Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.
Tämä tietosuojaseloste on lisäksi pyritty laatimaan saavutettavaksi EU:n ns. saavutettavuusdirektiivin ja sitä täydentävän kansallisen digipalvelulain vaatimuksiin pohjautuen (Euroopan parlamentin ja neuvoston direktiivi (2016/2102) julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta (2016/2102); Laki digitaalisten palvelujen tarjoamisesta (306/2019)).
1. Rekisterin nimi
Metropolian Health Proof Helsinki- projektin henkilörekisteri
2. Rekisterinpitäjät
Metropolia Ammattikorkeakoulu Oy, HUS, Helsingin kaupunki
Yhteystiedot:
Metropolia Ammattikorkeakoulu Oy (y-tunnus: 2094551-1)
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): + 358 9 7424 5000
HUS (Y-tunnus 1567535-0)
Postiosoite: PL 100, 00029 HUS
Käyntiosoite: Stenbäckinkatu 9, 00250 Helsinki
Puhelin (vaihde): +358 9 4711
Helsingin kaupunki / Kaupunginhallitus
(Y-tunnus 0201256-6)
Postiosoite: PL 10
Käyntiosoite: Pohjoisesplanadi 11-13
Puhelin (vaihde): +358 9 310 1691
Rekisterinpitäjän vastuuhenkilö:
Metropolia Ammattikorkeakoulu Oy
Nimi: Riitta Konkola
Tehtävä: Rehtori-Toimitusjohtaja
HUS
Nimi: Matti Bergendahl
Tehtävä: Toimitusjohtaja
Helsingin kaupunki
Nimi: Marja-Leena Rinkineva
Tehtävä: Elinkeinojohtaja
Kaupunginhallituksen rekisterinpitoon liittyviä vastuita ja tehtäviä kaupunginkansliassa koskevan päätöksen 7.3.2022 § 182 mukaisesti rekisterin vastuuhenkilönä toimii elinkeinojohtaja
Rekisterin sisällöstä vastaava henkilö:
Metropolia Ammattikorkeakoulu
Nimi: Kati Mailander
Tehtävä: Projektipäällikkö
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: kati.mailander@metropolia.fi
HUS
Nimi: Gulsana Lehtonen
Tehtävä: Projektipäällikkö
Osoite: PL 760, 00029 HUS
Sähköposti: gulsana.lehtonen@hus.fi
Helsingin kaupunki
Nimi: Sanna Hartman
Tehtävä: Erityissuunnittelija
Osoite:
Sähköposti: sanna.hartman@hel.fi
3. Tietosuojavastaavat ja yhteystiedot
Metropolia Ammattikorkeakoulu
Nimi: Riikka Ikäheimonen
Puhelin: +358 50 565 8499
Sähköposti: riikka.ikaheimonen@metropolia.fi, tietosuojavastaava@metropolia.fi
HUS
Nimi: Petri Hämäläinen
Puhelin: 09 4711
Sähköposti: eutietosuoja@hus.fi
Helsingin kaupunki
Nimi: Päivi Vilkki
Puhelin: 09 310 1691 (vaihde)
Sähköposti: tietosuoja@hel.fi
4. Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste
Metropolia Ammattikorkeakoulun, HUS:n ja Helsingin kaupungin Health Proof Helsinki- projektin henkilörekisterin ja sen sisältämien henkilötietojen käyttötarkoitus on toteuttaa laadukkaita testaus- ja tutkimuspalveluita Health Proof Helsinki -projektissa. Projekti toteutetaan ajalla 1.1.2022 - 31.12.2023. Metropolia Ammattikorkeakoulu toimii hankkeen pääkoordinaattorina. Metropolia Ammattikorkeakoulu, HUS ja Helsingin kaupunki ovat hankkeen osatoteuttajia. Hankkeen osarahoittajana toimii Helsingin kaupungin Innovaatiorahasto.
Health Proof Helsinki tarjoaa yrityksille, tutkimuslaitoksille ja julkisen sektorin toimijoille modernit ympäristöt, joustavat prosessit sekä laaja-alaisen kolmikannan asiantuntija- ja erikoistilapalveluja tuotekehitystoimintansa eri vaiheisiin; alkuvaiheen prekliiniset testausympäristöt ja asiantuntijat, pilotoinnit, validoinnit sekä verifioinnit (Metropolia Proof Health), perusterveydenhuollon ja sosiaalitoimen tutkimus- ja testausympäristöt ja asiantuntijat (Helsingin kaupunki) sekä erikoissairaanhoidon ja diagnostiikan tutkimusympäristöt ja asiantuntijat (HUS).
