Asiarekisteri

Tässä tietosuojailmoituksessa kuvataan henkilötiedot, joita käsitellään seuraavissa järjestelmissä:

  • asianhallintajärjestelmä (Asta)
  • sähköisen asioinnin palvelu
  • sähköinen arkisto (Asta-arkisto)
  • sähköisen kokouksen ympäristö (UTUmeeting)
  • tiedonohjausjärjestelmä (TOJ)

Asianhallintajärjestelmä Astassa ylläpidetään Turun yliopiston asiarekisteriä, johon tallennetaan viranomaisen asiankäsittelytiedot, asiakirjat sekä näihin liittyvät metatiedot. Viranomaisen asiakirja on määritelty julkisuuslain 5 §:n 2 momentissa.

Asiarekisterin ylläpito on yliopistolle pakollista tiedonhallintalain 25 § (906/2019) ja julkisuuslain (621/1999) nojalla.

Asianhallintajärjestelmästä siirretään asiakirjoja allekirjoitettavaksi sähköisen allekirjoituksen palveluun.

 

1. Käsittelyn tarkoitus ja yliopiston looginen asiarekisteri

 

Asianhallintajärjestelmä Asta on tarkoitettu asiankäsittelyn seurantaan ja siksi järjestelmään tallennetaan prosessia ja asiakirjan yksilöintiä kuvaavia metatietoja. Asiankäsittelyssä vastaanotetut ja laaditut asiakirjat, kuten päätökset, sopimukset ja ohjeet voivat sisältää henkilötietoja. Henkilötietoja kerätään vain sen verran, että prosessin tai asiakirjan todistusvoimaisuus voidaan todentaa. Asiankäsittelyn rekisteröinnillä tavoitellaan paitsi yliopiston virallisen asiankäsittelyn todennettavuutta, joutuisuutta ja asianmukaisuutta, myös toiminnan avoimuutta ja kansalaisten tiedonsaantia.

Asianhallintajärjestelmään on integroitu sähköisen asioinnin palvelu, jossa henkilö voi vahvasti tunnistautuneena saattaa asian vireille ja seurata asiansa käsittelyä. Asiointipalvelussa käytetty lomake siirtyy asioinnista asianhallintajärjestelmä Astaan, kun käyttäjä lähettää sen käsiteltäväksi. Palveluun kirjaudutaan Turun yliopiston käyttäjätunnuksilla tai Suomi.fi tunnistautumista käyttäen.

Asianhallintajärjestelmään on integroitu myös sähköinen arkisto. Jos asiakirjaa säilytetään yli 10 vuotta, se siirretään asianhallintajärjestelmästä sähköiseen arkistoon säilytettäväksi. Lisäksi sähköiseen arkistoon siirretään pitkään säilytettäviä ja arkistoitavia tietoaineistoja muista yliopiston järjestelmistä.

Sähköisen kokouksen ympäristö UTUmeeting on yhteydessä Astan kokoushallintaan, ja se toimii työkaluna kokousosallistujille. Sähköisen kokouksen ympäristössä kokouksen osallistujat pääsevät tarkastelemaan esimerkiksi kokousasioita, läsnäolotietoja, liitteitä ja oheismateriaaleja. Edellä mainitut aineistot ja tarvittava tiedot kokousosallistujista (esimerkiksi sähköpostiosoite ja yliopiston käyttäjätunnus) siirretään Astasta UTUmeetingiin kokouksen toteutusta varten. UTUmeetingistä tiedot poistetaan viimeistään viiden vuoden kuluttua kokouksen päättymisestä.

Yliopiston henkilökunta käsittelee eri järjestelmissä olevia tietoja tehtäväkuvansa ja käyttöoikeuksiensa rajoissa. Henkilötietojen oikeaa käsittelyä tukee tiedonohjaussuunnitelma johon yliopiston asiakirjojen säilytysajat on kuvattu. Yliopiston looginen asiarekisteri muodostuu useista tietojärjestelmistä ja rekistereistä. Asiat ja asiakirjat rekisteröidään ja tallennetaan asianhallintajärjestelmään (Asta) tai asiansa mukaisesti muuhun tietojärjestelmään, esimerkiksi opintotietojärjestelmään (Peppi). Tiedonohjaussuunnitelma sisältää tiedot myös siitä, mitkä asiakirjat tulee rekisteröidä ja missä tietojärjestelmissä eri asiakirjoja hallitaan. Lisätietoa tiedonohjaussuunnitelmasta löydät seuraavasta kohdasta Asiankäsittelyä ohjaava määräys yliopistossa – tiedonohjaussuunnitelma (TOS).

