3AMK-kirjastojen tietosuojaseloste koskien asiakastietoja
Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30) Laadittu: 20.8.2020, päivitetty 16.6.2021
Yhteisrekisterinpitäjät
Haaga-Helia ammattikorkeakoulu Oy (y-tunnus 2029188-8). Ratapihantie 13, 00520 Helsinki
Laurea-ammattikorkeakoulu Oy (y-tunnus 1046216-1). Ratatie 22, 01300 Vantaa
Metropolia Ammattikorkeakoulu Oy (y-tunnus 2094551-1). Myllypurontie 1, 00920 Helsinki
Rekisterinpitäjien yhteyshenkilöt
Eeva Klinga-Hyöty
Eeva.klinga-hyoty@haaga-helia.fi
Puh. 040 488 7501
Hanna Lahtinen
Hanna.lahtinen@laurea.fi
Puh. 040 573 8033
Hellevi Hakala
Hellevi.hakala@metropolia.fi
Puh. 040 6736 7683.
Rekisterinpitäjien tietosuojavastaavat
Ilkka Valve
ilkka.valve@haaga-helia.fi
Puh. 040 488 7001
Marjo Valjakka
Marjo.valjakka@laurea.fi
Puh. 046 856 7658
Sanna Saarni
Sanna.saarni@metropolia.fi
Puh. 040 844 0690
Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan sen organisaation tietosuojavastaavalle, jota asia koskee.
Rekisterin nimi
3AMK-kirjaston asiakastietoja koskeva rekisteri
Henkilötietojen käsittelyn tarkoitus
3AMK-kirjasto on seuraavien kolmen korkeakoulun yhteinen kirjasto:
- Haaga-Helia ammattikorkeakoulu
- Laurea-ammattikorkeakoulu
- Metropolia Ammattikorkeakoulu
3AMK-kirjasto käyttää kirjastojärjestelmän asiakasrekisteriä kirjaston asiakassuhteiden hoitamiseen.
Rekisterinpitäjät käsittelevät tietoja itse sekä hyödyntävät henkilötietojen käsittelyssä rekisterinpitäjien puolesta ja lukuun toimivia alihankkijoita.
Henkilötietojen käsittelyn oikeusperuste
Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksenmukaiset perusteet:
- Käsittely on tarpeen kirjastopalvelujen tuottamista ja kirjastopalvelujen ja kirjastojärjestelmän käyttäjien hallinnointia varten. Käsittelyn oikeusperuste on sopimuksen täytäntöönpano. (GDPR 6 art. 1.b)
- käsittely on tarpeen rekisterinpitäjien tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f)
Edellä mainittu rekisterinpitäjien oikeutettu etu perustuu rekisteröidyn ja rekisterinpitäjien väliseen merkitykselliseen ja asianmukaiseen suhteeseen, joka syntyy kun rekisteröity käyttää kirjaston palveluita, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja sen yhteydessä.
Rekisterin tietosisältö ja käsiteltävät henkilötietoryhmät
Rekisteröityjen ryhmät:
- Henkilöt, jotka ovat kirjastopalvelun asiakkaita
- Järjestelmän käyttäjät (pääkäyttäjät, käyttäjät)
Henkilötietojen ryhmät
- Henkilön perustiedot: nimi, henkilötunnus, osoite, puhelinnumero, sähköpostiosoite, opiskelijanumero
- Kirjastoasiakkuuteen liittyvät tiedot: kirjastokortin numero, pin-koodi, asiointikieli, asiakas- ja tilastointiryhmä, varaustunnus, tiedot palauttamattomaan aineistoon liittyvistä maksuista ja toimenpiteistä, pitkä laina-aika, asiakastietojen päivityspäivämäärä sekä asiakkaalla olevat lainat ja varaukset.
- Järjestelmän käyttöön liittyvät tiedot: käyttäjätunnus, käyttäjästatus, käyttäjätunnusten voimassaolo, pääasiallinen työskentelykirjasto, järjestelmän käyttöön liittyvät lokitiedot.
Säännönmukaiset tietolähteet ja rekisterinpitäjien toiminnassa syntyvät henkilötiedot
Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään.
Rekisterin tietoja saadaan lisäksi rekisterinpitäjien muista omista rekistereistä (esimerkiksi opiskelijan luvalla opintohallinnon rekisteristä).
Tämän lisäksi rekisterinpitäjät keräävät asiakassuhteen aikana syntyviä henkilötietoja.
Henkilötietojen säilytysaika
Rekisteriin kerättyjä henkilötietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista henkilötietoryhmittäin suhteessa henkilötietojen käsittelyn tarkoitukseen. Lisäksi henkilötietoja säilytetään mahdollisen lakisääteisen säilytysajan mukaisesti.
