UTU Forms tietosuojailmoitus
1. Rekisteristä vastaava taho
Rekisterinpitäjä on Turun yliopisto. UTU Forms -palvelun omistaa ja rekisteristä vastaa Digipalvelut, helpdesk@utu.fi. Jokaiselle lomakkeelle on oma vastuuyksikkönsä.
Turun yliopiston tietosuojavastaavan yhteysosoite on dpo@utu.fi.
2. Rekisterin käyttötarkoitus ja käsittelyperuste
Rekisteriin tallennetaan UTU Forms –järjestelmällä toteutettuihin lomakeprosesseihin liittyvät tiedot. Tietoja käytetään prosessin läpiviemiseksi UTU Forms –järjestelmän sisällä. Prosessit liittyvät yliopiston toimintaan, sen tarjoamiin palveluihin ja sen lakisääteisiin tehtäviin.
Lisäksi eri lomakkeissa voidaan pyytää käyttäjää täyttämään prosessiin liittyviä henkilötietoja, esimerkiksi ketä tai keitä henkilöitä lomakkeen sisältö koskee. Näitä tietoja käytetään prosessin läpiviemiseksi.
Näiden lisäksi järjestelmään tallennetaan tietoja käyttäjän toimista järjestelmässä. Lokitietoja käytetään palvelun toiminnasta ja tietoturvasta huolehtimiseen.
3. Rekisterin sisältö, henkilötietoryhmät ja toiminnallinen kuvaus
Rekisterissä on tieto prosessikokonaisuudesta, prosessin aktiivisesta vaiheesta, prosessiin liittyvistä henkilöistä sekä ne tiedot, mitä henkilöt ovat syöttäneet prosessiin liittyville lomakkeille. Kussakin lomakkeen osiossa on kerrottu, mitkä tiedot on pakko täyttää prosessin läpiviemiseksi. Jos tarvittavia tietoja ei anneta, prosessi pysähtyy.
Jokaisen lomakkeen osion täyttäjästä tallennetaan käyttäjätunnus ja IP-osoite, joilla voidaan yksilöidä sen osion täyttäjä. Jos osio ei vaadi kirjautumista, tallennetaan vain IP-osoite. Käyttäjän yksilöiminen vaaditaan palvelun tuottamiseen, käyttöoikeuksien varmistamiseen ja virhetilanteiden selvittämiseen.
Rekisterissä ei käsitellä erityisiä henkilötietoryhmiä (esim. terveystiedot, etninen tausta tai seksuaalinen suuntautuminen).
4. Tietojen alkuperä
Perustiedot yliopiston henkilökunnasta ja opiskelijoista saadaan yliopiston muista tietojärjestelmistä api.utu.fi-palvelun kautta. Näitä ovat esim. nimitiedot, käyttäjätunnus, sähköpostiosoite, opiskelupaikka, opiskelijanumero sekä työsopimuksen perustiedot (yksikkö, esimies ja tyyppi). Jos lomakeprosessi vaatii näiden lisäksi tietoja muista järjestelmistä, ne on kuvattu erikseen. Muut tiedot käyttäjä syöttää itse lomakkeeseen.
Yksittäisten lomakeprosessien erityistiedot on kuvattu kyseisten lomakkeiden omissa tietosuojailmoituksessa.
Lokityyppiset käyttötiedot kerätään käyttäjän toimien mukaan.
5. Tietojen säilytysaika
Tietojen säilytysaika määräytyy lomakeprosessin käyttötarkoituksen mukaan. Kunkin lomakkeen omassa tietosuojailmoituksessa on ilmoitettu kyseisen lomakkeen säilytysaika. Säilytysaika lasketaan viimeisestä kokonaisprosessiin tehdystä muutoksesta alkaen.
Tietoja on kerätty vuodesta 2017 alkaen.
6. Tietojen välitys ja vastaanottajat sekä tietojen siirtäminen kotimaan ulkopuolelle
Tietoja välitetään yliopiston ulkopuolisille tahoille vain, jos lomakeprosessin läpikäynti sitä erikseen vaatii. Prosessin läpikäynnistä saattaa lähteä esim. sähköposteja prosessiin liittyville henkilöille, jolloin yliopisto ei voi vaikuttaa näiden viestien kulkemiseen.
Lomakeprosessien edistymisestä ja käyttäjämääristä toimitetaan tarvittaessa raportteja prosessin vastuuhenkilöille.
Ylläpitäjiä varten lomakkeiden tiedot välitetään yliopiston api.utu.fi-palvelun kautta rajapintana, johon on rajattu pääsyoikeus.
