Hyppää sisältöön

Significant changes to Puhti & Mahti authentication coming in April! Read about the SSH key and multi-factor authentication requirements.

Arkaluonteiset tiedot ja GDPR

Minkä tyyppiset tiedot ovat arkaluonteisia?

Arkaluonteiset tiedot ovat luokiteltua tietoa, joka on suojattava luvattomalta pääsyltä. Arkaluonteiset tiedot voivat olla ulkopuolisten saatavilla AINOASTAAN nimenomaisesti myönnetyin luvin. Päätyypit arkaluonteisia tietoja ovat ihmisiin liittyvät tiedot, ekologiset tiedot (esim. uhanalaisten lajien sijainti) ja luottamukselliset tiedot.

Arkaluonteiset henkilötiedot ovat tietoja, jotka paljastavat:

  • henkilötiedot, jotka paljastavat rodullisen tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset,

  • ammattiliittojen jäsenyyden,

  • geneettiset tiedot, biometriset tiedot, joita käsitellään yksinomaan ihmisen tunnistamiseksi,

  • terveystiedot,

  • tiedot henkilön sukupuolielämästä tai seksuaalisesta suuntautumisesta.

GDPR:n mukaan arkaluonteisia henkilötietoja koskee erityiset käsittelyehdot.

Lisätietoja: Arkaluonteisten tietojen määritelmä

Mitä ovat henkilötiedot?

Henkilötiedot ovat mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan elävään yksilöön. Henkilötiedot voivat myös olla erilaisia tietoja, jotka yhdessä kerättyinä voivat johtaa yhden henkilön tunnistamiseen.

Esimerkkejä henkilötiedoista ovat:

  • nimi ja sukunimi;

  • kotiosoite;

  • sähköpostiosoite;

  • sosiaaliturvatunnus;

  • sijaintitiedot (esimerkiksi matkapuhelimen sijaintitietotoiminto);

  • (IP) osoite;

  • evästeen tunnus.

Mikä eroa on arkaluonteisilla henkilötiedoilla ja henkilötiedoilla?

Arkaluonteiset henkilötiedot ovat erityinen joukko "erityisiä kategorioita" henkilötietoja, joita on käsiteltävä erityisellä turvallisuudella.

Lisätietoja: Arkaluonteisten tietojen määritelmä.

Mitä on GDPR?

Yleinen tietosuoja-asetus on Euroopan unionin (EU) tietosuoja- ja turvallisuuslaki, joka säätelee henkilötietojen hallintaa ja käsittelyä.

Se määrittelee:

  • mitä ovat henkilötiedot

  • mitä on tietojenkäsittely

  • mitä ovat kaikkien osapuolten tehtävät (rekisterinpitäjä, tietojen käsittelijä, rekisteröity)

  • EU:n tietosuojaa säätelevät keskeiset periaatteet

Jokaisen organisaation, joka tallentaa tai käsittelee henkilötietoja EU:n kansalaisista, on noudatettava GDPR:ää.

Mitä rooleja CSC:llä ja sen palvelukäyttäjillä on GDPR:n mukaan?

GDPR:n mukaan CSC on aina tietojen käsittelijä, joka toimii rekisterinpitäjän puolesta. GDPR myös edellyttää, että tämä suhde on kirjallisesti. Täten rekisterinpitäjän (ryhmän johtaja, tutkija, tutkimusorganisaatio tai heidän oikeudellinen edustajansa) on allekirjoitettava Tietojenkäsittelysopimus CSC:n kanssa, joka on laillinen sopimus. CSC ei koskaan toimi rekisterinpitäjänä, mutta palvelumme antavat CSC:n käyttäjille kaikki tarvittavat välineet hallita pääsyä arkaluonteisiin tietoihin. CSC:n palvelukäyttäjä on täysin vastuussa tiedoista ja hänen on valittava palvelu, joka vastaa tarvittavaa tietoturvatasoa.

En ole varma, onko käsittelemäni data arkaluonteista vai ei. Mistä voin löytää tukea?

Jos tarvitset apua SD-palvelujen sopivuuden arvioinnissa tutkimustietojesi käsittelylle, ota yhteyttä organisaatiosi tietosuojavastaavaan tai lakitoimistoon. Voit antaa heille seuraavat tukidokumentit:

  1. SD Connectin ja SD Desktopin palvelukuvaukset sekä tekniset ja organisatoriset toimenpiteet -dokumentti.

  2. CSC:n tietojenkäsittelysopimus (DPA)

  3. GDPR (kuvaus käsittelytoimista -lomake), joka voidaan ladata CSC-projektistasi

  4. CSC:n tietopolitiikka

Tuen saamiseksi älä epäröi ottaa yhteyttä osoitteessa servicedesk@csc.fi (aihe: Arkaluonteinen data).

Suomalaisten yliopistojen tietosuojan / lakiasioiden toimistojen yhteystiedot

Yliopisto Yhteystiedot
Aalto-yliopisto tietosuojavastaava@aalto.fi
Tietosuojapolitiikka
LUT-yliopisto dataprotection@lut.fi
tietosuoja@lut.fi
Tietosuojapolitiikka
Itä-Suomen yliopisto tietosuoja@uef.fi
Tietosuojapolitiikka
Helsingin yliopisto tietosuoja@helsinki.fi
Tietosuojapolitiikka
Jyväskylän yliopisto tietosuoja@jyu.fi
Tietosuojapolitiikka
Lapin yliopisto tietosuoja@ulapland.fi
Tietosuojapolitiikka
Oulun yliopisto dpo@oulu.fi
Tietosuojapolitiikka
Tampereen yliopisto dpo@tuni.fi
Tietosuojapolitiikka
Turun yliopisto dpo@utu.fi
tietosuoja@utu.fi
Tietosuojapolitiikka
Vaasan yliopisto tietosuojavastaava@uwasa.fi
Tietosuojapolitiikka

Minkä tyyppistä arkaluonteista tietoa voin käsitellä CSC:n arkaluonteisten tietojen palveluissa?

Kaiken tyyppinen tutkimukseen suostuttu arkaluonteinen tieto. Henkilörekisterin tietojen käsittely toissijaisessa käytössä terveys- ja sosiaalitietojen tietosuojalain mukaisesti on mahdollista vain Findatan sallimalla tai rekisteriluvalla ja käyttäen SD Desktop -palvelun rajoitettua versiota (katso: Sd Desktop toissijaiseen käyttöön).

Minkä tyyppistä dokumentaatiota tarvitsen käyttääkseni CSC:n arkaluonteisten tietojen palveluita?

Kun luot CSC-tilin ja CSC-projektin MyCSC:ssä, sinua opastetaan tarkastelemaan ja hyväksymään CSC:n tietojenkäsittelysopimus (DPA) sekä kuvaamaan käsittelemiesi tietojen tyyppi käsittelytoimien kuvaus -lomakkeessa.

Jos sinulla on kysyttävää näistä asiakirjoista tai tarvitset lisälaillisia sopimuksia organisaatiosi ja CSC:n välillä, kirjoita osoitteeseen servicedesk@csc.fi (sähköpostin aihe: Arkaluonteinen data).