ti[ASIAKIRJAN NIMI]
ti[ASIAKIRJAN NIMI]
Denna integritetspolicy är baserad på EU:s Dataskyddsförordning (2016/679, General Data Protection Regulation,“GDPR”), speciellt skyldigheten att informera (GDPR artikel 12–14), registerupprättarens skyldigheter (GDPR artikel 30), samt skyldigheter enligt den nationella dataskyddslagen (1050/2018).
Därtill har denna integritetspolicy som mål att uppfylla EU:s tillgänglighetsdirektiv samt kompletterande nationella direktiv om tillhandahållande av digitala tjänster (Europaparlamentets och rådets direktiv (2016/2102) om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer; lagen om tillhandahållande av digitala tjänster (306/2019))
7.9.2022
1 Registrets namn | Dataregister över personuppgifter vid Metropolias FrEE - Framtidens EnergiExpert - Tulevaisuuden energiaosaajat hiilivapaaseen kasvuun - projekt |
2 Register-ansvarig | Namn: Metropolia Ammattikorkeakoulu Oy |
Kontaktuppgifter: | |
Metropolia Ammattikorkeakoulu Oy (FO-nummer: 2094551-1) | |
Postadress: PB 4000, 00079 Metropolia | |
Besöksadress: Myllypurontie 1, 00920 Helsingfors | |
Telefon (växel): + 000 0 0000 0000 | |
Person ansvarig för registret hos den registeransvarige: | |
Namn: Xxxxxx Xxxxxxx | |
Titel: Rektor - VD | |
Person ansvarig för innehållet I registret: | |
Namn: Xxxxx Xxxxxx | |
Titel: Enhetsansvarig | |
Adress: Metropolia Ammattikorkeakoulu Oy, PB 4000, 00079 METROPOLIA | |
Kontaktuppgifter till kontaktpersonen för registret: | |
Namn: Xxxxx Xxxxxxx | |
Titel: Projectledare | |
Adress: Metropolia Ammattikorkeakoulu Oy, PB 4000, 00079 METROPOLIA | |
3 Datasäkerhets- ansvarig | Dataskyddsombud: Xxxxxx Xxxxxxxxxxx, Metropolias dataskyddsombud |
Dataskyddsombudets kontaktuppgifter: Tel: x000 00 000 0000 |
Metropolia | PO Box 4000 | Myllypurontie 1 | |
University of Applied Sciences | FI-00079 Metropolia | FI-00920 Helsinki | Telephone x000 0 0000 0000 Business ID: 2094551-1 |
7.9.2022
4 Orsak och laglig grund till hantering av personuppgifter | Orsak till hantering av personuppgifter: Meningen med registret för personuppgifter i Metropolias FrEE-projekt är att tjäna personer inom projektets målgrupp samt intressenter av projektet, ilvolvera dem i projektets utvecklingsarbete och dela information om händelser och evenemang inom projektet. Målsättningen med FrEE-projektet är att minska kunskapsbehovet, som uppstått hos små och medelstora företag inom energi- och hustekniks-brancherna p.g.a. energiomställningen från fossila bränslen till förnybara energiformer, genom att erbjuda dem effektiv skolning. Med hjälp av aktörer inom branscherna identifierar projektet kunskapsbehovet och utvecklar digitala kunskapsmoduler baserat på detta. Inom projektet utvecklas en konceptmiljö, Energy Hub Living Lab, där företag inom energi- och husteknikbranscherna kan utnyttja informationen. Med hjälp av undersökningen och testning identifieras kunskapsbehovet samt insamlas feedback, önskemål och idéer för stöd vid planeringen och utvecklingen av kunskapsmodulerna. Registret för personuppgifter i Metropolias FrEE-projekt kompletteras av: Personuppgiftsregistret för FrEE-projektets webbundersökning Laglig grund för hantering av personuppgifter: Personuppgifterna i registret för personuppgifter i Metropolias FrEE-projekt baseras på de registrerades medgivande. Den lagliga grunden är medgivandet. |
5 Berättigade intressen hos den register- ansvarige eller en tredje part | Den rättsliga grunden för att behandla data inom Metropolias FrEE-projekt är inte ett "berättigat intresse". Därför tillämpas inte denna paragraf. |
6 Beskrivning av objekten och grupper av personuppgifter | Objekten som registreras i Metropolias FrEE-projekt är representanter och anställda vid samarbetsföretag samt övriga yrkesmän och anställda inom energi- och hustekniksbranscherna. Följande uppgifter lagras i personuppgiftsregistret vid Metropolias FrEE-projekt: BASINFORMATION OCH KONTAKTUPPGIFTER • Basinformation: förnamn, efternamn, telefonnummer, e-post adress, födelsetid, ålder, vilket företag personen representerar, roll inom företaget. INFORMATION OM ÅTGÄRDER • Information om åtgärder riktade mot de registrerade; t.ex. information om infomeddelanden, kallelser och förfrågningar. |
7 Regelrätta källor till personuppgifter | Personuppgifterna lämnas av de registrerade själva. |
7.9.2022
