Tietosuojakäytäntö

1. Rekisterinpitäjä

Kaakkois-Suomen Ammattikorkeakoulu – XAMK

Kehitys- ja tutkimusyksikkö Active Life Lab

Y-tunnus 2472908-2

Osoite PL 68 (Patteristonkatu 3)

50101 Mikkeli

Puhelinvaihde +358406550555

1.1 Huomautuksia rekisterinpitäjän asemasta

Selvyyden vuoksi todetaan seuraavaa: Mikäli Xamkin asiakkaana toimiva yhteistyökumppani (henkilö, yritys tai yhteisö, tässä ”Palveluntarjoaja”) käyttää Hyviö-sovelluskokonaisuutta osana yrityksen itse järjestämää palvelua, kuten esimerkiksi työterveyshuoltoa, vastaa kyseisen palvelun järjestävä taho tietojen hallinnasta sekä tietosuojaselosteesta.

Tällaisissa tapauksissa Palveluntarjoaja on hankkinut käyttöoikeuden Hyviö-sovelluskokonaisuuden käyttöön, tuottaa itsenäisesti palveluita itse määrittämiensä tai omien asiakkaidensa määrittämien mitattavien tiedoista ja vastaa mm. tarvittavien selosteiden laatimisesta, henkilötietojen käsittelyn lainmukaisuudesta, rekisteröityjen informoinnista sekä muista tietosuojalainsäädännön mukaisista rekisterinpitäjän velvoitteista.

1.2 Termit

”XAMK” on Kaakkois-Suomen Ammattikorkeakoulu.

”Palveluntarjoaja” on yritys tai yhteisö, joka toimii palvelun rekisterinpitäjänä, ja jonka kanssa tehdyn sopimuksen perusteella Hyviö tuottaa teknisen infrastruktuurin ja käsittelee henkilötietoja Palveluntarjoajan lukuun.

“Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella Hyviö tuottaa Palvelun Asiakkaan määrittämien ”Mitattavien” mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on esim. hyvinvointipalveluja tuottava yritys, jonka asiakkaat ovat Mitattavia.

”Mitattava” on luonnollinen henkilö, jolle ”Asiakas” tuottaa palveluaan käyttäen Hyviö-sovelluskokonaisuutta. Mitattava konkreettisesti vastaa Asiakkaan ja Palveluntarjoajan lähettämiin kyselyihin.

2. Rekisteristä vastaava henkilö ja yhteystiedot

Nimi: Mira Häyrinen

Osoite: Kaakkois-Suomen Ammattikorkeakoulu

Puhelin: +358405479413

Sähköpostiosoite: mira.hayrinen@xamk.fi

3. Mihin tarkoitukseen henkilötietoja käsitellään?

Henkilötietojen käsittelyn tarkoituksena on palvelun ja tutkimuksen perustoiminta, käyttäjätukeen liittyvät toimet, palvelun käytön tilastointi sekä tilastollisen ja tieteellisen tutkimuksen suorittaminen.

Palvelun perustoimintaa on analyysi mitattavan palvelun vaikutuksista. Analyysin tuottamisessa käytetään Asiakkaan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä kyselytietoa.

Käyttäjätukeen liittyviä toimia voivat olla esimerkiksi palvelun käyttäjän tilitietojen tai henkilökohtaisen verkkopalvelulinkin toimittaminen Asiakkaalle.

Henkilötietoja voidaan käyttää Xamkin/Yhteistyökumppanien palveluista tiedottamiseen, kuten uutiskirjeen lähettämiseen ja muuhun asiakassuhteen hallintaan. Asiakkaan henkilötietoja voidaan käyttää henkilökohtaisen seurantamittauksen markkinointiin soveltuvan tietosuojalainsäädännön mukaisesti.

Sovellettavan lainsäädännön edellyttäessä Asiakkaan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä tapahtuu rastittamalla erikseen suostumusta osoittava ruutu, jonka yhteydessä on linkki tähän tietosuojaselosteeseen. Hyviö-sovelluskokonaisuuden käyttäminen edellyttää suostumuksen antamista.

Lokitietoja palveluiden käytöstä tallennetaan lisäksi Asiakkaan sekä Xamkinoikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että palvelu on suoritettu/toteutunut.

Henkilötietoja voidaan käsitellä yksin tai yhdessä Rekisterinpitäjän ja tämän konserniyhtiöiden muiden henkilörekisterien henkilötietojen kanssa. Palvelun tuottamisen yhteydessä mittaustiedoista jää Xamkille pseudonymisoitu kopio tilastollista sekä tieteellistä tutkimusta, kuten keskimääräisten viitearvojen määritystä varten. Tilastollisissa sekä tieteellisissä analyyseissä yksittäisten henkilöiden identiteetti ei selviä missään vaiheessa.

