Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisteri
Nimi
Metropolia Ammattikorkeakoulu Oy
Yhteystiedot
Metropolia Ammattikorkeakoulu Oy (y-tunnus: 2094551-1)
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): 09 7424 5000
Rekisterinpitäjän vastuuhenkilö
Nimi: Riitta Konkola
Tehtävä: Toimitusjohtaja-rehtori
Rekisterin sisällöstä vastaava henkilö
Nimi: Liisa Salo
Tehtävä: Viestintäpäällikkö, Viestintäpalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: liisa.salo [at] metropolia.fi (liisa[dot]salo[at]metropolia[dot]fi)
Rekisterin yhteyshenkilön yhteystiedot
Nimi: Satu Orkola
Tehtävä: Viestintäsuunnittelija, Viestintäpalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: satu.orkola [at] metropolia.fi (satu[dot]orkola[at]metropolia[dot]fi)
Metropolian tietosuojavastaava, Suvi Väänänen
Puhelin: +358 40 844 0690
Sähköposti: tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)
Henkilötietojen käsittelyn tarkoitus:
Metropolia Ammattikorkeakoulu Oy (”Metropolia”) kerää henkilötietoja julkisten verkkosivujensa (Metropolia.fi) käyttäjistä. Metropolia on sitoutunut noudattamaan henkilötietojen käsittelyssä tietosuojalainsäädännön vaatimuksia. Henkilötietojen käsittelyn tarkoitus on Metropolian sivustojen tekninen ylläpito ja kehitys sekä sivustojen sisällön viestinnän ja markkinoinnin ylläpito, analysointi ja kehitys.
Metropolian julkisilla verkkosivuilla (Metropolia.fi) kävijän tietokoneelle voidaan ajoittain siirtää ns. evästeitä ("cookies").
Evästeillä voidaan kerätä tietoja esimerkiksi miltä sivulta verkkosivuvierailija on siirtynyt Metropolian Metropolia.fi -osoitteeseen, mitä www-sivuja kävijä on selannut ja milloin, mitä selainta hän käytti, mikä on verkkovierailijan näytön resoluutio ja käyttöjärjestelmä, sekä mikä on vierailijan tietokoneen IP -osoite eli mistä Internet -osoitteesta lähetetyt tiedot tulevat ja minne ne vastaanotetaan.
Evästetietojen avulla Metropolian julkisten verkkosivujen (Metropolia.fi) kävijämääriä voidaan seurata Metropolian ja sen yhteistyökumppaneiden toimesta sekä analysoida ja kehittää verkkosivustoa kävijöitä paremmin palvelevaksi. Lisäksi Metropolian yhteistyökumppanit saattavat käyttää mainonnan kohdentamiseksi evästeitä, joilla kerätään tietoa kävijän vierailuista tällä ja muilla sivustoilla. Evästeiden avulla kerättyä tietoa käytetään kävijän kiinnostusten kohteiden perusteella kohdennetun mainonnan tuottamiseen. Evästeiden avulla tehdyssä mainonnan kohdentamisessa kävijää ei yksilöidä eikä tietoja yhdistetä kävijältä mahdollisesti muussa yhteydessä saatuihin henkilötietoihin.
Kävijällä on mahdollisuus estää evästeiden käyttö muuttamalla selaimensa asetuksia siten, että selain ei salli evästeiden tallentamista. Kävijä hyväksyy, että joidenkin palveluiden osalta evästeiden käytön estäminen saattaa kuitenkin vaikuttaa palvelun toiminnallisuuteen.
Henkilötietojen käsittelyn oikeusperuste:
Metropolian julkisten verkkosivujen henkilörekisterissä olevien henkilötietojen käsittely perustuu:
- oikeutettuun etuun
- rekisteröidyn suostumukseen (esim. evästeet)
Kävijän vieraillessa Metropolian julkisilla verkkosivuilla (Metropolia.fi) ilmoituskuvake/valintaikkuna tulee näkyviin, joka edellyttää kävijän suostumusta evästeiden keräämiseen. Jos kävijä ei anna suostumustaan, hänen tietokonettaan tai muuta internet-yhteydellä toimivaa laitettaan ei seurata mm. markkinointiin liittyviin toimintoihin.
