnon rekisterin rekisteröityjä ovat Metropolian henkilöstö (opettajat ja muut työntekijät).
Metropolian henkilöstöhallinnon rekisteriin tallennetaan seuraavia henkilötietoja henkilötietoryhmittäin:
PERUSTIEDOT:
- etunimi, sukunimi, entiset sukunimet, syntymäaika, henkilötunnus, osoite, maa, puhelinnumero, sukupuoli, sähköpostiosoite, koulutustaso, ammatti;
- rekisteröidyn ilmoittaman läheisen etunimi, sukunimi, puhelinnumero ja osoite;
- rekisteröidyn yhteystiedot työhön ja kotiin: osoite, puhelinnumero ja sähköpostiosoite;
- äidinkieli, kansalaisuus, tutkinto- ja työkokemustiedot;
- palkan- tai palkkionmaksuun liittyvät tiedot;
- käyttäjätunnus ja identiteetin hallinta;
- työsuhdetta koskevat perustiedot: mm. yksikkö, työsuhteen laatu, työ- tai toimeksiantosuhteen alkamis- ja päättymispäivä;
- työtehtäviä koskevat tiedot;
- kelpoisuustiedot: soveltuva tutkinto, työkokemus, muut ansiot ja pedagogiset opinnot;
- työtodistukset ja liikuntaetuustiedot.
MUUT TIEDOT:
- osaamisen kehittämistä koskevat tiedot (esim. kehityskeskustelut ja osaamisprofiili);
- toiminnan ohjaus ja seuranta (esim. henkilöstötutkimukset ja laatu);
- poissaoloja koskevat tiedot (poissaolon ajankohta sekä syy/selite);
- lomatiedot (saldovapaa, vuosiloma tai muu vapaa);
- työterveystiedot työterveyslainsäädännön sallimissa ja edellyttämissä rajoissa;
- työturvallisuuslain ja asetusten edellyttämät tiedot biologisille tekijöille altistuneista työntekijöistä, mm. tiedot altistumista aiheuttaneesta biologisesta tekijästä siltä osin, kun se on tiedossa sekä kuvaus siitä, miten ja milloin altistuminen tapahtui;
- työsuhteeseen liittyvät ilmoitukset henkilöstöpalveluille ja/tai esihenkilölle;
- matkanhallintaan ja maksatukseen liittyvät tiedot;
- työajanseurantaan ja kulunvalvontaan liittyvät tiedot.
Henkilötiedot on saatu pääasiallisesti rekisteröidyltä itseltään.
Tämän lisäksi rekisterinpitäjä kerää työ- tai toimeksiantosuhteen aikana syntyviä henkilötietoja sovellettavan työsopimus-,yhteistoiminta-, työsuojelun valvonta-, työturvallisuus- ja työterveyshuoltolain sekä työehtosopimuksen nojalla.
Metropolian henkilöstöhallinnon rekisteristä luovutetaan henkilötietoja seuraaville vastanottajaryhmille:
- Verohallinto
- eläkelaitokset
- vakuutusyhtiöt
- työterveys- ja työhyvinvointipalvelut
- työsuojeluviranomainen
- kunnan tartuntataudeista vastaava lääkäri tai sairaanhoitopiirin tartuntataudeista vastaava lääkäri
- Tilastokeskus
- ammattiliitot
- Kansaneläkelaitos (KELA)
- TE-keskus
- henkilöstökoulutusta järjestävä taho
- liikkuvuushankerahoittaja (Euroopan komissio tai OPH) ja Erasmus+ ohjelman kansallinen toimisto (OPH)
- opetus- tai henkilökuntavierailun vastaanottava yliopisto tai muu organisaatio
- Työturvallisuuskeskus
- Opetus- ja kulttuuriministeriö
- Pankit ja muut palkanmaksun / palkitsemisen palveluntarjoajat
Henkilöstöhallinto luovuttaa henkilötietoja vain sellaisille tahoille, joilla on lakisääteinen oikeus tiedon saamiseen laissa määrättyyn tarkoitukseen, tai joille tietojen luovuttaminen on välttämätöntä työsuhdeasioiden ja työnantajatoimintaan liittyvien tehtävien hoitoa varten, tai joille tehtäviin tietojen luovutuksiin henkilö on antanut suostumuksensa. Henkilötietoja saavat käsitellä vain ne henkilöt, joiden työtehtävät sitä edellyttävät. Pääsy henkilötietoihin toteutetaan suojatussa tietoliikenteessä ja tietoverkossa. Paperitallenteita ja -tulosteita säilytetään lukituissa tiloissa ja kaapeissa.
Metropolian henkilöstöhallinnon rekisterin sisältämiin henkilötietoihin annetaan myös tarpeen vaatiessa pääsy (ns. admin-tunnusten avulla, esim. teknisen vian korjaustilanteessa järjestelmätoimittajalle/mittalaitteen huoltajalle) seuraavaksi lueteltavissa järjestelmissä. Kaikki käytettävät järjestelmien/laitteiden/ohjelmistojen toimittajat (yritykset niiden takana) ovat tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi rekisterin taholta.
