GDPR

itslearning GDPR:n asetuksen mukainen toukokuuhun 2018 mennessä

 

Euroopan parlamentin vuonna 2016 hyväksymä EU:n yleinen tietosuoja-asetus (GDPR) on tärkein eurooppalainen muutos tietosuojalainsäädäntöön kahteenkymmeneen vuoteen. Se korvaa tietosuojadirektiivin 95/46/EY ja paikallisia lakeja ja määräyksiä EU:n/ETA:n alueella. Uusi asetus on suunniteltu vahvistamaan ihmisten oikeutta yksityisyyteen ja yhdenmukaistamaan tietosuojalait Euroopassa.

 

Yli 20 vuoden kokemuksella ja Euroopan suurimman oppimisympäristön tarjoajana työskentelemme monien Skandinavian ja Euroopan johtavien oppilaitosten kanssa ja toteutamme kaikki tarvittavat toimenpiteet, jotta voimme noudattaa GDPR:tä hyvissä ajoin toukokuussa 2018.

Olemme täysin sitoutuneet noudattamaan yksityisyys- ja turvallisuusmääräyksiä, jotka koskevat organisaatiota, kumppaneitamme ja asiakkaamme. Järjestelmämme ja palvelumme on suunniteltu suojaamaan henkilökohtaisia tietojasi ja päivitämme jatkuvasti alustojamme ja palveluitamme ylläpitäen korkeimman tietosuojan tasoa.

Työmme GDPR:n noudattamiseen alkoi vuoden 2017 alkupuolella täydellisellä omien prosessiemme auditoinnilla, jonka seurauksena määrittelimme uusien määräysten noudattamiseksi tarvittavat välitavoitteet.

Seuraavat asiakaslähtöiset välitavoitteet on tunnistettu:

  • Nimitämme tietosuojasta vastaavan henkilön – Q3 2017
  • Päivitämme dokumentaatiotamme uusilla prosesseilla, jotka koskevat henkilötietojen käyttöä ja sen ympärillä olevia turvatoimia – Q4 2017
  • Toteutamme tekniset ratkaisut, jotka noudattavat GDPR:tä – vuoden 2018 alussa
  • Päivitämme asiakkaiden ja kolmannen osapuolen sopimukset datan käsittelystä – Q1 2018 lopussa
  • Sisäiset valvontaprosessit ovat käytössä sen varmistamiseksi, että noudatamme asetusta 25.toukokuuta alkaen ja siitä eteenpäin.

 

Mitä tämä tarkoittaa sinulle?

itslearningin asiakkaana tämä tarkoittaa, että vuoden 2018 alussa saat tarvittavat tiedot voidaksesi luottaa siihen, että itslearning noudattaa GDPR:tä. itslearningillä datan käsittelijänä on velvollisuus antaa tietoja järjestelmistään, jotta kaikki rekisterinpitäjät voivat noudattaa uutta asetusta.

Jos olet itslearningin käyttäjä tämä tarkoittaa, että ryhdymme kaikkiin tarvittaviin toimenpiteisiin tietosi suojaamiseen, ja että pystyt selvittämään mitä tietoja meillä on sinusta.

Palveluntarjoajana näemme GDPR:n tilaisuutena arvioida uudelleen digistrategiamme ja samalla rakentaa parempia palveluja asiakkaillemme. Kaikki asiakkaamme voivat olla varmoja siitä, että voimme täyttää kaikki velvollisuutemme sekä järjestelmäratkaisujen kehittämisessä, että henkilötietojen tallentamisessa ja suojaamisessa uusien asetuksien mukaisesti.

 

Asiakkaille: Usein kysyttyä

 

Vaatiiko GDPR meitä pyytämään kaikkien käyttäjien (tai heidän vanhempiensa) suostumuksen?

Useimmille asiakkaillemme ei. GDPR:n mukaan suostumus on vain yksi kuudesta oikeusperusteesta tietojen käsittelyyn. Asiakkaamme täytyy valita oikeusperuste, joka kuvastaa parhaiten palvelun tarjoajan ja käyttäjän välisen suhteen luonnetta. Suurimmalle osalle asiakkaistamme suostumus ei ole sopivin oikeusperuste tietojen käsittelylle. Monille asiakkaillemme käsittelyn lailliset perusteet liittyisivät yleisen edun mukaisiin tai lakisääteisiin velvoitteisiin liittyviin tehtäviin.