- lakisääteiseen velvollisuuteen (esim. EU:n saavutettavuusdirektiivi ja sitä täydentävä kansallinen digipalvelulaki edellyttävät, että muun muassa julkisen sektorin elinten verkkosivustojen tulee olla saavutettavia. Verkkosivuilla tulee olla saavutettavuusseloste, joka kuvaa, miltä osin verkkosivusto on saavutettava ja miltä osin se ei sitä ole. Verkkosivuilla tulee olla myös saavutettavuuden toteutumiseen liittyen palautteenantomahdollisuus, jossa verkkosivuvierailija voi halutessaan jättää yhteystietonsa, jotta sivuston ylläpitäjä voi ottaa häneen yhteyttä saavutettavuusasioissa
(Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterissä henkilötietojen käsittelyn oikeusperuste on joiltain osin oikeutettu etu.
Metropolia käsittelee henkilötietoja oikeutetun edun mukaisella käsittelyperusteella esimerkiksi seuraavissa tilanteissa:
- Tarjotakseen tietoa ja/tai palveluja verkkosivuvierailijoilleen
- Kehittääkseen verkkoasiointia ja parantaakseen yksilöllistä verkkoasiointikokemusta Metropolia.fi -sivustolla
- Mahdollistaakseen Metropolia.fi -sivuston teknisen ylläpidon ja kehitystyön
- Estääkseen haitallista verkkokäyttäytymistä Metropolia.fi -sivustolla
Tiedottaakseen ja markkinoidakseen palveluistaan, toiminnoistaan, tapahtumistaan, Metropolian järjestämistä koulutuksista osana Metropolian maksullisen koulutuksen ja jatkuvan oppimisen palveluita yms.
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterissä käsitellään seuraavia henkilötietoja henkilötietoryhmittäin:
- Metropolian julkisten verkkosivujen (Metropolia.fi) käytöstä havainnoidut ja johdetut tiedot
- Metropolia kerää muun muassa evästeiden avulla tietoa sivuston käyttäjistä. Eväste on käyttäjän selaimelle lähetettävä pieni tekstitiedosto, joka yleensä sisältää anonyymin tunnistenumeron, ja tällä evästeellä ei vahingoiteta päätelaitetta.
- Sivujen käytöstä tilastoidaan muun muassa käyttäjämäärä, käyttömaa, käyttöaika ja käytetty selain sekä sisällöt, joissa kävijä on vieraillut. Lisäksi tilastoidaan se, onko käyttäjä Metropolian sisäinen vai ulkoinen käyttäjä. Näiden tietojen avulla yksittäinen käyttäjä ei ole yksilöitävissä.
Evästeillä kerättäviä tietoja kävijöistä (rekisteröidyistä) ja evästetyypeistä:
Evästeitä voidaan käyttää kävijän tietokoneella ja muulla internet-yhteyden mahdollistamalla laitteella vieraillessa Metropolian julkisilla verkkosivuilla (Metropolia.fi), jos kävijä antaa suostumuksensa evästeiden käyttöön ja henkilötietojensa käsittelyyn.
- Evästeet mahdollistavat Metropolia.fi-verkkosivustopalvelujen muistamaan kävijän tietokoneen tai muun laitteen sekä serverin kohdassa 4 kerrottuihin käsittelyn tarkoituksiin.
- Toissijainen evästetyyppi on käyttäjäsyöte-eväste/istuntoeväste (”user-input cookies”), joka on tarpeellinen eväste tiettyjen Metropolia.fi-verkkosivustopalvelujen toiminnallisuuksien mahdollistamiseksi. Tällaisia evästeitä ei voi estää ilmoituskuvakkeen/valintaikkunan kautta. Metropolian julkisilla verkkosivuilla (Metropolia.fi) kävijän tekemä valinta tallentuu evästeeseen ja se on voimassa 90 päivän ajan. Jos kävijä haluaa peruuttaa valintansa, se on mahdollista tyhjentämällä selaimen evästeet.
Vaikka useimmat selaimet hyväksyvät automaattisesti evästeitä, voi kävijä valita joko hyväksyvänsä evästeet tai olla hyväksymättä evästeitä selaimensa asetusten kautta, jotka löytyvät usein selaimen työkaluista tai asetusvalikosta. Kävijä voi myös poistaa evästeitä laitteeltaan koska tahansa.
Jos kävijä ei hyväksy evästeitä, Metropolian julkisilla verkkosivuilla (Metropolia.fi) vieraileva kävijä ei välttämättä pysty käyttämään kaikkia verkkosivustopalveluiden ominaisuuksia. Lisätietoa evästeiden hallinnasta selaimellasi voi löytyä selaimesi apua-kohdasta.
