Konstuniversitetets dataskyddsmeddelande angående användar-, behörighets- och loggadministration
EU:s allmänna dataskyddsförordning, artikel 13 och 14. Information till den registrerade. Utgivningsdatum: 2018-05-17; Updaterad: 2020-12-15
1. Organ och person som ansvarar för behandling av personuppgifter
IT-direktör Mari Nyrhinen
E-postadress: fornamn.efternamn@uniarts.fi, telefon: +358 40 704 4296
2. Kontaktpersoner för behandling av personuppgifter
Schef Erik Paalanen
E-postadress: fornamn.efternamn@uniarts.fi, telefon: +358 50 435 7356
3. Registrets namn
Konstuniversitetets system för användar-, behörighets- och loggadministration
4. Vad är syftet med och den rättsliga grunden för behandling av personuppgifter?
För att i praktiken kunna organisera undervisningen, forskningen och den konstnärliga verksamheten, samt organisera sin interna förvaltning, måste universitetet hantera personuppgifter om de personer som tillhör universitetsgemenskapen, och underhålla aktuell information om vilka personer som har rättigheter till universitetets olika tjänster. I universitetets system för användare och behörigheter behandlas uppgifter om undervisnings- och forskningspersonal, övrig personal, studerande och personer med andra avtalsrelationer till universitetet, för ovan nämnda ändamål.
I praktiken utförs bland annat följande i systemet för användare och behörigheter:
- införande av universitetets användarnamn och e-postadresser när avtalsrelationen eller studierätten påbörjas
- indelning av användarna i användargrupper baserat på sitt ansvarsområde eller sin studierätt, så att användaren får tillgång till de datorresurser och e-postlistor som arbetsuppgifterna förutsätter
- för underhåll av användarnas gruppinformation inrättar dataadministrationen datahuvudanvändare för olika system enligt önskemål
- hantering av behörigheterna så, att användarnamnet avslutas när avtalsrelationen eller studierättigheten upphör, eller under utredning av brott mot universitetets användarregler eller dataskydd
- överföring av aktiva användares uppgifter till universitetets inloggningstjänster så, att studerande, personal och övriga användare av universitets tjänster får tillgång till sina elektroniska arbetsverktyg och att behörigheten till verktygen avslutas när användarnamnet avslutas
- för kontroll av användarens personuppgifter bland annat när det blir nödvändigt att klarlägga personens relation till universitetet och när användaren inte har kunnat ändra sitt lösenord eller aktivera sitt användarnamn i tjänsten suomi.fi
- de som underhåller användargrupperna kan se uppgifterna om sina grupper i användarregistret, och lägga till eller ta bort medlemmar i de egna grupperna (användarnamnet visas)
Syftet med behandlingen av personuppgifter i systemet för användaradministration och loggdata enligt detta dataskyddsmeddelande är att Konstuniversitetet ska kunna hantera personuppgifter som finns i andra datasystem, och andra uppgifter, samt övervakning och styrning av datasäkerheten, klarläggande av felsituationer, förhindrande och klarläggande av brott mot datasäkerheten samt användaranalyser. Uppgifterna i systemet för användaradministration och loggdata är frikopplade från uppgifterna i andra datasystem, antingen logiskt eller fysiskt, och de finns i helt separata datasystem och separata servrar, och de används inte för övervakning eller analys i ovan nämnda system.
Grunden för ovan nämnda behandling av personuppgifter är i första hand universitetets allmänintresse. För vissa stödfunktioner är grunden för behandling det personuppgiftsansvariga universitetets samt de registrerades berättigade intresse av att uppgifterna som behövs för funktionen av systemet för användaradministration och loggdata behandlas för de ovan nämnda ändamålen. Allmänintresset innebär i detta fall universitetets rätt att i sina datasystem upptäcka, förebygga och klarlägga fel, oavsiktliga eller avsiktliga dataskyddsavvikelser, för att säkerställa kontinuiteten i universitetets verksamhet, samt för att undvika och minimera skador. Dessutom innebär universitetets berättigade intresse rätten att övervaka användningen av datasystem som innehåller personuppgifter och andra sekretessbelagda uppgifter, åtkomst till uppgifterna samt införande, redigering och borttagning av uppgifterna. Sådana övervaknings- och behörighetsåtgärder är nödvändiga även för att säkerställa de registrerades rättigheter, rättssäkerhet och efterlevnad av god databehandlingssed.
