Seloste käsittelytoiminnasta – Henkilötietojen käsittely Skholessa
1. Miten Skhole käsittelee henkilötietoja?
Henkilötietoja käsitellään Skholessa luottamuksellisesti ja vain siinä määrin kuin on tarpeen. Lähtökohtana kaikelle henkilötietojen käsittelyyn liittyvälle toiminnalle on yleinen tietosuoja-asetus (2016/679/EU). Henkilötiedoilla tarkoitetaan kaikkia tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyviä tietoja. Esimerkiksi nimi, sähköpostiosoite ja puhelinnumero ovat henkilötietoja. Sen sijaan tieto siitä, mitä selainta käytät ei välttämättä ole henkilötietoa.
Skholen oppimisympäristössä rekisteröityjä ovat kaikki, joilla on Skholen käyttäjätunnus. Henkilötietojen käsittelyllä tarkoitetaan lähes mitä tahansa henkilötietoihin kohdistuvaa toimintoa, kuten keräämistä, tallentamista, muokkaamista ja jopa katselua. Henkilötietojen käsittely Skholessa perustuu rekisteröidyn antamaan suostumukseen. Rekisteröity voi peruuttaa suostumuksensa milloin tahansa, minkä johdosta palvelua ei enää voi käyttää.
Skhole Oy toimii rekisteröityjen loppukäyttäjien henkilötiedoista koostuvan rekisterin ns. rekisterinpitäjänä. Tämä luo tiettyjä velvollisuuksia Skholelle. Myös rekisteröidyllä on oikeuksia ja niitä selostetaan tarkemmin alla. Rekisteröity voi olla yhteydessä Skholeen kaikissa henkilötietojen käsittelyyn liittyvissä asioissa tulostamalla ja lähettämällä tämän linkin takana olevan lomakkeen Skholen toimistoon:
Skhole Oy, Hämeentie 15 B LH 64, 00500 Helsinki
Henkilötietoihin pääsy Skholessa on tarkkaan rajattu. Vain ne työntekijät, joiden on työtehtäviensä vuoksi käsiteltävä henkilötietoja, voi niihin päästä käsiksi. Nämä henkilöt on lisäksi koulutettu käsittelemään henkilötietoja tietosuojaa ja tietoturvaa kunnioittavalla ja lainmukaisella tavalla.
Tietoturvasta pidetään Skholessa huolta. Palvelun tietoturvan varmistamiseen käytetään yleisiä, parhaiksi havaittuja menetelmiä. Skholen käsittelemät henkilötiedot sijaitsevat luotettavaksi todettujen toimittajien turvallisilla palvelimilla. Tietoturvan tasoa tarkastellaan kuukausittain ja tarvittavat päivitykset tehdään säännöllisesti ja kriittisten haavoittuvuuksien esiintyessä päivitykset ajetaan välittömästi. Haavoittuvuuksia estetään tarkan ohjelmistokehityksen lisäksi hosting-tason ja DNS-tason suojauksilla (Cloudflare). Henkilötietoihin käsiksi pääsevät työntekijät käyttävät erittäin vahvoja, jatkuvasti vaihtuvia salasanoja. Henkilötietojen käsittelijät käyttävät lisäksi toimiston ulkopuolella ollessaan salattua VPN-yhteyttä. Kaikilla työntekijöillä on niinikään vaitiolovelvollisuus koskien kaikkia henkilötietoja.
Skhole säilyttää keräämiään henkilötietoja lähtökohtaisesti niin kauan kuin on tarpeen palvelun toteuttamiseksi. Kun rekisteröity ei ole enää Skholen palvelun käyttäjä, poistetaan rekisteröityä koskevat henkilötiedot kuuden kuukauden kuluessa. Skhole voi tässä tapauksessa anonymisoida tiedot, jotta opiskeludataa voidaan hyödyntää tilastointi- ja tutkimustarkoituksessa. Tietoja ei voi kuitenkaan yhdistää kehenkään yksittäiseen henkilöön.
2. Mitä henkilötietoja kerätään ja mihin tarkoitukseen?
Lähtökohtana henkilötietojen käsittelyssä Skholessa on niin sanottu käyttötarkoitussidonnaisuus. Näin ollen keräämiämme henkilötietoja käsitellään ainoastaan siihen tarkoitukseen, jota varten ne on kerättykin. Henkilötietoja käsitellään ensisijaisesti siihen, että voimme taata loppukäyttäjille mahdollisimman hyvän opiskelukokemuksen ja tehokkaan palvelun. Henkilötietoja voidaan Skholessa käyttää ainoastaan palvelun toteuttamiseen, palvelujen mainostamiseen, asiakassuhteen (rekisteröity – Skhole) hoitamiseen ja kehittämiseen, oppimisympäristön tapahtumien varmistamiseen (ml. kirjautuminen, viestintä ja palautteen antaminen, kurssi- ja tenttisuoritukset), yrityksen sisäisen tilastollisen seurannan suorittamiseen sekä palvelumme kehittämiseen.