Tutkimukset ja testaukset toteutetaan vapaaehtoisilla henkilöillä, Health Proof Helsinki- projektin organisaatioiden henkilöstöllä, Metropolian opiskelijoilla tai muulla tavoin saatavilla henkilöillä.
Henkilötietojen käsittelyn oikeusperuste:
Metropolia Ammattikorkeakoulun, HUS:n ja Helsingin kaupungin Health Proof Helsinki - projektin henkilörekisterissä olevien tietojen käsittelyperuste on EU:n yleinen tietosuoja-asetuksen 6 art. 1 a alakohdan mukainen rekisteröidyltä (tutkittavalta) saatu suostumus. Joiltakin osin yhteistutkimushankkeen henkilörekisterissä tietoja käsitellään yleisen edunmukaisen tieteellisen tutkimuksen perusteella (EU:n yleisen tietosuoja-asetuksen 6 art. 1 e -alakohta). Hankkeeseen liittyvien organisaatioiden asiantuntijoiden ym. osalta käsittely voi olla tarpeen yleistä etua koskevan tehtävän suorittamiseksi.
Henkilötietoja saa käsitellä tietosuoja-asetuksen 6artiklan 1 kohdan e alakohdan mukaisesti, jos käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden tai henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.(Tietosuoja-asetus 4 art. 3 ja 4)
Henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten ja biometristen tietojenkäsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien käsittely tietosuoja-asetuksen 9 artikla kohta 2 j. on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten artikla 89 1 kohdan mukaisesti unioinin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteitä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
5. Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut
Metropolia Ammattikorkeakoulun, HUS:n ja Helsingin kaupungin Health Proof Helsinki- projektin henkilörekisterin tietojen käsittelyn oikeusperuste ei ole ”oikeutettu etu”. Siksi tämä kohta ei sovellu.
6 Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
Metropolia Ammattikorkeakoulun, HUS:n ja Helsingin kaupungin Health Proof Helsinki -projektin henkilörekisterin rekisteröityjä ovat kyselytutkimuksiin osallistuvat henkilöt, tutkimuksiin ja testauksiin osallistuvat henkilöt, kokeilujen yhteiskehittämiseen ilmoittautuneet henkilöt, tilaisuuksiin kutsuttavat ja osallistuneet henkilöt, hankkeen ohjausryhmän jäsenet, hanketoimijoiden eli Metropolia Ammattikorkeakoulun, HUSin ja Helsingin kaupungin omat hankkeessa työskentelevät henkilöt.
Metropolia Ammattikorkeakoulun, HUS:n ja Helsingin kaupungin Health Proof Helsinki -projektin henkilörekisteriin tallennetaan seuraavia henkilötietoja:
Perus- ja yhteystiedot:
- Esim. perustiedot: etunimi(t), sukunimi, puhelinnumero, sähköpostiosoite, ikä, sukupuoli, syntyperä, mitä yritystä/organisaatiota henkilö edustaa.
- Testauksissa/ tutkimuksissa saatetaan tarvita tutkimustietoa ikään, sukupuoleen tai syntyperään liittyvissä asioissa. Tutkimuksen merkittäviä eroja voi olla eurooppalaisten sekä ulkomaalaisten tuloksissa.
- Arkaluontoiset tiedot talletetaan tutkimuksen keston ajaksi MetroArk-verkkolevylle. Tutkimuksen tuloksia varten tiedot anonymisoidaan, jonka jälkeen arkaluontoiset tiedot hävitetään ja anonymisoidut tiedot tallennetaan pysyväissäillön MetroArk-verkkolevylle.
Asiakkuuden ja yhteistyön hoitamiseen ja yhteydenpitoon liittyvät tiedot:
- Projektin palveluiden tilaus- ja peruutustiedot
- Palautteet
- Tapahtumien audiovisuaaliset taltioinnit esim. Zoomilla
Verkkokäyttäytymiseen liittyvät tiedot:
- Verkkokäyttäytymiseen liittyvät tiedot projektin verkkosivuilla ja mahdollisissa palveluissa
- Tekniset tiedot sekä rekisteröidyn selaimelle lähetetyt evästeet ja niihin liittyvät tiedot
- Evästeiden avulla saadaan projektin verkkosivuvierailijoista mitattavia tietoja, joita hyödynnetään esimerkiksi hankkeen suunnitellessa markkinointiaan. Tällä tavoin voidaan kohdentaa viestintää mahdollisimman osuvasti.
