ÅBO AKADEMI
www.abo.fi

DATASKYDDSMEDDELANDE
enligt EU:s dataskyddsförordning GDPR, art. 13 och 14

Meddelandet gäller:

Beskrivning av ett system eller ett verktyg

Avtalshanteringssystemet Zefort

Personuppgiftsansvarig

Åbo Akademi
Domkyrkotorget 3
20500 Åbo
Finland

Åbo Akademi är personuppgiftsansvarig för de personuppgifter som samlas in och behandlas i universitetets verksamhet – i undervisning, handledning, forskning, administration och samverkan, internt och externt.

Ansvarig enhet för den behandling som beskrivs i detta dokument: ledningskansli

Kontaktperson: Ia Wilson, Jurist/Legal Counsel, Ledningskansliet, ia.wilson@abo.fi, +358 2 2153572.

Dataskyddsombud vid Åbo Akademi: dataskydd@abo.fi, +358 2 215 31 (växel).

Varför behandlar vi dina personuppgifter?

Personuppgifterna behandlas för att kunna garantera en effektiv avtalsprocess vid Åbo Akademi. För en effektiv avtalshantering vid Åbo Akademi behöver vi använda ett centraliserat system som verktyg. Avtalets kontaktperson måste vara en person som är bekant med avtalets innehåll, och bland annat denna person måste kopplas till avtalet för att säkerställa att rätt personer tar ansvar för att avtalet följs.

Enligt GDPR måste det finnas en rättslig grund för att behandla personuppgifter. Rättslig grund för att behandla dina personuppgifter är:

Berättigat intresse: Det är nödvändigt att behandla personuppgifter för ett ändamål som gäller Åbo Akademis eller en annan parts berättigade intresse. Dina personuppgifter kan behandlas bara om ett jämviktstest visat att skyddet av dina personuppgifter inte väger tyngre än det berättigade intresset.

Det berättigade intresset är i detta fall säkrandet av en effektiv avtalsprocess. En fungerande avtalsprocess innebär bland annat att Åbo Akademi systematiskt håller koll på de skyldigheter som Åbo Akademi förbundit sig till via avtal. I samband med att avtal hanteras är det nödvändigt att hantera personuppgifter för att uppnå detta syfte.

I detta dataskyddsmeddelande behandlas inte ändamålen med eller de rättsliga grunderna för de avtal som hanteras i avtalshanteringssystemet Zefort.

Ingen undantagsgrund behövs eftersom inga personuppgifter som hör till särskilda kategorier av personuppgifter behandlas.

Vilka personuppgifter behandlas och vem behandlar dem?

I Zefort behandlas akademiska och administrativa personalens personuppgifter när de loggar in i systemet med sitt ABO-användarnamn. Avtalen kan innehålla kontaktuppgifter (namn, e-postadress, telefonnummer) till studerande, anställda och/eller externa avtalsparter. För personer (interna eller externa) som undertecknar avtal via Zeforts eget underteckningssystem ZefortSign, behandlas namn, e-postadress och tidpunkt för underteckning.

För användarnas del behandlas också lösenord (lösenord i sig självt inte är en personuppgift men kan bli en personuppgift i kombination med andra uppgifter).

Vid Åbo Akademi får endast personer med administrativa licensrättigheter tillgång till logg-uppgifter. Andra systemanvändare kan se personuppgifter för de avtal som de har rätt att se. Personer som undertecknar avtal via ZefortSign (kan vara både ÅA-interna eller externa personer) kan se innehållet och därmed personuppgifter som ingår i avtalet. Personuppgifterna insamlas i Zefort som ägs av det finländska bolaget Aivan Innovations Oy. Zeforts infrastruktur körs på Linux-servrar. Endast utsedda medlemmar av Zefort-driftsteamet har tillgång till att konfigurera infrastrukturen efter behov.

Varifrån samlas dina personuppgifter in och hur blir de behandlade?

Uppgifterna hämtas från inloggning, loggning, underteckning och innehåll i avtal. Uppgifterna till användare insamlas från ÅA-användare via SSO-inloggning. När en ÅA-användare använder systemet sparas logg-uppgifter om användaren. När ÅA-användaren laddar upp ett avtal i systemet sparas användarens namn som kontaktperson till avtalet. Avtalet som laddas upp kan innehålla kontaktuppgifter till avtalets kontaktpersoner.

Om avtalet skickas ut för elektronisk underteckning via ZefortSign, sparas undertecknarens namn och e-postadress i avtalet. Personuppgifter behandlas tills avtalet (tillsammans med uppgifterna) manuellt raderas från systemet. Avtal ska raderas från systemet av avtalets kontaktperson 10 år efter att avtalstiden gått ut. De avtal som Åbo Akademi i sin informationsstyrningsplan definierat att ska förvaras varaktigt, ska överföras till ett e-arkiv för varaktig förvaring.

