Tietosuojailmoitus : Tietosuojalainsäädännön sisältämän informointivelvoitteen toteuttamiseksi laadittava asiakirja, jota käytetään rekisterinpitäjän informointivelvollisuuden täyttämiseksi. Ilmoituksella kerrotaan rekisteröidyille (eli henkilöille), miten heidän henkilötietojaan käsitellään.  Tietosuojailmoitus on yksi dokumenteista, jonka perusteella henkilötietoja käsittelevien verkkopalveluiden tietosuojalainsäädännön mukaisuutta voidaan arvioida. Tietosuojailmoituksesta käytetään usein myös termiä ”Tietosuojaseloste”.

Taustaa

  • Tietosuoja-asetus, artikla 4: henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja
  • Tietosuoja-asetus, artikla 6 & 7: henkilötietojen käsittelyperusteet (https://tietosuoja.fi/kasittelyperusteet). Henkilötietoja saa käsitellä, jos on löydettävissä jokin laissa mainituista perusteista (käyttäjän suostumus on yksi näistä)
  • Tietosuoja-asetus, artikla 14 & 15: käyttäjää tulee informoida kun kotiorganisaatio luovuttaa henkilötietoja kolmannelle osapuolelle (palveluntarjoaja) ja kun palveluntarjoaja saa tietoja muualta kuin henkilöltä itseltään

Palvelun (SP - Service Provider) on ilmoitettava Haka-metadatassa tietosuojaselosteen URL. Tietosuojaselosteen URL ilmoitetaan Haka-resurssirekisterissä Ui Extensions -osioon kaikille kolmelle kielelle (fi, sv, en). On suositeltavaa tukea selosteessa kaikkia mainittuja kieliä joko yhdessä osoitteessa tai ilmaista selosteiden kieliversioiden linkit erikseen.

Shibboleth IdP -ohjelmistossa on ominaisuus, joka näyttää käyttäjälle kirjautumisen yhteydessä, mihin palveluun henkilötietoja ollaan luovuttamassa ja näyttää linkin tietosuojaselosteeseen. Käyttäjän selaimen käyttöliittymäkielen asetus määrää käyttäjälle näytettävän linkin kielisyyden.

Haka luottamusverkoston liittymissopimuksen tietosuojasäädökset

  • (liite 3, 2.4.3) Jos palveluntarjoaja käsittelee tietosuojalainsäädännön tarkoittamia henkilötietoja, ilmoittaa palveluntarjoaja operaattorille, missä www-osoitteessa palvelun tietosuojailmoitukseen voi etukäteen tutustua. Jos henkilötietojen käsittelytarkoitusta palvelussa muutetaan, toimitaan kuin jos palvelu kytkettäisiin Luottamusverkostoon uutena palveluna.

  • (liite 3, 1.2) Operaattori ylläpitää luottamusverkoston keskitettyä tunnistuslähteen päättelypalvelua sekä luottamusverkostoon liittyvää metatietoa, johon sisältyy mm.

    • Luottamusverkoston jäsenten ja kumppaneiden hallinnollisten ja teknisten henkilöiden yhteystiedot sekä yhteystiedot tietoturvapoikkeamia varten,

    • Luottamusverkostoon liitettyjen palvelinten osoitteet,

    • Luottamusverkostoon liittyneiden palveluntarjoajien palveluaan varten tarvitsemien henkilötietojen luettelo sekä palvelun tietosuojailmoituksen osoite.

  • (liite 3, 2.3.7) Kotiorganisaatio pitää ajan tasalla henkilötietojen luovutusmäärityksiä, jotka säätelevät, mitä henkilötietoja kustakin loppukäyttäjästä luovutetaan kullekin palvelulle.

  • (liite 3, 2.3.8) Kotiorganisaatio informoi loppukäyttäjää tietojen luovutuksesta tietosuojalainsäädännön mukaisesti. Loppukäyttäjälle on varattava mahdollisuus tutustua palvelun tietosuojailmoitukseen ainakin, jos palveluntarjoaja ei ole kotiorganisaatio itse tai sen lukuun toimiva henkilötietojen käsittelijä.

  • Lisätietoa Tietosuojavaltuutetun toimiston sivuilta http://www.tietosuoja.fi