Pepin QA-ympäristöjen tietosuojaseloste

Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, ”GDPR”) rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12-14), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.

1. Rekisterin nimi

Pepin QA-ympäristöjen käyttäjätietokannat

2. Rekisterinpitäjä

Nimi

Metropolia Ammattikorkeakoulu Oy

Yhteystiedot

Metropolia Ammattikorkeakoulu Oy (y-tunnus: 2094551-1)
Postiosoite: PL 4000, 00079 Metropolia
Vierailuosoite: Myllypurontie 1, 00920 Helsinki
Puhelin (vaihde): 09 7424 5000

Rekisterinpitäjän vastuuhenkilö

Nimi: Kimmo Nikkanen
Tehtävä: Tietohallintojohtaja

Rekisterin sisällöstä vastaava henkilö

Nimi: Pasi Hotari
Tehtävä: Järjestelmäasiantuntija, Tietohallintopalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: pasi.hotari@metropolia.fi

Rekisterin yhteyshenkilön yhteystiedot

Nimi: Werner Kettunen
Tehtävä: Ohjelmistosuunnittelija, Tiedonhallinta- ja järjestelmäpalvelut
Osoite: Metropolia Ammattikorkeakoulu Oy, PL 4000, 00079 METROPOLIA
Sähköposti: werner.kettunen@metropolia.fi

Yhteystiedot rekisterin käyttötarkoitusta koskevissa kysymyksissä

peppi-hallinto@lists.metropolia.fi

3. Tietosuojavastaava

Metropolian tietosuojavastaava, Riikka Ikäheimonen
Puhelin: 050 565 8499
Sähköposti: tietosuojavastaava@metropolia.fi

4. Henkilötietojen käsittelyn tarkoitus sekä käsittelyn oikeusperuste

Henkilötiedot on tallennettu etukäteen Pepin QA-ympäristön järjestelmän ("Peppi-järjestelmä") käyttäjätietokantaan, jotta rekisteröity voi kirjautua järjestelmän työpöydille. Kun henkilö on tunnistettu, hän pystyy käyttämään työpöytiä etukäteen määriteltyjen käyttövaltuuksien mukaisesti.

Rekisteri on yhteinen kaikille Peppi-järjestelmän työpöydille:

• Opettajan työpöytä
• Opiskelijan työpöytä
• Suunnittelijan työpöytä
• Korkeakoulupalveluiden työpöytä
• Pääkäyttäjän työpöytä
• Hakijan työpöytä
• Ylioppilaskunnan työpöytä

Henkilötietojen käsittelyn oikeusperusteena on rekisteröidyn suostumus. Rekisteröity antaa suostumuksensa tietojensa käsittelyyn, kun hän luovuttaa tarvittavat henkilötietonsa rekisteriin etukäteen sähköisesti, jotta hänelle voidaan luoda käyttäjätili ja määritellä käyttövaltuudet Peppi-järjestelmään. Tämän myötä rekisteröity voi suorittaa hänelle annetun, Peppi-järjestelmään liittyvän tehtävän Peppi-konsortion lukuun.

5. Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut

Pepin QA-ympäristöissä olevien henkilötietojen käsittely ei perustu oikeutettuun etuun. Siksi tämä kohta ei sovellu.

6. Rekisterin henkilötietoryhmät

Rekisteri sisältää seuraavat henkilötiedot rekisteröidystä:

• etunimi
• sukunimi
• yksilöivä tunniste; käyttäjätunnus (Hakan attribuutin 'eduPersonPrincipalName' arvo)
• sähköpostiosoite

Rekisteröity voi tallentaa rekisteriin itse seuraavat tiedot:

• Kuva
• Twitter-profiilin osoite
• Huone

7. Henkilötietojen säännönmukaiset tietolähteet

Rekisteröity luovuttaa tarvittavat henkilötietonsa rekisteriin etukäteen sähköisesti, jotta hänelle voidaan luoda käyttäjätili ja määritellä käyttövaltuudet Peppi-järjestelmään. Ilman käyttäjätiliä järjestelmää ei voi käyttää. Luovutus tapahtuu sähköisellä lomakkeella tai sähköpostitse ympäristön ylläpitäjille.

Kirjautumisen yhteydessä rekisteröidyn edustaman organisaation Haka-tunnistuspalvelin (IdP) luovuttaa Peppi-järjestelmän kirjautumispalvelulle käyttäjätunnuksen (attribuutti 'eduPersonPrincipalName'), jota verrataan käyttäjätietokantaan.