8 Informations- system som används vid behandlingen av personuppgifter | Informationen i registret för personuppgifter i Metropolias FrEE-projekt ges vid behov (med sk. admin rättigheter, t.ex. till servicepersonal vid reparation av tekniska problem) till följande system. Metropolias e-post system Nedskrivna instruktioner och dokument vid FrEE-projektet skickas per e-post via Metropolias Microsoft Outlook Exchange e-post system eller med säker e-post tillhandahållen av Metropolia. Metropolias e-post system fungerar på Metropolias egna servers i Finland. Microsoft Teams – verktyg för distansmöten Microsoft Teams verktyg för distansmöten kan användas för intern kommunikation inom projektet. Säker e-post (Deltagon’s sec@gw - tjänst för säker e-post) Deltagons sec@gw tjänst för säker e-post används vid behov för att skicka och ta emot känslig information såsom personuppgifter och konfidentiell information till parter utanför Metropolia. Microsoft O365 Forms - verktyg för webbundersökning och Microsoft OneDrive Microsoft Forms verktyg för skapande av webbundersökning används t.ex. vid insamling av information och respons. Microsoft OneDrive kan användas för lagring och delning av dokument, såsom t.ex. mötesprotokoll, inom projektet och dess parter. |
9 Mottagare och mottagar-grupper för informationen samt regelrätt överlämning | Informationen i registret för personuppgifter i Metropolias FrEE-projekt ges vid behov (med sk. admin rättigheter, t.ex. till servicepersonal vid reparation av tekniska problem) till följande system. Avtal för behandling av personuppgifter i enlighet med GDPR artikel 28 har uppgjorts vid Metropolia med följande samarbetsparter: Microsoft Corporation och Microsoft Teams Microsoft Teams verktyg för distansmöten kan användas för intern kommunikation inom projektet. Leijonaverkot Oy (del av Erillisverkot koncernen, f.d. Deltagon Group Oy) och säker e-post (Deltagon’s sec@gw -säker e-post) Deltagons sec@gw tjänst för säker e-post används vid behov för att skicka och ta emot känslig information såsom personuppgifter och konfidentiell information till parter utanför Metropolia. Microsoft Corporation och Microsoft O365 verktyg (Forms och OneDrive) Microsoft Forms verktyg för skapande av webbundersökning används t.ex. vid insamling av information och respons. Microsoft OneDrive kan användas för lagring och delning av dokument, såsom t.ex. mötesprotokoll, inom projektet och dess parter. |
7.9.2022
10 Förflyttning av information utanför EU eller ESS eller till internationella organisationer | Personuppgifter som finns i personuppgiftsregistret i Metropolias FrEE-projekt kommer i huvudsak inte att överföras utanför EU eller EES eller till internationella organisationer. Personuppgifter som finns i personuppgiftsregistret kan dock överföras utanför EU eller EES för att tillhandahålla IT-tjänster som behövs för arbete eller studier, från fall till fall. Destinationslandet dit personuppgifterna överförs då är främst USA. Det är också möjligt att Indien är destinationslandet eftersom globala ICT- tjänsteleverantörer ofta använder Indien som värdland för den internationella helpdesk-tjänsten/ICT-tekniska användarsupporten. Metropolias ICT-tjänsteleverantör får inte överföra eller ge tillgång till personuppgifter eller behandla personuppgifter utanför EU eller EES utan föregående samråd och föregående skriftligt medgivande från den registeransvarige på Metropolia. Om en sådan dataöverföring har godkänts av den registeransvarige har den föregåtts av en dokumenterad (Data) TIA-analys (Data Transfer Impact Assessment). Om en sådan överföring av uppgifter har godkänts av den registeransvarige, måste avtalet för överföringen av uppgifter innehålla standardiserade avtalsklausuler (SCC) som godkänts av EU-kommissionen. Dessutom ska den registeransvarige bedöma och övervaka dataskyddsnivån i det land till vilket uppgifterna överförs. Överföringen av uppgifter kan också ske med hjälp av ett annat förfarande som är skriftligt godkänt av den registeransvarige. Endast nödvändiga uppgifter kommer att överföras och överföringen kommer att ske i enlighet med och inom de gränser som anges av dataskyddslagen. Säkerheten och dataskyddet för överföringen avtalas alltid separat. |