Hankkeen verkkosivut:
- Uutiskirjeen tilauslomake: nimi, sähköposti
- Yhteydenottolomake: nimi, sähköposti, puhelinnumero, yritys
Suostumuksenannot ja tiedot toimenpiteistä:
- Esim. Tiedot rekisteröidyille suunnatuista toimenpiteistä: esim. tiedot annetuista palveluista/tapaamisista; tiedot lähetetystä mainospostista tai tapahtumakutsuista
- Esim. Tiedot suostumuksen annoista liittyen Health Proof Helsinki -toiminnan henkilörekisteriin rekisteröidyille suunnattuihin toimenpiteisiin: esim. suostumus toimintaan liittyvän mainospostin vastaanottamiseen.
7. Henkilötietojen säännönmukaiset tietolähteet
Henkilötiedot on saatu rekisteröidyltä itseltään.
8. Henkilötietojen käsittelyssä käytettävät tietojärjestelmät
Metropolia Ammattikorkeakoulun Health Proof Helsinki - projektin henkilörekisterissä olevia tietoja käsitellään seuraavilla eri tietojärjestelmillä, sovelluksilla, ohjelmistoilla ja sähköisillä palveluilla.
Metropolian Office 365 Education: Hankkeen työntekijät käyttävät Metropolian sähköpostijärjestelmää. Sähköpostijärjestelmä on Microsoftin 0ffice 365 –pohjainen, mutta sähköpostipalvelin on Metropolian oma. Myös uutiskirjeidenlähettäminen, yhteydenpito yhteystyötahoihin, rahoittajaan ja mahdollisiin muihin tahoihin tapahtuu sähköpostin välityksellä. Microsoft Teams: Hankkeen työntekijät käyttävät sisäiseen viestintää Microsoftin TEAMS-palvelua. Microsoft TEAMS-viestintäväline on hankittu Metropoliaan osana isompaa 0365 Microsoft -pakettia. Lisäksi hanketyöntekijät käyttävät Metropoliassa hyväksyttyjä pilvipalvelutyövälineitä. Dynasty-asianhallinta- ja sopimustenhallintajärjestelmä: Hankkeensopimuksia hallinnoidaan Dynasty-asian- ja sopimustenhallintajärjestelmässä Halli -projektinhallintajärjestelmä: Järjestelmässä on kaikkien hankkeessa työskentelevien tahojen tiedot.
9. Tietojen vastaanottajat tai vastaanottajaryhmät sekä säännönmukaiset luovutukset
Metropolian Health Proof Helsinki -projektin henkilörekisterin sisältämiin tietoihin annetaan tarpeen vaatiessa pääsy (ns. admin-tunnusten avulla, esim. teknisen vian korjaustilanteessa järjestelmätoimittajalle/mittalaitteen huoltajalle) seuraavaksi lueteltavissa järjestelmissä.
Henkilötietojen käsittelysopimukset GDPR:n artiklan 28 mukaisesti on laadittu Metropoliassa seuraavien järjestelmätoimittajien ja palveluntarjoajien kanssa:
Eduix Oy ja Metropoliassa käytössä oleva e-lomakeohjelmistoGoogle LLC ja Metropoliassa hyväksytyt Google-sidonnaiset pilvipalvelutyövälineet (Oma-intranetin työkalut-valikon pilvipalveluista löytyvät Google-sidonnaisetpilvipalvelut) Microsoft Corporation ja Metropoliassa hyväksytyt Microsoft-sidonnaiset pilvipalvelutyövälineet (Oma-intranetin työkalut-valikon pilvipalveluista löytyvät Microsoft-sidonnaiset pilvipalvelut) Halli-projektinhallintajärjestelmä Innofactor Oyj ja Dynasty-asian- ja sopimustenhallintajärjestelmä
10. Tietojen siirto EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin
Health Proof Helsinki -projektin henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin.
Henkilötiedo nsiirtäminen EU:n ja ETA-alueen ulkopuolelle tapahtuu tietosuoja-asetuksen vaatimusten mukaisesti käytettäessä Google- ja Microsoft-sidonnaisia pilvipalvelutyövälineitä. Metropolian ja Google LLC:n välillä voimassa oleva henkilötietojen käsittelysopimus pohjautuu Googlen G Suite pilvipalveluiden yleiseen sopimukseen, koska kaikki Google-sidonnaiset sovellukset (kuten GoogleDrive tallennusalustasovellus) on otettu Metropoliassa käyttöön osana G Suite –pilvikokonaisuutta.
