1. Allmänt

Denna dataskyddspolicy tillämpas på behandlingen av alla personuppgifter som Yrkeshögskolan Arcada Ab (nedan Högskolan) ansvarar för, oavsett av vem, var och med vilka verktyg personuppgifterna behandlas.

Syftet med policyn är att säkerställa att personuppgifter behandlas i enlighet med EU:s dataskyddsförordning och nationell dataskyddslagstiftning och att detta kan påvisas med dokumentation.

2. Personuppgifter som behandlas vid Högskolan

Som ett center för kunskap, lärande och forskning hanterar Högskolan stora mängder information. I undervisning, forskning och administrativa funktioner gäller en stor del av denna information fysiska personer och utgör därmed dessa personers personuppgifter. Som personuppgiftsansvarig har Högskolan förbundit sig att respektera vars och ens grundläggande rätt till skydd för privatliv och personuppgifter.

Högskolan behandlar uppgifter om dels personer som studerar och arbetar vid Högskolan, dels personer som på annat sätt är anknutna till eller samarbetar med Högskolan, såsom personer som ansöker om studieplats, alumner, personer som söker anställning, personer som deltar som informanter i forskning och samarbetsparter.

I Högskolans verksamhet kan det finnas behov av att behandla känsliga personuppgifter, såsom information om hälsotillstånd i samband med sjukledighet eller information om sjukdomar och funktionshinder med tanke på undervisnings- och tentamensarrangemang. I dessa fall informeras den registrerade om att uppgiften hör till denna särskilda kategori av personuppgifter och, om lagstiftningen förutsätter, begärs ett separat samtycke av den registrerade. Behandling av känsliga personuppgifter i forskning kräver alltid forskningsetisk förhandsprövning.

Information om Högskolans dataskydd finns på webbsidan https://www.arcada.fi/dataskydd. På sidan beskrivs behandlingen av personuppgifter enligt de olika kategorierna av registrerade utförligare i separata dataskyddsmeddelanden. Om uppgifter för en specifik grupp av personal eller studenter behandlas för ett visst syfte utöver vad som anges i dataskyddsmeddelandena, informeras de berörda personerna antingen som grupp eller individuellt av den institution eller enhet som behandlar uppgifterna.

Utöver information på Arcadas publika webbsida ges information och anvisningar gällande behandlingen av personuppgifter till personalen på intra.arcada.fi och studenterna på start.arcada.fi.

3. Principer och processer för behandling av personuppgifter

Vid behandlingen av personuppgifter beaktas följande principer:

  1. Laglighet, korrekthet och öppenhet

    Det finns alltid en laglig grund för behandlingen av personuppgifterna. Uppgifterna behandlas i enlighet med dataskyddsbestämmelserna och de registrerade ges tillräcklig information om behandlingen.
  2. Ändamålsbegränsning

    Personuppgifterna samlas in för särskilda, uttryckligt angivna ändamål och behandlas inte senare för ändamål som är oförenliga med de ursprungliga ändamålen.
  3. Uppgiftsminimering

    Endast de personuppgifter som är nödvändiga för ändamålet samlas in och behandlas.
  4. Korrekthet

    Personuppgifterna är korrekta och uppdaterade. Alla rimliga åtgärder vidtas för att säkerställa att personuppgifter som är felaktiga raderas eller rättas.
  5. Lagringsminimering

    Personuppgifterna lagras inte för längre tid än vad som är nödvändigt för ändamålen. För personuppgifter som kan anonymiseras eller pseudonymiseras, genomförs dessa åtgärder så snart det med tanke på ändamålet för behandlingen är möjligt.
  6. Integritet och konfidentialitet

    Personuppgifterna behandlas på ett sådant sätt att lämplig säkerhet kan säkerställas. Uppgifterna skyddas genom lämpliga tekniska och organisatoriska åtgärder mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelser.

Dataskyddet beaktas under personuppgifternas hela livscykel och dataskyddsombudet involveras redan i det skede som tjänster, processer och system planeras.

Den person eller de personer som ansvarar för tjänster, processer eller system ska se till att de risker som är förknippade med behandlingen av personuppgifter bedöms och att skäliga åtgärder vidtas för att minimera riskerna. Om en viss typ av behandling av personuppgifter leder till höga risker för de registrerade, utförs före behandlingen i samråd med dataskyddsombudet en bedömning av den planerade behandlingens konsekvenser för dataskyddet.