11 Lagringstid för personuppgifter | De personuppgifter som samlas in i Metropolias FrEE-projekt och som behandlas inom registret kommer att bevaras i registret fram till projektets slut, det vill säga till augusti 2023. Uppgifterna kommer sedan att lagras separat med det övriga projektmaterialet på en säker plats i 10 år. Lagringsperioden baseras på riktlinjerna för ESF-projektet. |
7.9.2022
12 Den registrerades rättigheter | Den registrerade har rätt att få bekräftelse från den personuppgiftsregisteransvarige om huruvida personuppgifter som rör hen behandlas eller inte. Den registrerade har också rätt att få tillgång till de personuppgifter som rör hen samt att ta del av och få kopior av de personuppgifter som finns lagrade i registret. I enlighet med dataskyddsförordningen ska den registeransvarige svara på den registrerades begäran inom en månad efter att ha mottagit begäran. A. Rätt att få tillgång till personuppgifterna Den registrerade har rätt att kontrollera vilka uppgifter om hen som har lagrats i personuppgiftsregistret. Den registrerade kan göra en begäran om information genom att skicka in ett noggrant ifyllt, utskrivet och personligt undertecknat formulär för förfrågning av registrerad information på Metropolias offentliga webbplats och/eller Metropolias intranät till ett av Metropolias tre student- och sökandekontor. Om registranten är en personalrepresentant kan han eller hon skicka in en begäran till Metropolias personalavdelning. När den registrerade lämnar in ansökan måste den registrerade bevisa sin identitet på något tillförlitligt sätt (till exempel genom att visa upp sitt officiella identitetskort eller körkort för den Metropolia-anställda som mottar förfrågan). Besöksadressen till Metropolias student- och sökandekontor är: Metropolias Myllypuro campus Myllypurontie 1, 00920 Helsingfors Metropolias Arabia campus Xxxxxxxxx 000 X, 00000 Xxxxxxxxxxx Metropolias Myyrmäki campus Leiritie 1, 01600 Vanda Besöksadressen till Metropolias HR-avdelning är: Metropolias Myllypuro campus (Byggnad C och D, 5:e våningen) Myllypurontie 1, 00920 Helsingfors Samtlig begäran om information till Metropolias student- och sökandekontor kommer att vidarebefordras till Metropolias dataskyddsombud (e-post xxxxxxxxxxxxxxxxxx@xxxxxxxxxx.xx). Svar på förfrågan ges till den registrerade av Metropolias dataskyddsombud. Vid behov kan den registrerade be dataskyddsombudet att lämna tilläggsinformation om framstegen i begäran eller innehållet i svaret. |
7.9.2022
B. Rätt att korrigera uppgifter samt begränsa behandlingen av dessa Den registrerade har rätt att begränsa användningen behandlingen av uppgifterna om det är frågan om en av följande: • den registrerade förnekar riktigheten av sina personuppgifter (rätt till rättelse), i vilket fall behandlingen är begränsad till den tid under vilken den registeransvarige kan verifiera uppgifternas riktighet; • behandlingen är olaglig och den registrerade motsätter sig radering av hens personuppgifter och begär istället att deras användning begränsas; • den personuppgiftsansvarige inte längre behöver sådana personuppgifter för behandlingen, men den registrerade behöver dem för att upprätta, lägga fram eller försvara ett rättsligt anspråk. En sådan begäran om rättelse eller begränsning av behandlingen av Metropolias personuppgiftsregister kan göras genom att lämna in en begäran till någon av de ovan nämnda Metropolias student- och sökandetjänster eller till Metropolias personalavdelning (endast anställda). C. Rätt att radera uppgifter Den registrerade har rätt att få sina personuppgifter raderade från Metropolias register utan onödigt dröjsmål, förutsatt att något av följande uppfylls: • personuppgifter inte längre behövs för de ändamål för vilka de samlades in eller på annat sätt behandlades; • den registrerade drar tillbaka det samtycke som ligger till grund för behandlingen och det finns ingen annan rättslig grund för behandlingen; • personuppgifter har behandlats olagligt; eller • personuppgifter måste raderas för att uppfylla en rättslig skyldighet enligt unionsrätten eller nationell lagstiftning. En sådan begäran om radering av Metropolias personuppgiftsregister kan göras genom att lämna in en begäran till något av de tre Metropolias student- och sökandetjänster som nämns ovan eller till Metropolias personalavdelning (endast anställda), där den registrerade måste uppvisa tillförlitliga bevis för sin identitet. D. Rätt att flytta uppgifter från ett system till ett annat Tillämpas delvis. Artikel 20 i den allmänna dataskyddsförordningen (GDPR) inför en ny rättighet för den registrerade: rätten att få ut sina egna uppgifter i en "strukturerad, allmänt använd och maskinläsbar form" och rätten att överföra uppgifter från ett system till ett annat. Rätten syftar till att öka de registrerades inflytande över sina egna personuppgifter, eftersom det underlättar överföring eller kopiering av personuppgifter från en informationssystemmiljö till en annan (till sina egna system, möjligheten att lagra personuppgifter för sin egen personliga användning eller lagras av betrodd tredje part). Rätten att överföra uppgifter från ett system till ett annat kompletterar i detta avseende rätten till tillgång till sina egna uppgifter. |
7.9.2022
Rätten att överföra uppgifter från ett system till ett annat enligt artikel 20 i den allmänna dataskyddsförordningen (GDPR) innebär också den registrerades rätt att få tillgång till personuppgifter som behandlats av den personuppgiftsansvarige i en strukturerad, allmänt använd och maskinläsbar form så att den registrerade kan enkelt överföra sådana data från ett system till ett annat. På begäran av den registrerade kan uppgifterna överföras direkt från en registeransvarig till en annan, om det är tekniskt möjligt (artikel 20.2). Den personuppgiftsansvarige uppmuntras att utveckla interoperabla format som gör att data kan överföras från ett system till ett annat, utan att det skapas en skyldighet för registeransvarige att anta eller underhålla databehandlingssystem som är tekniskt kompatibla. Det bör noteras att artikel 20 i den allmänna dataskyddsförordningen (GDPR) endast omfattar behandling av personuppgifter från ett system till ett annat om de är baserade på: - samtycke från den registrerade (enligt artikel 6.1a eller artikel 9.2a när det gäller specifika kategorier av personuppgifter) - eller till ett avtal som den registrerade är part i (enligt artikel 6.1b). Med andra ord bör artikel 20 i den allmänna dataskyddsförordningen (GDPR) beaktas, om den rättsliga grunden för behandlingen av personuppgifter antingen är den registrerades samtycke eller nödvändigheten för att fullgöra avtalet. Rätten gäller endast personuppgifter som den registrerade lämnar till den regiteransvarige. En begäran enligt artikel 20 i den allmänna dataskyddsförordningen (GDPR) kan göras genom att lämna in en begäran till ett av de tre Metropolias student- och sökandetjänster som nämns ovan eller till Metropolias personalavdelning (endast anställda), där den registrerade måste uppvisa tillförlitliga bevis för sin identitet då hen lämnar in begäran. E. Rätten att inte bli föremål för ett dataintrång på personuppgifterna Den registrerade har rätt att inte bli föremål för ett dataintrång på personuppgifterna som avses i artikel 33 i EU:s dataskyddsförordning (GDPR) på grund av ett brott mot dataskyddet och/eller säkerheten från den registeransvarige eller ett brott mot dataskyddet och/eller säkerhet av den registeransvarige. Den registrerade har rätt att få information utan onödigt dröjsmål om ett dataintrång på personuppgifter sannolikt kommer att utgöra en hög risk för fysiska personers rättigheter och friheter. |
7.9.2022
13 Den registrerades rätt att invända sej | Enligt artikel 21 i EU:s dataskyddsförordning (GDPR) har den registrerade rätt att, på grund av sin specifika personliga situation, invända mot behandling av personuppgifter enligt artikel 6.1e (behandling är nödvändig för utförandet av en uppgift av allmänt intresse eller för att utövande av offentlig makt som tillhör den registeransvarige) såsom profilering baserad på dessa bestämmelser. Den registeransvarige ska inte längre behandla personuppgifter om inte den registeransvarige kan visa att det finns ett tvingande och berättigat skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller är nödvändig för att förbereda, lägga fram eller försvara ett rättsanspråk. En begäran om att invända mot behandlingen av insamlade personuppgifter kan göras genom att lämna in en begäran till något av de tre Metropolias student- och sökandetjänster som nämns ovan eller till Metropolias personalenhet (endast anställda), där den registrerade måste uppvisa tillförlitliga bevis för sin identitet då hen lämnar in begäran. |
