Kokelaiden asiointipalvelun tietosuojaseloste

Päivitetty

Lakiviitteet:

  • Laki ylioppilastutkinnosta (502/2019)
  • Laki viranomaisten toiminnan julkisuudesta (621/1999)
  • EU:n yleinen tietosuoja-asetus (GDPR2016/679)

Kokelaiden asiointipalvelun käyttäjärekisteri.

Ylioppilastutkintolautakunta 

Hakaniemenranta 6, 00530 Helsinki 

Puhelin (vaihde): 0295 331 700 

Sähköposti: lautakunta@ylioppilastutkinto.fi 

Tietosuojavastaava 

Sähköposti: tietosuoja@oph.fi 

Puhelin (vaihde): 029 533 1000

Henkilötietoja käsitellään Kokelaiden asiointipalvelun tarjoamiseksi, ylläpitämiseksi ja turvallisen sähköisen asioinnin mahdollistamiseksi. 

Kokelaiden asiointipalvelussa henkilötietoja käsitellään erityisesti seuraavia tarkoituksia varten: 

Todistusten ja koesuoritustietojen tilaaminen 

Kokelaiden asiointipalvelun avulla rekisteröity voi: 

  • tilata jäljennöksiä ylioppilastutkinnon todistuksista 
  • tilata tietoja ylioppilastutkinnon koesuorituksista 

Henkilötietoja käsitellään henkilön tunnistamiseksi, tilausten käsittelemiseksi, tietojen toimittamiseksi sekä asiointiin liittyvän viestinnän hoitamiseksi. 

Oikaisuvaatimuksen tekeminen 

Kokelaiden asiointipalvelun rekisteröity voi tehdä oikaisuvaatimuksen ylioppilastutkinnon arvosteluun liittyvässä asiassa. 

Henkilötietoja käsitellään: 

  • oikaisuvaatimuksen vastaanottamiseksi ja käsittelemiseksi 
  • vaatimuksen kohteena olevan koesuorituksen ja arvostelun yksilöimiseksi 
  • päätöksenteon ja siihen liittyvän viestinnän toteuttamiseksi 
  • asian käsittelyn dokumentoimiseksi 

Lisäksi henkilötietoja käsitellään palvelun: 

  • teknisen toiminnan varmistamiseksi 
  • tietoturvan ja lokivalvonnan toteuttamiseksi 
  • kehittämiseksi ja laadun varmistamiseksi 
  • lakisääteisten velvoitteiden täyttämiseksi 

Ylioppilastutkintolautakunnan tehtävistä säädetään ylioppilastutkinnosta annetussa laissa (502/2019). Henkilötietojen käsittely perustuu EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtiin (lakisääteinen velvoite ja yleistä etua koskevan tehtävän suorittaminen). Lisäksi tietoja voidaan käyttää yleisen edun mukaisiin arkistointitarkoituksiin sekä tieteellisiin, historiallisiin ja tilastollisiin tarkoituksiin (GDPR2016/679, artikla 6 kohta 1 e).

Kokelaiden asiointipalvelun käyttäjät.

  • Ylioppilastutkintolautakunnan sensorit ja virkamiehet 
  • Rekisterin tekniset ylläpitäjät

Kaikki käsittelijät toimivat rekisterinpitäjän lukuun ja noudattavat salassapitoa.

Kokelaiden asiointipalvelun käyttäjärekisteri voi sisältää seuraavia tietoja: 

  • nimi 
  • henkilötunnus 
  • yhteystiedot (esim. sähköpostiosoite) 
  • kirjautumiseen ja tunnistautumiseen liittyvät tiedot 
  • tiedot tehdyistä todistus ja tietotilauksista 
  • oikaisuvaatimuksiin liittyvät tiedot ja asiakirjat 
  • palvelun käyttöön liittyvät tekniset lokitiedot 

Henkilötietoja säilytetään vain niin kauan kuin se on tarpeen tässä selosteessa kuvattujen tarkoitusten toteuttamiseksi sekä lakisääteisten velvoitteiden täyttämiseksi. 

