Lukioiden asiointipalvelun tietosuojaseloste

Päivitetty

Lakiviitteet:

  • Laki ylioppilastutkinnosta (502/2019)
  • Laki viranomaisten toiminnan julkisuudesta (621/1999)
  • EU:n yleinen tietosuoja-asetus (GDPR2016/679)

Lukioiden asiointipalvelun rekisteri.

Ylioppilastutkintolautakunta 

Hakaniemenranta 6, 00530 Helsinki 

Puhelin (vaihde): 0295 331 700 

Sähköposti: lautakunta@ylioppilastutkinto.fi 

Tietosuojavastaava 

Sähköposti: tietosuoja@oph.fi 

Puhelin (vaihde): 029 533 1000

Henkilötietoja käsitellään lukioiden asiointipalvelun tarjoamiseksi, ylläpitämiseksi ja turvallisen sähköisen asioinnin mahdollistamiseksi. Lukioiden asiointipalvelu on Ylioppilastutkintolautakunnan sähköinen asiointipalvelu, jonka avulla lukiot ja muut tutkinnon järjestämiseen osallistuvat tahot hoitavat ylioppilastutkintoon liittyviä lakisääteisiä asioita. 

Henkilötietoja käsitellään erityisesti seuraavia tarkoituksia varten:

Palvelussa voidaan tehdä ja käsitellä ylioppilastutkintoon liittyviä hakemuksia: 

  • ilmoitus osallistumisoikeutta vaille jääneistä 

  • ilmoitus kokeessa tapahtuneesta häiriöstä 

  • Ilmoitus kokeiden sisällyttämisestä tutkintoon 

  • ilmoittautuminen määräajan päätyttyä 

  • ilmoittautumistietojen muuttaminen 

  • ilmoittautumisen mitätöinti 

  • lukemisen ja kirjoittamisen erityisvaikeus 

  • vieraskielisen kokelaan opetuskielen puutteellinen hallinta 

  • sairaus, vamma tai erityisen vaikea elämäntilanne 

Henkilötietoja käsitellään hakemusten vastaanottamiseksi, käsittelemiseksi, ratkaisemiseksi sekä päätöksiin liittyvän viestinnän toteuttamiseksi. 

Palvelussa lukiot antavat Ylioppilastutkintolautakunnalle lausuntoja hakemusten käsittelyä varten. 

Henkilötietoja käsitellään lausuntojen laatimiseksi, toimittamiseksi ja liittämiseksi asian käsittelyyn.

Lisäksi henkilötietoja käsitellään: 

  • käyttäjien tunnistamiseksi ja käyttöoikeuksien hallitsemiseksi 

  • palvelun teknisen toiminnan varmistamiseksi 

  • tietoturvan ja lokivalvonnan toteuttamiseksi 

  • lakisääteisten velvoitteiden täyttämiseksi

Ylioppilastutkintolautakunnan tehtävistä säädetään ylioppilastutkinnosta annetussa laissa (502/2019). Henkilötietojen käsittely perustuu EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c (lakisääteinen velvoite). Lisäksi tietoja voidaan käyttää yleisen edun mukaisiin arkistointitarkoituksiin sekä tieteellisiin, historiallisiin ja tilastollisiin tarkoituksiin (GDPR2016/679, artikla 6 kohta 1 e). 

Ylioppilastutkintolautakunnalla on merkittävää yleistä etua koskevasta syystä lainsäädännön nojalla oikeus käsitellä erityisien henkilötietoryhmien tietoa (GDPR2016/679, artikla 9 kohta 2 g), jotta 

  • kokelas, joka on sairauden, vamman, lukemisen ja kirjoittamisen erityisvaikeuden, vieraskielisyyden taikka muun niihin rinnastettavan syyn vuoksi estynyt suorittamasta ylioppilastutkinnon kokeita samalla tavalla kuin muut kokelaat, voi suorittaa kokeen poikkeavasti (L502/2019, 9 §) 

  • jos kokelaan koesuoritusta on heikentänyt sairaus, vamma tai muu niihin rinnastettava erityisen painava peruste, eikä erityisjärjestelyjen voida katsoa olevan riittäviä turvaamaan kokelaan edellytykset suorittaa koe yhtäläisesti muihin kokelaisiin nähden, Ylioppilastutkintolautakunta voi ottaa tämän arvostelussa huomioon (L502/2019, 18 §) 

  • Ylioppilastutkintolautakunta voi kokelaan sairauden tai muun siihen rinnastettavan erityisen painavan syyn vuoksi hyväksyä määräajan päätyttyä tapahtuneen ilmoittautumisen (L502/2019, 8 §) 

  • Ylioppilastutkintolautakunta voi hakemuksesta kokelaan sairauden, ulkomailla tapahtuvan opiskelun tai työskentelyn taikka muun niihin rinnastettavan erityisen painavan syyn vuoksi mitätöidä kokeeseen tehdyn ilmoittautumisen (L502/2019, 8 §) 

  • Kokelas, joka on osallistunut vähintään yhteen tutkintokertaan ja sairastumisen, ulkomailla tapahtuvan päätoimisen opiskelun tai muun niihin rinnastettavan painavan syyn vuoksi on estynyt osallistumasta tutkintokerran kokeisiin, voi kuitenkin jatkaa tutkinnon suorittamista enimmäisajan päättymistä välittömästi seuraavana tutkintokertana. Jos kokelas on edellä tarkoitetun syyn vuoksi estynyt osallistumasta kahden peräkkäisen tutkintokerran kokeisiin, hän voi jatkaa tutkinnon suorittamista enimmäisajan päättymistä välittömästi seuraavina kahtena tutkintokertana (L 502/2019, 13 §).