 

1.1 Asiankäsittelyä ohjaava määräys yliopistossa – tiedonohjaussuunnitelma (TOS)

Yliopiston tiedonohjaussuunnitelmassa (TOS) kuvataan yliopiston asiankäsittelyssä syntyvät tiedot riippumatta siitä, missä tietojärjestelmässä asioita ja asiakirjoja käsitellään.

Tiedonohjaussuunnitelma on ajantasainen kuvaus yliopiston asiankäsittelyn tehtävistä ja niihin liittyvistä asiakirjoista. Kuvaus sisältää mm. asioiden käsittelyvaiheet, tehtäväprosessien omistajat, käsittelyvaiheisiin liittyvät asiakirjat, asiankäsittelyä sisältävät tietojärjestelmät sekä asiakirjojen perusmetatiedot.

Perusmetatietoja ovat esimerkiksi säilytysajat ja asiakirjojen lähtökohtaiset henkilötieto- ja julkisuusarvot.

Tiedonohjaussuunnitelmaa ylläpidetään yliopiston tiedonohjausjärjestelmässä (TOJ). Järjestelmä tuottaa asianhallintajärjestelmään ja sähköiseen arkistoon prosessiohjausta ja oletusmetatietoja. Lisäksi rekisteröijä lisää asiakirjakohtaisia metatietoja asiankäsittelyn edetessä. 

 

2. Asiankäsittelyn yhteydessä käsiteltävät henkilötiedot ja niiden säilytysajat

Asiankäsittelyssä ei systemaattisesti kerätä salassa pidettäviä tietoja, mutta niitä voi asiakirjoihin sisältyä, jos se on asiankäsittelyn kannalta välttämätöntä.

Asiankäsittelyssä ja rekisteröinnissä syntyy henkilötietoja, jotka voivat sisältää mm. seuraavia tietoja

  • asiakirjan laatija (asiakirjasta vastuussa oleva valmistelija)
  • asian vireillepanija ja tarvittaessa asianosaiset (organisaation nimi tai henkilön etu- ja sukunimi)
  • asiakirjan lähettäjä tai asiamies (nimi, sähköpostiosoite, mahdollisesti osoite ja organisaatiotieto)
  • asiakirjan/asian valmistelijatieto
  • toimija (asian rekisteröijä, asian ratkaisija, kokousasiakirjojen tekninen kokoaja)
  • käyttäjäryhmä, käyttäjä, rooli (nimi, käyttäjätunnus, sähköpostiosoite, esihenkilö)
  • asiakirjan allekirjoittaja (nimi, titteli, sähköpostiosoite, puhelinnumero)
  • asiakirjan vastaanottaja, asiakirjan jakelu (nimi, sähköpostiosoite, mahdollisesti osoite)

Järjestelmien käyttäjätunnusten ylläpidossa käyttäjistä käsitellään mm. seuraavia tietoja

  • Etu- ja sukunimi
  • Sähköpostiosoite
  • AD-tunnus
  • Organisaatioyksikkö
  • Esihenkilö
  • Toimielimen jäsenyys ja rooli toimielimessä (esim. puheenjohtaja)
  • Henkilötunnus

Käyttäjähallinnan ja metatietojen sisältämien henkilötietojen lisäksi asianhallinnassa, sähköisessä asioinnissa, sähköisessä arkistossa ja UTUmeetingissä käsiteltävät asiakirjat sisältävät kulloisenkin asiayhteyden vaatimia henkilötietoja. Henkilötietoja kerätään ja tallennetaan kuitenkin aina vain sen verran, että prosessin tai asiakirjan todistusvoimaisuus voidaan todentaa, ja että voidaan varmistaa yliopiston virallisen asiankäsittelyn todennettavuus, joutuisuus ja asianmukaisuus, sekä toiminnan avoimuus ja kansalaisten tiedonsaanti.