Alla on lista evästetyypeistä, joita käytetään Metropolian julkisilla verkkosivuilla (Metropolia.fi):
Käyttäjäsyöte-eväste/istuntoeväste:
- Tarkoituksena on Metropolian julkisten verkkosivujen (Metropolia.fi) suorituskyvyn seuraaminen
- Metropolian julkiset verkkosivut (Metropolia.fi) on rakennettu käyttämällä yleisiä internet-alustoja. Niissä on sisäänrakennetut evästeet, jotka auttavat yhteensopivuusongelmissa (esimerkiksi selaintyypin tunnistamisessa) ja parantavat suorituskykyä (esim. sisällön nopeampi lataaminen).
- Käyttäjäsyöte-evästeet/istuntoevästeet ovat istuntokohtaisia.
- Käyttäjäsyötteet/istuntoevästeet poistetaan, kun selain suljetaan.
Suojaus eli Asp. NET-evästeet:
- Asp.NET-evästeiden tarkoituksena on kävijän rekisteröityessä päästäkseen rajoitetulle alueelle varmistaa, että kävijän laite on kirjautunut sisään vierailun ajaksi. Päästäkseen rajoitetuille alueille tarvitaan kävijän käyttäjänimi ja salasana.
- Asp.NET-eväste luo tunnistenumeron jokaiselle kävijälle siten, että he voivat navigoida verkkosivuilla virheettömästi.
- Asp.NET-evästeet ovat istuntokohtaisia.
- Asp.NET-evästeet poistetaan, kun selain suljetaan.
Sivuston asetukset-evästeet:
- Sivuston asetukset-evästeiden tarkoituksena on muistaa kävijän mieltymykset/asetukset (esim. kielen) tai pyrkiä parantamaan kävijän kokemusta (esim. yksilöimällä tervehdyksen tai sisällön). Tämä koskee alueita, joille kävijä on nimenomaan rekisteröitynyt pääsyä tai tilin luomista varten.
- Sivuston asetukset-evästeet ovat istuntokohtaisia
- Sivuston asetukset-evästeet poistetaan, kun selain suljetaan.
Analyyttiset evästeet:
- Metropolia käyttää (tietosuojaselosteen 8 kohdassa lueteltuja) ulkopuolisia tietojärjestelmiä ja ohjelmia (mm. Google Analytics) tarkoituksenaan ymmärtää, kuinka sivuston kävijät käyttävät Metropolian julkisia verkkosivuja (Metropolia.fi)
- Tämän avulla voidaan parantaa Metropolian julkisten verkkosivujen (Metropolia.fi) laatua ja sisältöä kävijöille, ja sitä voidaan käyttää myös kohdistetun viestinnän, markkinoinnin ja sisällön luomiseen. Yhdistetyt tilastotiedot kattavat kohteita, kuten käyntien kokonaismäärät tai sivun katselut, ja viittaukset verkkosivustoillemme.
- Analyyttiset evästeet ovat pysyviä evästeitä, mutta ne poistetaan automaattisesti kahden vuoden jälkeen, jos kävijä ei enää vieraile Metropolian verkkosivustopalveluissa.
Sivuston kävijöiden palaute-evästeet:
- Metropolia käyttää kolmannen osapuolen kyselytyökalua (Google Analytics) kutsumaan tietyn prosenttimäärän kävijöitä antamaan palautetta. Evästeitä käytetään myös estämään vierailijoiden kutsuminen palautekyselyyn useita kertoja. Ensimmäinen eväste (1) asetetaan, jos vierailijaa ei ole kutsuttu osallistumaan tutkimukseen, ja sen avulla varmistetaan, että vierailijoita ei kutsuta ensimmäisen sivun katselun jälkeen. Toinen eväste (2) asetetaan, jos vierailija kutsutaan osallistumaan tutkimukseen, ja sen avulla varmistetaan, että vierailijaa ei kutsuta uudelleen osallistumaan 90 päivän aikana.
- Sivuston kävijöiden palaute-evästeistä (ensimmäinen eväste) on istuntokohtainen ja se poistetaan, kun selain suljetaan.
- Toinen eväste on pysyvä eväste ja se poistetaan automaattisesti 90 päivän jälkeen tai kyselytutkimuksen esittämisellä.
Sosiaalisen median jakamisen-evästeet:
- Metropolian julkiset verkkosivut (Metropolia.fi) käyttää kolmannen osapuolen sosiaalisen median widgettejä tai painikkeita, jotta se voi tarjota kävijälle lisätoimintoja jakaakseen sisältöä sosiaalisen median verkkosivustoille ja sähköpostiin.
