Henkilötietojen käsittely (Puro-palvelu)

CSC – Tieteen tietotekniikan keskus Oy (Toimittaja) on sopinut korkeakoulujen (Tilaaja) kanssa palvelusta, jossa Toimittaja toimii Tilaajan ylläpitämään henkilörekisteriin kuuluvien henkilötietojen käsittelijänä. Korkeakoulut ovat rekisterinpitäjiä Puro-palvelun suhteen ja CSC on tietojen käsittelijä. Jokainen Tilaaja vastaa rekisterinpitäjän ominaisuudessa rekisterinpitäjän vastuista.

Tällä sivulla kuvataan tämänhetkiset Puro-palvelun ohjausryhmän 12.4.2022 hyväksymät käsittelytoimet, joita Toimittaja henkilötietojen käsittelijänä tekee Tilaajan puolesta, henkilötietojen tyypit sekä käsiteltävät henkilötiedot. Ohjausryhmä päivittää tarpeen mukaan ohjeita. Käsittelytoimien kuvaus on osa palveludokumentaatiota.



Henkilötietojen käsittelyperuste ja tarkoitus

Henkilötietojen käsitteleminen perustuu niihin velvollisuuksiin, jotka korkeakouluilla on Ammattikorkeakoululain 932/2014 tai Yliopistolain 558/2009 mukaisesti.

Puro-palveluun kerättävien henkilötietojen käytön tarkoituksena on:

  • omien suoritustietojen lukeminen korkeakoulujen valtakunnallisesta tietovarannosta (Virta-opintotietopalvelusta)
  • haluttujen suoritusten siirtäminen hyväksiluettavaksi omaan kotikorkeakouluun
  • suoritustietojen käyttö hyväksilukuprosessissa
Käsittelyn luonneOsapuolet ovat sopineet, että Toimittaja tarjoaa sopimuksen mukaisen palvelun henkilötietojen tietosisällön käsittelylle. Toimittajan toteuttama henkilötietojen käsittely on luonteeltaan käyttöpalvelua, jossa Toimittajan Tilaajan puolesta ja lukuun toteuttamat käsittelytoimet rajoittuvat:
  • tietojen käsittelyyn tarkoitetun palvelualustan ja käyttöpalvelun sopimuksen mukaiseen tarjoamiseen Tilaajan ja korkeakoulujen käyttöön,
  • tietojen säilyttämiseen Toimittajan sopimuksen mukaisessa IT-palveluympäristössä,
  • käyttöpalvelun ylläpitoon liittyvät tekniset toimenpiteet (esim. vianetsintä, ongelmanratkaisu) palvelun sopimuksen mukaisen saatavuuden takaamiseksi ja häiriöttömän toiminnan varmistamiseksi sekä
  • käyttötuen ja opastuksen korkeakoulujen virkailijoille

Ellei Tilaaja nimenomaisesti muuta ohjeista, Toimittajalla ei ole pääsyoikeutta Tilaajan henkilötietojen tietosisältöön.

Toimittaja toteuttaa käsittelyn ja ylläpitää käsittelyn turvallisuuden edellyttämät asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla se varmistaa, että Tilaajan henkilötietojen käsittely tapahtuu Tilaajan ja CSC – Tieteen tietotekniikan keskus Oy:n välisen puitesopimuksen liitteen 1 Henkilötietojen käsittelyn ehdot –dokumentin mukaisesti sekä sovittujen käytäntöjen mukaisesti. 

Toimenpiteiden tarkoituksena on varmistaa henkilötietojen lainmukainen käsittely sekä henkilötietojen käsittelyyn käytettävien järjestelmien ja palveluiden luottamuksellisuus, eheys, saatavuus ja vikasietoisuus.

Toimittaja ei käsittele eikä muulla tavoin hyödynnä sopimuksen perusteella käsittelemiään henkilötietoja muutoin kuin sopimuksen täyttämisen mukaisessa tarkoituksessa ja laajuudessa.

Järjestelmätietojen käsittelyPuro-palvelun toimittamisesta sekä palvelun ylläpidosta ja sen käytöstä generoituu teknisten järjestelmien tuottamaa henkilötiedoiksi laskettavaa tietoa, esimerkiksi lokitietoa. Näiden tietojen tarkoituksena on Puro-palvelun teknisten järjestelmien ylläpidon varmistaminen ja mahdollinen virhetilanteiden selvittäminen.
Henkilötietojen tyypit ja rekisteröityjen ryhmät

Osapuolet ovat sopineet, että Toimittaja käsittelee Tilaajan puolesta Sopimuksessa sovitun palvelun tuottamiseksi seuraavia Tilaajan henkilörekisteriin kuuluvia henkilötietoja.

  • Opiskelija, joka tarkastelee suoritustietojaan
    • Henkilön perustiedot: nimi, henkilötunnus, opiskelijanumero, kansallinen oppijanumero, käyttäjätunnus (eppn), käyttäjärooli
    • Organisaatiotiedot: kotiorganisaatio
    • Opintosuoritustiedot: suorituksen nimi, arvosana ja suorituspäivämäärä
  • Opiskelija, joka lisäksi lähettää suorituksia hyväksiluettavaksi
    • Suorituksen avaintieto, suorituksen myöntänyt korkeakoulu
  • Korkeakoulun virkailija
    • Henkilön perustiedot: nimi, käyttäjätunnus (eppn), käyttäjärooli
    • Organisaatiotiedot: kotiorganisaatio
  • Ylläpitäjä/pääkäyttäjä
    • Käyttöoikeudet
Tietojen alkuperä
  • Opiskelijoiden perustiedot luetaan Haka-tunnistautumisen yhteydessä välitettävistä attribuuteista.
  • Suoritustiedot luetaan Virta-opintotietopalvelusta
Tietojen luovuttaminen EU/ETA-alueen ulkopuolelleHenkilötietoja ei siirretä EU/ETA-alueen ulkopuolelle.
Henkilötietojen käsittelyn kesto

Kyseessä on 31.12.2022 päättyvä palvelu. Näin ollen henkilötietojen käsittely päättyy 31.12.2022. Henkilötietoja säilytetään järjestelmissä niin kauan kuin se palvelun hallitun päättämisen kannalta on perusteltua. Tämä koskee myös järjestelmään syntynyttä lokitietoa. Tämän jälkeen tiedot poistetaan.

Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus tarkastaa itseään koskevat henkilörekisteriin tallennetut tiedot ja vaatia virheellisen tiedon oikaisua tai poistamista, mikäli sille on lailliset perusteet.

Rekisteröity voi itse oikaista antamiaan henkilötietoja tai pyytää niiden poistamista ottamalla yhteyttä tunnistuslähteeseensä sen välittämien tietojen oikaisemiseksi.

Rekisteröidyllä on tietosuoja-asetuksen mukaisesti oikeus vastustaa tai pyytää tietojensa käsittelyn rajoittamista sekä tehdä valitus henkilötietojen käsittelystä valvontaviranomaiselle.

Kehen voi olla yhteydessäKaikki näitä palveluita koskevat tietosuojaan liittyvät yhteydenotot ja pyynnöt tulee esittää kirjallisesti rekisterinpitäjän ilmoittamaan osoitteeseen.