HENKILÖTIETOJEN SUOJA
Tässä tietosuojaselosteessa kerrotaan
henkilötietojen käsittelystä ja suojasta.
Tietojen käsittelyn konteksti: Oppisoppi
Rekisterinpitäjä: Viestinnän pääosasto, linja A, yksikkö A.2
Rekisteriviite: DPR-EC-03612
Taustaa
Euroopan komissio (jäljempänä ’komissio’) on sitoutunut suojaamaan henkilötietoja ja kunnioittamaan yksityisyyden suojaa. Komissio kerää ja käsittelee henkilötietoja noudattaen asetusta (EU) 2018/1725 (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 kumoamisesta, annettu 23. lokakuuta 2018).
Tässä tietosuojaselosteessa selitetään, miksi ja miten henkilötietoja kerätään, käsitellään ja käytetään ja miten ne suojataan. Lisäksi siinä kerrotaan, mitä oikeuksia asianosaisilla on henkilötietojensa suhteen. Selosteessa on myös henkilötietojen käsittelystä vastaavan rekisterinpitäjän, komission tietosuojavastaavan ja Euroopan tietosuojavaltuutetun yhteystiedot.
Tämä tietosuojaseloste koskee Oppisoppi-sivuston palveluihin liittyvää henkilötietojen käsittelyä komissiossa. Palveluita hallinnoivat komission viestinnän pääosaston yksikkö A.2 ja Oppisoppi-sivustoon liittyvistä tietojenkäsittelytoimista vastaavat komission yksiköt.
Miksi ja miten henkilötietoja käsitellään?
Oppisoppi on verkkosivusto, joka tarjoaa materiaalia ja palveluja oppimis- ja opetustarkoituksiin kaikilla EU:n virallisilla kielillä. Sen tavoitteena on opettaa viihdyttävällä tavalla lapsia ja nuoria tuntemaan EU:ta. Oppisoppi on tarkoitettu pääasiassa perus- ja keskiasteen oppilaille ja heidän opettajilleen. Se on pelien, tietokilpailujen sekä oppi- ja opetusmateriaalien kokoelma, jossa kerrotaan EU:sta ja sen hyödyistä eurooppalaisille. Verkkosivustoa hallinnoi komission viestinnän pääosaston Toimituspalvelut ja kohdennettu sidosryhmäyhteistyö -yksikkö.
Henkilötietojen käsittely perustuu käyttäjän vapaaehtoiseen rekisteröitymiseen. Tietoja kerätään, jotta Oppisopen verkkopalvelujen käyttäminen ja hallinnointi on mahdollista. Palveluihin kuuluu muu muassa seuraavia:
- pelejä, kilpailuja ja vuorovaikutusta kilpailuun osallistujien kanssa;
- rekisteröityneille käyttäjille tarkoitettu keskustelufoorumi;
- linkki verkkokauppaan, jonka avulla käyttäjät voivat tilata julkaisuja suoraan Oppisoppi-verkkosivustolta (DPR-EC-00449);
- palautelomake, jolla sivuston kävijät voivat antaa palautetta sivuista, ilmoittaa virheistä/teknisistä ongelmista ja lähettää oma-aloitteisesti kommentteja sisällöstä. Sivustolla tällä tavoin asioivia käyttäjiä pyydetään ilmoittamaan sähköpostiosoitteensa, jotta heiltä voidaan tarvittaessa pyytää selvennyksiä ja jotta heidän kysymyksiinsä voidaan vastata (DPR-EC-01064).
Mitkä ovat henkilötietojen käsittelyn oikeudelliset perusteet?
Henkilötietojasi käsitellään, koska
- olet antanut suostumuksesi tietojesi käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (asetuksen (EU) 2018/1725 5 artiklan 1 kohdan d alakohta).