- Näiden widgettien tai painikkeiden avulla kävijä voi asettaa evästeen laitteellensa helpottaakseen palvelun käyttöä sekä varmistaakseen, että vuorovaikutus näytetään verkkosivuilla (esim. sosiaalisen median jakojen osuuksien lukumäärän päivittämisellä) ja pitämällä yllä lokitietoja kävijän toiminnoista Metropolian verkkosivujen palveluissa.
- Sosiaalisen median jakamisen-evästeet ovat pysyviä, mutta ne poistetaan automaattisesti kahden vuoden jälkeen, jos kävijä ei enää vieraile Metropolian verkkosivustopalveluissa.
- Kävijöiden kannattaa tarkistaa kunkin palveluntarjoajan tietosuojaehdot ennen tällaisen palvelun käyttöä. Katso lisätietoja sosiaalisen median widgettien ja sovellusten käytöstä alla.
Muita kolmannen osapuolen työkaluja ja widgettejä käytetään ajoittain Metropolian julkisilla verkkosivuilla (Metropolia.fi) lisätoimintojen tarjoamiseksi. Näiden työkalujen tai widgettien käyttö asettaa yleensä evästeen laitteellesi helpottamaan palvelun käyttöä ja varmistaakseen, että vuorovaikutus näkyy Metropolian julkisilla verkkosivuilla oikein. Evästeet itsessään eivät kerro kävijän sähköpostiosoitetta tai muuten tunnista henkilöitä. Metropolia saa analyyttisissä raporteissaan muita tunnisteita, mukaan lukien IP-osoitteet, mutta tämä on tarkoitettu Metropolian verkkosivustopalveluiden yksittäisten kävijöiden määrän ja kävijöiden suuntausten maantieteellisen alkuperän tunnistamiseksi eikä yksittäisten kävijöiden tunnistamiseksi.
Analyyttiset työkalut:
- Metropolia.fi -sivustolle tallentuvat tiedot (palautelomakkeen, sähköpostilistalle liittymisen yhteydessä sekä evästeiden avulla kerätyt ja tilastoidut tiedot). Tietojen analysointiin käytetään muun muassa Google Analyticsia. Saadaksesi lisätietoa Google Analyticsista, käy osoitteessa https://www.google.com/analytics/. Voit kieltäytyä Google Analyticsin suorittamasta tietojen keräämisestä lataamalla selaimeesi lisäosan osoitteesta https://tools.google.com/dlpage/gaoptout.
- Lisäksi Metropolian sivuilla on kolmansien osapuolten komponentteja esimerkiksi sosiaalisen median yhteisöpalveluihin, kuten Facebookiin ja Youtubeen, liittyen. Metropolian sivustoilla olevat kolmannen osapuolen ylläpitämät liitännäiset latautuvat palveluiden omilta palvelimilta. Metropolian sivustot eivät lähetä asiakkaiden tietoja sosiaalisten laajennusten kautta.
- Metropolian sivustoilla oleviin kolmannen osapuolen tarjoamiin palveluihin tai kolmannen osapuolen välittämiin sovelluksiin sovelletaan kyseisen kolmannen osapuolen omia käyttö- ja muita ehtoja
Metropolia käyttää analytiikkatyökaluja, kuten Google Analytics. Lisätietoja Google Analyticsin käytöstä Metropoliassa löytyy täältä: https://www.google.com/analytics/learn/privacy.html
Jotta verkkosivustojen kävijöille olisi enemmän valinnanvaraa siitä, miten Google Analytics kerää heidän tietojaan, Google on kehittänyt Google Analyticsin opt-out -selaimen lisäosan. Lisäosa kommunikoi Google Analyticsin JavaScriptin (ga.js) kanssa osoittaakseen, että verkkosivustovierailua koskevia tietoja ei tule lähettää Google Analyticsille. Google Analyticsin opt-out -selaimen lisäosa ei estä tietojen lähettämistä itse verkkosivustolle tai muille verkkoanalyysipalveluille.
Kun kävijä vierailee Metropolian julkisilla verkkosivuilla (Metropoli.fi), kävijän selaimeen asetetaan markkinoinnin automaatio-evästeet. Ne auttavat tunnistamaan kävijän verkkosivuston vierailijana tietyn selaimen ja tietokoneen yhdistelmän mukaan. Kävijä myös muistetaan siinä tapauksessa, jos hän palaa Metropolian verkkosivustopalveluihin. Jos käyttäjä tunnistaa itsensä vapaaehtoisesti antamillaan henkilökohtaisilla tiedoilla, esim. täyttämällä yhteyslomakkeen tai napsauttamalla linkkejä sähköpostiviestissä, jolloin evästeen yksilöllinen käyttäjätunnus linkitetään käyttäjän vapaaehtoisesti antamiin henkilötietoihin. Metropolian julkiset verkkosivut (Metropolia.fi) saattaa käyttää kävijän online-vierailujen aikana antamiaan tietoja räätälöidäkseen sisältöä tai tehdäkseen ehdotuksia vastaavista kohteista, joista kävijä saattaisi olla kiinnostunut.
