Dataskyddsbeskrivning för examinandernas e-tjänst

Uppdaterad

Lagreferenser:

  • Lag om studentexamen (502/2019)
  • Lag om offentlighet i myndigheternas verksamhet (621/1999)
  • EU:s allmänna dataskyddsförordning (GDPR 2016/679)

Användarregister för examinandernas e-tjänst.

Studentexamensnämnden

Hagnäskajen 6, 00530 Helsingfors

Telefon (växel): 0295 331 700

E-post: lautakunta@ylioppilastutkinto.fi

Dataskyddsombud

E-post: tietosuoja@oph.fi

Telefon (växel): 029 533 1000

Personuppgifter behandlas för att tillhandahålla och underhålla examinandernas e-tjänst samt för att möjliggöra säker elektronisk ärendehantering.

I examinandernas e-tjänst behandlas personuppgifter särskilt för följande ändamål:

Beställning av betyg och uppgifter om provprestationer

Via examinandernas e-tjänst kan den registrerade:

  • beställa kopior av studentexamensbetyg
  • beställa uppgifter om provprestationer i studentexamen

Personuppgifter behandlas för att identifiera den registrerade, handlägga beställningar, leverera uppgifter samt sköta kommunikation i samband med ärendehanteringen.

Begäran om omprövning

Via examinandernas e-tjänst kan den registrerade lämna in en begäran om omprövning i ärenden som gäller bedömning av studentexamen.

Personuppgifter behandlas för att:

  • ta emot och handlägga begäran om omprövning
  • identifiera den provprestation och det vitsord som begäran gäller
  • fatta beslut och sköta kommunikation i samband med detta
  • dokumentera handläggningen av ärendet

Personuppgifter behandlas dessutom för att:

  • säkerställa tjänstens tekniska funktion
  • genomföra informationssäkerhets- och loggövervakning
  • utveckla tjänsten och säkerställa kvaliteten
  • fullgöra lagstadgade skyldigheter

Studentexamensnämndens uppgifter regleras i lagen om studentexamen (502/2019). Behandlingen av personuppgifter grundar sig på artikel 6.1 c och e i EU:s allmänna dataskyddsförordning (uppfyllande av en rättslig förpliktelse och utförande av en uppgift av allmänt intresse). Uppgifter kan dessutom behandlas för arkivändamål av allmänt intresse samt för vetenskapliga, historiska eller statistiska ändamål (GDPR 2016/679, artikel 6.1 e).

Användare av examinandernas e-tjänst.

  • Studentexamensnämndens censorer och tjänstemän
  • Tekniska administratörer av registret

Samtliga biträden behandlar uppgifter för den personuppgiftsansvariges räkning och omfattas av sekretess.

Användarregistret för examinandernas e-tjänst kan innehålla följande uppgifter:

  • namn
  • personbeteckning
  • kontaktuppgifter (t.ex. e-postadress)
  • uppgifter om inloggning och autentisering
  • uppgifter om gjorda betygs- och informationsbeställningar
  • uppgifter och handlingar som hänför sig till begäran om omprövning
  • tekniska logguppgifter om användningen av tjänsten

Personuppgifter lagras endast så länge det är nödvändigt för att uppfylla de ändamål som beskrivs i denna beskrivning samt för att fullgöra lagstadgade skyldigheter.

  • Beställningsuppgifter lagras i högst fem (5) år från det att beställningen handlagts, om inte en längre lagringstid är nödvändig för att fullgöra lagstadgade skyldigheter eller säkerställa rättsskyddet.
  • Handlingar som hänför sig till begäran om omprövning bevaras permanent som en del av Studentexamensnämndens arkiv i enlighet med arkivlagstiftningen.

Personuppgifterna erhålls i huvudsak från den registrerade själv. Inloggning i tjänsten sker med stark autentisering, och i samband med autentiseringen informeras användaren om vilka uppgifter som i och med autentiseringen överförs till registret.

Personuppgifter lämnas inte ut till utomstående, om inte utlämnandet grundar sig på lag.

Uppgifter kan lämnas ut till myndigheter med stöd av lagstadgade skyldigheter.

Personuppgifter överförs inte utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.

Registret skyddas genom lämpliga tekniska och organisatoriska åtgärder i enlighet med artikel 32 i dataskyddsförordningen.

Alla användarkonton för Studentexamensnämndens tjänstemän är personliga och rollbaserade, och rollerna definierar vilka uppgifter och funktioner användaren har åtkomst till i registret. Enskilda användares inloggningar och misslyckade inloggningsförsök kan vid behov utredas i efterhand. All åtkomst till och ändring av uppgifter loggas.

Logguppgifterna i registret är skyddade mot ändringar och åtkomsten till dessa är begränsad. Personbeteckningar i registret är krypterade.

Säkerhetskopior av registret är skyddade. Produktionsmiljön för registret använder automatiserad distribution av säkerhetsuppdateringar.

Den registrerade har rätt att få veta om personuppgifter som rör hen behandlas eller inte (artikel 15.1 i dataskyddsförordningen).

Den registrerade har rätt att kräva att Studentexamensnämnden utan onödigt dröjsmål rättar inexakta, föråldrade, bristfälliga eller på annat sätt felaktiga personuppgifter (artikel 16 i dataskyddsförordningen). Nämnden vidtar åtgärder efter att en begäran om rättelse mottagits. Om nämnden upptäcker fel i behandlade personuppgifter rättas de även utan att den registrerade begärt det.

Den registrerade kan inte kräva radering av sina personuppgifter så länge behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller när behandlingen sker för att fullgöra en uppgift av allmänt intresse eller utövande av offentlig makt som den personuppgiftsansvarige har (artikel 17.3 b i dataskyddsförordningen).

Den registrerade kan begära begränsning av behandlingen av sina personuppgifter (artikel 18 i dataskyddsförordningen). Rätten att begränsa behandling kan dock endast tillämpas i den utsträckning det inte hindrar den personuppgiftsansvarige från att uppfylla lagstadgade skyldigheter.

Den registrerade har inte rätt att invända mot behandlingen av sina personuppgifter, eftersom behandlingen grundar sig på lagstadgade skyldigheter för den personuppgiftsansvarige och på utövande av offentlig makt (artikel 21 i dataskyddsförordningen). Rätten att invända kan endast tillämpas på behandling som inte grundar sig på lag.

Den registrerade har rätt att få information om en personuppgiftsincident som rör hens uppgifter, om incidenten sannolikt innebär en hög risk för den registrerades rättigheter och friheter (artikel 34 i dataskyddsförordningen).

Varje registrerad har rätt att inge klagomål till tillsynsmyndigheten om hen anser att behandlingen av personuppgifter strider mot dataskyddsförordningen (artikel 77 i dataskyddsförordningen).

Uppgifterna i registret används inte för profilering och inget automatiserat beslutsfattande förekommer.