Henkilötietojen säilytysajat on merkitty asiakirjakohtaisesti yliopiston tiedonohjaussuunnitelmaan (ks. Asiankäsittelyä ohjaava määräys yliopistossa - tiedonohjaussuunnitelma (TOS)), jonka saa pyydettäessä yliopiston kirjaamosta (ks. kohta Yhteystiedot).  Asiakirjat ja niihin sisältyvät henkilötiedot säilytetään, arkistoidaan tai tuhotaan tiedonohjaussuunnitelman mukaisesti. Henkilötietojen arkistointi on mahdollista yleisen edun mukaisiin arkistointitarkoituksiin, tieteelliseen ja historialliseen tutkimukseen tai tilastollisia tarkoituksia varten. Yli kymmenen vuotta säilytettävät asiakirjat ja tietoaineistot siirtyvät sähköiseen arkistoon.

 

3. Käsittelyperuste

Asioiden ja niihin liittyvien asiakirjojen rekisteröinti perustuu lakiin julkisen hallinnon tiedonhallinnasta 906/2019.

Turun yliopiston oikeus käsitellä henkilötietoja rekisterinpitäjänä perustuu ensisijaisesti yleistä etua koskevan tehtävän hoitamiseen ja julkisen vallan käyttämiseen sekä rekisterinpitäjän lakisääteisten velvoitteiden noudattamiseen. Tietyissä tapauksissa oikeus voi perustua myös sopimukseen, rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseen tai rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseen. Asiankäsittelyn rekisteröinti on edellytys sille, että sähköisenä syntyvän aineiston käyttöoikeuksien mukainen käsittely, haku, järjestäminen ja arkistointi on mahdollista.

Asian- ja henkilötietojen käsittelyä säätelevät lait ja asetukset:

  • Yliopistolaki (558/2009)
  • Laki julkisen hallinnon tiedonhallinnasta (906/2019)
  • EU:n yleinen tietosuoja-asetus, Tietosuojalaki (1050/2018)
  • EU:n asetus sähköisestä tunnistautumisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (eIDAS-asetus)
  • Laki digitaalisten palvelujen tarjoamisesta (306/2019)
  • Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009)
  • Laki sähköisestä asioinnista viranomaistoiminnassa (13/2003)
  • Hallintolaki (434/2003)
  • Laki viranomaisen toiminnan julkisuudesta (621/1999)
  • Arkistolaki (831/1994)

Henkilötietojen keräämisen peruste on merkitty asiakirjakohtaisesti yliopiston tiedonohjaussuunnitelmaan  (ks. Asiankäsittelyä ohjaava määräys yliopistossa - tiedonohjaussuunnitelma (TOS)), jonka saa pyydettäessä yliopiston kirjaamosta (ks. kohta Yhteystiedot). 

 

4. Yhteystiedot

 

TURUN YLIOPISTO

Asiakirjapalvelut

Yliopistonmäki

20014 Turun yliopisto

kirjaamo@utu.fi

puh. 029 450 5126

 

5. Tietojen alkuperä

Asiarekisterissä käsiteltävät henkilötiedot saadaan asianosaisilta tai asiaa työtehtäviensä puolesta yliopistolla valmistelevilta henkilöltä. Asianosainen tunnistautuessa Suomi.fi -palvelussa, hänen nimensä ja henkilötunnuksensa siirtyvät Väestötietojärjestelmästä tai yliopiston käyttövaltuushallinnasta. Tiedonsiirto perustuu yleistä etua koskevien tehtävien hoitamiseen.

 

6. Tietojen säännönmukaiset luovutukset

Tietoja ei luovuteta säännönmukaisesti yliopiston ulkopuolelle. Pyydettäessä yksittäisiä asiakirjoja luovutetaan lainsäädännön mukaisesti (ks. kohta Julkisuus, salassapito ja tietopyynnöt)

Asianhallinnasta voidaan julkaista yliopiston verkkosivuille esimerkiksi julkisia kokousasiakirjoja ja päätöksiä, joissa henkilötiedot rajoittuvat välttämättömiin henkilötietoihin (esim. henkilön nimi ja tehtävänimike).