5. Vilka uppgifter hanterar vi?
I systemet för användaradministration behandlas personuppgifter för universitetets användare, till exempel:
- den registrerades grunduppgifter som namn, befattning, personbeteckning, person- eller studerandenummer, användarnamn, e-postadress(er), läroämneskod, kontaktspråk, telefonnummer, postadress
- behörighetens start- och sluttidpunkt
- den registrerades roll (studerande/personal) samt ansvarsområde och medlemskap i användargrupper
- den registrerades unika identifierare i system som ansluter till användaradministrationen.
Personbeteckningen är nödvändig för att tillförlitligt kunna identifiera användaren, bland annat när saker som berör personens användarnamn behandlas.
I loggdatasystemet behandlas utöver personuppgifter för universitetets slutanvändare även personuppgifter, som är föremål för loggning i universitetets datasystem och ur dessa skapade logiska personregister. Dataskyddet för dessa personregister och behandlingen av personuppgifter beskrivs i dataskyddsmeddelandet för respektive register och behandlingstyp. Dataskyddsmeddelandena finns förtecknade på Konstuniversitetets webbplats.
Utöver detta behandlas personuppgifter för systemets egna användare (universitetets personal, studerande samt utomstående supportpersoner) i systemet för användaradministration och loggdata. I sådana fall är de behandlade uppgifterna den ifrågavarande användarens inloggnings- och kommunikationskontaktsdata (till exempel användarnamn och lösenord, IP-adress, sessions-ID, routing-data), apparatuppgifter (till exempel MAC-adress, apparatens ID) behörighetsnivå i loggsystemet (hur den ifrågavarande användaren kan läsa, modifiera och/eller ta bort loggar), användarens lästa, modifierade och borttagna loggdata samt tidsstämplar och identitetsuppgifter för dessa åtgärder.
6. Varifrån får vi uppgifterna?
Vi får automatiskt uppgifterna om användare till användaradministrationen, för personalens del från avtalsuppgifterna som finns i personaladministrationssystemet, och för de studerandes del från studerandedatasystemet.
Användargruppsdata uppdateras dels automatiskt och dels manuellt av huvudanvändaren för universitetets system, eller av andra personer som har rätt att behandla ändringsbegäran, baserat på inkomna ändringsbegäran.
Ändringarna av användarens grunddata görs i personaladministrationens eller studieadministrationens system och därefter manuellt i användar- och behörighetssystemet (namn, samt ändring av e-postadress i samband med namnändring).
Personuppgifter för loggsystemen fås regelmässigt från universitetets övriga datasystem, till vilka data sparas från de regelmässiga datakällor, som omnämns i universitetets dataskyddsmeddelanden. Utöver detta fås uppgifter om användare av system för användaradministration och loggdata från uppgifter som insamlats i samband med skapandet, och i systemet inmatade uppgifter, samt information om användarna och deras utrustningar som insamlas under användningen.
7. Till vilka överlämnar och överför vi uppgifter, och överför vi uppgifter utanför EU eller EES?
Dataadministrationens medarbetare har tillgång till universitetets användar- och behörighetsregister, och vid behov underhåller medarbetarna registret, bland annat baserat på begäran från huvudanvändarna.