14 Rätt att återkalla samtycke | Om behandlingen av personuppgifter grundar sig på den registrerades samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke till behandlingen utan att det påverkar lagligheten av den behandling som utfördes före detta samtycke. Återkallande av samtycke i samband med behandling av personuppgifter som samlats in av Metropolia (begäran om återkallelse) kan göras genom att lämna in en begäran till någon av Metropolias tre kontor för student- och sökandetjänster (eller, när det gäller en personalrepresentant, till HR-avdelningen), där den registrerade måste uppvisa tillförlitliga bevis för sin identitet då hen lämnar in begäran. |
15 Rätt att framföra klagomål till tillsynsmyndighet en | Den registrerade har rätt att lämna in ett klagomål till tillsynsmyndigheten om den registrerade anser att behandlingen av personuppgifter som rör hen bryter mot gällande dataskyddsregler. Den nationella tillsynsmyndigheten i Finland är Dataombudsmannens byrå: Dataombudsmannens byrå Besöksadress: Xxxxxxxxxxxxxxxx 0, 00000 Xxxxxxxxxxx Postadress: PB 800, 00531 Helsingfors Telefon (växel): + 000 00 00 00000 Registratorskontor: x000 00 000 0000 E-post: xxxxxxxxxx@xx.xx |
7.9.2022
16 Principerna för registrets datasäkerhet | Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder som syftar till att skydda personuppgifter och register över registrerade vid Metropolia: • En överenskommelse om skydd av registret har upprättats mellan registerinnehavaren (Metropolia) och systemleverantörerna. Vid behov beskrivs ansvarsområden tillräckligt detaljerat i relevanta avtal. • Anställda och övriga personer hos registerinnehavaren (Metropolia) har förbundit sig att iaktta tystnadsplikt och att hålla den information de får i samband med behandlingen av personuppgifter konfidentiell. • Systemleverantörerna (behandlare av personuppgifter som agerar på uppdrag av Metropolias registeransvarige) upprätthåller registret och relaterade uppgifter i enlighet med god databehandlingspraxis och iakttar strikt yrkeshemlighet och konfidentialitet. • Datasäkerheten i registerinnehavarens (Metropolias) personuppgiftsregister och sekretessen för personuppgifter säkerställs genom lämpliga tekniska och administrativa åtgärder i enlighet med god databehandlingssed. • Registerinnehavaren (Metropolia) har begränsat åtkomsträttigheterna och behörigheterna till informationssystemen, verktygen och andra lagringsmedier så att uppgifterna endast kan ses och behandlas av personer som på grund av sina arbetsuppgifter eller annan arbetsbeskrivning behöver tillgång till uppgifterna. • Endast anställda som har rätt att behandla personuppgifter för sitt arbete och/eller annan arbetsbeskrivning har rätt att använda systemet som innehåller personuppgifter. Anställda får lämplig skolning för arbetet i fråga. • Varje användare av verktyget/systemet identifierar sig med systemet med sina personliga användarhandlingar, som tillhandahålls vid beviljande av åtkomst. Nyttjanderätten upphör när personen lämnar den befattning för vilken hen har beviljats användarrätten vid Metropolia. • Informationen lagras i databaser som är skyddade logiskt och fysiskt. • Databaserna och deras säkerhetskopior finns i låsta utrymmen och kan endast nås av vissa i förväg utsedda personer. |
7.9.2022
17 Är tillhanda- hållandet av personuppgifter ett lagstadgat, avtalsenligt eller avtalsenligt krav och är den registrerade skyldig att tillhandahålla personuppgifter och konsekvenserna av att inte lämna ut information (information om var person- uppgifterna har erhållits) | Behandling av personregistret i Metropolia Ammattikorkeakoulus Free-projekt och de uppgifter som finns däri i förhållande till om uppgiftslämnandet är ett lagstadgat, avtalsenligt eller avtalsenligt krav och om den registrerade är skyldig att lämna personuppgifter och konsekvenserna av detta. Det har också förtydligats för varje register varifrån personuppgifterna inhämtats. - Personregistret i Metropolias FrEE-projekt är ett personregister baserat på frivilligt medlemskap, som används för att hantera aktiviteterna och/eller tjänsterna inom FrEE-projektet. - Ingen är skyldig att gå med i personregistret som upprättats för Metropolias Free-projekt - De personuppgifter som lagras i registret har i första hand inhämtats från den registrerade själv. |
18 Automatiskt beslutsfattande och profilering | Personregistret i Metropolia Ammattikorkeakoulus FrEE-projekt och informationen i detta används inte för automatiskt beslutsfattande eller profilering. |