Tietosuojaseloste: Henkilötietojen käsittely - Espoon kaupungin Office 365 

Tietosuojaselosteen julkaisupäivämäärä: 6.2.2018 

1. Rekisterinpitäjä 

Espoon kaupunki PL 1, 02070 ESPOON KAUPUNKI 

2. Rekisterin vastuuhenkilö 

Maarit Waskilampi-Kuikka, tietohallintojohtaja 
maarit.waskilampi-kuikka(at)espoo.fi 
PL 670 
02070 ESPOON KAUPUNKI 
p. 040 073 7833 

3. Rekisterin yhteyshenkilö 

Juha Valtaharju, työasemaympäristön päällikkö 
juha.valtaharju(at)espoo.fi 
0445123529 

4. Tietosuojavastaava 

Espoon kaupungin tietosuojavastaava 
Osoite: PL 12, 02070 Espoon kaupunki 
Puh. 09 816 21 (vaihde) 
Sähköpostiosoite: tietosuoja@espoo.fi 

5. Mihin tarkoitukseen henkilötietoja käsitellään?  

O365 on sähköinen työskentely-ympäristö, jota käytetään työsuhteen, luottamushenkilöiden ja yhteistyökumppaneiden työtehtävien ja velvoitteiden täyttämiseen. O365 sisältää sähköisiä työvälineitä ja käyttäjien tuottamaa sisältöä. 

Henkilötietoja käytetään: 

  • O365:n käyttöoikeuksien hallintaan ja kirjautumiseen järjestelmään 
  • Käyttäjien välisen vuorovaikutuksen mahdollistamiseen  
  • Sähköpostipalvelun käyttöön 
  • Tiedostopalveluiden käyttöön (Sharepoint, OneDrive) 
  • Teams - viestintä- ja ryhmätyösovellus 

6. Mikä on henkilötietojen käsittelyperuste? 

EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 c-kohta: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi 

7. Mitä tietoja käsitellään? 

Henkilökunta, luottamushenkilöt, sekä yhteistyökumppanit: 

  • Käyttäjän nimi 
  • Ryhmät, joihin henkilö kuuluu 
  • Sähköpostiosoite 
  • Käyttäjätunnus  
  • Salasana  
  • Puhelinnumero (matkapuhelin) 
  • Tilin ominaisuustietoja 
  • Työosoite  

Opetustoimi 

  • Henkilön etu- ja sukunimi 
  • Käyttäjätunnus 
  • Salattu salasana 
  • Sähköpostiosoite 
  • Salattu ainutkertainen tunniste 
  • Opetusryhmät 
  • Koulu 
  • Luokka 
  • Oppilaitostunnus 
  • Henkilön roolitietoja: henkilökunta / opiskelija 

Asiakkaat (kaupungin organisaation ulkopuoliset henkilöt) 

  • Nimi 
  • Sähköpostiosoite 

Käyttäjän tuottamilla sisällöillä tarkoitetaan järjestelmään määritellylle käyttäjäjoukolle vietyjä kuvia, tekstejä, linkkejä, videoita ja äänitiedostoja. Käyttäjä voi esim. lisätä kaikille / rajoitetuille käyttäjille palveluun mm. oman kuvauksen itsestään ja vastuualueestaan, matkapuhelinnumeron, sijaintitiedon, osaamistiedot, syntymäpäivän, sekä muut kiinnostuksen kohteet. Käyttäjällä on mahdollisuus halutessaan sallia tuottamansa tietosisällön hyödyntämistä ja saada tietoja verkostoitumisestaan ja lähimmistä kavereistaan. 

8. Mistä tiedot saadaan? 

Pääasiallinen tietolähde on Microsoftin AD/Azure AD, jonne tiedot tulevat Primus -oppilasrekisteristä, Sarastia365-henkilöjärjestelmästä tai ulkopuolisten käyttäjien itsensä ilmoittamina. 

9. Luovutetaanko tai siirretäänkö tietoja kaupungin ulkopuolelle? 

Tietoja ei luovuteta säännönmukaisesti 

10. Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle? 