Tiettyihin tietojenkäsittelytoimiin tarvitaan rekisteröidyn suostumus. Asetuksen (EU) 2018/1725 3 artiklan 15 kohdan ja 7 artiklan mukaisesti suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen.
Olet antanut suostumuksesi tilatessasi Oppisoppi-sivuston palveluita.
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai muulle unionin elimelle kuuluvan julkisen vallan käyttämiseksi (asetuksen 2018/1725 5 artiklan 1 kohdan a alakohta).
Euroopan unionin meneillään olevan varainhoitovuoden yleisen talousarvion mukaan Oppisopen koulutuspalvelujen ja muiden unionia koskevien multimedia- ja viestintävälineiden, joilla pyritään tiedottamaan kansalaisille yleisesti unionin toiminnasta, hallinointiin liittyvät tietojenkäsittelytoimet ovat komission institutionaalisista oikeuksista johtuva julkisen palvelun tehtävä, jollaisista säädetään asetuksen (EU, Euratom) 2018/1046 58 artiklan 2 kohdassa (Euroopan parlamentin ja neuvoston asetus (EU, Euratom) 2018/1046 unionin yleiseen talousarvioon sovellettavista varainhoitosäännöistä, asetusten (EU) N:o 1296/2013, (EU) N:o 1301/2013, (EU) N:o 1303/2013, (EU) N:o 1304/2013, (EU) N:o 1309/2013, (EU) N:o 1316/2013, (EU) N:o 223/2014, (EU) N:o 283/2014 ja päätöksen N:o 541/2014/EU muuttamisesta sekä asetuksen (EU, Euratom) N:o 966/2012 kumoamisesta, annettu 18. heinäkuuta 2018, EUVL L 193, 30.7.2018, s. 1).
Mitä henkilötietoja kerätään ja käsitellään?
Keräämme henkilötiedot, jotka annetaan käytettäessä jotakin Oppisoppi-sivuston palveluista: nimi, käyttäjätunnus, maa, puhelinnumero, sähköpostiosoite, postiosoite (jos käyttäjä tilaa julkaisuja) ja verkkotunnistetiedot (laitetunniste, IP-osoite ja/tai evästeen tunniste).
EU Login -sovelluksen käsittelemien tietojen luokat kuvataan tietotekniikan pääosaston (DIGIT) asianomaisessa tietosuojaselosteessa (ks. käyttöoikeuspalvelun (IAMS) viite DPR-EC-03817).
Sinulla on mahdollisuus antaa erikseen suostumuksesi siihen, että sinulle lähetetään lisätietoa ja että sinulta pyydetään lisäselvityksiä tai vastauksia kysymyksiin. Jos annat tähän suostumuksesi, keräämme ja käsittelemme ainoastaan myöhempään yhteydenottoon tarvittavat tiedot (nimi ja sähköpostiosoite).
Sinulla on myös mahdollisuus antaa erikseen suostumuksesi tietojesi käsittelyyn, jos tilaat julkaisuja suoraan Oppisoppi-sivustolta. Siinä tapauksessa käsiteltäviä tietoja ovat nimi, puhelinnumero ja postiosoite, jotka ovat välttämättömiä tilattavien julkaisujen lähettämiseksi.
Jos annat erikseen suostumuksesi siihen, että tietojasi käsitellään kilpailuun osallistumisen yhteydessä, kerätään vain tiedot, jotka ovat kilpailun kulun kannalta välttämättömiä. Nämä tiedot eritellään selvästi.
Sinulla on niin ikään mahdollisuus antaa erikseen suostumuksesi siihen, että tietojasi käsitellään keskustelufoorumiin osallistumisen yhteydessä. Siinä tapauksessa käsiteltäviin tietoihin sisältyy ainoastaan keskustelufoorumiin osallistumiseen tarvittava käyttäjätunnus.
Rekisterinpitäjä voi jakaa koottuja tai anonymisoituja tietoja muiden EU:n toimielinten tai kolmansien osapuolten kanssa arkistointi- tai tilastointitarkoituksia varten.
