Tietoturvakäytännöt

Sisältö

Tietosuojavastaava

Tietosuojavastaavana toimii toiminnanjohtaja (vs.) Riku Kemppinen

tietosuojavastaava[at]hamko.fi, +358 44 722 1000

Luettelo henkilörekistereistä

  • JäsRek - Jäsenrekisteri, jonka palveluntarjoaja on Hakosalo Software Oy.
  • Webropol - Tapahtumailmoittautumisia
  • Sähköpostilistat - office 365 palvelussa
  • Netvisor - Kirjanpitolain mukainen. Järjestelmässä kaikki, joille on maksettu maksuja tai palkkoja/palkkioita.
    Paytrail - Paytrailin kautta maksetut jäsenyydet ja siihen liittyvät maksutiedot
  • Intra (One Drive, Sharepoint, Teams) - HAMKOn tunnuksilla tehdyt tiedostot, joissa mm. dokumentaatiota kuluvalta vuodelta, kuten kokousten pöytäkirjoja ja matkalaskuja. HAMKO hallinnoi omia kansioitaan ja siirtää menneiden vuosien pöytäkirjat ja dokumentit arkistoon U: asemalla.
  • Sisäinen U: asema - HAMKOn arkisto, jossa menneiltä vuosilta mm. pöytäkirjoja, raportteja tapahtumista, laskuja ja muita hallinnollisia tiedostoja. HAMKO hallinnoi arkistoa ja anonymisoi tarpeettomat henkilötiedot tiedostoista arkistoon siirrettäessä.
  • Yhteistyökumppanirekisteri - Rekisteri, jossa on yhteistyökumppaneidemme yhteyshenkilöiden yhteystiedot. Rekisteriä säilytetään opiskelijakunnan sisäisessä pilvipalvelussa.

 

 

Henkilötietojen käsittely Hämeen ammattikorkeakoulun opiskelijakunnassa

 

Sisällysluettelo:

 

 

Yleistä:

Henkilötietoja käsiteltäessä tietokoneille ja järjestelmiin kirjaudutaan henkilökohtaisilla tunnuksilla. Lisäksi tietokoneiden virustentorjunta pidetään ajan tasalla.

 

Henkilötietoja käsittelevät opiskelijakunnan työntekijät ja luottamushenkilöt sekä

opiskelijakunnan toimeksiannosta ja lukuun toimivien yhdistysten työntekijät ja

luottamushenkilöt on perehdytetty GDPR:n tuomiin muutoksiin ja henkilötietoja käsittelevien henkilöiden kanssa on tehty kirjallinen sopimus henkilötietojen käsittelystä.

 

Jäsenrekisteri:

Jäsenrekisteri on ulkopuolisen yrityksen hoitama palvelu, jonka palvelimet ovat Suomessa. Jäsenrekisteristä on integraatiot HAMKin tietojärjestelmiin. Jäsen antaa itse tietonsa, jotka tarkistetaan ja päivitetään HAMKin tietojärjestelmistä. Jäsenrekisteriin on jokaisella käyttäjällä henkilökohtaiset käyttäjätunnukset. Käyttäjätunnukset ovat vain niillä henkilöillä, jotka tarvitsevat tietoja työssään. Palvelun tarjoavan yrityksen kanssa on päivitetty GDPR:n mukainen sopimuksen tietosuojaliite. Eronneet jäsenet poistetaan jäsenrekisteristä välittömästi eron jälkeen. Jäsenmaksun maksamatta jättäneet entiset jäsenet poistetaan rekisteristä, kun valmistuvat HAMKista tai eivät enää ole HAMKin opiskelijoita.

 

Jäsenrekisteristä ei luovuteta tietoja EU ja ETA alueen ulkopuolelle. Jäsenrekisteristä voidaan luovuttaa tietoja markkinointitarkoituksiin EU ja ETA alueelle niiden jäsenten osalta, jotka ovat sallineet tietojen luovutuksen. Mikäli jäsen jättää kyseisen kohdan liittymislomakkeelta täyttämättä, tulkitaan tällöin, ettei lupaa ole annettu. 

 

Tapahtumailmoittautumiset, kerhorekisterit:

- Opiskelijakunnan alaisten kerhojen rekisterit (jäsenrekisterit ja tapahtumailmoittautumiset) ovat opiskelijakunnan sisäisessä pilvipalvelussa, joiden käyttäjäoikeuksista huolehtii opiskelijakunta.

- Opiskelijakunnan omat tapahtumailmoittautumiset kerätään webropol palvelun kautta. Käyttäjätunnukset ovat vain niillä henkilöillä opiskelijakunnasta, jotka tarvitsevat tietoja hoitaakseen tapahtuman järjestelyjä. Opiskelijakunnalla on käyttäjätunnukset webropolissa HAMKin kautta. HAMK on päivittänyt palvelun tarjoajan kanssa GDPR:n mukaisen sopimuksen tietosuojaliitteen. Tapahtumailmoittautumissa tietojen kerääminen perustuu mm. yhteydenpitoon osallistujien kanssa, sekä mahdollisten osallistumismaksujen laskuttamiseen tarvittavien tietojen keräämiseen. Tapahtumakohtaisista tietojenkeräysperusteista ilmoitetaan erikseen ilmoittautumislomakkeella aina tapahtumakohtaisesti.