Skhole voi kerätä seuraavia tietoja, joista osa on henkilötietoja: nimi, IP-osoite ja sijainti, käyttäjätunnuksen yksilöivä nimi, sähköpostiosoite, selaimen tiedot, käyttöjärjestelmä (esim. Windows, iOS jne), ammatti, luentopalautteet (mukaan lukien luento, josta palaute on annettu, palautteen sisältö, annettu arvio, aika, nimi, sähköpostiosoite ja ryhmä, johon rekisteröity kuuluu), rekisteröidyn organisaatio (esim. oppilaitos tai yritys), ryhmän nimi, oppimisympäristöön kirjautumisten lukumäärä, edellisen käyttökerran päivämäärä, rekisteröintipäivä, rekisteröidyn suoritukset (tentit, testit, kurssit ja näiden tulokset) sekä Skholen lähettämien sähköposteissa olevien linkkien klikkaukset. Testikäyttäjiltä pyydetään lisäksi puhelinnumero, johon voidaan soittaa kokeilujakson jälkeen.
Skholen keräämät tiedot perustuvat itse keräämiinsä ja rekisteröidyn antamiin tietoihin.
Oppilaitosten ja muiden organisaatioiden ns. admin-käyttäjillä on oikeus lisätä organisaatioonsa kuuluvia henkilöitä Skholen käyttäjiksi ja poistaa heidän käyttäjätunnuksensa. Näissä tapauksissa rekisteröidyn henkilötietoja (nimi, sähköpostiosoite, organisaatio) saadaan admin-käyttäjältä. Admin-käyttäjällä on oikeus nähdä hallinnoimiensa rekisteröityjen henkilöiden seuraavat henkilötiedot: nimi, käyttäjätunnus, sähköpostiosoite, rekisteröidyn ryhmän nimi, rekisteröidyn edellisen käyttökerran päivämäärä sekä rekisteröidyn suoritukset.
3. Minne Skhole siirtää tietoja?
Skhole käyttää palvelunsa toteuttamisessa seuraavia palveluja: Heroku, Upcloud, Google Analytics, LogDNA, MailChimp, Intercom, mLab & Amazonin pilvipalvelut. Skhole voi palvelun toteuttamisessa siirtää rekisteröidyn henkilötietoja (nimi, sähköpostiosoite, ip-osoite, selaimen välittämät tiedot, palvelun käyttöajanjakson tiedot, opiskelua ja kurssien suorittamista koskevat tiedot) näihin palveluihin. Mikäli rekisteröity käyttää CSC-Haka- tai Facebook-sisäänkirjautumista, voi Skhole siirtää henkilötietoja näihin palveluihin kirjautumisen varmistamiseksi. EU:n yleinen tietosuoja-asetus soveltuu silloinkin, kun edellä mainitut palveluntarjoajat käsittelevät Skholen keräämiä henkilötietoja.
Skholen käyttämät palvelimet sijaitsevat Euroopan unionin alueella.
4. Mitä oikeuksia rekisteröidyllä on?
Rekisteröidyllä on oikeus saada Skholelta tieto siitä, että häntä koskevia henkilötietoja käsitellään ja halutessaan hän voi pyytää Skholelta häntä koskevat henkilötiedot. Mikäli Skholen käsittelemissä henkilötiedoissa on epätarkkuuksia tai virheitä, voi rekisteröity vaatia tietojen oikaisemista. Rekisteröidyllä on niin ikään oikeus tulla unohdetuksi. Rekisteröity voi siis eräissä tapauksissa poistattaa häntä koskevat henkilötiedot. Rekisteröity voi myös vastustaa tai tietyissä tapauksissa rajoittaa henkilötietojensa käsittelyä. Henkilötietojen poistattaminen ja niiden käsittelyn vastustaminen tai rajoittaminen johtaa kuitenkin siihen, ettei Skholen tarjoamaa palvelua voida käyttää. Rekisteröity voi tehdä esimerkiksi omia henkilötietoja koskevan tietopyynnön Skholelle edellä 1 kohdassa mainitun lomakkeen avulla. Rekisteröidyllä on lisäksi oikeus kieltää suoramarkkinointi eikä se estä palvelun käyttöä jatkossa. Jokaisella rekisteröidyllä on myös oikeus milloin vain tehdä valitus rekisterinpitäjän toiminnasta valvontaviranomaiselle. Suomessa valvontaviranomaisena toimii Tietosuojavaltuutettu.