4. Millä perusteella henkilötietoja käsitellään?

Henkilötietojen käsittelyperusteena ovat seuraavat asiat:

  • Suostumus, kun yksittäinen henkilö käyttää palvelua ja hänen tietojaan joudutaan käsittelemään.
  • Sopimus, kun Hyviö-sovelluskokonaisuuden ja Palveluntarjoajan välillä, kun henkilötietoja käsitellään asiakkuuteen ym. nähden.
  • Yleinen etu, kun kyseessä on tieteellinen tutkimus ja sovelluskokonaisuuden kehittäminen.
  • Oikeutettu etu, kun asiakassuhde luodaan ja sitä hallitaan.

5. Rekisterin tietosisältö

Keräämme käyttäjästä tämän tietosuojalausekkeen kohdassa 4 kuvattujen käyttötarkoitusten kannalta tarpeellisia henkilötietoja:

  • Käyttäjän itse antamat profiilitiedot, kuten nimi, sähköpostiosoite, syntymäaika, sukupuoli, Y-tunnus (ei pakollinen).
  • Digitaalisen tilin edellyttämät rekisteröitymistiedot, kuten käyttäjätunnus, nimimerkki, salasana ja muu mahdollinen yksilöivä tunnus.
  • Muut luvat ja suostumukset.
  • Kyselyihin ja tutkimuksiin annetut tiedot, kuten mitattavan vastaukset Palveluntarjoajan esittämiin kyselyihin.
  • Muut käyttäjältä kerätyt terveyteen liittyvät tiedot, kuten verenpainelukema tai paino, jonka käyttäjä tai Asiakas (=esim. ohjaaja tai terveydenhuollon ammattilainen) syöttää järjestelmään.

6. Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai ETA-alueen ulkopuolelle

Xamkissa käytetään tallennustilana Microsoftin Azure-pilvipalveluita. Microsoft saattaa siirtää näihin palveluihin tallennettua tietoa tai niiden varmuuskopioita EU:n tai ETA-alueen ulkopuolelle. Microsoftin tietosuojalauseke on luettavissa osoitteesta: https://privacy.microsoft.com/fi-FI/privacystatement

Henkilötietoja ei luovuteta ilman Asiakkaan suostumusta Rekisterinpitäjän tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka rekisterinpitäjän tai kolmansien oikeuksien suojaamiseksi.

Tietoja voidaan luovuttaa Asiakkaan suostumuksella Palveluntarjoajalle.

Asiakkaan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Rekisterinpitäjän puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Rekisterinpitäjän ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty. Rekisterinpitäjä edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.

Henkilötiedot säilytetään pääasiallisesti Rekisterinpitäjän EU:ssa sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Asiakkaan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Rekisterinpitäjä ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti. Asiakas voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

7. Henkilötietojen säilyttämisaika

Säilytämme käyttäjän tietoja vain niin kauan kuin on tarpeen yllä kohdassa 4 määriteltyjen tarkoitusten toteuttamiseksi kulloinkin voimassa olevan lainsäädännön mukaisesti. Tietojen säilyttämisaika on riippuvainen tiedonkeruun tarkoituksesta, jonka asiakas hyväksyy ottaessaan palvelun käyttöön (esimerkiksi lupa ottaa yhteyttä seurantamittauksista, tai osallistuminen seurantatutkimukseen).

Käytännössä tiedot säilyvät Hyviössä niin kauan, kunnes Asiakas tai Mitattava toisin ilmoittaa. 

8. Rekisterin suojauksen periaatteet

Palvelussa kerättyjä tietoja ja tutkimustuloksia käsitellään luottamuksellisesti tietosuojalainsäädännön edellyttämällä tavalla. Tietojasi ei voida tunnistaa tutkimukseen liittyvistä tutkimustuloksista, selvityksistä tai julkaisuista.