 

Voiko itslearning käyttää henkilötietoja omiin tarkoituksiinsa?

Ei. Tämänhetkisen ja uuden GDPR-asetuksen nojalla voimme käsitellä asiakkaidemme tietoja vain heidän omasta pyynnöstään. Tiedot ovat sinun, ja vain rajatulla joukolla henkilökunnastamme on pääsy henkilökohtaisiin tietoihin. Emme voi käsitellä henkilökohtaisia tietoja itsenäisesti, jollei se on elintärkeää palvelun luotettavuudelle tai turvallisuudelle, tai analysoidaksemme tarjotun palvelun laatua.

 

Minkälaisia tietoja meillä on velvollisuus antaa käyttäjille heidän henkilökohtaisten tietojen käsittelystään?

Oikeus läpinäkyvyyteen ja tietoon (tai heidän vanhemmilleen) on vahva GDPR:ssä. Tarvittavat tiedot jotka täytyy olla helposti saatavilla voivat olla:

  • Rekisteripitäjän / rekisteripitäjän edustajan henkilöllisyys ja yhteystiedot
  • Tietosuojavastaavan yhteystiedot
  • Käsittelyn tarkoitus ja tietojen käsittelyn oikeusperusta
  • Kaikki henkilötietojen luovuttamistoimet kolmanteen maahan (EU:n / ETA:n ulkopuolelle) ja mitä turvatoimia on toteutettu ja keinoja saada kopio tiedoista
  • Ajanjakso, jona henkilötietoja säilytetään, tai ajanjaksoa määrittävät kriteerit
  • Rekisteröityjen henkilöiden oikeudet (pääsy, oikaisu, poistaminen jne.)
  • Oikeus tehdä valitus valvontaviranomaisille
  • Mistä data on peräisin
  • Mikä tahansa automaattisen päätöksenteon / profiloinnin käyttö.

 

Voiko joku käyttäjistämme nyt vaatia, että voimme poistaa hänen tiedot (AKA ”oikeus tulla unohdetuksi”)?

Luultavasti ei. Käyttäjä voi vaatia vain, että hänen tietonsa poistetaan, jos käsittelyn oikeudellinen peruste on suostumus (katso ylempänä) tai jos alkuperäinen tarkoitus tai oikeudellinen peruste ei ole enää voimassa. Asiakkaillemme on oltava käytössä prosessit, joiden avulla voidaan arvioida tarkasti rekisteröidyn pyynnöt poistaa tietonsa. Voit ottaa yhteyttä meidän tietosuojavastaavaamme, jos tarvitset neuvoja vaikeiden tilanteiden ratkaisemiseksi. Jos henkilölle myönnetään oikeus tietojensa poistoon, itslearning, joko ohjelmistomme tai tukipalveluidemme kautta, on käytettävissä henkilön oikeuksien toteutumisen takaamiseksi.

 

Voivatko käyttäjämme nyt vaatia meiltä kopiota kaikista heidän henkilökohtaisista tiedoistaan

Jossain määrin kyllä. Kaikilla käyttäjillänne on nyt vahvat oikeudet läpinäkyvyyteen, tietoihin ja tietojen saantiin. Kaikki rekisteröidyt voivat käyttää oikeuksiaan pyytääkseen kopiota kaikista henkilökohtaisesta datastaan, mikäli se ei vaikuta haitallisesti muihin tai jos tietoja ei ole vielä saatavilla. Tämä ei kuitenkaan ole ehdoton oikeus; muut lait voivat vaatia sinua suojelemaan rekisteröityä tai muita henkilöitä käyttämästä tietyntyyppisiä tietoja. Sinun on arvioitava huolellisesti näitä pyyntöjä GDPR:n mukaan sekä verrata muuhun lainsäädäntöön ja velvollisuuksiisi. Voit ottaa yhteyttä tietosuojavastaavaamme vaikeissa tapauksissa. Jos rekisteröidylle myönnetään oikeus tutustua tietoihin, itslearning, joko ohjelmistomme tai tukipalveluidemme kautta, on käytettävissä henkilön oikeuksien toteutumisen takaamiseksi.

 

Voiko käyttäjä ottaa suoraan yhteyttä itslearningiin (esim. opiskelija, vanhempi, opettaja) ja käyttää oikeuksiaan GDPR:n nojalla?