4. Utlämnande och överföring av personuppgifter

Personuppgifter utlämnas endast på grunder som angetts i dataskydds-meddelandena eller grunder som baserar sig på lagstiftning och endast till mottagare som enligt lag har rätt att behandla uppgifterna.

I sin egen verksamhet och i de tjänster som Högskolan använder strävar Högskolan efter att använda sig av aktörer och tjänster som hanterar personuppgifter inom EU- och EES-området. Eftersom Högskolans verksamhet innefattar internationellt samarbete, kan det ändå i vissa fall vara aktuellt att samarbeta med eller köpa tjänster av högskolor, organisationer och individer som hanterar personuppgifter utanför EU- och EES-området. I dessa fall följer Högskolan de krav på adekvat skyddsnivå och lämpliga skyddsåtgärder som ställs i EU:s dataskyddsförordning på överföring av personuppgifter utanför EU- och EES-området.

5. Ansvar och organisation

Högskolans ledning ansvarar för att personuppgifter behandlas lagenligt och korrekt och att dataskyddsarbetet vid Högskolan organiseras och resurseras på ett lämpligt sätt.

Prefekter och enhetschefer ansvarar för att den egna institutionens eller enhetens personal deltar i dataskyddsutbildning och bekantar sig med anvisningar som ges av Högskolan. Prefekterna och enhetscheferna specificerar arbetstagarnas roller så, att de personer som behandlar personuppgifter inom ramen för sina arbetsuppgifter är medvetna om vilka skyldigheter och vilket ansvar detta medför.

Dataskyddsombudet stöder ledningen i att uppfylla de krav som dataskyddslagstiftningen ställer och rapporterar regelbundet till ledningen. Dataskyddsombudet övervakar och utvecklar dataskyddet vid Högskolan, utbildar personalen och ger institutionerna och enheterna råd i dataskyddsfrågor. Ombudet fungerar också som kontaktperson för de registrerade och tillsynsmyndigheten.

Dataskyddsombudets kontaktuppgifter finns på webbsidan https://www.arcada.fi/dataskydd.

Dataskyddsarbetsgruppen består av dataskyddsombudet samt representanter från funktioner som är centrala ur dataskyddssynvinkel. Dataskyddsarbetsgruppen följer upp dataskyddsarbetet vid Högskolan, uppgör och behandlar anvisningar och linjedragningar innan de presenteras för ledningen för godkännande och tar vid behov ställning till praxis och utvecklingsprojekt.

Dataskyddsarbetsgruppen utses av rektor för en mandatperiod om två år. Dataskyddsarbetsgruppens medlemmar fungerar som dataskyddsombudets reservpersoner i den ordning som anges i rektorsbeslutet då dataskyddsombudet är förhindrat och situationen kräver omedelbara åtgärder.

Kontaktpersonerna inom dataskydd bidrar till korrekt behandling av personuppgifter genom att inom det egna ansvarsområdet ge råd i dataskyddsfrågor och följa upp behandlingen av personuppgifter. Kontaktpersonerna rapporterar regelbundet till dataskyddsombudet. Kontaktpersonerna utses av rektor.

Personalen har en skyldighet att inhämta grundläggande kunskap i dataskydd och datasäkerhet genom att delta i utbildning och bekanta sig med de anvisningar som Högskolan har gett. Personalen bör känna till de bestämmelser och risker som gäller behandlingen av personuppgifter inom det egna ansvarsområdet och kunna behandla personuppgifterna på ett korrekt och lagenligt sätt.

Studerande bör bekanta sig med och följa de anvisningar om dataskydd och datasäkerhet som Högskolan har gett. Studerande som i sina studier, t.ex. inom ramen för projekt eller examens- och masterarbeten, önskar behandla personuppgifter ska diskutera behovet med den kursansvarige läraren. Om studenter önskar behandla känsliga personuppgifter krävs alltid den ansvarige lärarens samtycke samt etisk förhandsprövning.

Övriga personer som behandlar personuppgifter som Högskolan ansvarar för bör följa de anvisningar som Högskolan har gett för behandling av uppgifterna.