Verkkosivuille upotettu kohde (”Web beacons”):
Metropolian julkisille verkkosivuille (Metropolia.fi) upotettu kohde (a Web beacon) on verkkosivun pieni kuvatiedosto, jota voidaan käyttää tietyn tiedon keräämiseen kävijän tietokoneelta, kuten IP-osoite, sisällön katseluaika, selaintyyppi ja evästeiden olemassaolo samalla palvelimella. Metropolia käyttää verkkosivuille upotettuja kohteita vain sovellettavien lakien mukaisesti.
Metropolia tai sen palveluntarjoajat voivat käyttää verkkosivuille upotettuja kohteita seuratakseen rekrytointi- tai markkinointipalveluja tarjoavien kolmansien osapuolien verkkosivustojen tehokkuutta tai kerätäkseen vierailijatilastoja ja hallitakseen evästeitä.
Kävijällä on mahdollisuus tehdä joistakin verkkojäljitteistä käyttökelvottomia hylkäämällä niihin liittyvät evästeet. Verkkosivuille upotettu kohde voi edelleen taltioida kävijän nimettömän vierailun IP-osoitteesta, mutta näitä evästeiden tietoja ei tallenneta.
Upotettuja kohteita voidaan käyttää myös tietojen keräämiseen käyttäjien kiinnostuksen arvioimiseksi ja tulevaisuuden käyttökokemuksen parantamiseksi.
Paikkaan perustuvat työkalut:
Metropolia voi kerätä ja käyttää kävijän tietokoneen tai mobiililaitteen maantieteellistä aluetta. Nämä sijaintitiedot kerätään, jotta Metropolia voi tarjota kävijälle tietoja palveluista, jotka voisivat kiinnostaa häntä maantieteellisen sijainnin perusteella, ja parantaa sijaintipohjaisia tuotteita ja palveluita.
Sosiaalisen median widgetit ja sovellukset:
Metropolian verkkosivustopalveluissa voi olla toimintoja, jotka mahdollistavat jakamisen kolmannen osapuolen sosiaalisen median sovellusten, kuten Facebookin Like -painikkeen ja Twitter-widgetin kautta. Nämä sosiaalisen median sovellukset voivat kerätä ja käyttää tietoja Metropolian julkisten verkkosivujen (Metropolia.fi) käytöstä (katso yllä olevat Sosiaalisen median jakamisen-evästeet). Sosiaalisen median sovellusten muut jäsenet voivat kerätä ja käyttää kaikkia sosiaalisen median sovellusten kautta tarjoamiasi henkilötietoja, ja tällaiseen vuorovaikutukseen sovelletaan sovelluksen tarjoavien yritysten yksityisyydensuojakäytäntöjä. Meillä ei ole hallintaa tai vastuuta näistä yrityksistä tai kuinka he käyttävät tietojasi.
Lisäksi Metropolian julkiset verkkosivut (Metropolia.fi) voivat isännöidä blogeja, foorumeita, joukkohankintaa ja muita sovelluksia tai palveluita (yleisesti "sosiaalisen median ominaisuudet"). Sosiaalisen median ominaisuuksien tarkoituksena on helpottaa tiedon ja sisällön jakamista. Kaikkien Metropolian sosiaalisen median toimintojen avulla käyttäjän tarjoamia henkilökohtaisia tietoja voidaan jakaa muiden kyseisiä sosiaalisen median toimintoja käyttävien kanssa (ellei keräyskohdassa toisin mainita), joiden kanssa Metropolialla voi olla rajoitettu hallinta tai ei ole hallintaa.
- Metropolialle julkisilla verkkosivuilla (Metropolia.fi) antamasi tiedot (esim. palautelomakkeella) Sivustoilla kysytään nimeäsi ja sähköpostiosoitettasi palautteen antamisen yhteydessä. Lisäksi sähköpostiosoitettasi kysytään sähköpostilistalle liittymisen yhteydessä.