Ei. GDPR:n mukaan rekisteröidyn (käyttäjän) oikeudet ovat hänen ja palvelun tarjoajan (asiakkaamme) välissä. Kaikki rekisteröidyiltä käyttäjiltä peräisin olevat tiedonhakupyynnöt itslearningiin luovutetaan asiakkaalle. itslearning tekee yhteistyötä asiakkaiden kanssa varmistaakseen, että he voivat toteuttaa rekisteröityjen oikeuksia nopeasti.

 

Milloin itslearning poistaa henkilötietoja?

itslearning poistaa henkilötietoja asiakkaidemme pyynnöstä tai jos meidän ja asiakkaamme välinen sopimus irtisanotaan. Pyyntö asiakastietojen poistamisesta on toimitettava kirjallisesti tai tietojenkäsittelysopimuksena.

Käyttäjän voi poistaa palvelustamme joko pääkäyttäjän käsityönä, automaattisesti oppilashallintajärjestelmän (tai vastaavan) integraation kautta tai tekemällä pyynnön tukipalvelumme kautta.

Kun käyttäjä poistetaan järjestelmästämme, on olemassa varmistusprosesseja estämään sellaisia virheitä, jotka johtavat korvaamattomaan tietojen menetykseen. Monissa tapauksissa asiakkaiden on vahvistettava manuaalisesti asiakastietojen poistaminen, mukaan lukien henkilötiedot.

 

Onko itslearningin ilmoitettava käyttäjille, jos tietomurto on tapahtunut?

Tietomurron luonteesta riippuen asiakkaidemme täytyy ilmoittaa käyttäjille ja valvovalle viranomaiselle viipymättä tapahtuneesta. itslearning on velvollinen ilmoittamaan asiakkailleen tiedon rikkomisesta ja auttamaan heitä täyttämään velvollisuutensa ilmoittaa käyttäjille.

 

Täytyykö minun nimetä tietosuojavastaavaa?

Monissa tapauksissa kyllä. Sinun on nimettävä tietosuojavastaava jos:

  • Organisaatio on julkinen/valtion laitos
  • Organisaatio käsittelee tiettyjä arkaluonteisia tietoja suuressa mittakaavassa
  • Organisaation prosesseissa kertyy laajamittaista henkilökohtaista seurantadataa

Huomaa, että riittää, että organisaatiolla on tietosuojavastaavaa, sitä ei tarvitse nimetä jokaiselle järjestelmälle erikseen. Monissa tapauksissa organisaatioissa on jo vastaava henkilö. Tietosuojavastaava voi olla sopimussuhteessa oleva rooli. Useat valtionlaitokset tarjoavat Tietosuojavastaava-palveluja muille toimielimille.

 

Voinko vaatia, että pilvipalvelun tarjoaja, kuten itslearningtallentaa henkilökohtaiset tiedot Suomeen?

Uuden GDPR-järjestelmän päätavoitteena on Euroopan talousalueen (ETA) sisältämien henkilötietojen vapaa liikkuvuus yhteisen sääntelyn mukaisesti. Useimmissa tapauksissa palveluntarjoajien rajoittaminen tietojen käsittelyyn ETA:n sisällä ei ole sallittu GDPR:n nojalla.

 

Käsitteleekö itslearning tietoa Euroopan Talousalueen ulkopuolella? Onko mahdollista käsitellä tietoja ETA:n ulkopuolelta?

GDPR ei kiellä henkilötietojen kulkua ETA:n ulkopuolelle, mutta luo vahvoja suojatoimia sen varmistamiseksi, että tietojenkäsittely ETA:n ulkopuolella tapahtuu GDPR:n periaatteiden mukaisesti. Sen lisäksi rekisterinpitäjät ja käsittelijät, jotka käsittelevät tietoja ETA:n ulkopuolelta on toimitettava tarkkaa tietoa käsittelyn luonteesta ja joissakin tapauksissa sallia asiakkaiden tai käyttäjien vastustavan käsittelyä. itslearning käsittelee useimpien eurooppalaisten asiakkaidemme kaikki henkilötiedot ETA:n sisällä. Joitakin poikkeuksia on silloin kun itslearning helpottaa valinnaista intergrointia kolmannen osapuolten työkaluihin tai palveluihin, joka sijaitsee muualla kuin ETA-alueella. Näissä tapauksissa itslearningin ja asiakkaamme on noudatettava GDPR:n asettamia vaatimuksia.

