...
Tietosuojanäkökulmasta
Haka-operaattorilla ei läheskään aina ole tietoa siitä, että toimiiko jokin tietty palveluntarjoaja jonkin tietyn kotiorganisaation tietojen käsittelijänäpalveluntarjoaja henkilötietojen käsittelijänä jollekin tietylle kotiorganisaatiolle, eikä operaattori voi myöskään toimia erotuomarin roolissa ja puuttua näihin asioihin. Esimerkkinä SaaS-palvelu, jota tarjotaan useammalle Haka-kotiorganisaatiolle, tällöin on mahdollista että palveluntarjoaja voi samanaikaisesti toimia jollekin kotiorganisaatiolle käyttäjätietojen käsittelijänä ja toiselle organisaatiolle käyttäjärekisterinpitäjänäomaksua erotuomarin roolia tässä asiassa. On myös mahdollista, että sama palveluntarjoaja toimii käsittelijänä joillekin Haka-kotiorganisaatioille mutta on itsenäinen rekisterinpitäjä suhteessa muiden korkeakoulujen loppukäyttäjiin.
Tietosuojaseloste on pakollinen jokaiselle Haka-luottamusverkostoon rekisteröidylle palveluentiteetille, kyseinen seloste sisältää yleistason kuvauksen henkilötietojen käsittelystä kyseisessä palvelussa. Palveluntarjoaja laatii tietosuojaselosteen, pitää sen julkisesti loppukäyttäjien saatavilla ja muutoinkin informoi loppukäyttäjiä henkilötietojen käsittelystä.. Jos palveluntarjoaja on henkilötietojen käsittelijä (jollekin) Haka-kotiorganisaatiolle, voi palveluntarjoaja tietosuojaselosteessaan viitata kotiorganisaation tietosuojaselosteeseen.
Palvelusta on mahdollista viitata tietyn tunnistuslähteen kotiorganisaation tietosuojaselosteeseen silloin kun palvelussa käsitellään kyseisen kotiorganisaation käyttäjätietoja. Jos kotiorganisaation käyttämä tunnistuslähdetuote tukee tietosuojaselosteen piilottamista tietyille erikseen listatuille palveluille, tietosuojaseloste kannattaa tunnistuslähteessä piilottaa niissä tapauksissa, joissa henkilötietojen siirron ei katsota olevan tietojen luovuttamista (organisaation sisäinen kirjautuminen, sama organisaatio vastaa sekä tunnistuslähteestä luovutettavista loppukäyttäjätiedoista että kohde palvelussa tapahtuvasta käyttäjätietojen käsittelystä)silloin, kun käyttäjä on kirjautumassa sellaiseen palveluun, jonka tarjoaja on henkilötietojen käsittelijä. Samoin voitaneen menetellä myös silloin, kun sama organisaatio on yhtä aikaa Haka-kotiorganisaatio ja palveluntarjoaja. Tällöin ei tapahtu kahden rekisterinpitäjän välistä henkilötietojen luovutusta.
Metatietojen ylläpidon delegoiminen Haka-resurssirekisterissä
...