TÄRKEÄÄ: E-lomake ja EU:n tietosuoja-asetus (GDPR) 25.5.2018 alkaen

GDPR ja E-lomake

Euroopan Unionin uusi tietosuoja-asetus (GDPR) [Wikipedia] lisää merkittävästi EU-kansalaisen oikeuksia omiin henkilötietoihinsa ja koskettaa myös Helsingin yliopiston kaikkia tietojärjestelmiä joiden toiminnasta muodostuu henkilörekisteri. Jokainen E-lomakkeessa tehty lomake muodostaa potentiaalisesti oman henkilörekisterinsä.

E-lomakkeelle tallennetut tiedot sijaitsevat turvallisesti Helsingin yliopiston omilla palvelimilla, mutta järjestelmässä ei ole kaikkia henkilötietojen käsittelyssä GDPR:n vaatimia lokitusominaisuuksia joten arkaluonteisia henkilötietoja sillä ei tule tallentaa lainkaan (kuten ei tähänkään asti ole ollut tarkoitus). Tätä vaatimusta tähdennetään nyt ohjeistuksessa.

Henkilötietoja ovat kaikki henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi, kuten esimerkiksi nimi, henkilötunnus, yhteystiedot, opiskelutiedot, siviilisääty jne.

Arkaluonteisia henkilötietoja ovat esimerkiksi rotua ja etnistä alkuperää, yhteiskunnallista toimintaa, poliittista tai uskonnollista vakaumusta, rikollista tekoa, terveydentilaa, seksuaalista suuntautumista ja sosiaalihuollon tarvetta koskevat tiedot. Arkaluonteisten tietojen käsittelyyn tarvitaan lainsäädännöstä peruste.

Mitä tehdä jos sinulla on henkilötietoja kerääviä e-lomakkeita?

  • Koskee kaikkia henkilötietoja kerääviä lomakkeita: 1) tarkista ja poista lomakeoikeudet henkilöiltä, jotka eivät niitä ehdottomasti tarvitse 2) Älä kerää henkilötietoja, joita et tarvitse kyselylomakkeen funktion kannalta. Älä esimerkiksi kysy henkilötunnusta tai osoitetietoja, ellet tarvitse niitä tai voit saada ne muualta kuten Oodista.
  • Jos sinulla on (ei-arkaluontoisia) henkilötietoja kerääviä lomakkeita joita et enää käytä, niin poista niistä tallennukset (ota tiedot talteen esim. excel-muodossa ja säilytä niitä henkilötietojen käsittelyyn soveltuvassa paikassa niin kauan kuin perusteltua, ja poista ne sitten sieltäkin) ja mieluusti siivoa pois lomakkeet kokonaan tilaa syömästä mikäli ne ovat tarpeettomia.
  • Jos sinulla on henkilötietoja kerääviä lomakkeita joita käytät aktiivisesti, kuten vaikka ilmoittautumislomake tilaisuuteen, niin voit jatkaa e-lomakkeen käyttämistä. Poista kuitenkin tallennukset niin pian kuin mahdollista (ota tiedot talteen esim. excel-muodossa ja säilytä niitä henkilötietojen käsittelyyn soveltuvassa paikassa niin kauan kuin perusteltua, ja poista ne sitten sieltäkin). Jos henkilötietoja on enemmänkin kuin yleiset nimi- ja sähköpostitiedot – kuten esim. puhelinnumero ja kotiosoite – mutta ne eivät luonteeltaan arkoja, ja henkilörekisterin muodostaa isompi/jatkuvasti kasvava joukko ihmisiä, niin suunnittele toiminnan siirtämistä toiseen järjestelmään, ja toimi viimeistään sitten kun yliopiston oma suositus on saatavilla.
  • Mikäli sinulla on arkaluonteisia henkilötietoja kerääviä lomakkeita  niin poista niistä ehdottomasti tallennukset ennen 25.5.2018 (ota tiedot talteen esim. excel-muodossa ja säilytä niitä tietoturvallisesti jos tarvitset niitä) ja jos keräystarve säilyy, siirrry käyttämään soveltuvaa järjestelmää tämän tiedon keräämiseen. Jos lomakkeeseen sidottu tutkimushanke kyseessä, saata käynnissä oleva tutkimus loppuun e-lomakkeella, mutta heti tutkimuksen päätyttyä siirrä data pois lomakkeelta esim. excel- tai SPSS-muodossa ja poista tiedot e-lomakkeelta.Henkilötietoja ja tutkimustuloksia välttämättömästi yhdistävillä tutkimuslomakkeilla  tulisi aina käyttää tutkimustunnusta identifioivana tietona itse tutkimuslomakkeella, ja säilyttää tutkimustunnuksen henkilötietoon yhdistävää rekisteriä muualla kuin sähköisessä lomakepalvelussa.