Sähköisesti allekirjoitettavat asiakirjat siirtyvät asianhallintajärjestelmästä UTUsign-palveluun, jonne siirretään allekirjoituspyynnön tarvitsemat tiedot, sekä allekirjoitettava asiakirja. Allekirjoituksen jälkeen asiakirja palautuu asianhallintajärjestelmään. Allekirjoituspyynnöt asiakirjoineen poistetaan UTUsign-järjestelmästä allekirjoituspyynnön valmistuttua.  

 

7. Henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle

Asiointipalvelussa käytetään Microsoftin Azure-palvelua, jonka palvelut tuotetaan pääosin EU:n alueella. Tietoihin voi rajatusti olla pääsy ETA-alueen ulkopuolelta. Tällaisten henkilötietojen siirroiksi katsottavien tapahtumien laillisuus perustuu Euroopan komission antamaan päätökseen Yhdysvaltojen tietosuojan riittävästä tasosta, kun tietoja siirretään sertifioituneelle yritykselle Yhdysvaltoihin, kuten Microsoftille. Microsoft on sitoutunut noudattamaan kaikissa mahdollisissa tietojen siirroissa kolmansiin maihin tietosuoja-asetuksen mukaisia siirtomekanismeja ja suojakeinoja.

Asianhallinnan, sähköisen arkiston, tiedonohjaussuunnitelman ja UTUmeetingin osalta henkilötietojen käsittely tapahtuu yliopiston omilla palvelimilla.

 

8. Julkisuus, salassapito ja tietopyynnöt

Yliopiston asiakirjat ovat julkisia viranomaisen toiminnan julkisuudesta annetun lain mukaisesti, ellei niitä ole nimenomaisesti lailla säädetty salassa pidettäviksi. Julkiset asiakirjat voivat sisältää henkilötietoja ja niitä voidaan luovuttaa tai antaa nähtäväksi julkisuuslain 13 ja 16 §:n ja Tietosuojalain (1050/2018) edellytysten mukaisesti.

Salassa pidettäviä tietoja ja henkilötietoja voidaan luovuttaa vain, jos luovutuksen saajalla on julkisuuslakiin tai muuhun lainsäädäntöön perustuva oikeus tietojen saantiin. Yliopiston asiakirjoihin sovellettavia salassapitoperusteita ovat patenttiyhteistyösopimus (PCT):n artikla 21, sekä julkisuulain 24 § kohdat 1 – 32. Henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta, tietosuojalakia sekä julkisuuslakia.

Lisätietoa löydät yliopiston asiakirjajulkisuuskuvauksesta.

 

9. Rekisteröidyn oikeudet

Voit tehdä rekisteröidyn oikeuksia koskevat pyynnöt osoitteeseen kirjaamo@utu.fi.

 

9.1 Pääsy omiin tietoihin

  • Sinulla on oikeus tietää, mitä henkilötietoja sinusta käsitellään ja mitä tietoja sinusta on tallennettu.

  • Voit tehdä tietopyynnön yliopistolle. Tällöin noudatetaan seuraavaa menettelyä:
    Yliopisto toimittaa pyynnöstä tiedot mahdollisimman pian ilman aiheetonta viivytystä. Pyytäjän on tarvittaessa osoitettava erikseen henkilöllisyytensä. Määräaika tietojen toimittamiseksi tai tietopyyntöön liittyvien lisätietojen antamiseksi on kuukausi pyynnön vastaanottamisesta. Mikäli tietopyyntö on monimutkainen ja laaja, määräaikaa voidaan jatkaa kahdella kuukaudella.
    Tiedot toimitetaan lähtökohtaisesti maksutta. Mikäli pyydät useampia jäljennöksiä, niistä peritään hallinnollisiin kustannuksiin perustuva maksu. Mikäli tietopyyntö on ilmeisen perusteeton tai kohtuuton tai esität tietopyyntöjä toistuvasti, yliopisto voi periä tietojen toimittamisesta aiheutuneet hallinnolliset kustannukset tai kieltäytyä kokonaan toimittamasta tietoja. Tällaisessa tapauksessa yliopisto perustelee tekemänsä ratkaisun.
    Mikäli yliopisto ei toimita tietoja, sinulle annetaan asiasta kirjallinen todistus. Samassa yhteydessä sinulle kerrotaan oikeudestasi oikeussuojakeinoihin, esimerkiksi mahdollisuudesta tehdä valitus valvontaviranomaiselle.