Miten kauan henkilötietoja säilytetään?
5.1. Henkilötiedot, jotka annetaan käytettäessä jotakin Oppisoppi-sivuston palveluista
Henkilötietoja säilytetään niin kauan kuin on jonkin Oppisopen palveluun liittyvän jatkotoimen kannalta tarpeen, jotta tietojenkäsittelyn tarkoitus täyttyisi, ja enintään 2 vuoden ajan tietojen toimittamispäivästä.
5.2. Raportit, asiakirjojen paperiset ja sähköiset versiot, mm. viestinnän pääosaston ARES-rekisterissä säilyttämät asiakirjat
Kaikkia päivittäiseen kirjeenvaihtoon kuuluvia paperisia ja sähköisiä asiakirjoja sekä koostettuja tietoja sisältäviä raportteja, mm. ARES-rekisterissä olevia asiakirjoja, säilytetään 10 vuoden ajan komission tiedostoja koskevan yhteisluettelon mukaisesti (SEC(2019) 900/2). Ne arkistoidaan komission lakisääteisten sääntöjen mukaisesti ja tallennetaan ARES-järjestelmään (Advanced Records System), joka on komission pääsihteeristön vastuulla (lisätietoja löytyy komission asiakirjojen hallinnointia ja niiden säilyttämistä lyhyellä ja keskipitkällä aikavälillä koskevasta selosteesta ”Management and (short- and medium-term) preservation of Commission documents”, viitenumero DPR-EC-00536).
Miten henkilötiedot suojataan?
Kaikki sähköisessä muodossa olevat henkilötiedot (sähköpostiviestit, asiakirjat, tietokannat, verkkoon ladatut tiedot tms.) tallennetaan komission palvelimille. Kaikessa tietojen käsittelyssä sovelletaan viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa 10. tammikuuta 2017 annettua komission päätöstä (EU, Euratom) 2017/46.
Komission toimeksisaajien on noudatettava komission puolesta henkilötietoja käsitellessään erityistä sopimuslauseketta ja salassapitovelvoitteita, joista säädetään yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 27. huhtikuuta 2016 annetussa Euroopan parlamentin ja neuvoston asetuksessa 2016/679.
Komissio suojaa henkilötietoja monenlaisin teknisin ja hallinnollisin toimenpitein. Teknisillä toimenpiteillä varmistetaan verkkoturvallisuus ja pienennetään tietojen häviämisen, muuttamisen ja luvattoman käytön riskiä. Toimenpiteissä otetaan huomioon tietojen käsittelystä johtuvat riskit ja käsiteltävien tietojen luonne. Hallinnollisilla toimenpiteillä varmistetaan, että pääsy henkilötietoihin on vain valtuutetuilla henkilöillä, joilla on perusteltu tarve saada tiedot käsittelyä varten.
Kenellä on pääsy henkilötietoihin, ja kenelle niitä luovutetaan?
Henkilötietoihin voivat tutustua EU:n instituutioiden valtuutetut työntekijät sekä niiden käsittelystä vastaavat toimeksisaajat tiedonsaantitarpeen perusteella. Nämä työntekijät ja toimeksisaajat noudattavat luottamuksellisuutta koskevia sääntöjä ja tarvittaessa myös muita salassapitosopimuksia.
Oppisopen palvelujen käyttäjien henkilötietoihin voivat tutustua niin ikään komission valtuutetut työntekijät, jotka suorittavat näihin palveluihin liittyviä jatkotoimia.
Kun käyttäjä tilaa julkaisuja, käyttäjän nimi, postiosoite ja puhelinnumero toimitetaan EU:n julkaisutoimistoon, joka lähettää pyydetyt julkaisut toimeksisaajansa kautta (ks. DPR-EC-00449).