Henkilötietojen suojaamiseksi käytetään seuraavia suojatoimia:

  • Tutkimuksella on vastuullinen johtaja tai siitä vastaava ryhmä.
  • Henkilörekisterin käyttö perustuu asianmukaiseen tutkimussuunnitelmaan.
  • Henkilörekisteri siirretään arkistoitavaksi tai sen tiedot muutetaan sellaiseen muotoon, ettei tiedon kohde ole niistä tunnistettavissa, kun henkilötiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai sen tulosten asianmukaisuuden varmistamiseksi.
  • Henkilötietoja käsittelevän henkilöstön osaamista ylläpidetään ja kehitetään koulutuksilla ja ohjeistuksilla.
  • Kaakkois-Suomen ammattikorkeakoululle on nimitetty tietosuojavastaava.
  • Rekisterinpitäjän ja käsittelijän sisäisillä toimenpiteillä estetään pääsy henkilötietoihin.
  • Henkilötietojen pseudonymisointi.
  • Henkilötietojen salaaminen.
  • Tietoturvalliset henkilötietojen käsittely-ympäristöt.
  • Tutkimusavustajien kanssa tehdään sopimus ja heidät koulutetaan henkilötietojen turvalliseen käsittelyyn.

 

Suorien tunnistetietojen käsittely:

  • Suorat tunnistetiedot poistetaan analysointivaiheessa, mutta koodiavain säilytetään.

 

Tutkimustuloksissa ja muissa asiakirjoissa henkilöön viitataan vain tunnistekoodilla. Tunnistekoodiavainta, joka mahdollistaa henkilötietojen yhdistämisen tunnistekoodeihin säilytetään tietoturvallisesti. Henkilötietojen arkistointitarvetta arvioidaan viiden vuoden välein.

Tutkimusaineistoa säilytetään Kaakkois-Suomen ammattikorkeakoulun käsittelyä koskevien tietoturvakäytänteiden mukaisesti.

Tietoja säilytetään Microsoft Azure-palvelimella, jossa käytetään vahvaa datan suojausta. Lisää suojauksesta voi lukea: www.microsoft.com/fi-fi/trust-center/privacy/data-location. Linkistä pääset suoraan kohtaan: Microsoft Azuren tietoturva, tietosuoja ja vaatimustenmukaisuus.

Tutkimukseen käytettävä tieto ladataan palvelimelta ja pseudonymisoidaan. Tunnisteellista henkilötietoa ei säilytetä muualla kuin palvelimella. Tutkimukseen käytetään pelkästään pseudonymisoitua tietoa.

9. Rekisteröidyn oikeudet

Rekisterin oikeudet on lueteltu tarkemmin Tutkimustieto-tietoryhmän tietosuojailmoituksessa (xamk.fi/tietosuojailmoitus). 

Hyviö – työkalun toimivuus perustuu lähetettäviin sähköposti-ilmoituksiin Mitattavalle. Näin ollen sähköpostien lähetystä itsessään ei voi estää. Mikäli Mitattava haluaa, ettei hänelle lähetetä viestejä tai kyselyitä Hyviöstä, täytyy Mitattavan pyytää Palveluntarjoajalta tietojensa kattavaa poistoa koko sovelluksesta alempana ilmoitetun ohjeistuksen mukaisesti. 

Rekisteröidyllä eli Asiakkaalla tai Mitattavalla on aina oikeus oikaista tai tarkastaa kaikki omat tietonsa järjestelmästä. On hyvä muistaa, että Rekisteröity ei voi käyttää kaikkia oikeuksiaan kaikissa tilanteissa. Tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään. Esimerkiksi tutkimuskäytössä tietojen tarkasteluun vaikuttaa tutkimuseettinen lupa ja sen sisältö. 

Mikäli Rekisteröity haluaa käyttää oikeuksiaan, pyytää hän Palveluntarjoajalta tarkastuspyyntölomakkeen. Palveluntarjoaja toimittaa lomakkeen oman kuittauksensa jälkeen Rekisterinpitäjälle eli Hyviön kehitystiimille. Rekisterinpitäjä toimii tarkastuspyynnön mukaisesti ja lähettää tiedon toimistaan pyynnön esittäjälle. 

Tutkittavat / rekisteröidyt voivat tehdä kaikki pyynnöt alla olevalle yhteyshenkilölle: 

  • Nimi: Mira Häyrinen
  • Osoite: Kaakkois-Suomen Ammattikorkeakoulu
  • Puhelin: +358405479413
  • Sähköpostiosoite: mira.hayrinen@xamk.fi

10. Voidaanko tätä tietosuojalauseketta muuttaa?

Kehitämme palvelujamme jatkuvasti ja pidätämme itsellämme oikeuden muuttaa tätä tietosuojalauseketta. Merkittävistä muutoksista tiedotamme erikseen ja hyväksytämme ne käyttäjillä. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Suosittelemme tutustumaan tietosuojalausekkeen sisältöön säännöllisesti.

Tämä tietosuojaseloste on päivitetty 1.3.2023.