8. Tietojen vastaanottajat tai vastaanottajaryhmät sekä säännönmukaiset luovutukset

EU:n tietosuoja-asetuksen 4.9 artiklaa laajasti tulkiten seuraavaksi on lueteltu ne henkilötietojen käsittelijät/vastaanottajat, joille rekisterinpitäjä ”siirtää” tai ”luovuttaa käsiteltäviksi” (esim. teknisen käyttöliittymän avulla huoltotehtävien suorittamistilanteessa) henkilötietojaan.

Järjestelmätoimittajat

Luovutamme henkilötietoja ainoastaan siinä laajuudessa kuin kolmannet osapuolet tarvitsevat pääsyn käsittelemiimme henkilötietoihin voidakseen tarjota tietojärjestelmien kehitys- ja ylläpitopalveluita rekisterinpitäjälle.

Oikeudelliset syyt

Rekisterinpitäjä voi jakaa henkilötietojasi kolmansien osapuolten kanssa, mikäli pääsy henkilötietoihin tai niiden muu käsittely on tarpeen i) soveltuvan lainsäädännön ja/tai oikeuden määräyksen täyttämiseksi; ii) väärinkäytöksen, turvallisuusriskin tai teknisen ongelman havaitsemiseen, estämiseen tai käsittelemiseen. Rekisterinpitäjä informoi tällaisesta henkilötietojen käytöstä silloin kun se on mahdollista.

Tietoja voidaan luovuttaa viranomaisille lain, asetuksen tai viranomaisen päätöksen perusteella.

9. Tietojen siirto EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin

Rekisterin tietoja ei siirretä kolmanteen maahan tai kansainväliselle järjestölle EU:n tai ETA-alueen ulkopuolelle.

10. Henkilötietojen säilyttämisaika

Rekisteröityjen henkilötiedot säilytetään rekisterissä kunkin Peppi-version testauksen ajan.

11. Rekisterin suojauksen periaatteet

Rekisterinpitäjän henkilörekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Järjestelmätoimittajat (henkilötietojen käsittelijät, jotka toimivat rekisterinpitäjän lukuun) hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta.

12. Tieto automaattisen päätöksenteon tai profiloinnin olemassaolosta sekä tieto käsittelyn logiikasta ja merkityksestä rekisteröidylle

Rekisterin tietoja ei käytetä automatisoituihin päätöksiin tai profilointiin.

13. Rekisteröidyn oikeudet

Rekisteröidyllä on, ellei tietosuojalainsäädännöstä muuta johdu:

Tietojen tarkastusoikeus (oikeus saada pääsy henkilötietoihin)
Rekisteröidyllä on oikeus tietää, käsitelläänkö hänen henkilötietojaan vai ei, ja mitä henkilötietoja hänestä on tallennettu.

Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus vaatia, että häntä koskevat virheelliset, epätarkat tai puutteelliset henkilötiedot oikaistaan tai täydennetään ilman aiheetonta viivytystä. Lisäksi henkilöllä on oikeus vaatia, että tarpeettomat henkilötiedot poistetaan.

Oikeus tietojen poistamiseen
Rekisteröidyllä on poikkeustapauksissa oikeus saada henkilötietonsa kokonaan poistettua rekisterinpitäjän rekistereistä (oikeus tulla unohdetuksi).

Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista siksi aikaa, kunnes hänen tietonsa on asianmukaisesti tarkistettu ja korjattu tai täydennetty.

Vastustamisoikeus
Rekisteröidyllä on tietyissä tilanteissa oikeus henkilökohtaiseen, erityiseen tilanteeseensa perustuen milloin tahansa vastustaa henkilötietojensa käsittelyä.

Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on tietyissä tilanteissa oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää tiedot toiselle rekisterinpitäjälle.

Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus erityisesti vakinaisen asuin- tai työpaikkansa sijainnin mukaiselle valvontaviranomaiselle, jos hän katsoo, että henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (EU) 2016/679. Rekisteröidyllä on lisäksi oikeus käyttää hallinnollisia muutoksenhakukeinoja sekä muita oikeussuojakeinoja.

Rekisteröidyn oikeuksien käyttämistä koskevissa pyynnöissä noudatetaan rekisterinpitäjän tietopyyntöprosessia.