Joissakin tapauksissa toimeksisaaja voi saada Oppisoppi-palvelun käyttäjien antamat henkilötiedot tiedonsaantitarpeen perusteella. Näin voidaan toimia esimerkiksi silloin, jos komissio antaa toimeksisaajan tehtäväksi vastata palautteeseen tai auttaa keskustelufoorumin moderoinnissa.
Mitkä ovat oikeutesi henkilötietojesi suhteen?
Käyttäjällä on 'rekisteröidyn' oikeudet, joista säädetään asetuksen (EU) 2018/1725 III luvussa (14–25 artikla). Tässä yhteydessä käytettävissä ovat seuraavat oikeudet:
- oikeus saada nähdä omat henkilötietonsa (asetuksen (EU) 2018/1725 17 artikla)
- oikeus oikaista omia henkilötietoja, jos niissä on virheitä tai puutteita (asetuksen (EU) 2018/1725 18 artikla)
- oikeus poistaa omat henkilötietonsa (asetuksen (EU) 2018/1725 19 artikla)
- tietyissä tapauksissa oikeus rajoittaa omien henkilötietojen käsittelyä (asetuksen (EU) 2018/1725 20 artikla)
- oikeus siirtää tiedot järjestelmästä toiseen (asetuksen (EU) 2018/1725 22 artikla).
Jos olet antanut Euroopan komissiolle suostumuksesi tätä tietojenkäsittelyä varten, voit perua sen milloin tahansa ilmoittamalla siitä rekisterinpitäjälle. Suostumuksen peruminen ei vaikuta perumista edeltävän tietojen käsittelyn laillisuuteen.
Voit oikeuksiasi koskevissa asioissa ottaa yhteyttä rekisterinpitäjään tai riitatilanteessa komission tietosuojavastaavaan. Tarpeen mukaan voit myös kääntyä Euroopan tietosuojavaltuutetun puoleen. Yhteystiedot ovat kohdassa 9.
Ilmoita oikeuksia koskevissa yhteydenotoissa, mistä käsittelytoimista on kyse (eli mainitse rekisteriviite, joka annetaan kohdassa 10).
Yhteystiedot
Rekisterinpitäjä
Jos haluat käyttää asetuksen (EU) 2018/1725 mukaisia oikeuksiasi tai sinulla on kysymyksiä, kommentteja tai ongelmia tai haluat tehdä valituksen henkilötietojesi keräämisestä ja käytöstä, ota yhteyttä rekisterinpitäjään: Euroopan komission viestinnän pääosasto, yksikkö A.2 (COMM-A2ec [dot] europa [dot] eu (COMM-A2[at]ec[dot]europa[dot]eu)).
Komission tietosuojavastaava
Voit ottaa yhteyttä tietosuojavastaavaan (DATA-PROTECTION-OFFICERec [dot] europa [dot] eu (DATA-PROTECTION-OFFICER[at]ec[dot]europa[dot]eu)) asioissa, jotka liittyvät asetuksen (EU) 2018/1725 mukaiseen henkilötietojen käsittelyyn.
Euroopan tietosuojavaltuutettu (EDPS)
Jos katsot, että rekisterinpitäjän suorittama henkilötietojesi käsittely on johtanut asetuksen (EU) 2018/1725 mukaisten oikeuksiesi loukkaamiseen, voit tehdä kantelun Euroopan tietosuojavaltuutetulle (edpsedps [dot] europa [dot] eu (edps[at]edps[dot]europa[dot]eu)).
Lisätietoja henkilötietojen käsittelystä
Komission tietosuojavastaava pitää julkista rekisteriä komission kaikista henkilötietojen käsittelytoimista, jotka on dokumentoitu ja joista on ilmoitettu tietosuojavastaavalle. Rekisteriin voi tutustua osoitteessa http://ec.europa.eu/dpo-register
Tämä nimenomainen käsittelytoimi on kirjattu tietosuojavastaavan julkiseen rekisteriin viitteellä DPR-EC-03612.