 

Opiskelijakunnan sähköpostilla toimitettava kuukausitiedote:

Kuukausitiedote toimitetaan kaikille HAMKin opiskelijoille, niin opiskelijakunnan jäsenille kuin muillekin opiskelijoille. Kuukausitiedote toimitetaan HAMKin hallinnoiman postituslistan kautta, johon tiedot tulevat HAMK järjestelmästä. Tiedotteen tarkoitus on sekä yhdistyslain mukainen jäsenyyssuhteen ylläpito ja hoito sekä ammattikorkeakoululain mukainen tehtävä valmistaa opiskelijoita aktiiviseen, valveutuneeseen ja kriittiseen kansalaisuuteen.

 

Sähköpostilistat:

Opiskelijakunnalla on muutamia sähköpostilistoja. Postituslistoilta poistuu automaattisesti osoitteet, mikäli ko. osoitteesta ihmistä ei tavoiteta muutaman yrityksen jälkeen (osoite ei ole voimassa tai postilaatikko on täynnä). Postituslistoilta poistetaan osoitteet, jos ko. henkilö niin pyytää poislukien mikäli sähköpostilistalla olo perustuu mm. edustajiston jäsenyyteen tai muuhun toimeen jonka takia opiskelijakunnan on välttämätöntä tavoittaa listalla olevat henkilöt.

 

Survival kittien lainaajat:

Sähköiset lomakkeet Survival Kitin tilauksesta säilytetään opiskelijakunnan sisäisessä pilvipalvelussa, kunnes Survival Kit palvelu on maksettu. Tämän jälkeen lomaketiedot anonymisoidaan arkistointia varten ja lasku/maksu Kitistä jää kirjanpidon liitteeksi/kuitiksi. Tietojen säilytys perustuu kirjanpitolakiin.

 

Opiskelijakortit ja opiskelijakorttien tilaukset/hankinta:

- Muoviset sirulliset opiskelijakortit tilataan keskitetysti suomalaiselta kortin valmistajalta. Tilaus tapahtuu jäsenrekisteristä. Tietojen luovutus perustuu siihen, että opiskelija haluaa tilata itselleen opiskelijakortin ja antaa luvan toimittaa tietonsa kortin valmistajalle.

 

Edustajistovaaleihin liittyvät henkilötietojen käsittely:

Edustajistovaaleihin ehdolle lähtevät jäsenet antavat ehdolle asettuessaan opiskelijakunnalle oikeuden julkaista ehdokaslistat, ehdokkaan kuvat, muut vaaleissa oleelliset tiedot sekä vaalin tulokset julkisesti. Kaikki julkaistava tieto tuloksia lukuunottamatta saadaan ehdokkaalta itseltään.

Yhteistyökumppaneiden tietojen käsittely:

Opiskelijakunnalla on yhteistyökumppanirekisteri sisäisessä pilvipalvelussa. Siellä olevia tietoja säilytetään yhteystyön ajan. Rekisteriin on pääsy niillä opiskelijakunnan henkilöillä, jotka tarvitsevat tietoja hoitaakseen yhteistyökumppanuuksia. Tietojen käyttötarkoitus on yhteistyön ylläpito.

 

Muu henkilötietojen käsittely:

- Talous- ja palkkahallinnon järjestelmänä käytetään Netvisoria. Siinä henkilötietojen käsittely perustuu mm. kirjanpitolakiin. Järjestelmässä käytetään vahvaa tunnistautumista ja järjestelmään on käyttäjäoikeudet vain niillä henkilöillä, jotka tarvitsevat tietoja työhönsä. Palvelun tarjoavan yrityksen kanssa on päivitetty GDPR:n mukainen sopimuksen tietosuojaliite.

- Palkanlaskentaa ja kirjanpitoa hoitaa ulkopuolinen yritys. Palvelun tarjoavan yrityksen kanssa on päivitetty GDPR:n mukainen sopimuksen tietosuojaliite.
 

Tietosuojan valvonta ja siihen liittyvät toimenpiteet:

Noudatamme PDCA -mallia (Plan-Do-Check-Act). Kaikessa toiminnassa suunnitellaan ensin tietosuojan kannalta turvallinen malli, jossa on sopimukset kunnossa. Kun järjestelmät ovat käytössä, valvotaan ja seurataan mahdollisia tietosuojan poikkeamia. Havaituista poikkeamista pidetään rekisteriä ja tarvittaessa tiedotetaan niitä, ketä poikkeama koskee. Mikäli poikkeama on sellainen, että siitä täytyy ilmoittaa myös viranomaiselle, niin ilmoitus tehdään mahdollisimman nopeasti. Myös ongelmat pyritään korjaamaan mahdollisimman nopeasti siten, että mahdolliset uudet ongelmat pyritään välttämään.

 

Tämän tiedoston käsittely:

Tämä tiedosto on julkisesti nähtävissä hamko.fi -sivustolla 22.5.2018 jälkeen, kun se on hallituksen kokouksessa hyväksytty. Tiedoston muuttamiseen ei tarvita hallituksen kokouksen päätöstä. Tiedostoa päivitettäessä tiedoston loppuun lisätään lokitieto, jossa kerrotaan kolme viimeisintä muutosta, muutoksen päivämäärä sekä muutoksen perustelut.
 

Tietosuojavastaava:

Tietosuojavastaavana toimii toiminnanjohtaja vs. Riku Kemppinen

tietosuojavastaava[at]hamko.fi, +358 44 722 1000

 

Tiedoston päivitykset / lokitiedosto:

 

Jäsenrekisterin tietosuojaseloste

Hämeen ammattikorkeakoulun opiskelijakunnan jäsenrekisterin tietosuojaseloste