PALVELUSOPIMUKSEN TIETOSUOJALIITE (”TIETOSUOJALIITE”)
LIITE 1 – v2.1
PALVELUSOPIMUKSEN TIETOSUOJALIITE (”TIETOSUOJALIITE”)
1 PAS-PALVELUIHIN, FAIRDATA-KOKONAISUUTEEN JA PAS-RATKAISUUN LIITTYVÄ HENKILÖTIETOJEN KÄSITTELY YLEISESTI
1.1 Soveltuva tietosuojasääntely
Tähän Tietosuojaliitteeseen sisältyvät viittaukset tietosuojalainsäädäntöön käsittävät Suomen tietosuojalain, EU:n yleisen tietosuoja-asetuksen sekä muun kulloinkin voimassa olevan ja sovellettavan tietosuojalainsäädännön sekä tietosuojaviranomaisten ohjeet ja sitovat määräykset.
1.2 Hyödyntävän Organisaation edustajan henkilötiedot: käyttäjätiedot
PAS-palveluiden ja PAS-ratkaisun teknisen toteuttamisen varmistamiseksi CSC:n on käsiteltävä Hyödyntävän Organisaation edustajien henkilötietoja, joita ovat nimi, yhteystiedot, kirjautumistiedot, ja palvelun käyttötiedot (jäljempänä ”Edustajan Henkilötiedot”). Edustajan Henkilötietojen rekisterinpitäjänä pidetään OKM:ää. Hyödyntävän Organisaation tulee varmistua siitä, että sillä on oikeus Edustajan Henkilötietojen luovuttamiseen OKM:lle palvelusopimuksen ja tämän tietosuojaliitteen alaliitteenä olevan PAS-ratkaisun ja PAS-palveluiden tietosuojaselosteen mukaisiin tarkoituksiin.
Rekisteröidyllä on oikeus soveltuvan tietosuojasääntelyn mukaisesti vastustaa Edustajan Henkilötietojen käsittelyä siltä osin, kuin käsittely perustuu rekisterinpitäjän oikeutettuun etuun. Edustajan Henkilötietojen käsittely on kuitenkin välttämätöntä palvelun tarjoamiseksi Hyödyntävän Organisaation kanssa tehdyn Palvelusopimuksen mukaisesti. Mikäli tietty käyttäjä ei halua henkilötietojaan käsiteltävän, ei hän käytännössä voi hyödyntää PAS-palvelua ja PAS-ratkaisua, jolloin Hyödyntävän Organisaation on osoitettava tämä tehtävä jollekin muulle edustajalleen, jotta palvelu voidaan tarjota Palvelusopimuksen mukaisesti.
1.3 Aineistojen metatietoihin sisältyvät tutkijaa koskevat tiedot: aineistojen kuvailutiedot Fairdata- kokonaisuudessa
Osana Fairdata-kokonaisuudessa käsiteltäviin Aineistoihin voi sisältyä metatiedoissa seuraavia tutkijoita koskevia, sovellettavassa tietosuojalainsäädännössä tarkoitettuja henkilötietoja; tutkijan nimi, tutkintoa ja tutkimusta koskevat, tutkijaan yhdistettävissä olevat tiedot, sekä tieto tutkijan organisaatiosta (jäljempänä ”Tutkijan Henkilötiedot”).
Tutkijan Henkilötietojen osalta soveltuvan tietosuojasääntelyn mukaisena rekisterinpitäjänä pidetään itsenäisesti sekä Hyödyntävää Organisaatiota, että Fairdata-kokonaisuuden CSC:n välityksellä tarjoavaa OKM:ää. Hyödyntävän Organisaation tulee varmistua siitä, että sillä on oikeus Tutkijan Henkilötietojen luovuttamiseen OKM:lle palvelusopimuksen ja tämän tietosuojaliitteen alaliitteenä olevan PAS-palveluiden, Fairdata-kokonaisuuden ja PAS- ratkaisun tietosuojaselosteen (jäljempänä ”Tietosuojaseloste”) mukaisiin tarkoituksiin.
Vaikka Hyödyntävä Organisaatio ja OKM vastaavat lähtökohtaisesti Tutkijan Henkilötiedoista itsenäisinä rekisterinpitäjinä, PAS-ratkaisun, Fairdata-PAS-palvelun ja Kulttuuriperintö-PAS-palvelun käytännön toteuttamisen helpottamiseksi joidenkin rekisterinpitäjälle kuuluvien velvollisuuksien noudattamisesta on tarkoituksenmukaista sopia tarkemmin tässä Tietosuojaliitteessä. OKM:n valtuutuksella, tällaisista velvollisuuksista sopii OKM:n puolesta CSC.