Metropolian henkilöstöhallinnon käyttämien järjestelmien osalta henkilötietojen käsittelysopimukset GDPR:n artiklan 28 mukaisesti tullaan laatimaan/on laadittu Metropolian seuraavien yhteistyökumppanitahojen kanssa:
ARC Technology Oy ja HR-järjestelmä
DevNet Oy ja Promid-työajanhallintajärjestelmä
Aditro Public Oy ja Wintime -taloushallinnon järjestelmä (palveluiden laskutus)
Terveystalo Oyj ja Sirius-työkyvyn ohjausjärjestelmä
Visma Public Oy (Visma Public) ja Personec F -palkkahallinnon järjestelmä
Microsoft Corporation ja Metropolian sähköpostijärjestelmä
Leijonaverkot Oy (osa Erillisverkot -konsernia, ent. Deltagon Group Oy) ja Turvaposti (Deltagonin sec@gw -turvapostiratkaisu)
Eduix Oy ja e-lomake -ohjelmisto
Orange Advertising Oy sekä Eduix Oy ja People Finder -hakupalvelu
Eduix Oy ja OMA-intranet
Metropolian henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan ensisijaisesti EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella eli ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Metropolian henkilöstöhallinnon rekisteriin kerätyt ja rekisterin piirissä käsiteltävät henkilötiedot säilytetään rekisterissä Metropolian arkistonmuodostussuunnitelma (AMK) säilytysaikaohjeistuksen mukaisesti.
Lisäksi henkilötietojen säilyttämisajan, tietojen poistamisen ja mahdollisen arkistoinnin osalta noudatetaan seuraavaa sääntelyä:
- EU:n yleinen tietosuoja-asetus (”GDPR”, 2016/679)
- Kansallisarkiston ns. AMK-päätös (AL/20757/07.01.01.03.02/2016) (Kansallisarkiston ammattikorkeakouluja koskeva, pysyvä sähköinen säilyttämisvelvollisuuspäätös, diaarinumero: AL/20757/07.01.01.03.02/ 2016)
- laki yksityisyyden suojasta työelämässä (759/2004)
- työturvallisuuslaki (738/2002)
EU:n tietosuoja-asetuksen 21 artiklan mukaisesti rekisteröidyllä on oikeus vastustaa, henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e alakohtaan (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi), kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kerättävien henkilötietojen käsittelyn vastustamispyyntö voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
Mikäli henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, on rekisteröidyllä oikeus peruuttaa käsittelyyn antamansa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen tätä suoritetun käsittelyn lainmukaisuuteen.
Metropoliassa kerättävien henkilötietojen käsittelyyn liittyvä suostumuksen peruuttaminen (peruuttamispyyntö) voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta (tai henkilökunnan edustajan tapauksessa henkilöstöhallinnon yksikköön), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Kansallinen valvontaviranomainen on Suomessa Tietosuojavaltuutetun toimisto, yhteystiedot:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelin (vaihde): + 358 29 56 66700
Faksi: + 358 9 56 66735
Sähköposti: tietosuoja [at] om.fi (tietosuoja[at]om[dot]fi)
Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla rekisteröityjen henkilötietoja ja rekistereitä pyritään suojaamaan:
Järjestelmätoimittajien kanssa on sovittu rekisterin suojauksesta. Tarpeen vaatiessa vastuut on asianmukaisissa sopimuksissa riittävällä tarkkuudella kuvattu.
Työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.
- Järjestelmätoimittajat (henkilötietojen käsittelijät) hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta.
- Rekisterinpitäjien henkilörekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti.
- Rekisterinpitäjät ovat rajanneet käyttöoikeudet ja -valtuudet tietojärjestelmiin, työvälineisiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan työtehtäviensä tai muun toimenkuvansa vuoksi niiden käsittelyn kannalta tarpeelliset henkilöt.
- Henkilötietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä ja/tai muun toimenkuvansa puolesta on oikeus käsitellä henkilötietoja. Työntekijät saavat tehtäviin nähden asianmukaisen koulutuksen.
- Jokainen työvälineen/järjestelmän käyttäjä tunnistautuu järjestelmään henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten käyttöoikeus on hänelle Metropoliassa myönnetty.
- Tiedot kerätään tietokantoihin, jotka ovat suojattu loogisesti ja fyysisesti.
Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.
Metropolian henkilöstöhallinnon rekisterin ja sen sisältämien tietojen käsittely suhteessa siihen, onko tietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen seuraukset. Rekisterikohtaisesti on myös selvitetty, mistä henkilötiedot on saatu.
Metropolian henkilöstöhallinnon rekisteri on lakisääteinen ja sopimukseen perustuva henkilörekisteri, jonka avulla toteutetaan rekisterinpitäjän lakisääteisiä työnantajan velvollisuuksia.
Metropolian henkilöstöhallinnon rekisteriin henkilötietojen antaminen perustuu työ- ja työehtosopimuksen täytäntöönpanoon.
Rekisteriin tallennetut henkilötiedot on saatu lähtökohtaisesti rekisteröidyltä itseltään.
Metropolian henkilöstöhallinnon rekisterin sisältämiä tietoja ei käytetä automaattiseen päätöksentekoon eikä profilointiin.