Tässä sopimuskokonaisuudessa hyväksytään kansainvälisten henkilötietojen siirto GDPR-alueen ulkopuolelle eli EU- ja ETA-alueen ulkopuolelle. Google LLC ilmoittaa eurooppalaisille kumppaneilleen soveltavansa kansainvälisten henkilötietojen siirtojen osalta EU komission hyväksymiä mallisopimuslausekkeita erityisinä suojatoimenpiteinä.
GoogleLLC:n ja Metropolian välillä voimassa olevassa henkilötietojen käsittelysopimuksessa todetaan, että seuraavan linkin takaa löytyvältä tallennusalustalta löytyvät aina ajantasaiset tiedot siitä, missä fyysisissä sijainneissa asiakkaan henkilötieto (metropolialainen henkilö) on tallennettuna Googlen datakeskuksiin/palvelimille:
“Data Center Information. Information about the locations of Google data centers is available athttps://www.google.com/about/datacenters/inside/locations/hamina/”
Metropolian ja Microsoft Corporationin välillä laadittu henkilötietojen käsittelysopimus pohjautuu Microsoftin pilvipalveluiden yleiseen sopimukseen, koska MicrosoftOffice 365 Education on otettu Metropoliassa käyttöön osana Microsoftin pilvikokonaisuutta. Näissä sopimuskokonaisuuksissa hyväksytään kansainvälisten henkilötietojen siirto vain EU- ja ETA-alueelle eli GDPR-alueelle.
Microsoft Corporation ilmoittaa Microsoft Office 365 Education -järjestelmää käyttäville eurooppalaisille kumppaneilleen soveltavansa kansainvälisten henkilötietojensiirtojen osalta EU komission hyväksymiä mallisopimuslausekkeita erityisinä suojatoimenpiteinä:
https://www.microsoft.com/en-us/trustcenter/Compliance/EU-Model-ClausesMicrosoftinpilvikokonaisuuteen liittyvän sopimuksen voi käydä läpi ja tarkastaa halutessaan täältä: https://www.microsoft.com/en-us/trustcenter.
Jos tällainen tietojen siirto on rekisterinpitäjän taholta hyväksytty, on sitä edeltänyt TIA-arviointi dokumentoidusti (Data Transfer Impact Assessment). Jos tällainen tietojen siirto on rekisterinpitäjän taholta hyväksytty, sopimukseen tietojen siirrosta tulee sisällyttää EU:nkomission hyväksymät vakiolausekkeet (Standard Contractual Clauses, SCC:t). Ja niitä täydentävät EDP8:n suositukset. Lisäksi rekisterinpitäjän tulee arvioida ja seurata tiedonsiirron kohteena olevan maan tietosuojan tasoa. Tietojen siirto voidaan toteuttaa myös käyttämällä muuta rekisterinpitäjän kirjallisesti hyväksymää menettelyä.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalain säädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen.
11. Henkilötietojen säilyttämisaika
Health Proof Helsinki -projektin henkilörekisteriin kerätyt ja rekisterin piirissä käsiteltävät henkilötiedot säilytetään rekisterissä lähtökohtaisesti 10 vuoden ajan. 10 vuoden säilytysaika perustuu yleisen edun mukaiseen arkistointiin sekä tieteellisen tai historiallisen tutkimuksen tarkoitukseen.
Muut tiedot säilytetään hankkeeseen osallistuvien organisaatioiden omien säilytysohjeiden mukaan. Ne henkilötiedot, joita ei rahoittajan vaatimuksesta tarvitse säilyttää 10 vuotta, poistetaan viimeistään hankkeen päättymisen jälkeen.
Henkilötietoja saatetaan kuitenkin joutua säilyttämään kauemmin, mikäli soveltuva lainsäädäntö niin edellyttää tai henkilötietojen käsittelylle on muu laillinen peruste.
12. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Rekisteröidyllä on lisäksi oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin sekä oikeus tarkastaa rekisteriin tallennetut itseään koskevat tiedot ja saada niistä kopiot. Rekisteröidyn oikeuksien toteuttamispyyntöön on tietosuoja-asetuksen mukaisesti rekisterinpitäjän annettava vastaus kuukauden kuluttua pyynnön vastaanottamisesta.