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterin henkilötiedot saadaan verkkosivuvierailijalta itseltään tai henkilöltä jättäessään esim. Metropolia.fi -sivustolla olevan palautelomakkeen kautta yhteystietonsa Metropolialle.
EU:n tietosuoja-asetuksen 4.9 artiklaa laajasti tulkiten seuraavaksi on lueteltu ne henkilötietojen käsittelijät/vastaanottajat, joille rekisterinpitäjä ”siirtää” tai ”luovuttaa käsiteltäviksi” (esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa) henkilötietojaan.
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterin tietoja voidaan siirtää Metropolian organisaation sisällä ja ainoastaan siinä laajuudessa, kuin se on sivustojen teknisen ylläpidon ja kehittämisen sekä sivustojen sisällön viestinnän ja markkinoinnin ylläpidon, analysoinnin ja kehittämisen kannalta tarpeen.
Metropolia luovuttaa henkilötietoja kolmansille osapuolille ainoastaan seuraavissa tilanteissa:
Suostumuksesi
Henkilötietojasi voidaan luovuttaa nimenomaisella suostumuksellasi esimerkiksi kolmannen osapuolen tarjoamaan palveluun liittyen, kuten sähköpostilistalle liittymisen yhteydessä sähköpostilistapalvelua tarjoavalle Postiviidakolle. Voit peruuttaa suostumuksesi milloin tahansa. Tällöin tietojasi ei enää kerätä.
Palveluntarjoajat
Luovutamme henkilötietoja ainoastaan siinä laajuudessa kuin kolmannet osapuolet tarvitsevat pääsyn käsittelemiimme henkilötietoihin voidakseen tarjota palveluita Metropolialle tämän tietosuojaselosteen määrittelemissä tarkoituksissa. Tällä tarkoitetaan esimerkiksi Googlen tarjoamia Google Analytics -analysointityökaluja.
Olemme toteuttaneet asianmukaiset toimenpiteet varmistaaksemme, että henkilötietojasi käsitellään tällöin ainoastaan tässä tietosuojaselosteessa mainittuihin tarkoituksiin ja voimassaolevan lainsäädännön mukaisesti. Tällöin henkilötietojen käsittely tapahtuu Metropolian puolesta ja Metropolian lukuun.
Tutkimuskäyttö
Saatamme joissakin tapauksissa luovuttaa tietoja tieteellistä tai muuta tutkimusta, kuten opiskelijoiden projekteja, varten tietosuojalainsäädännön edellytysten mukaisesti.
Oikeudellisista syistä
Metropolia voi jakaa henkilötietojasi kolmansien osapuolten kanssa, mikäli pääsy henkilötietoihin tai niiden muu käsittely on tarpeen i) soveltuvan lainsäädännön ja/tai oikeuden määräyksen täyttämiseksi; ii) väärinkäytöksen, turvallisuusriskin tai teknisen ongelman havaitsemiseen, estämiseen tai käsittelemiseen. Metropolia informoi tällaisesta henkilötietojen käytöstä silloin kun se on mahdollista.
Tietoja voidaan luovuttaa viranomaisille lain, asetuksen tai viranomaisen päätöksen perusteella.
Koska rekisteriin liittyviä henkilötietoja käsitellään seuraavissa järjestelmissä, ovat näiden järjestelmien toimittajat (yritykset niiden takana) tulkittavissa henkilötietojen vastaanottajiksi ja säännönmukaisen luovutuksen saajaksi Metropolian julkisten verkkosivujen henkilörekisterin taholta, koska esimerkiksi vikatilanteen sattuessa on järjestelmäntoimittajalla teknisen käyttöliittymän avulla, hallinnollisin administrative-tunnuksin mahdollistettu pääsy Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterin sisältämiin tietoihin.
GDPR:n artiklan 28 mukaisesti tullaan laatimaan/on laadittu keskitetysti Metropolian toimesta seuraavien yhteistyökumppanitahojen kanssa:
Drupal-sisällöntuotantotyöväline
Googlen LLC ja Googlen tarjoamat Google Analytics -analysointityökalut
React and Share Oy ja React and Share -toiminnallisuus
Metropolian henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn tai opintojen suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, jonne henkilötietoja siirretään, on Yhdysvallat. On myös mahdollista, että esim. globaalien ICT-palveluntarjoajien paljon käyttämän Helpdesk-toiminnon / ICT-käyttäjätuen toteutusvaltiona toimiva Intia on henkilötietojen siirtojen kohdevaltio.
