Tietosuojailmoitus : Tietosuojalainsäädännön sisältämän informointivelvoitteen toteuttamiseksi laadittava asiakirja, jota käytetään rekisterinpitäjän informointivelvollisuuden täyttämiseksi ja jonka perusteella henkilötietoja keräävien verkkopalveluiden tietosuojalainsäädännön mukaisuutta voidaan arvioida. Tietosuojailmoituksesta käytetään usein myös termiä ”Tietosuojaseloste”.
Taustaa
- Tietosuoja-asetus, artikla 4: henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja
- Tietosuoja-asetus, artikla 6 &
Taustaa
- Tietosuojadirektiivi, artikla 2a: henkilötiedot tarkoittavat mitä tahansa luonnolliseen henkilöön liittyvää tunnistettavaa tietoa
- Tietosuojadirektiivi, artikla 7: käyttäjän suostumus on pohjana henkilötietojen käsittelylle
- TietosuojadirektiiviTietosuoja-asetus, artikla 1114 & 15: käyttäjää tulee informoida kun kotiorganisaatio luovuttaa henkilötietoja kolmannelle osapuolelle (palveluntarjoaja) ja kun palveluntarjoaja saa tietoja muualta kuin henkilöltä itseltään
Palvelun (SP - Service Provider) on ilmoitettava Haka-metadatassa tietosuojaselosteen URL. Toistaiseksi tietosuojaselosteen Tietosuojaselosteen URL ilmoitetaan Haka-resurssirekisterissä kahteen paikkaan: SP Basic Information -osioon ja Ui Extensions -osioon . UI Extensions-osiossa selosteen URL ilmoitetaan kaikille kolmelle kielelle (fi, sv, en). On suositeltavaa tukea selosteessa kaikkia mainittuja kieliä joko yhdessä osoitteessa tai ilmaista selosteiden kieliversioiden linkit erikseen.
Shibboleth IdP -ohjelmistossa on ominaisuus, joka näyttää käyttäjälle kirjautumisen yhteydessä, mihin palveluun henkilötietoja ollaan luovuttamassa ja näyttää linkin tietosuojaselosteeseen. Käyttäjän selaimen käyttöliittymäkielen asetus määrää käyttäjälle näytettävän linkin kielisyyden.
Haka
...
luottamusverkoston liittymissopimuksen tietosuojasäädökset
(liite 3, 2.4.3) Jos palveluntarjoaja käsittelee henkilötietolain tietosuojalainsäädännön tarkoittamia henkilötietoja, ilmoittaa palveluntarjoaja operaattorille, missä www-osoitteessa palvelun tietosuojaselosteeseen tietosuojailmoitukseen voi etukäteen tutustua. Jos henkilötietojen käsittelytarkoitusta palvelussa muutetaan, toimitaan kuin jos palvelu kytkettäisiin luottamusverkostoon Luottamusverkostoon uutena palveluna.
(liite 3, 1.2) Operaattori ylläpitää Haka-infrastruktuurin keskitettyä WAYF-palvelinta (Where Are You From) sekä Haka-infrastruktuuriin luottamusverkoston keskitettyä tunnistuslähteen päättelypalvelua sekä luottamusverkostoon liittyvää metatietoa, johon sisältyy luottamusverkostoon mm.
Luottamusverkoston jäsenten ja kumppaneiden hallinnollisten ja teknisten henkilöiden yhteystiedot sekä yhteystiedot tietoturvapoikkeamia varten,
- Luottamusverkostoon liitettyjen palvelinten osoitteet,
Luottamusverkostoon liittyneiden palveluntarjoajien palveluaan varten tarvitsemien
henkilötietojen luettelo sekä palvelun
tietosuojailmoituksen osoite
.
(liite 3, 2.3.7) Kotiorganisaatio pitää ajan tasalla henkilötietojen luovutuslupia (Attribute release policy, ARP), luovutusmäärityksiä, jotka säätelevät, mitä henkilötietoja kustakin loppukäyttäjästä luovutetaan kullekin palvelulle.
(liite 3, 2.3.8) Kotiorganisaatio pyytää lähtökohtaisesti loppukäyttäjältä suostumuksen henkilötietojen luovuttamiselle kuhunkin palveluun (suostumusmalli liitteessä 7)informoi loppukäyttäjää tietojen luovutuksesta tietosuojalainsäädännön mukaisesti. Loppukäyttäjälle on varattava mahdollisuus tutustua palvelun tietosuojaselosteeseen ennen suostumuksen antamistatietosuojailmoitukseen ainakin, jos palveluntarjoaja ei ole kotiorganisaatio itse tai sen lukuun toimiva henkilötietojen käsittelijä.
Lisätietoa Tietosuojavaltuutetun toimiston sivuilta http://www.tietosuoja.fi/fi/index.html
Tietosuojavaltuutetun mallilomakkeet: /fi/index/materiaalia/lomakkeet/rekisteri-jatietosuojaselosteet.htm