A. Oikeus saada pääsy henkilötietoihin
Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja henkilötietorekisteriin on tallennettu. Rekisteröity voi tehdä tietopyynnön toimittamalla Metropolian julkisilta verkkosivuilta ja/tai Metropolian intranetistä löytyvän huolellisesti täytetyn, tulostetun ja henkilökohtaisesti allekirjoitetun rekisteröidyn tietopyyntölomakkeen johonkin kolmesta Metropolian opiskelija- ja hakijapalveluiden toimistosta. Rekisteröidyn ollessa henkilökunnan edustaja, voi hän toimittaa pyyntölomakkeen Metropolian henkilöstöhallinnon yksikölle. Pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla (esimerkiksi esittämällä virallisen henkilöllisyystodistuksen tai ajokorttinsa pyynnön vastaanottavalle Metropolian työntekijälle).
Ohessa käyntiosoitteet Metropolian opiskelija- ja hakijapalveluiden toimistoihin:
Metropolian Myllypuron kampus
Myllypurontie 1, 00920 Helsinki
Metropolian Arabian kampus
Hämeentie 135 D, 00560 Helsinki
Metropolian Myyrmäen kampus
Leiritie 1, 01600 Vantaa
Ohessa käyntiosoite Metropolian henkilöstöhallinnon yksikköön:
Metropolian Myllypuron kampus (C- ja D-rakennus, 5.krs.) Myllypurontie 1, 00920 Helsinki
Metropolian opiskelija- ja hakijapalveluiden toimistosta ja/tai henkilöstöhallinnon yksiköstä pyyntö ohjataan keskitetysti Metropolian tietosuojavastaavalle, (sähköposti: riikka.ikaheimonen@metropolia.fi, tietosuojavastaava@metropolia.fi). Rekisteröidyn tietopyyntöön vastauksen antaa Metropolian tietosuojavastaava. Tarpeen vaatiessa tietosuojavastaavalta voi tiedustella lisätietoja pyynnön käsittelyn etenemisestä tai vastauksen sisällöstä.
B. Oikeus tietojen oikaisemiseen ja käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos kyseessä on yksi seuraavista:
-Rekisteröity kiistää henkilötietonsa paikkansapitävyyden (oikeus tietojen oikaisemiseen), jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden;
-Käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
-Rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kyseinen Metropolian henkilötietorekisterin tietojen oikaisupyyntö tai käsittelyn rajoittamispyyntö voidaan tehdä toimittamalla pyyntö johonkin edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla.
C. Oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua Metropolian rekisteristä ilman aiheetonta viivytystä edellyttäen, että jokin seuraavista täyttyy:
-Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
-Rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
-Henkilötietoja on käsitelty lainvastaisesti; tai
-Henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.
Kyseinen Metropolian henkilötietorekisteriin kohdistuvan tietojen poistopyyntö voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä jollakin luotettavalla tavalla.
D. Oikeus siirtää tiedot järjestelmästä toiseen
Soveltuu osittain. Yleisen tietosuoja-asetuksen 20 artiklalla on otettu käyttöön uusi rekisteröidyn oikeus: oikeus omien tietojen itselleen saamiseen ”jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa” sekä edelleen oikeus tietojen siirtämiseen järjestelmästä toiseen. Oikeuden tarkoituksena on lisätä rekisteröityjen vaikutusmahdollisuuksia omien henkilötietojensa suhteen, koska se helpottaa henkilötietojen siirtämistä tai kopioimista tietojärjestelmäympäristöstä toiseen (omiin järjestelmiin, mahdollisuus tallentaa omat tiedot itselleen omaa henkilökohtaista käyttöä varten tai ryhtyä tallentamaan omat tiedot luotettavien kolmansien osapuolten hallinnoimiin järjestelmiin). Oikeus tietojen siirtämiseen järjestelmästä toiseen täydentää tässä suhteessa oikeutta saada pääsy omiin tietoihin.
Yleisen tietosuoja-asetuksen 20 artiklan mukainen oikeus tietojen siirtämiseen järjestelmästä toiseen tarkoittaa myös rekisteröidyn oikeutta saada itseään koskevat rekisterinpitäjän käsittelemät henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa siten, että rekisteröity voi helposti siirtää kyseiset tiedot järjestelmästä toiseen toiselle rekisterinpitäjälle. Tiedot voidaan siirtää rekisteröidyn pyynnöstä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista (20 artiklan 2 kohta). Rekisterinpitäjiä kannustetaan kehittämään yhteentoimivia muotoja, jotka mahdollistavat tietojen järjestelmästä toiseen siirtämisen, luomatta kuitenkaan rekisterinpitäjille velvoitetta hyväksyä tai ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia.