Metropolia Ammattikorkeakoulun henkilörekisteristä Yhdysvaltoihin ja/tai muualle EU-/ETA-alueen ulkopuolelle suuntautuva kansainvälinen henkilötietosiirto turvataan ensisijaisesti EU:n yleisen tietosuoja-asetuksen (GDPR:n) luvussa V esitetyllä 46 artiklan mukaisella suojatoimella eli ns. vakiosopimuslausekkein. SCC (Standard Contractual Clauses) -lausekkeet liitetään osaksi ICT-palveluntarjoajan kanssa laadittavaa henkilötietojen käsittelysopimusta.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
Metropolian julkisten verkkosivujen (Metropolia.fi) henkilörekisterin henkilötietoja säilytetään seuraavasti:
Evästeet ovat voimassa tietyn istunnon ajan, kunnes käyttäjä sulkee selaimen tai ne ovat ns. pysyviä evästeitä, jotka ovat voimassa muutamasta kuukaudesta joihinkin vuosiin. Enintään pysyviä evästeitä säilytetään kahden vuoden ajan, jonka jälkeen ne poistetaan ellei kävijä käytä sen jälkeen Metropolian julkisia verkkosivuja (Metropolia.fi)
Evästeillä kerättyjen tietojen tyypilliset säilytysajat ovat seuraavat:
- Välttämättömät evästeet
Asiointipalveluun kirjautumiseen tarvittavat välttämättömät evästeet ovat sessiokohtaisia eli niitä ei säilytetä sen jälkeen, kun käyttäjä sulkee selaimensa.
- Kävijämittaus- ja analytiikkaevästeet
Google Analyticsiin kertyvää tietoa säilytetään tyypillisesti 26 kuukautta ja Piwik Pro:hon kertyvää tietoa säilytetään tyypillisesti 36 kuukautta.
- Viestinnän kohdentaminen:
Markkinointiviestinnän kohdentamiseen kerättyä tietoa säilytetään seuraavasti:
- Facebook 180 pv
- Twitter 30 pv
- Youtube noin 18 kuukautta eli 540 päivää
- Google noin 18 kuukautta eli 540 päivää
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisteröidyllä on lisäksi oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin sekä oikeus tarkastaa rekisteriin tallennetut itseään koskevat tiedot ja saada niistä kopiot. Rekisteröidyn oikeuksien toteuttamispyyntöön on tietosuoja-asetuksen mukaisesti rekisterinpitäjän annettava vastaus kuukauden kuluttua pyynnön vastaanottamisesta.
A. Oikeus saada pääsy henkilötietoihin
Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja henkilötietorekisteriin on tallennettu. Rekisteröity voi tehdä tietopyynnön toimittamalla Metropolian julkisilta verkkosivuilta ja/tai Metropolian intranetistä löytyvän huolellisesti täytetyn, tulostetun ja henkilökohtaisesti allekirjoitetun rekisteröidyn tietopyyntölomakkeen johonkin kolmesta Metropolian opiskelija- ja hakijapalveluiden toimistosta. Rekisteröidyn ollessa henkilökunnan edustaja, voi hän toimittaa pyyntölomakkeen Metropolian henkilöstöhallinnon yksikölle. Pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla (esimerkiksi esittämällä virallisen henkilöllisyystodistuksen tai ajokorttinsa pyynnön vastaanottavalle Metropolian työntekijälle).
Ohessa käyntiosoitteet Metropolian opiskelija- ja hakijapalveluiden toimistoihin:
Metropolian Myllypuron kampus
Myllypurontie 1, 00920 Helsinki
Metropolian Arabian kampus
Hämeentie 135 D, 00560 Helsinki
Metropolian Myyrmäen kampus
Leiritie 1, 01600 Vantaa
Metropolian Karamalmin kampus
Karaportti 2, 02610 Espoo
Ohessa käyntiosoite Metropolian henkilöstöhallinnon yksikköön:
Metropolian Myllypuron kampus (C- ja D-rakennus, 5.krs.)
Myllypurontie 1, 00920 Helsinki
Metropolian opiskelija- ja hakijapalveluiden toimistosta ja/tai henkilöstöhallinnon yksiköstä pyyntö ohjataan keskitetysti Metropolian tietosuojavastaavalle, (sähköposti: tietosuojavastaava [at] metropolia.fi (tietosuojavastaava[at]metropolia[dot]fi)).
Rekisteröidyn tietopyyntöön vastauksen antaa Metropolian tietosuojavastaava. Tarpeen vaatiessa tietosuojavastaavalta voi tiedustella lisätietoja pyynnön käsittelyn etenemisestä tai vastauksen sisällöstä.
