DATASKYDDSMEDDELANDE
DATASKYDDSMEDDELANDE
enligt EU:s dataskyddsförordning GDPR art. 13 och 14
Meddelandet gäller:
Ett register, system eller verktyg: Novia Network (CRM)
Personuppgiftsansvarig
Yrkeshögskolan Xxxxx Xxxxxxxxxxxxx 00
65200 Vasa Finland xxx.xxxxx.xx
Yrkeshögskolan Novia är personuppgiftsansvarig för de personuppgifter som samlas in och behandlas i yrkeshögskolans verksamhet – i undervisning, handledning, forskning och utveckling, administration och samverkan, internt och externt.
Ansvarig enhet för den behandling som beskrivs i detta dokument:
Rektorsadministration
Kontaktperson:
Xxxxx Xxxxxxxxxx, xxxxx.xxxxxxxxxx@xxxxx.xx, x000000000000
Dataskyddsombud vid Yrkeshögskolan Novia:
xxxxxxxxxxxxxxx@xxxxx.xx, x000 0 000 0000 (växel)
Varför behandlar vi dina personuppgifter?
Uppgifterna samlas in inom ramen för Novias verksamhet. Novia Network är Novias CRM system för hantering av externa arbetslivskontakter och –aktiviteter. Novia Network är det personregister som strukturerat och centraliserat upprätthåller Novias kund-, partner och intressegrupper samt näringslivskontakter. Vi använder Novia Network för att systematiskt identifiera kundernas och samarbetspartnernas behov och säljuppdrag som Novia utför.
Enligt GDPR måste det finnas en rättslig grund för att behandla personuppgifter. Rättslig grund för att behandla dina personuppgifter är:
Samtycke (art. 6.1 a)
Samtycke innebär att du blir tillfrågad och svarar ja (skriftligt eller muntligt) till att dina personuppgifter behandlas för ett specifikt ändamål. Du ger samtycket fullt frivilligt efter att du tagit del av information om hur dina personuppgifter behandlas (d.v.s. samlas in, lagras, delas, arkiveras m.m.). När samtycke är den enda rättsliga grunden för att behandla dina personuppgifter har du rätt att ångra dig när som helst. Du kan meddela att du ångrat dig genom att skicka e-post till xxxxxxxxxxx@xxxxx.xx. Den behandling som genomförts innan du återkallade samtycket påverkas inte.
Avtal (art. 6.1 b)
Du har ett avtal eller ska ingå ett avtal med Yrkeshögskolan Novia och det är nödvändigt att behandla dina personuppgifter för att fullgöra avtalet.
Allmänt intresse eller offentlig makt (art. 6.1 e)
Yrkeshögskolan Novia har lagstadgade uppgifter av allmänt intresse och rätt att utöva offentlig makt enligt yrkeshögskolelagen. Vetenskaplig forskning är exempel på en lagstadgad uppgift av allmänt intresse.
Berättigat intresse (art. 6.1 f)
Det är nödvändigt att behandla personuppgifter för ett ändamål som gäller Yrkeshögskolan Novias eller en annan parts berättigade intresse. Dina personuppgifter kan behandlas bara om ett jämviktstest visat att skyddet av dina personuppgifter väger tyngre än det berättigade intresset. Berättigat intresse kan inte vara en rättslig grund när Yrkeshögskolan Novia sköter sina lagstadgade yrkeshögskoleuppgifter.
Motivering:
Samarbetsparter
I CRM-systemet registreras kontakter som fungerar som uppdragsgivare för studerandes examensarbeten och kontaktpersoner för studerandes praktikplatser. Den rättsliga grunden för att behandla personuppgifter i samband med uppdrag (examensarbeten) är avtal (GDPR art. 6.1 b). Den rättsliga grunden för att behandla personuppgifter i samband med praktik inom utbildningen är allmänt intresse (GDPR art. 6.1 e).
Alumninformation
Uppgifter om utexaminerade överförs från det studieadministrativa systemet Peppi till Novia Network. Den rättsliga grunden för personuppgiftsbehandlingen stöder sig på EU:s allmänna dataskyddsförordning artikel 6 punkt 1e, det vill säga behandling av personuppgifter för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning i enlighet med Finlands dataskyddslag 4 § punkt 1. Till yrkeshögskolornas uppgifter hör enligt Yrkeshögskolelagen 4 § bland annat att erbjuda möjligheter till kontinuerligt lärande, samverkan med det övriga samhället samt karriäruppföljning. För att kunna uppfylla dessa uppgifter är det nödvändigt att upprätthålla personregister på lärosätets studenter och av lärosätet utexaminerade studenter.
Medelinsamling
Novia har tillstånd att samla in medel för att fullgöra sina uppgifter enligt yrkeshögskolelagen, 4 §. När Novia samlar in medel registreras donatorernas personuppgifter i CRM-systemet. Den rättsliga grunden för att behandla personuppgifterna är berättigat intresse (GDPR art. 6.1 f).