Rekisteröityjä ovat: 

  • lukioiden asiointipalvelun käyttäjät (esim. rehtorit, opettajat ja muut lukion nimeämät edustajat) 

  • hakemuksissa ja lausunnoissa mainitut henkilöt siltä osin kuin heidän henkilötietojaan käsitellään

  • Ylioppilastutkintolautakunnan virkamiehet 
  • Rekisterin tekniset ylläpitäjät

Lukioiden asiointipalvelun käyttäjärekisteri voi sisältää seuraavia tietoja: 

  • käyttäjän nimi ja asema 

  • yhteystiedot (esim. sähköpostiosoite) 

  • käyttäjätunnus ja kirjautumiseen liittyvät tiedot 

  • tiedot tehdyistä hakemuksista ja niiden käsittelystä 

  • lausuntoihin sisältyvät tiedot 

  • palvelun käyttöön liittyvät tekniset lokitiedot 

Henkilötietoja säilytetään vain niin kauan kuin se on tarpeen tässä selosteessa kuvattujen tarkoitusten toteuttamiseksi sekä lakisääteisten velvoitteiden täyttämiseksi. 

  • Hakemuksiin ja lausuntoihin liittyvät asiakirjat säilytetään kuusi (6) vuotta. 

  • Hallinnolliset päätökset säilytetään pysyvästi arkistolainsäädännön mukaisesti, 

  • Palvelun teknisiä käyttö- ja lokitietoja säilytetään määräajan tietoturvan ja valvonnan varmistamiseksi. 

Henkilötiedot saadaan pääasiassa: 

  • rekisteröidyiltä itseltään

  • lukioiden nimeämiltä lausunnon antajilta (L 502/2019 24 § 1 mom.) 

Henkilötietoja ei luovuteta sivullisille, ellei luovuttaminen perustu lakiin. 

Tietoja voidaan luovuttaa viranomaisille lakisääteisten velvoitteiden perusteella.  

Koulutuksen järjestäjällä on salassapitosäännösten estämättä oikeus saada tieto ylioppilastutkinnon koetta suorittamaan ilmoittautunutta kokelasta koskevista 9 §:ssä tarkoitettua erityisjärjestelyiden käyttöä ja 13 §:n 3 momentissa tarkoitettua ylioppilastutkinnon suorittamisajan pidentymistä koskevista Ylioppilastutkintolautakunnan päätöksistä siltä osin, kuin se on välttämätöntä kokeiden järjestämiseksi. (L 502/2019 24 § 2 mom.) 

Henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle. 

Rekisteri on suojattu asianmukaisin teknisin ja organisatorisin toimin GDPR 32 artiklan mukaisesti. 

Kaikki Ylioppilastutkintolautakunnan virkamiesten rekisterin tunnukset ovat henkilökohtaisia ja ne on roolitettu rooleihin, jotka määrittelevät mitä tietoja ja toimintoja rekisterissä voi nähdä tai tehdä. Yksittäisen käyttäjän kirjautumiset/epäonnistuneet kirjautumiset pystytään tarvittaessa jälkikäteen selvittämään. Kaikki tietojen haku ja muokkaus lokitetaan.  

Rekisterin lokitiedot on suojattu muutoksilta ja pääsy niihin on rajattu. Rekisterin sisältämät henkilötunnukset on kryptattu.  

Rekisterin varmuuskopiot on suojattu. Rekisterin tuotantoympäristössä on automatisoitu tietoturvapäivitysten jakelu.

Rekisteröidyllä on oikeus tietää, käsitelläänkö häntä koskevia henkilötietoja vai ei. (GDPR, 15 artikla 1 kohta) 

Rekisteröidyllä on oikeus vaatia Ylioppilastutkintolautakuntaa oikaisemaan epätarkat, vanhentuneet, puutteelliset tai muuten virheelliset henkilötiedot. (GDPR, 16 artikla) Lautakunta ryhtyy korjaamispyynnön vastaanotettuaan toimenpiteisiin ilman aiheetonta viivytystä. Jos lautakunta havaitsee virheitä käsittelemissään henkilötiedoissa, tiedot oikaistaan, vaikka rekisteröity ei olisi sitä vaatinutkaan. 

Rekisteröity ei voi vaatia henkilötietojensa poistamista niin kauan kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai kun henkilötietojen käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttöä varten. (GDPR, 17 artikla 3 kohdan b alakohta) 

Rekisteröity voi pyytää henkilötietojensa käsittelyn rajoittamista. (GDPR, 18 artikla) Rajoittamisoikeutta voidaan soveltaa vain siltä osin kuin se ei estä rekisterinpitäjää noudattamasta laissa säädettyä velvoitetta. 

Rekisteröidyllä ei ole oikeutta vastustaa henkilötietojensa käsittelyä, koska käsittely perustuu laissa säädettyihin rekisterinpitäjän velvoitteisiin sekä rekisterinpitäjälle säädettyyn julkisen vallan käyttöön. (GDPR, 21 artikla) Vastustamisoikeutta voidaan soveltaa vain sellaiseen käsittelyyn, joka ei perustu lakiin. 

Rekisteröidyllä on oikeus saada tieto häntä koskevasta henkilötietojen tietoturvaloukkauksesta silloin, kun loukkauksesta todennäköisesti aiheutuu korkea riski hänen oikeuksilleen ja vapauksilleen. (GDPR, 34 artikla) 

Jokaisella rekisteröidyllä on oikeus tehdä valitus väitetystä henkilötietojen käsittelyrikkomuksesta saattamalla asia tietosuojavaltuutetun käsiteltäväksi. (GDPR, 77 artikla)

Rekisterin sisältämiä tietoja ei käytetä profilointiin eikä tietoihin kohdisteta automaattista päätöksentekoa.