B. Oikeus tietojen oikaisemiseen ja käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:
- rekisteröity kiistää henkilötietonsa paikkansapitävyyden (oikeus tietojen oikaisemiseen), jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden;
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kyseinen Metropolian henkilötietorekisterin tietojen oikaisupyyntö tai käsittelyn rajoittamispyyntö voidaan tehdä toimittamalla pyyntö johonkin edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla.
C. Oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua Metropolian rekisteristä ilman aiheetonta viivytystä edellyttäen, että jokin seuraavista täyttyy:
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
- henkilötietoja on käsitelty lainvastaisesti; tai
- henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.
Kyseinen Metropolian henkilötietorekisteriin kohdistuvan tietojen poistopyyntö voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla.
D. Oikeus siirtää tiedot järjestelmästä toiseen
Ei sovellu.
E. Oikeus olla joutumatta henkilötietojen tietoturvapoikkeaman kohteeksi
Rekisteröidyllä on oikeus olla joutumatta sellaisen EU:n tietosuoja-asetuksen artiklassa 33 mainitun henkilötietojen tietoturvapoikkeaman kohteeksi, joka perustuu rekisterinpitäjän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen, tai rekisterinpitäjän käyttämän henkilötietojen käsittelijän tietosuoja- ja/tai tietoturva-asioiden laiminlyömiseen. Rekisteröidyllä on oikeus tulla informoiduksi ilman tarpeetonta viivytystä, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
EU:n tietosuoja-asetuksen 21 artiklan mukaisesti rekisteröidyllä on oikeus vastustaa, henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e alakohtaan (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi), kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kerättävien henkilötietojen käsittelyn vastustamispyyntö voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
Mikäli henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, on rekisteröidyllä oikeus peruuttaa käsittelyyn antamansa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen tätä suoritetun käsittelyn lainmukaisuuteen.
Metropoliassa kerättävien henkilötietojen käsittelyyn liittyvä suostumuksen peruuttaminen (peruuttamispyyntö) voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta (tai henkilökunnan edustajan tapauksessa henkilöstöhallinnon yksikköön), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Kansallinen valvontaviranomainen on Suomessa Tietosuojavaltuutetun toimisto, yhteystiedot:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelin (vaihde): + 358 29 56 66700
Faksi: + 358 9 56 66735
Sähköposti: tietosuoja [at] om.fi (tietosuoja[at]om[dot]fi)
Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla rekisteröityjen henkilötietoja ja rekistereitä pyritään suojaamaan:
Järjestelmätoimittajien kanssa on sovittu rekisterin suojauksesta. Tarpeen vaatiessa vastuut on asianmukaisissa sopimuksissa riittävällä tarkkuudella kuvattu.
Työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.
- Järjestelmätoimittajat (henkilötietojen käsittelijät) hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta.
- Rekisterinpitäjien henkilörekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti.
- Rekisterinpitäjät ovat rajanneet käyttöoikeudet ja -valtuudet tietojärjestelmiin, työvälineisiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan työtehtäviensä tai muun toimenkuvansa vuoksi niiden käsittelyn kannalta tarpeelliset henkilöt.
- Henkilötietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä ja/tai muun toimenkuvansa puolesta on oikeus käsitellä henkilötietoja. Työntekijät saavat tehtäviin nähden asianmukaisen koulutuksen.
- Jokainen työvälineen/järjestelmän käyttäjä tunnistautuu järjestelmään henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten käyttöoikeus on hänelle Metropoliassa myönnetty.
- Tiedot kerätään tietokantoihin, jotka ovat suojattu loogisesti ja fyysisesti.
Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.
Metropolian julkisten verkkosivujen henkilörekisterin ja sen sisältämien tietojen käsittely suhteessa siihen, onko tietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen seuraukset. Rekisterikohtaisesti on myös selvitetty, mistä henkilötiedot on saatu.
- Metropolia.fi -verkkosivulla vierailu ja esim. palautteen antaminen Metropolialle verkkosivuston kautta on vapaaehtoiseen liittymiseen perustuva henkilörekisteri, jonka avulla hallinnoidaan ammattikorkeakoulun julkista toimintaa
- Rekisteriin tallennetut henkilötiedot on saatu rekisteröidyltä itseltään.
Metropolian julkisen verkkosivun muodostaman henkilörekisterin sisältämiä henkilötietoja ei käytetä automaattiseen päätöksentekoon eikä profilointiin.