Sulje

Ajankohtaista

08.03.2018
Näin uusi tietosuoja-asetus vaikuttaa Certian palveluihin


NÄIN UUSI TIETOSUOJA-ASETUS VAIKUTTAA CERTIAN PALVELUIHIN

EU:n tietosuoja-asetus henkilötietojen käsittelystä (GDPR) tulee voimaan Suomessa 25.5.2018. Tässä tiedotteessa kerrotaan, miten tietosuoja-asetus vaikuttaa Certian palveluihin.

Miten Certia sopii henkilötietojen käsittelystä asiakkaidensa kanssa?
Tietosuoja-asetus asettaa uusia vaatimuksia kaikille henkilötietojen käsittelyyn osallistuville. Jatkossa yrityksen ja palveluntarjoajan pitää sopia henkilötietojen käsittelyn periaatteista. Talous- ja henkilöstöhallinnon palveluiden tuottajana Certia toimii asiakasyliopistojen henkilötietojen käsittelijänä ja henkilötietojen käsittely edellyttää kirjallisen henkilötietojen käsittelysopimuksen laatimista.

Mistä konkreettisesti pitää sopia?
Palvelusopimuksessa sovitaan muun muassa henkilötietojen käyttötarkoituksesta, tietojen salassapidosta, tietoturvasta, alihankkijoiden käytöstä, tietojen käsittelyn päättymisestä sekä oikeudesta auditoida Certian toimintaa. Certia on laatinut tietosuoja-asetuksen vaatimusten mukaiset lisäykset henkilötietojen käsittelystä palvelusopimukseen.

Miten Certiassa varmistetaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista?
Vastuullinen ja lainmukainen henkilötietojen käsittely kuuluu Certian toiminnan perusteisiin. Tietoturvaa ja -suojaa koskevat periaatteet ja pelisäännöt on kirjattu tietoturva – ja tietosuojapolitiikkaan ja koko henkilökunta on osallistunut ko. aihealueita koskeviin koulutuksiin.

Certian sisäisen GDPR-projektin yhteydessä käydään läpi nykyiset toimintatavat ja ohjeet ja tehdään dokumentaation tarvittavia tarkennuksia. Tietosuojaan liittyviä asioita, kuten henkilötietojen käsittelyn periaatteita ja poikkeamiin puuttumista, käydään läpi säännöllisesti ja henkilökuntaa koulutetaan aiheeseen liittyen.

Henkilötietojen käsittelyn peruste
Tietosuoja-asetuksen mukaan henkilöllä on itsemääräämisoikeus omien tietojensa käsittelyyn. Jos tietojen käsitellylle ei ole tietosuoja-asetuksessa mainittua perustettua, henkilötietojen keräämiseen tarvitaan henkilön lupa. Henkilön tietojen käsittely Certian palveluissa perustuu pääsääntöisesti sopimuksen täytäntöönpanoon.

Kuka vastaa tietosuojailmoituksista?
Henkilöllä on oikeus saada tietää itseään koskevien tietojen käsittelystä ja vastuu tästä tiedotuksesta ja informoinnista on ensisijaisesti rekisterinpitäjällä. Certian palveluiden osalta rekisterinpitäjänä toimii pääsääntöisesti yliopisto. Certia laatii kuitenkin tietosuoja-asetuksen mukaiset tietosuojailmoitukset kaikesta henkilötietojen käsittelystä ja avustaa tarvittaessa asiakkaitaan selosteiden tekemisessä.

Miten henkilö voi tarkistaa omat tietonsa?
Henkilöllä on oikeus saada omat tietonsa rekisterinpitäjältä. Certian palveluiden osalta rekisterinpitäjänä on pääsääntöisesti yliopisto. Mikäli Certia saa asiakasyliopistolta pyynnön tietojen tarkastamisesta, toimittaa Certia tiedot yliopistolle tietosuoja-asetuksen mukaisesti.

Voiko henkilö pyytää Certialta omien tietojensa poistamista?
Rekisteröidyllä on oikeus pyytää rekisterinpitäjää poistamaan itseään koskevat tiedot, ellei käsittelylle ole muuta laillista perustetta. Oikeutta ei kuitenkaan ole, jos tietojen käsittely on tarpeen rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi.

Henkilön tietojen käsittely Certiassa liittyy asiakasyliopistojen tukitoimintoihin ja näiden toimintojen osalta säilytysajoista säädetään mm. kirjanpito – ja ennakkoperintälaissa. Certia ei näin ollen voi edes rekisterinpitäjän toimeksiannosta poistaa yksittäisen henkilön tietoja.

Miten Certia varmistaa, että alihankkijoiden henkilötietojen käsittely on vaatimusten mukaista?
Certia vastaa käyttämiensä alihankkijoiden toiminnasta kuin omastaan. Certia on tehnyt lisäykset tietosuoja-asetuksen mukaisesta henkilötietojen käsittelystä kaikkien alihankkijoidensa sopimuksiin.

Miten Certiassa on varauduttu tietoturvaloukkauksiin ja niistä raportointiin?
Tietosuoja-asetuksen myötä henkilöllä on oikeus ilman aiheetonta viivästystä saada tieto, jos hänen tietojaan on voinut vuotaa vääriin käsiin. Rekisterinpitäjänä toimivan täytyy lisäksi ilmoittaa tietosuojaloukkauksesta viranomaisille 72 tunnin kuluessa sen havaitsemisesta.

Ceriassa mahdolliset tietoturvaloukkaukset käsitellään tietosuoja-asetuksen vaatimuksia vastaavan toimintamallin mukaisesti. Tietojen käsittelijän roolissa Certia vastaa siitä, että asiakasyliopisto saa tiedon mahdollisesta henkilötietojen suojan vaarantumisesta viipymättä pystyäkseen täyttämään omat velvoitteensa rekisterinpitäjänä.

Tilaa uutiskirje

Ajankohtaiset asiat talous- ja henkilöstöhallinnossa sekä Certian viimeisimät kuulumiset

Tilaa uutiskirje

Ota yhteyttä

Palvelupyynnöt Certialle tehdään Service Desk–
järjestelmän kautta osoitteessa:
https://portti.certia.fi

Vaasa: Silmukkatie 4, 65100 Vaasa
Joensuu: Länsikatu 15, 80110 Joensuu
Vantaa: Teknobulevardi 3-5, 01530 Vantaa
    
info@certia.fi