1.4 CSC:n rooli
CSC:n rooli on toimia soveltuvan tietosuojalainsäädännön mukaisena henkilötietojen käsittelijänä sekä Tutkijan Henkilötietojen, että Edustajan Henkilötietojen osalta (Tutkijan Henkilötiedot ja Edustajan Henkilötiedot jäljempänä yhdessä ”Henkilötiedot”). Xxxxx rooliin liittyvistä CSC:n oikeuksista ja velvollisuuksista on sovittu tarkemmin OKM-CSC- sopimuksessa. CSC on sitoutunut käyttämään Henkilötietoja vain OKM-CSC-sopimuksessa, Palvelusopimuksessa ja Tietosuojaselosteessa kuvatun mukaisesti.
LIITE 1 – v2.1
2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄT CSC:N JA HYÖDYNTÄVÄN ORGANISAATION VELVOLLISUUDET
2.1 Tietosuojasääntelyn mukainen rekisteröityjen informointivelvollisuus
Täyttääkseen tietosuojasääntelyn mukaisen informointivelvollisuuden, CSC on laatinut Tietosuojaselosteen, jonka se saattaa Hyödyntävän Organisaation saataville tämän Tietosuojaliitteen alaliitteessä.
Siltä osin, kun Xxxxxxxx ja sen yhteydessä olevat Tutkijan Henkilötiedot siirretään Fairdata PAS-palveluun jonkin muun organisaation edustajan kuin itse tutkijan toimesta, on Hyödyntävän Organisaation velvollisuutena varmistua siitä, että tutkija on tietoinen kyseisestä Tutkijan Henkilötietojen luovutuksesta ja Tutkijan Henkilötietojen käsittelemisestä Tietosuojaselosteen mukaisesti.
2.2 Tietosuojalainsäädännön mukainen täsmällisyysperiaate
Hyödyntävän Organisaation on toteutettavat kohtuulliset toimenpiteet sen varmistamiseksi, että Henkilötiedot ovat täsmällisiä ja ajantasaisia, sekä korjattava tai poistettava epätarkat tai virheelliset Henkilötiedot, ottaen huomioon ne oikeudet ja vaikutusmahdollisuudet, jotka sillä on koskien Aineistoa.
2.3 Rekisteröityjen oikeuksien toteuttaminen Tutkijan Henkilötietojen osalta Fairdata- kokonaisuudessa
Tutkijan Henkilötietojen korjaamista koskevissa asioissa tutkijat ohjataan ensisijaisesti ottamaan yhteyttä Hyödyntävään Organisaation, joilla on mahdollisuus tehokkaasti ja nopeasti korjata kuvailupalvelun avulla virheelliset tutkijaa koskevat metatiedot. Muiden tutkijoille rekisteröityinä kuuluvien pyyntöjen osalta kontaktina toimi CSC. Mikäli tällaisia muita oikeuksia koskevia pyyntöjä kuitenkin osoitetaan Hyödyntävälle Organisaatiolle, se voi toteuttaa ne, mikäli sillä on tähän mahdollisuus, ottaen huomioon ne oikeudet ja vaikutusmahdollisuudet, jotka sillä on koskien Aineistoa.
Hyödyntävällä Organisaatiolla on aina oikeus välittää pyyntö eteenpäin CSC:lle, jos Hyödyntävä Organisaatio ei itse pysty toteuttamaan pyyntöä Fairdata-kokonaisuuden tekniseen toteutukseen liittyvistä syistä. CSC sitoutuu avustamaan Hyödyntävää Organisaatiota tällaisten pyyntöjen toteuttamisessa. Pyynnön eteenpäin välittäminen on tehtävä aina viimeistään kahden (2) viikon kuluessa sen vastaanottamisesta. Mikäli Hyödyntävä Organisaatio ei välitä pyyntöä ajoissa eteenpäin eikä itse toteuta pyyntöä, ja CSC myöhästyy tämän vuoksi sovellettavan tietosuojasääntelyn mukaisesta kuukauden määräajasta reagoida rekisteröidyn pyyntöihin, katsotaan pyyntöön vastaamisen myöhästyminen Hyödyntävän Organisaation syyksi ja Hyödyntävä Organisaatio vastaa itsenäisenä rekisterinpitäjänä täysimääräisesti kaikista tällaisesta myöhästymisestä johtuvista seurauksista, mukaan lukien tietosuojaviranomaisen tai toimivaltaisen tuomioistuimen määräämät hallinnolliset sanktiot ja/tai vahingonkorvaus.
2.4 Tietoturva
CSC on sitoutunut toteuttamaan Palvelusopimuksen mukaiset tietoturvatoimet, jotka perustuvat OKM-CSC- sopimuksessa sovittuun tietoturvan tasoon ja mahdollisiin muihin OKM:n kirjallisiin ohjeisiin koskien Henkilötietojen käsittelyä. Nämä tietoturvatoimet vastaavat tietosuojalainsäädännön asettamia vaatimuksia.