  • Tilaustietoja säilytetään enintään viisi (5) vuotta tilauksen käsittelystä, ellei pidempi säilytys ole tarpeen lakisääteisten velvoitteiden tai oikeusturvan varmistamiseksi. 
  • Oikaisuvaatimuksiin liittyvät asiakirjat säilytetään pysyvästi osana Ylioppilastutkintolautakunnan arkistoa arkistolainsäädännön mukaisesti.

Henkilötiedot saadaan pääasiassa rekisteröidyltä itseltään. Palveluun tunnistaudutaan vahvalla tunnistautumisella, jonka yhteydessä käyttäjälle ilmoitetaan tiedot, jotka tunnistuksen yhteydessä välitetään rekisteriin.

Henkilötietoja ei luovuteta sivullisille, ellei luovuttaminen perustu lakiin. 

Tietoja voidaan luovuttaa viranomaisille lakisääteisten velvoitteiden perusteella.

Henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

Rekisteri on suojattu asianmukaisin teknisin ja organisatorisin toimin GDPR 32 artiklan mukaisesti. 

Kaikki Ylioppilastutkintolautakunnan virkamiesten rekisterin tunnukset ovat henkilökohtaisia ja ne on roolitettu rooleihin, jotka määrittelevät mitä tietoja ja toimintoja rekisterissä voi nähdä tai tehdä. Yksittäisen käyttäjän kirjautumiset/epäonnistuneet kirjautumiset pystytään tarvittaessa jälkikäteen selvittämään. Kaikki tietojen haku ja muokkaus lokitetaan.  

Rekisterin lokitiedot on suojattu muutoksilta ja pääsy niihin on rajattu. Rekisterin sisältämät henkilötunnukset on kryptattu.  

Rekisterin varmuuskopiot on suojattu. Rekisterin tuotantoympäristössä on automatisoitu tietoturvapäivitysten jakelu.

Rekisteröidyllä on oikeus tietää, käsitelläänkö häntä koskevia henkilötietoja vai ei. (GDPR, 15 artikla 1 kohta) 

Rekisteröidyllä on oikeus vaatia Ylioppilastutkintolautakuntaa oikaisemaan epätarkat, vanhentuneet, puutteelliset tai muuten virheelliset henkilötiedot. (GDPR, 16 artikla) Lautakunta ryhtyy korjaamispyynnön vastaanotettuaan toimenpiteisiin ilman aiheetonta viivytystä. Jos lautakunta havaitsee virheitä käsittelemissään henkilötiedoissa, tiedot oikaistaan, vaikka rekisteröity ei olisi sitä vaatinutkaan. 

Rekisteröity ei voi vaatia henkilötietojensa poistamista niin kauan kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai kun henkilötietojen käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä varten. (GDPR, 17 artikla 3 kohdan b alakohta) 

Rekisteröity voi pyytää henkilötietojensa käsittelyn rajoittamista. (GDPR, 18 artikla) Rajoittamisoikeutta voidaan soveltaa vain siltä osin kuin se ei estä rekisterinpitäjää noudattamasta laissa säädettyä velvoitetta. 

Rekisteröidyllä ei ole oikeutta vastustaa henkilötietojensa käsittelyä, koska käsittely perustuu laissa säädettyihin rekisterinpitäjän velvoitteisiin sekä rekisterinpitäjälle säädettyyn julkisen vallan käyttöön. (GDPR, 21 artikla) Vastustamisoikeutta voidaan soveltaa vain sellaiseen käsittelyyn, joka ei perustu lakiin. 

Rekisteröidyllä on oikeus saada tieto häntä koskevasta henkilötietojen tietoturvaloukkauksesta silloin, kun loukkauksesta todennäköisesti aiheutuu korkea riski hänen oikeuksilleen ja vapauksilleen. (GDPR, 34 artikla) 

Jokaisella rekisteröidyllä on oikeus tehdä valitus väitetystä henkilötietojen käsittelyrikkomuksesta saattamalla asia tietosuojavaltuutetun käsiteltäväksi. (GDPR, 77 artikla)

Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.