6. Behandling av personuppgifter i forskning

Forskare bör i sin forskning följa god vetenskaplig praxis och följa fastställda forskningsetiska principer också vid behandlingen av personuppgifter. Forskare bör känna till och följa de bestämmelser om etisk förhandsprövning som finns i lagstiftning, nationella rekommendationer och anvisningar som Högskolan har gett. Om känsliga personuppgifter behandlas i forskningen, bör etisk förhandsprövning alltid göras före forskningen inleds.

I forskningsprojekt ansvarar den ansvarige forskaren för att personuppgifter hanteras i enlighet med dataskyddsbestämmelserna under forskningsdatans hela livscykel samt att de forskare och övriga personer som behandlar personuppgifter inom ramen för projektet har tillräckliga kunskaper i dataskydd före behandlingen inleds. Den ansvarige forskaren ansvarar också för att dataskyddsrisker bedöms och att skäliga åtgärder vidtas för att minimera riskerna.

Forskare är skyldiga att ge personer som deltar i forskning klar och tydlig information om forskningen, för vilka ändamål och hur personuppgifterna behandlas och vilka rättigheter deltagarna har. Utförligare information ska ges i dataskyddsmeddelandet, som ska ges till deltagarna när uppgifterna samlas. Dataskyddsmeddelandet ska också skickas till Högskolans dataskyddsombud.

7. Säkerställande av dataskydd och hantering av problemsituationer

Högskolan utbildar personalen i grundläggande dataskydd och dataskyddsutbildning ingår i introduktionsprogrammet för nyanställda. För olika funktioner inom Högskolan ges därutöver separat utbildning och anvisningar enligt funktionens specifika behov.

Alla personer som hanterar personuppgifter omfattas av antingen lagstadgad eller separat överenskommen och dokumenterad sekretessförpliktelse.

Högskolan övervakar dataskyddet, genomför dataskyddskontroller och kontrollerar användningen av IT-system med hjälp av användaradministrativa lösningar, loggföring och andra dokumenterade processer.

Verkställandet av dataskyddet säkerställs genom dataskyddsombudets regelbundna rapportering till ledningen.

Högskolan vidtar åtgärder för att förbättra identifierade svagheter och lösa problemsituationer. Felaktig behandling av personuppgifter påtalas och nödvändiga åtgärder kan vidtas av prefekten, chefen eller dataskyddsombudet.

Dataskyddsincidenter rapporteras av dataskyddsombudet till tillsynsmyndigheten inom de lagstadgade tidsramarna. Om incidenten innebär hög risk för den registrerades rättigheter och friheter och det är motiverat för att genomföra korrigerande skyddsåtgärder eller begränsa skada, anmäls incidenterna också till de registrerade.

8. De registrerades rättigheter

De registrerade har rätt, med vissa begränsningar beroende på grunden för behandling av personuppgifterna, att:

  1. få information om behandlingen av personuppgifter
  2. få tillgång till personuppgifter som rör honom eller henne
  3. kräva att felaktiga uppgifter rättas
  4. kräva att personuppgifter raderas
  5. begränsa behandlingen av personuppgifter
  6. göra invändningar mot behandlingen av personuppgifter
  7. överföra sina personuppgifter till andra personuppgiftsansvariga
  8. motsätta sig beslut som grundar sig på automatiserad behandling

De registrerade har därutöver rätt att lämna in klagomål till Dataombudsmannens byrå.

Information om behandlingen av personuppgifter enligt de olika kategorierna av registrerade och de grunder behandlingen baserar sig på finns i separata dataskyddsmeddelanden på webbsidan https://www.arcada.fi/dataskydd. På samma webbsidor ges också information om hur de registrerade kan utöva sina övriga rättigheter.

9. Godkännande och ändring av dataskyddspolicyn

Denna dataskyddspolicy har fastställts av Yrkeshögskolan Arcada Ab:s styrelse den 11 april 2018 och tillämpas fr.o.m. 25 maj 2018. Dataskyddspolicyn är i kraft tills vidare.

Policyn är ett offentligt dokument som finns tillgängligt på Högskolans externa webbsida https://www.arcada.fi/dataskydd.