13. Rekisteröidyn vastustamisoikeus
EU:n tietosuoja-asetuksen 21 artiklan mukaisesti rekisteröidyllä on oikeus vastustaa, henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e alakohtaan (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi), kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kerättävien henkilötietojen käsittelyn vastustamispyyntö voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta tai Metropolian henkilöstöhallinnon yksikköön (vain työntekijät), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
14 Oikeus peruuttaa suostumus
Mikäli henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, on rekisteröidyllä oikeus peruuttaa käsittelyyn antamansa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen tätä suoritetun käsittelyn lainmukaisuuteen.
Metropoliassa kerättävien henkilötietojen käsittelyyn liittyvä suostumuksen peruuttaminen (peruuttamispyyntö) voidaan tehdä toimittamalla pyyntö johonkin kolmesta, edellä mainitusta Metropolian opiskelija- ja hakijapalveluiden toimistosta (tai henkilökunnan edustajan tapauksessa henkilöstöhallinnon yksikköön), jossa pyynnön esittämisen yhteydessä rekisteröidyn on todistettava henkilöllisyytensä.
15.Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Kansallinen valvontaviranomainen on Suomessa Tietosuojavaltuutetun toimisto, yhteystiedot:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelin (vaihde): + 358 29 56 66700
Kirjaamo: + 358 29 566 6768
Sähköposti: tietosuoja@om.fi
16. Rekisterin suojauksen periaatteet
Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla rekisteröityjen henkilötietoja ja rekistereitä Metropoliassa pyritään suojaamaan:
- Rekisterinpitäjien (Metropolian, HUS:n ja Helsingin kaupungin) ja järjestelmätoimittajien kanssa on sovittu rekisterin suojauksesta. Tarpeen vaatiessa vastuut on asianmukaisissa sopimuksissa riittävällä tarkkuudella kuvattu.
- Rekisterinpitäjien (Metropolian, HUS:n ja Helsingin kaupungin) työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.
- Järjestelmätoimittajat (henkilötietojen käsittelijät, jotka toimivat Metropolia-rekisterinpitäjän lukuun) hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta.
- Rekisterinpitäjien henkilörekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti.
- Rekisterinpitäjät ovat rajanneet käyttöoikeudet ja -valtuudet tietojärjestelmiin, työvälineisiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan työtehtäviensä tai muun toimenkuvansa vuoksi niiden käsittelyn kannalta tarpeelliset henkilöt.
- Henkilötietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä ja/tai muun toimenkuvansa puolesta on oikeus käsitellä henkilötietoja. Työntekijät saavat tehtäviin nähden asianmukaisen koulutuksen.
- Jokainen työvälineen/järjestelmän käyttäjä tunnistautuu järjestelmään henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten käyttöoikeus on hänelle Metropoliassa myönnetty.
- Tiedot kerätään tietokantoihin, jotka ovat suojattu loogisesti ja fyysisesti.
- Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.
17. Onko henkilötietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen seuraukset (tiedot siitä, mistä henkilötiedot on saatu)
Health Proof Helsinki -projektin henkilörekisterin ja sen sisältämien tietojen käsittely suhteessa siihen, onko tietojen antaminen lakisääteinen, sopimukseen perustuva tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tietojen antamatta jättämisen seuraukset. Rekisterikohtaisesti on myös selvitetty, mistä henkilötiedot on saatu.
Health Proof Helsinki- projektin henkilörekisteri on vapaaehtoiseen liittymiseen perustuva henkilörekisteri, jonka avulla hallitaan Health Proof Helsinki -projektin toimintaa ja/tai palveluita, viestintää sekä markkinoidaan projektin tuottamia toimintaa ja palveluita.Health Proof Helsinki -projektin henkilörekisteriin ei kenenkään ole pakko liittyä Rekisteriin tallennetut henkilötiedot on saatu lähtökohtaisesti rekisteröidyltä itseltään.
18. Automaattinen päätöksenteko ja profilointi
Health Proof Helsinki -projektin henkilörekisterin ja sen sisältämiä tietoja ei käytetä automaattiseen päätöksentekoon eikä profilointiin.