PAS-PALVELUIDEN, FAIRDATA-KOKONAISUUDEN JA PAS- RATKAISUN TIETOSUOJASELOSTE
Muutospäivämäärä: 26.6.2019
1 REKISTERIN NIMI
PAS-palveluiden, Fairdata-kokonaisuuden ja PAS-ratkaisun käyttäjä- ja metatietorekisteri
2 REKISTERINPITÄJÄ
Opetus- ja kulttuuriministeriö (”OKM”)
PL 29 00023 Valtioneuvosto
puh. 0295 16001 (vaihde) xxxxxxxx@xxxxxx.xx
3 REKISTERISTÄ VASTAAVA TAHO
OKM:n toimeksiannosta CSC – Tieteen tietotekniikan keskus Oy (”CSC”). CSC toimii OKM:n puolesta kontaktina tietosuojaan liittyvissä kysymyksissä.
CSC – Tieteen tietotekniikan keskus Oy PL 405, 02101 Espoo
puh. (00) 000 0000
Käyntiosoite:
Life Science Center Xxxxxxxxxx, Keilaranta 00, Xxxxx
Tämän selosteen kattamien palveluiden toimittamisesta on sopimus OKM:n ja CSC:n välillä. PAS-palveluiden ja PAS- ratkaisun käytöstä on palvelusopimus CSC:n ja hyödyntävän organisaation välillä. PAS-palvelut ovat OKM:n määrittelemien organisaatioiden käytettävissä. Muita Fairdata-kokonaisuuteen kuuluvia palveluita kuin Fairdata PAS- palvelu voidaan hyödyntää myös ilman palvelusopimusta.
4 REKISTERIN TIETOSISÄLTÖ
OKM:n omistamat PAS-palvelut, Fairdata-kokonaisuus ja PAS-ratkaisu toteuttavat tutkimusjulkaisujen, tutkimusaineistojen ja tutkimusdatan avoimeen saatavuuteen ja pitkäaikaissäilyttämiseen liittyvää, tietosuoja- asetuksen artiklan 89 mukaista merkittävää yleistä etua tutkimustarkoituksia varten sekä kulttuuriperintöaineistojen pitkäaikaissäilyttämiseen liittyvää yleistä etua.
Palveluiden käytönyhteydessä kerättävät henkilötiedot ovat:
A. Palveluiden käyttäjien tiedot (”Käyttäjätiedot”) ja
B. Aineistojen metatietoihin sisältyvät henkilötiedot (”Kuvailutiedot”)
A. Käyttäjätiedot
Käyttäjätiedot koostuvat PAS-palveluita, Fairdata-kokonaisuutta ja PAS-ratkaisua hyödyntävien organisaatioiden edustajien ja käyttäjien sellaisista tiedoista, joita tarvitaan sopimuksen mukaisen palvelun toteuttamisessa, häiriöiden selvittämisessä ja tietoturvan varmistamisessa. Rekisterinpitäjällä oikeutettu etu ja intressi käsitellä käyttäjätietoja näiden tarpeiden toteuttamiseksi.
3/5
Käyttäjätietoina kerätään seuraavia tietoja:
▪ Käyttäjän nimi ja mahdolliset muut tunnistetiedot
▪ Yhteystiedot
▪ Rekisteröidyn edustamaa organisaatiota/kotiorganisaatiota koskevat tiedot
▪ Sisäänkirjautumistiedot
▪ Palveluiden käyttöön liittyvät tiedot
B. Aineistojen kuvailutiedot Fairdata-kokonaisuudessa
Fairdata-kokonaisuudessa aineistojen kuvailutietoihin sisältyvien henkilötietojen käsittely on tarpeen OKM:n yleistä etua koskevan tehtävän suorittamiseksi ja OKM:lle kuuluvan julkisen vallan käyttämiseksi.
Osana Fairdata-kokonaisuuden aineistojen hallintaa, tallennetaan aineistojen metatietoina seuraavia henkilötietoja:
▪ Henkilön nimi
▪ Aineiston tekijöitä tai aineiston syntymiseen myötävaikuttaneita henkilöitä koskevat tiedot
▪ Tutkimusta koskevat, tutkijaan yhdistettävissä olevat tiedot, tunnisteet ja viittaustiedot
▪ Tieto tutkijan organisaatiosta (tutkimuksentekohetkellä)
Aineistot metatietoineen siirretään PAS-palveluun hyödyntävän organisaation toimesta. Aineistoja säilytetään Fairdata
-kokonaisuudessa niiden palvelukuvausten mukaisesti ja niissä kuvataan palveluiden sisällön lisäksi sekä CSC:n että hyödyntävän organisaation vastuut.