Asiakastietoja poistetaan tarpeen mukaan vuosittain. Asiakkuus poistetaan kolme vuotta viimeisestä lainaustapahtumasta, ellei henkilötietojen säilyttämiselle ole muuta perustetta esim. säilyttäminen on tarpeen oikeusvaateen käsittelemiseksi tai arkistointisyistä. Kirjastojärjestelmän lokitietoja säilytetään tämän jälkeen vielä kaksi vuotta.
Rekisterinpitäjät arvioivat tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti.
Henkilötietojen säännönmukaiset luovutukset
Rekisterin henkilötietoja luovutetaan rekisterinpitäjien ulkopuolelle rekisterinpitäjien yhteistyökumppaneille, joiden kanssa rekisterinpitäjillä on sopimussuhde tai muille vastaaville tahoille, joilla on rekisterinpitäjien toimintaan liittyvä asiallinen yhteys kuten
- Lowell Suomi Oy (perintäyhtiö)
- Eduix Oy (e-lomakkeet)
- Tuudo (mobiilikortti)
Henkilötietojen siirto ja luovutukset EU:n tai ETA:n ulkopuolelle
Rekisterin tietoja ei lähtökohtaisesti siirretä EU:n tai ETA:n ulkopuolelle, eikä käsitellä EU:n tai ETA:n ulkopuolelta, ellei se ole tarpeen tiedon käsittelyn teknisen toteuttamisen mahdollistamiseksi (esimerkiksi järjestelmien tekninen ylläpito EU:n/ETA:n ulkopuolelta) tai rekisterin käyttötarkoitukseen liittyvien kansainvälisten toimintojen hoitamiseksi.
Siirtäessään henkilötietoja rekisterinpitäjät noudattavat EU:n komission hyväksymiä mallisopimuslausekkeita koskien henkilötietojen siirtoa kolmansiin maihin tai toteuttaa muut asianmukaiset suojatoimet tai varmistaa, että kolmannessa maassa taataan riittävä tietosuojan taso.
Rekisterin suojauksen periaatteet
Tietokantoihin ja järjestelmiin pääsyyn sekä rekisterin käyttöön ovat oikeutettuja vain ne rekisterinpitäjien tai näiden puolesta ja lukuun toimivien alihankkijoiden työntekijät, joilla on työnsä puolesta oikeus käsitellä rekisterin sisältämiä tietoja. Kullakin rekisteriä käyttävällä käyttäjällä on henkilökohtainen käyttäjätunnus ja salasana järjestelmiin.
Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.
Rekisteröidyn oikeudet
3AMK-kirjastot ovat sopineet, että rekisteröityjä informoidaan yhteisellä tietosuojailmoituksella, jonka osapuolet ovat hyväksyneet.
3AMK-kirjastot sitoutuvat vastaamaan rekisteröityjen oikeuksia koskeviin pyyntöihin tietosuojalainsäädännön ja tietosuojailmoituksen mukaisesti. Rekisteröityjen oikeuksia koskevat pyynnöt käsittelee lähtökohtaisesti sen ammattikorkeakoulun kirjasto, joka vastaanottaa pyynnön
3AMK-kirjastot sitoutuvat noudattamaan rekisteröidyltä tullutta pyyntöä korjata, oikaista, siirtää, rajoittaa tai poistaa henkilötietoja, mikäli tietosuojalainsäädännön mukaiset edellytykset pyynnölle täyttyvät.
Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:
- Oikeus saada rekisterinpitäjiltä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:
- käsittelyn tarkoitukset;
- kyseessä olevat henkilötietoryhmät;
- vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa;
- mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
- rekisteröidyn oikeus pyytää rekisterinpitäjiltä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
- oikeus tehdä valitus valvontaviranomaiselle;
- jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot; ja
- automaattisen päätöksenteon olemassaolo, sekä merkitykselliset tiedot tällaiseen käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle (GDPR 15 art.).
Lisäksi rekisteröidyllä on seuraavat oikeudet:
- Oikeus vaatia, että rekisterinpitäjät oikaisevat ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
- Oikeus saada rekisterinpitäjät poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
- rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten;
- henkilötietoja on käsitelty lainvastaisesti; tai
- henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.).
- Oikeus siihen, että rekisterinpitäjät rajoittavat käsittelyä, jos
- rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- rekisterinpitäjät eivät enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai
- rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjien oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.).
- Oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjille, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
- Oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).
Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan sen organisaation tietosuojavastaavalle, jota asia koskee.