Fortbildning
När Novia ordnar fortbildning registreras deltagarnas personuppgifter i Novia Network. Den rättsliga grunden för registreringen i samband med anmälan är deltagarnas samtycke (GDPR art. 6.1 a). Den rättsliga grunden för att behandla personuppgifterna i samband med betalning är avtal (GDPR art. 6.1 b).
Medlemsregister/Novium
Studerandekåren Novium använder Novia Network som medlemsregister för sina medlemmar. Genom Novia Network kan medlemmar anhålla om studiekort (CardPlus/Slice). Den rättsliga grunden för behandlingen av personuppgifter är avtal (GDPR art. 6.1 b).
Vilka personuppgifter behandlar vi och vem behandlar dem?
Novia Network innehåller följande personuppgifter:
Uppgifter om högskolans alumner som överförs direkt från det studieadministrativa systemet Peppi: Förnamn, efternamn, tidigare efternamn, personbeteckning, e-postadress, telefonnummer, examen, utbildning, undervisningsställe.
Externa kontakter: namn, adress, telefonnummer, e-post, nationalitet, befattning, anställd på, kön och kontaktspråk
Personuppgifter som i samband med betalning i betalningstjänsten Paytrail samlas in för att kunna identifiera vem som gjort betalning till evenemang/kurs/ seminarium där anmälan
kommit in via Novia Network. Följande uppgifter samlas in i samband med betalningar via Paytrail: Namn, e-postadress, telefonnummer, gatuadress, postnummer, postort, land, vald produkt, tidpunkt för betalning, betalningens summa och betalningssätt.
- Betalaren väljer själv produkt/tjänst och uppger sina personuppgifter. Uppgifter om genomförd betalning kommer från betalningstjänsten Paytrail till Novias ekonomiservice. Inga kreditkortsuppgifter lagras av Yrkeshögskolan Novia, sådana uppgifter anger den registrerade enbart till betalningstjänsten Paytrail.
Medlemskap i Novium: Förnamn, efternamn, födelsedatum, personbeteckning, hemadress, telefonnummer, e-postadress, ort, land, campus, planerat examensår, bild av studerande
Studiekort CardPlus: Förnamn, efternamn, födelsedatum, bild av studerande
Studiekort Slice: Förnamn, efternamn, födelsedatum, e-postadress, planerat examensår, typ av medlemskap (läsår/termin), datum för när medlemskapet är köpt, medlemskapets giltighetstid, bild av studerande
Endast Novias anställda har tillgång till CRM-systemet. Användarrättigheter till programmet ges av huvudanvändaren enligt behov. Användarrättigheterna är kopplade till en persons anställning, vilket innebär att rättigheterna tas bort automatiskt då anställningsförhållandet upphör.
Varifrån samlar vi in dina personuppgifter och hur behandlar vi uppgifterna?
Uppgifterna samlas in inom ramen för Novias verksamhet, via Novias administrativa system (t.ex. det studieadministrativa systemet Peppi för basinformation om alumner) eller direkt från den registrerade själv (t.ex. vid anmälan till fortbildning eller beställning av studiekort).
Principer för skyddet av personregistret baseras på kategorier av personuppgifter som behandlas, den rättsliga grunden och hanteringen. Personuppgifter behandlas aldrig i större utsträckning än nödvändigt. Varje anställd ansvarar för att följa principerna om uppgiftsminimering, lagringsminimering och ändamålsbegränsning. När personuppgifter behandlas bör detta göras på säkrast möjliga sätt.
Uppgifter från det studieadministrativa systemet Peppi överförs inte om personen nekat samtycke till överföringen eller om personen har spärrmarkering. Personuppgifter raderas när uppgifterna inte längre är nödvändiga eller när den registrerade ber om att få sina uppgifter raderade.
Alumninformation sparas varaktigt, eller tills den registrerade ber om att få sina uppgifter raderade, eftersom man är alumn hela livet.
Informationen för evenemang sparas varaktigt, eller tills den registrerade ber om att få sina uppgifter raderade, eftersom uppgifterna behövs för statistikföring.
Informationen för Novium och studiekort sparas varaktigt, eller tills den registrerade ber om att få sina uppgifter raderade.
Informationen om externa kontakter följs upp och raderas då de inte längre är aktuella, eller när den registrerade ber om att få sina uppgifter raderade.
Överförs dina personuppgifter till en tredje part (utanför Yrkeshögskolan Novia) för behandling?
Ja, personuppgifterna kan överföras för behandling utanför Yrkeshögskolan Novia.
CRM-systemet Novia Network levereras av det svenska företaget Mira Network. Ett separat avtal för behandling av personuppgifter har upprättats.
Personuppgifterna överförs till betalningstjänsten Paytrail för att kunna genomföra olika typer av betalningar från systemet. Paytrail lagrar ovannämnda personuppgifter i fem år och efter det raderas uppgifterna ur deras register.
Personuppgifter överförs också till studiekortsleverantörerna XxxxXxxx och Slice.