5 SÄÄNNÖNMUKAISET TIETOLÄHTEET
Henkilötiedot kerätään hyödyntäviltä organisaatioilta ja näiden edustajilta osana palvelukuvausten mukaista toimintaa.
5.1 Tietojen säännönmukaiset siirrot ja luovutukset
Palveluun sisältyvät metatiedot ovat haettavissa aineistojen hakutoimintoa käyttäen käyttäjäorganisaation edustajien ja muiden käyttäjäorganisaatiossa toimivien henkilöiden toimesta.
5.2 Tietojen siirto EU:n tai ETA:n ulkopuolelle
Tietoja ei siirretä tai luovuteta EU:n tai ETA:n ulkopuolelle rekisterinpitäjän eikä käsittelijän toimesta.
5.3 Aineistojen metatietoihin sisältyvät henkilötiedot
Fairdata-kokonaisuudessa olevat metatiedot ovat haettavissa avoimen hakuliittymän tai avoimen rajapinnan kautta.
5.4 Henkilötietojen säilytys
Henkilötietoja säilytetään rekisterissä palvelusopimuksen voimassaollessa. Palvelusopimuksen päättymisen jälkeen tiedot poistetaan aktiivisesta käytöstä kahden vuoden kuluessa. Tiedot voivat tämän jälkeen olla tallentuneina varmuuskopioihin, joita kuitenkin yli-kirjoitetaan säännöllisesti.
6 REKISTERIN SUOJAUKSEN PERIAATTEET
PAS-palveluiden tietoturvatoimenpiteet on mitoitettu tarkoituksenmukaisesti säilytettävien aineistojen suojaustarpeiden mukaisesti. Hyödyntävät organisaatiot vastaavat palvelukuvauksien mukaisesti säilytettävien aineistojen tietoturvallisuusvaatimuksien määrittämisestä ja niistä tiedottamisesta rekisterinpitäjälle ja CSC:lle. PAS- palvelut toteuttavat näiden vaatimusten mukaisen tietoturvallisuuden, sikäli kun se kuuluu PAS-palveluiden sisältöön.
Rekisteritietojen käyttöoikeus myönnetään tarpeen mukaan rekisterin ylläpitäjän tai palvelun tuottamisesta vastaavan palveluksessa työskenteleville henkilöille. Pääsy rekisteritietoihin on rajoitettu sekä verkkotekniikan että henkilökohtaisten käyttäjätunnusten ja salasanojen avulla. Palveluiden tietoturvallisuus auditoidaan säännöllisesti.
7 REKISTERÖIDYN OIKEUDET
Rekisteröidyllä on tietosuojalainsäädännön mukaiset oikeudet.
Rekisteröidyllä on oikeus tarkastaa rekisteriin tallennetut häntä itseään koskevat henkilötiedot ja saada jäljennös käsiteltävistä henkilötiedoista.
Rekisteröidyllä on myös oikeus vaatia henkilötietojensa korjaamista tai poistamista, jos tiedot ovat virheellisiä, tarpeettomia, puutteellisia tai vanhentuneita.
Rekisteröidyllä on oikeus vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä esimerkiksi siinä tilanteessa, kun rekisteröity odottaa vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön.
Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen syyhyn vedoten vastustaa henkilötietojen käsittelyä.
Edellä mainittuihin rekisteröidyn oikeuksiin liittyvät pyynnöt ovat lähtökohtaisesti maksuttomia. Käyttäjät voivat osoittaa pyyntönsä suoraan rekisterinpitäjälle selosteen kohdassa 2. osoitettuja yhteystietoja käyttäen. Tutkijoiden tulisi kuitenkin ensisijaisesti pyrkiä kääntymään aineistoa hallinnoivan organisaation puoleen, mikäli tutkijalla on metatietojen korjaamista koskevia pyyntöjä. Muissa kysymyksissä myös tutkija voi ottaa yhteyttä rekisterinpitäjään kohdan 2. mukaisia yhteystietoja käyttäen.
Mikä tahansa oikeus voidaan evätä laissa säädetyin perustein.
Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.
8 MUUTOKSET REKISTERISELOSTEESEEN
OKM tai CSC OKM:n valtuuttamana, voi tehdä muutoksia tähän rekisteriselosteeseen, mikäli henkilötietojen käsittelyn tavat tai tarkoitukset muuttuvat. Olennaisista muutoksista voidaan tapauskohtaisesti tiedottaa esimerkiksi rekisteröityjä, mikäli soveltuva lainsäädäntö tätä vaatii. Rekisteriselosteen ajantasainen versio on aina saatavilla osana PAS-palveluiden julkista kuvausta.