     

9.2 Oikeus tietojen oikaisemiseen

  • Sinulla on oikeus vaatia, että sinua koskevat virheelliset, epätarkat tai puutteelliset henkilötiedot oikaistaan tai täydennetään ilman aiheetonta viivytystä. Lisäksi sinulla on oikeus vaatia, että sinua koskevat tarpeettomat henkilötiedot poistetaan.

  • Ellei yliopisto hyväksy oikaisupyyntöä, annetaan asiasta kirjallinen todistus, jossa mainitaan ne syyt, joihin perustuen vaatimusta ei ole hyväksytty. Samalla yliopisto tiedottaa sinua oikeudestasi oikeussuojakeinoihin, esimerkiksi mahdollisuudesta tehdä valitus valvontaviranomaiselle.

     

9.3 Oikeus tietojen poistamiseen

  • Tietojen käsittelyn oikeusperusteesta riippuen sinulla voi olla oikeus saada henkilötietosi poistettua rekisteristä. Tällaista oikeutta ei ole esimerkiksi niissä tapauksissa, joissa henkilötietojen käsittely on tarpeellista lakisääteisen velvoitteen noudattamiseksi tai Turun yliopistolle kuuluvan julkisen vallan käyttämistä varten. Tietojen säilyttämisessä ja poistamisessa noudatetaan yliopiston tiedonohjaussuunnitelmaa (TOS) ja lainsäädännön velvoittamia tietojen säilytysaikoja.

     

9.4 Oikeus vastustaa käsittelyä

 

  • Sinulla on henkilökohtaiseen, erityiseen tilanteeseen perustuen milloin tahansa oikeus vastustaa henkilötietojen käsittelyä silloin, kun käsittelyn oikeusperuste on yleistä etua koskevan tehtävän suorittaminen, julkisen vallan käyttäminen tai yliopiston oikeutettu etu. Tässä tapauksessa tietoja voidaan käsitellä edelleen vain, jos käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka voidaan osoittaa.

  • Sinulla on oikeus ilman erityistä perustelua milloin tahansa vastustaa henkilötietojesi käsittelyä suoramarkkinointia varten.

     

9.5. Oikeus tehdä valitus valvontaviranomaiselle

  • Voi tehdä valituksen valvontaviranomaiselle, jos katsot, että henkilötietojesi käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (EU) 2016/679. Tämän lisäksi sinulla on oikeus käyttää muita hallinnollisia muutoksenhakukeinoja sekä oikeussuojakeinoja. Lisätietoja www.tietosuoja.fi.
  • Turun yliopiston tietosuojavastaavan yhteystieto: dpo@utu.fi.

  • Sinulla on oikeus myös nostaa kanne rekisterinpitäjää tai henkilötietojen käsittelijä-organisaatiota vastaan, mikäli katsot oikeuksiasi loukatun sen takia, ettei sinun henkilötietojesi käsittelyssä ole noudatettu tietosuoja-asetusta.

     

9.6 Muut informaoitavat tiedot

  • Palvelun käytöstä syntyy lokimerkintöjä, joita käytetään palvelun tietoturvallisuudesta huolehtimiseen, palvelun tekniseen kehittämiseen sekä vikatilanteiden havaitsemiseen, estämiseen ja selvittämiseen (917/2014 138§, 141§, 144§, 272§). Lokeja säilytetään näihin tarkoituksiin tarvittava aika eikä niitä käytetä muuhun tarkoitukseen.

  • Henkilötietojen suojaamisen periaatteet kuvataan erillisellä sivulla: https://www.utu.fi/en/privacy/data-security-description​​