Yliopistolla on palveluita ja työkaluja tutkimusaineiston tietoturvallisen säilyttämisen tueksi. Ks. aineistojen hallinnan tuki: https://flamma.helsinki.fi/fi/HY314736?lang=fi

Tutkijoiden tietosuojaohje (HY:n käyttäjille): https://flamma.helsinki.fi/fi/HY375432

Tärkeää on myös ilmoittaa tietosuojasta lomakkeen täyttäjille, jotta nämä tietävät miten heidän tietojaan käsitellään. Monesta yliopiston toiminnosta on yhteinen tietosuojailmoitus johon voit linkittää joten jokaisesta e-lomakkeesta ei useinkaan tarvitse täyttää omaa tietosuojailmoitustaan. Opintohallinnon lomakkeiden osalta voi esimerkiksi yleensä viitata opiskelijoiden tietosuojailmoitukseen, tutkimuksen osalta tukimuksen tietosuojailmoitukseen jne.

Opiskelijoiden tietosuojailmoitus: https://guide.student.helsinki.fi/fi/artikkeli/tietosuojailmoitus

Jos rekisteri kuitenkin hyvin yksilöllinen/sen käsittelyssä mukana yliopiston ulkopuolisia toimijoita, niin tee e-lomakkeelle oma tietosuojailmoitus esim. käyttäen hyväksi e-lomakkeen omaa Tietosuojaseloste-toimintoa (ohje).

Muita ohjeita

E-lomakkeet ovat henkilökohtaisia, joten yksikön yhteisten lomakkeiden osalta on tärkeää, että työsuhteen päättyessä lomakkeen halitja luovuttaa käyttöoikeudet yksikön toiselle henkilölle. Mikäli sinulla on oikeuksia vanhentuneisiin lomakkeisiin muttet tiedä niiden omistajaa tai yksikössäsi on käytössä lomakkeita joihin kukaan ei pääse lukeman tai poistamaan niille tallennettuja tietoja raporttinäkymässä, ota yhteys e-lomaketukeen: opetusteknologia@helsinki.fi

Emme yleensä poista vanhoja lomakkeita puolestasi, poistamme vain henkilötietoja sisältäviä raportteja sekä autamme lomakkeen omistajuuden hallinointiin liittyvissä asioissa. Ylläpito-oikeuksilla voit itse poistaa toisen henkilön tekemän lomakkeen listaltasi poistamalla oman käyttäjätunnuksesi lomakkeen oikeuksista.

Jos mietit tietoturvaan ja henkilötietojen käsittelyyn liittyvää pulmaa omassa e-lomakekyselyssäsi, ota yhteys Tietotekniikkakeskuksen tietoturvaryhmään: tietoturva@helsinki.fi

Kaikille yliopistolaisille on julkaistu tietosuojaohjesivu intranet-Flammassa, jolta löytyy kootusti vastaukset ja yhteystiedot joista kysyä lisää tietosuoja-asioihin liittyen: https://flamma.helsinki.fi/fi/tietoturva/tietosuoja

***

Tämä ohjesivu voi muuttua ja päivittyä vastaamaan GDPR:n soveltamisen uusia tulkintoja Helsingin yliopiston E-lomake-asennukselle. Pidätämme kaikki oikeudet muutoksiin.