I CRM-systemet kan man ladda ner rapporter i Microsoft Excel för internt bruk. Novia Network samlar inte in oskäliga personuppgifter.
Lämnas dina personuppgifter ut till en tredje part utanför Yrkeshögskolan Novia?
Nej, personuppgifterna kommer inte att lämnas ut utanför Yrkeshögskolan Novia. Endast Novias anställda har tillgång till CRM-systemet novia Network.
Överförs dina personuppgifter utanför EU/EES?
Ja, personuppgifterna kan komma att överföras tillfälligt utanför EU/EES p.g.a. det verktyg som används.
Yrkeshögskolan Novia överför inte aktivt uppgifter utanför EU/EES, men Novia Network (Mira Network) innehåller komponenterna Microsoft (Excel) och Paytrail som hanterar uppgifter även i tredje land.
Vilka rättigheter har du när Yrkeshögskolan Novia behandlar dina personuppgifter?
Yrkeshögskolan Novia ansvarar för att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig eller olaglig behandling och mot skada på eller förlust av personuppgifter. Personuppgifter ska alltid behandlas på ett rättvist och öppet sätt i enlighet med gällande dataskyddsbestämmelser.
Enligt EU:s dataskyddsförordning GDPR (art. 12-22) har du rätt att
− få klar och tydlig information om hur dina personuppgifter behandlas och hur du kan utöva dina rättigheter (art. 12)
− få tillgång till dina personuppgifter vid Yrkeshögskolan Novia och information om behandlingen (art. 15)
− få dina personuppgifter korrigerade (art. 16). Obs! Du som är anställd eller studerande vid Yrkeshögskolan Novia kan göra korrigeringar själv, enligt anvisningar på intranätet.
− få dina uppgifter raderade ("rätten att bli bortglömd") i vissa situationer (art. 17)
− begränsa behandlingen av dina personuppgifter i vissa situationer (art. 18)
− få personuppgifterna överförda mellan system i vissa situationer (art. 20)
− invända mot behandlingen av dina personuppgifter i vissa situationer (art. 21)
− inte bli föremål för automatiskt beslutsfattande, med vissa undantag (art. 22)
Du har också rätt att bli informerad om en personuppgiftsincident som innebär hög risk för dina personuppgifter (art. 34).
När ändamålet med behandlingen är vetenskaplig forskning, statistik eller arkivändamål kan rättigheterna vara begränsade med stöd av dataskyddslagen (1050/2018). Begränsningar i rättigheterna förutsätter alltid särskilda skyddsåtgärder.
Om du har frågor om dina rättigheter kan du kontakta den ansvariga kontaktpersonen (se ovan) eller Yrkeshögskolan Novias dataskyddsombud (xxxxxxxxxxxxxxx@xxxxx.xx). Se också den övergripande informationen om behandling av personuppgifter på Yrkeshögskolan Novias webbsidor (xxxxx://xxx.xxxxx.xx/xx-xxx/xxxxxxxx- dokument/dataskydd/).
Du har rätt att framföra klagomål till dataskyddsmyndigheten om du anser att dina personuppgifter blivit olagligt behandlade enligt EU:s dataskyddsförordning GDPR.
Kontaktuppgifter till dataskyddsmyndigheten: Dataombudsmannens byrå
PB 800
00531 Helsingfors
x000 00 000 0000 (växel)
xxxxxxxxxx@xx.xx xxxxxxxxxx.xx
BILAGA: Tilläggsinformation om ett långvarigt eller bestående register, ett system eller verktyg
Principer för hur registret skyddas:
Principer för skyddet av personregistret baseras på kategorier av personuppgifter som behandlas, den rättsliga grunden och hanteringen. Personuppgifter behandlas aldrig i större utsträckning än nödvändigt. Varje anställd ansvarar för att följa principerna om uppgiftsminimering, lagringsminimering och ändamålsbegränsning. När personuppgifter behandlas bör detta göras på säkrast möjliga sätt.
Endast Novias anställda har tillgång till CRM-systemet. Användarrättigheter till programmet ges av huvudanvändaren enligt behov. Användarrättigheterna är kopplade till en persons anställning, vilket innebär att rättigheterna tas bort automatiskt då anställningsförhållandet upphör.
Principer och regelverk för lagring och lagringstid:
De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter sker i enlighet med arkivlag 831/1994, Lag om informationshantering inom den offentliga förvaltningen 906/2019 och Novias rutin GQAP08 Hantering av redovisande dokument.
Lista över regelmässiga källor (nationella register m.m.):
Uppgifterna samlas in inom ramen för Novias verksamhet, via Novias administrativa system (t.ex. det studieadministrativa systemet Peppi) eller direkt från den registrerade själv (t.ex. vid anmälan till fortbildning).
Detaljinformation om automatiskt beslutsfattande:
Beslut i programmet görs enligt de inställningar som ställts in manuellt. Vid frågor kan man alltid kontakta Novia Networks administration eller den kontaktperson som uppgetts.