Yliopisto voi luovuttaa tietoja ulkopuolisille lakiin perustuvan ilmoitus- tai luovutusvelvollisuuden johdosta.
Tietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Palvelu sijaitsee Turun yliopiston suomalaisessa konesalissa.
Yksittäisten lomakeprosessien erityistiedot on kuvattu kyseisten lomakkeiden omissa tietosuojailmoituksessa.
7. Automaattinen päätöksenteko
Automaattista päätöksentekoa ei toteuteta käsiteltäviin henkilötietoihin.
8. Tietojen julkisuus ja salassa pidettävät tiedot tietoryhmittäin
Lomakeprosesseihin liittyvät perustiedot ovat julkisia. Tarkemmat tiedot voivat olla prosessista riippuen salassa pidettäviä. Lomakkeiden ja niihin sisältyvien tietojen julkisuudesta päättää kunkin lomakeprosessin vastuuhenkilö.
9. Rekisteröidyn oikeudet
Lomakeprosessin eri osioille voidaan määrittää luku- tai muokkausoikeus yksittäiselle lomakkeeseen liitetylle henkilölle. Oikeus voidaan antaa myös henkilöryhmälle, jolla on työnsä tai asemansa puolesta oikeus tai velvollisuus osallistua prosessiin.
Yksittäisen osion täyttäneellä henkilöillä on lukuoikeus lomakkeella oleviin tietoihin niin pitkään, kunnes ne on merkitty poistettavaksi järjestelmästä. Tiedot voi lukea järjestelmän selainkäyttöliittymästä. Osion täyttänyt henkilö pääsee muokkaamaan tallennettuja tietoja selainkäyttöliittymästä niin pitkään, kunnes se osuus prosessista on lukittu. Tämän jälkeen tietoja voidaan muokata vain avaamalla lukitus. Lomakeprosessiin liitetyllä henkilöllä on oikeus vaatia virheellisen tiedon korjaamista myös lukitulle lomakkeelle. Korjauspyyntö tulee toimittaa rekisterin yhteyshenkilölle. Korjaus voi aiheuttaa sen, että myös muut osat prosessista joudutaan käsittelemään uudestaan.
Henkilöön liittyviä tietoja voidaan tallentaa myös sellaisiin osioihin, joihin henkilöllä itsellään ei ole lukuoikeutta, jos prosessin käsittely sen vaatii. Henkilöllä on oikeus saada tieto myös näistä osiosta siinä määrin, kun tiedot eivät ole salassapidettäviä. Tietojen laajempi tarkastuspyyntö tulee toimittaa rekisterin yhteyshenkilölle.
Henkilöllä on oikeus vaatia poistamaan tietonsa järjestelmästä, jos lomakeprosessin käsittely tai laki ei vaadi niiden säilyttämistä.
Muista järjestelmistä tulevissa tiedoissa rekisterimuutokset on pyydettävä kyseisen järjestelmän oman rekisterin kautta.
Henkilöllä on oikeus vastustaa tietojen käsittelyä ja/tai tehdä valitus valvontaviranomaisille.
Tietosuojavaltuutetun yhteystiedot:
Tietosuojavaltuutetun toimistoKäyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Sähköposti (kirjaamo): tietosuoja@om.fi
10. Rekisterin suojauksen periaatteet
Lomakeprosessiin kuuluvien tietojen käyttöoikeus on rajattu niihin henkilöihin, jotka on liitetty kyseiseen prosessiin tai joilla on työtehtävänsä tai muun vastuun takia oikeus nähdä tiedot.
Koko rekisterin tietoihin on käyttöoikeus vain niillä rekisterinpitäjän valtuuttamilla henkilöillä, jotka tarvitsevat tietoja tehtävissään. Heillä on käytössään käyttäjätunnukset ja salasanat järjestelmään, jossa tiedot sijaitsevat. Rekisterinpitäjä rajaa tietojen näkyvyyttä käyttöoikeuksilla. Palvelun ja sen taustalla olevan tietokannan pääkäyttäjät ovat Turun yliopiston Digipalvelujen työntekijöitä. Yhteys palvelimeen on suojattu SSL-suojauksella. Työntekijöiden ja pääkäyttäjien käyttäjätunnistuksessa käytetään yliopiston omaa kirjautumispalvelua. Vaitiolovelvollisuus sitoo henkilötietoja käsitteleviä työntekijöitä.
Kuvaus yliopiston yleisesta tietosuojasta: Data Security Description (englanniksi).