 

Olen kuullut, että itslearning ei ole tarpeeksi suojattu GDPR:n asetuksilla! Onko tämä totta?

GDPR ei määritä yksityiskohtaisia vaatimuksia siitä, mikä on ”suojattu” pilvipalvelu. On asiakkaamme (rekisterinpitäjät) ja itslearningin (käsittelijä) yhteinen vastuu antaa asianmukaista organisaatiollista ja teknistä tietoturvaa käsiteltäville henkilötiedoille. Tärkein muutos nykyisistä säädöksistä GDPR:ään on vastuiden vahvistaminen organisaatioille, jotka eivät tarjoa riittävää turvallisuutta. Kahden vuosikymmenen aikana itslearning on onnistuneesti suojannut miljoonien käyttäjien henkilötiedon käsittelyä. Aiemmat tulokset eivät kuitenkaan aina ole tae tulevaisuuden tuloksista. Tämän takia panostamme jatkuvasti organisaation turvallisuuteen, verkko- ja infrastruktuurivarmuuteen ja sovellusten tietoturvaan, jotta voimme tarjota loppukäyttäjillemme enemmän kuin sopivaa suojaustasoa. Säännöllisesti sallimme myös kolmansia osapuolia tarkastamaan turvallisuutemme, ja toivomme asiakkaidemme suorittavan omat auditointinsa.

 

Kuten useimmat ohjelmistofirmat, itslearning ei anna yksityiskohtia turvatoimenpiteistä. Mutta olemassa olevien suojatoimien ja prosessien joukossa jotka suojaavat tunnettuja uhkia vastaan ovat:

  • Sovellusten suojausta, kuten kaiken liikenteen salausta, voimakkaasti hajautettuja salasanoja, turvatoimia haavoittuvuuksia, kuten XSS, SQL-injektioita, tietojenkalastelua ym. vastaan
  • Verkkoturvallisuus, palomuureja ja järjestelmiä, joilla havaitaan epäilyttäviä toimintoja tai estetään haitallisia yrityksiä pääsemästä vaarantamaan palvelun kestävyyden (esim. DDOS hyökkäykset)
  • Organisaatioturvallisuus, kuten käyttöoikeuspolitiikat, tarkastuslokit ja salassapitosopimukset
  • Fyysinen turvallisuus, jolla estetään luvaton pääsy infrastruktuuriin, joka käsittelee henkilötietoja.
  • Menettelyturvallisuus – IT-hallintaprosesseja inhimillisten  virheiden minimoimiseksi tai testausjärjestelmiä ohjelmistohäirioiden tunnistamiseksi ennen pilottipalvelujen uusien ominaisuuksien vapauttamista tai käytäntöjä joilla varmistetaan, että tietoja käsitellään vain asiakkaamme ohjeilla.

 

Mistä itslearning saa henkilötietoja käyttäjistä?

itslearning ei kerää itsenäisesti käyttäjätietoja palveluihimme. Asiakkaan edustajat voivat joko manuaalisesti toimittaa käyttäjätietoja, käyttää jotakin komannen osapuolen järjestelmää tietojen tuontiin tai joissakin tapauksissa käyttäjät tuottavat tiedon itse.

Useimmiten itslearningissä olevat henkilötiedot ovat peräisin asiakkaidemme hallinnassa olevista opiskelijatietojärjestelmistä. Tuomme kolmannen osapuolten järjestelmistä tietoa ainoastaan asiakkaan pyynnöstä.

 

Lähettääkö itslearning tietoja kolmansille osapuolille?

itslearning ei lähetä itsenäisesti tietoja kolmansille osapuolille ilman asiakkaidensa ohjeiden mukaan tai laillista velvoitetta tehdä niin. Asiakkaan ohjeet voivat tulla sopimuksena integroida kolmannen osapuolen työkaluun tai palveluun tai että asiakkaan edustajat itse muodostavat integroinnin kolmannen osapuolen työkaluun tai palveluun. itslearning pyrkii estämään asiakkaita lähettämästä tietoja kolmansille osapuolille tietosuojasäännöksiä noudattamatta. On kuitenkin tärkeää, että asiakkaamme toteuttavat turvatoimia sen varmistamiseksi, että tietoja ei siirretä kolmansiin osapuoliin ilman, että he noudattavat oikeudellisia velvoitteitaan.