Henkilötietoja siirretään Euroopan unionin tai Euroopan talousalueen ulkopuolelle (Microsoft online), siirtoperuste: Microsoft Online-palvelujen sopimusehdot mukaan lukien komission hyväksymät mallisopimuslausekkeet ovat luettavissa Microsoftin internet-sivuilla: http://www.microsoftvolumelicensing.com/Downloader.aspx?documenttype=OST&lang=Finnish(ulkoinen linkki) 

11. Kuinka kauan tietoja säilytetään? 

Tietojen säilyttämisessä ja hävittämisessä noudatetaan Espoon kaupungin arkistonmuodostussuunnitelmaa / tiedonohjaussuunnitelmaa sekä arkistolaitoksen kulloinkin voimassa olevia säännöksiä ja määräyksiä. Henkilötietoja säilytetään pilvipalvelussa 30 päivää palvelun käytön päättymisestä. Lokitietoja säilytetään vähintään kahden vuoden ajan. Jos käyttäjän toimintaa joudutaan arvioimaan jälkikäteen, ko. tietoja säilytetään selvityksen edellyttämän ajan. 

12. Miten tietoja suojataan? 

Henkilötietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen (tietosuoja- asetus 5 artikla 1 f-kohta). Tietojen käsittelyä sääntelee mm. tietojen käyttötarkoitussidonnaisuus, tarpeellisuusvaatimus, täsmällisyysvaatimus. Jokainen työntekijä voi käsitellä vain niitä henkilötietoja, joita hän tarvitsee työtehtävissään. Salassa pidettävien ja arkaluonteisten tietojen suojaamiseen kiinnitetään erityistä huomiota mm. työprosessien kuvaamisissa ja käyttöoikeuksien luovutuksissa. Tietojen salassapidosta on säännökset viranomaisen toiminnan julkisuudesta annetun lain 24 §:ssä. A. Sähköiset ylläpitojärjestelmät: Henkilötiedot on suojattu viraston työntekijän tehtävien perusteella määritellyin käyttöoikeuksin. Käyttöoikeus on rajattu tehtävän mukaisesti ja perustuu käyttäjärooleihin, joille on määritelty oikeus tehtävänmukaisiin näyttöihin ja toimintoihin. Eri käyttöoikeusryhmissä on määritelty erikseen tietojen luku-, kirjoitus-, tallennus- ja poisto-oikeudet. Kaikki verkon käyttäjät hyväksyvät käyttöoikeussitoumuksen, joka sisältää mm. vaitiolositoumuksen. Palvelinlaitteisto on suojatussa ja valvotussa tilassa palveluntuottajan konesalissa. Sähköisesti käsiteltävät tiedot liikkuvat salattuna avoimessa internetissä. Rekisterin tiedot varmuuskopioidaan automaattisesti säännöllisin väliajoin. B. Manuaalinen aineisto: Manuaalinen aineisto säilytetään lukituissa työpisteissä ja lukituissa kaapeissa. 

13. Rekisteröidyn oikeudet 

Tarkempi ohjeistus tietosuoja-asetuksen mukaisten tietopyyntöjen osoittamisesta: https://www.espoo.fi/fi-FI/Asioi_verkossa/Tietosuoja/Asiakkaiden_oikeudet(ulkoinen linkki) 

13.1 Miten voin tarkastaa tietoni? 

Sinulla on oikeus saada rekisterinpitäjältä jäljennös käsiteltävistä henkilötiedoista. Rekisterinpitäjän on toimitettava tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. 

Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja. 

Rekisteröidyn pyynnöt ja niihin liittyvät toimenpiteet ovat maksuttomia. Kuitenkin jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä suorittamasta pyydettyä toimea. 

13.2 Milloin voin vaatia tietojeni oikaisemista? 

Sinulla on oikeus saada virheelliset, epätarkat, vaillinaiset, vanhentuneet tai tarpeettomat henkilötiedot, joita säilytämme, korjatuiksi tai täydennetyiksi toimestamme. 

13.3 Milloin voin vaatia tietojeni poistamista 

Sinulla on oikeus saada rekisterinpitäjä poistamaan sinua koskevat henkilötiedot ilman aiheetonta viivytystä tietyin edellytyksin. Oikeutta tietojen poistamiseen ei ole. jos lakisääteisen velvoitteen noudattaminen edellyttää tietojen käsittelyä tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Näissä tapauksissa henkilötiedot hävitetään vasta laissa säädetyn määräajan jälkeen. 13.4 Milloin voin vaatia tietojeni käsittelyn rajoittamista? 

Jos sinusta kerätyt eivät pidä paikkaansa, voit vaatia rajoittamaan asiakastietojesi käsittelyä, kunnes tietojen paikkansapitävyys on varmistettu. 

13.5 Valituksen tekeminen 

Sinulla on oikeus tehdä valitus valvontaviranomaiselle, jos koet henkilötietojen käsittelyn olevan tietosuojalainsäädännön vastaista. Voit tehdä valituksen tietosuojavaltuutetun toimistoon: www.tietosuoja.fi.