Från användarregistret överförs regelbundet uppgifter om aktiva användare till vissa av universitetets system, som delvis hanteras av tjänsteleverantörer utanför universitetet, och i sådana fall säkerställs dataskyddet genom avtal om behandling av personuppgifter. Personuppgifter överförs inte till länder utanför EU eller EES, ifall det inte är nödvändigt för att säkerställa det tekniska genomförandet. Då ser universitetet till att dess underleverantörer åtagit sig att följa innehållet i de standardformuleringar som EU-kommissionen har angett om behandling av personuppgifter, och/eller tillhör dataskydds samarbetet Privacy Shield som överenskommits mellan EU och USA.
Konstuniversitetet tillhör förtroendenätverket HAKA och förtroendenätverket eduGAIN, på samma sätt som övriga finska högskolor. I tjänsterna hos dessa förtroendenätverk godkänner användaren de uppgifter som ska lämnas till tjänsten i samband med inloggningen, och bestämmer samtidigt om de överlämnade uppgifterna ska godkännas varje gång, eller endast när datainnehållet har ändrats. Användaren kan även ta tillbaka sitt medgivande om så önskas.
Vi överlämnar inte uppgifter ur användar- och behörighetsregistret till andra än samarbetspartners med avtalsrelation till universitetet eller till myndigheternas uppgiftsinsamling samt till läroanstalter som följer GÉANTs Code of Conduct.
8. Hur skyddar vi uppgifterna och hur länge förvaras de?
Personuppgifter enligt denna dataskyddsredogörelse används i systemet för användaradministration och loggdata så länge deras datainnehåll eller genom loggsystemet anslutna tillhörande data är till nytta för det ifrågavarande användningsändamålet. I praktiken kan uppgifterna behövas för att till exempel utreda brott mot dataskyddet, varför uppgifterna förvaras åtminstone för att kunna utreda sådana händelser och under den tid som behövs för att realisera universitetets berättigade intresse, vilket avgörs av hur lång tid för att väcka talan det finns enligt brottsrätten. Tid för att väcka talan varierar för olika typer av databrott, och för skadeståndstalan, mellan två och fem år.
Personuppgifter som behövs för att klarlägga fel och göra användaranalyser förvaras i systemen för användaradministration några månader efter att behörigheten upphört, och i loggdatasystemet som huvudregel 2–3 månader efter att uppgifterna sparats.
När behandling av personuppgifterna för ovan angivna ändamål inte längre är möjlig, beroende på att förvaringstiden har gått ut, tas uppgifterna bort ur systemet för användaradministration och loggdata. Vissa uppgifter kan lagras i den säkerhetskopia som görs av systemen för användaradministration och loggning, men dessa uppgifter raderas regelbundet enligt schemat för säkerhetskopiering.
Dataskyddet för systemet för användaradministration och loggdata är tekniskt och administrativt upprättat enligt branschens bästa praxis och verksamhetssätt. Uppgifterna i systemet för användaradministration och loggdata förvaras på separata logiska enheter samt fysiskt separerade från andra datasystem på olika servrar och nätverksdisketter, så att det inte är möjligt att använda samma inloggningsuppgifter och behörigheter som i de övriga datasystemen för att komma in i systemet för användaradministration och loggdata, för att ändra och ta bort uppgifter. Den server som systemet för användaradministration och loggdata finns på, skyddas både programtekniskt och fysiskt med brandväggar, dataskyddsprogram, lösenord och driftövervakning. De datorhallar där servrarna fysiskt är placerade, är låsta och har inpasseringskontroll.
Åtkomsten till systemet för användaradministration och loggdata är avgränsad så, att behörigheter till systemet endast har skapats för personer som behöver komma åt systemet för användaradministration och loggdata som en del av sina arbetsuppgifter.
9. Vem kan du kontakta?
Alla kontakter och önskemål som berör denna redogörelse ska framställas skriftligt eller personligen till den kontaktperson som anges i punkt två, och som vid behov lämnar ärendet till dataskyddsombudet. Om du anser, att dina rättigheter inte uppfylls, kan du direkt kontakta Konstuniversitetets dataskyddsombud.