Dataskyddspolicy

1. Bakgrund

Från och med den 25 maj 2018 hanteras personuppgifter i enlighet med den europeiska dataskyddsförordningen General Data Protection Regulation (GDPR).

Som ett led i att säkerställa att Yrkeshögskolan Novia uppfyller förordningens krav på datasäkerhet och korrekt hantering av personuppgifter finns denna av styrelsen godkända dataskyddspolicy.

I och med att dataskyddet är omfattande säkerställer Yrkeshögskolan Novia att verksamhet kopplad till dataskydd hanteras ansvarsfullt och korrekt, både vad gäller laglighet och etik. Vidare är dataskyddet en del av Novias riskhantering.

I dataskyddspolicyn beskrivs grunderna för hantering av dataskyddet och hur Novia säkerställer en laglig behandling av personuppgifter samtidigt som nivån på dataskyddet är hög.

2. Dataskyddspolicyns omfattning, mål och principer

Denna policy beskriver vad som avses med datasäkerhet och hur datasäkerhet upprätthålls.

Med dataskydd avses skydd av personuppgifter samt skydd av andra konfidentiella och känsliga uppgifter. Till dataskyddet hör att man vid hantering av personuppgifter säkerställer att personers integritet skyddas. Dataskyddslagstiftningen kräver att hanteringen av personuppgifter är säkrad och att personuppgifterna inte hanteras på olämpligt sätt. Dataskydd innebär också att personuppgifterna och användningen av datasystemen kontrolleras och att det vid missbruk vidtas åtgärder i enlighet med fastslagna rutiner.

Inom Novia registreras personuppgifter och högskolan hanterar register som innehåller uppgifter gällande bl.a. studier och utbildning, externa kontakter samt forskning. En del av informationen är konfidentiell och känslig och ska därför hemlighållas. Om informationen kommer ut kan det bryta mot integritetsskyddet eller skada förtroendet för högskolans verksamhet.

Personuppgifternas riktighet ska alltid kontrolleras så att deras tillförlitlighet är säkrad, personuppgifterna ska hanteras korrekt och finnas tillgängliga vid behov. Det är förbjudet att hantera falska, föråldrade eller felaktiga uppgifter och personuppgifterna ska vid behov korrigeras.

Endast den personal som behöver personuppgifter för att utföra sitt arbete har rätt att använda dylika och då endast i den utsträckning som arbetsuppgifterna kräver. Personuppgifterna kan endast överlåtas med den registrerade personens tillstånd eller med stöd av lagen.

Dataskyddspolicyn beaktar också den öppna vetenskapens policy och principer vid en högskola. I synnerhet när man gör upp anvisningar och lösningar för insamling av forskningsmaterial beaktas samordnandet av dataskydd och vetenskapens öppenhet.

Dataskyddsprinciper:

• hanteringen är laglig, korrekt och öppen för den registrerade
• personuppgifter samlas in i ett visst lagligt och uttalat syfte
• uppgifterna samlas bara in i den grad som behövs med tanke på syftet med behandlingen av personuppgifterna
• uppgifterna är exakta
• mängden information om de registrerade minimeras utgående från ändamålsenlighet och lagliga grunder
• personuppgifterna hanteras konfidentiellt och säkert
• personuppgiftbiträdet ansvarar för att registren hanteras i enlighet med lag och förordning
  
  

3. Förutsedda tidsfrister för hantering av personuppgifternas och dess användning

Hanteringen av personuppgifter grundar sig på samtycke eller på annan laglig grund. Personuppgifter hanteras sålunda endast utgående från definierad laglig grund och för ett uttalat användningsändamål och därtill endast i den utsträckning och så länge som det med tanke på ändamålet är nödvändigt. Man strävar efter att säkra de använda uppgifternas riktighet. När personuppgifterna inte längre behövs eller är nödvändiga ska de förstöras.

Personuppgifterna ska användas för de ändamål som beskrivits när dessa har samlats in och i enlighet med lag och förordning. Uppgifterna överlåts endast enligt vad som uttryckligen sagts eller enligt vad som nämns i lagen och därtill endast åt sådan mottagare som uttryckligen omnämnts eller som finns uttalad i lagen. Personuppgifterna kan överlåtas till ett annat land än registerhållarens eller i undantagsfall till ett land utanför EU. Om personuppgifter överlåts till ett land utanför EU iakttas särskild aktsamhet så att man följer de bestämmelser som finns.

4. Information till de registrerade

Yrkeshögskolan Novia och den enhet för vars användning personuppgifterna har samlats in fungerar som personuppgiftsansvarig. Lagstiftningen kräver att varje register har en dataskyddsbeskrivning. När personuppgifter samlas in ges den registrerade sådan information om hanteringen av uppgifterna som avses i lagen.

5. Ansvar och organisering

Yrkeshögskolan Novias ledning ansvarar för att dataskyddet fullföljs och att personuppgifterna hanteras lagenligt. Varje arbetstagare ska känna till och behärska den dataskyddsreglering och de risker som gäller det egna ansvarsområdet. Novia har en utsedd dataskyddsansvarig till vars uppgifter hör att övervaka att dataskyddsförordningen efterföljs och att ge information och handledning i ärenden som gäller förordningen.

I  dataskyddsansvariges befattningsbeskrivning redogörs för dennes arbetsuppgifter och befogenheter.

6. Att säkerställa dataskyddet

Nyanställda får skolning i dataskyddsärenden inom ramen för introduktionsprogrammet för nyanställda. Därtill kan hela personalen få skolning i dataskyddsärenden utgående från behov av dylik utbildning.

Alla som hanterar personuppgifter berörs av lagstadgad eller separat överenskommen tystnadsplikt.

Användningen av datasystem innehållandes personuppgifter kontrolleras genom Novias användarrättighetslösningar eller med andra dokumenterade metoder.

Vid misstanke om att en incident inträffat vid Novia ska ICT-service kontaktas omedelbart. Kontaktperson är ICT-chef. ICT service utreder och ansvarar för att Novias dataskyddsansvariga får den information som behövs för att, vid behov, förmedla ärendet vidare till Dataskyddsombudsmannens byrå inom 72 timmar. Beslut om att kontakta dataskyddsombudsmannens byrå görs av ledningen tillsammans med dataskyddsansvariga. De personer som drabbas av personuppgiftsincidenten ska informeras om det är stor risk att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för identitetsstöld eller bedrägeri.

I samband med årlig genomgång av kvalitetsledningssystemet till vilket dataskyddsärenden hör noteras huruvida brister i dataskyddet noterats.

7. Vid problemsituationer

Den dataskyddsansvarige har av Novias ledning fått befogenhet och skyldighet att övervaka att dataskyddsförordningen efterföljs. Vid behov rapporterar den ansvarige om händelserna till högskolans ledning.

 8. Information om dataskyddspolicyn

Yrkeshögskolan Novias personal informeras på intranätet om dataskyddspolicyn och om ändringar i denna. Dataskyddspolicyn uppdateras vid behov. Utöver detta kan interna anvisningar ges i dataskyddsärenden.

Novias dataskyddspolicy är i kraft tillsvidare. Dokumentet är offentligt och finns till förfogande både på Novias externa och interna webb.

9. Fastställande av dataskyddspolicyn

Styrelsen för Ab Yrkeshögskolan vid Åbo Akademi/Yrkeshögskolan Novia har fastställt Dataskyddspolicyn 28.5.2018.