Överförs dina personuppgifter till en tredje part (utanför Åbo Akademi) för behandling?

ÅA är personuppgiftsansvarig. Aivan Innovations Oy är leverantör till Zefort och är därmed personuppgiftsbiträde.

Personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Lämnas dina personuppgifter ut till en tredje part (utanför Åbo Akademi) för den tredje partens behov?

Mycket av de avtal som finns vid Åbo Akademi utgör offentliga handlingar enligt lagen om offentlighet i myndigheternas verksamhet (621/1999). Uppgifterna kan lämnas ut till Åbo Akademis avtalspartners inom forskningsprojekt, till leverantörer eller till andra parter som behöver ta del av dem till följd av avtal mellan Åbo Akademi och den registrerade, på grund av en uppgift av allmänt intresse, som ett led i myndighetsutövning eller på grund av en rättslig förpliktelse som Åbo Akademi har.

En uppgift av allmänt intresse är en uppgift som Åbo Akademi måste uppfylla enligt lag eller beslut med stöd i lag, men som inte direkt ingår i Åbo Akademis myndighetsuppgifter. Åbo Akademi kommer inte att överlämna personuppgifter till andra parter utan rättslig grund.

Överförs dina personuppgifter utanför EU/EES?

Nej, personuppgifterna överförs inte utanför EU/EES.

Däremot kan det finnas situationer då avtal begärs ut på basen av offentlighetslagen (621/1999) där överföring av personuppgifter utanför EU/EES kunde bli aktuell.

Tilläggsinformation om hur registret, systemet eller verktyget hanteras av Åbo Akademi

Principer för hur uppgifterna skyddas:

Åbo Akademi har upprättat regelverk för säker hantering av information. Dessa regelverk är bland annat datassäkerhetspolicyn och anvisning för lagring och hantering av information vid Åbo Akademi.

Datasäkerhetspolicyn definierar datasäkerhetens mål, ansvarsområden och tillämpning inom Åbo Akademi.

De vid akademin ikraftvarande reglerna och instruktionerna är dels ÅA-specifika, dels har de utarbetats i samråd med de övriga finska högskolorna. Till exempel fastslår användningsvillkoren för IT-tjänster användarens rättigheter och ansvar.

Personer med tillgång till systemet har i regel grundläggande kunskaper i avtalsprocessen och avtalshantering vid Åbo Akademi.

Principer och regelverk för lagring och lagringstid:

Person som är insatt som kontaktperson till avtalet ska regelbundet gå igenom sina avtal och förstöra uppgifterna. Då kontaktpersonen går igenom avtalen så ska vissa förstöras men vissa lagras varaktigt (överförs till kommande e-arkiv).

Enligt Arkivlag 831/1994 är det arkivbildaren som skall bestämma förvaringstiderna och förvaringssätten för handlingar som inkommer och uppstår till följd av skötseln av uppgifterna.

Personuppgifter behandlas tills avtalet (tillsammans med uppgifterna) manuellt raderas från systemet. Avtal ska raderas från systemet 10 år efter att avtalstiden gått ut. De avtal som Åbo Akademi i sin informationsstyrningsplan definierat att ska förvaras varaktigt, ska överföras till ett e-arkiv för varaktig förvaring.

Organisatoriska metoder:

Begränsad åtkomst till data och rollbaserade rättigheter.

Åbo Akademi har upprättat anvisningar för användningen av avtalshanterinssystemet Zefort. Dessa anvisningar är ämnade för de personer som hanterar personuppgifter.

Tekniska metoder:

Data skickas och tas emot över säkra protokoll.

Säkerhetskopiering:

Leverantören säkerhetskopierar data en gång per timme.

Vilka rättigheter har du när Åbo Akademi behandlar dina personuppgifter?

Åbo Akademi ansvarar för att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig eller olaglig behandling och mot skada på eller förlust av personuppgifter. Personuppgifter ska alltid behandlas på ett rättvist och öppet sätt i enlighet med gällande dataskyddsbestämmelser.

Enligt EU:s dataskyddsförordning GDPR (art. 12–22) har du rätt att

• få klar och tydlig information om hur dina personuppgifter behandlas och hur du kan utöva dina rättigheter (art. 12)
• få tillgång till dina personuppgifter vid Åbo Akademi och information om behandlingen (art. 15)
• få dina personuppgifter korrigerade (art. 16). Obs! Du som är anställd eller studerande vid Åbo Akademi kan göra korrigeringar själv, enligt anvisningar på intranätet.
• få dina uppgifter raderade (”rätten att bli bortglömd”) i vissa situationer (art. 17)
• begränsa behandlingen av dina personuppgifter i vissa situationer (art. 18)
• få personuppgifterna överförda mellan system i vissa situationer (art. 20)
• invända mot behandlingen av dina personuppgifter i vissa situationer (art. 21)
• inte bli föremål för automatiskt beslutsfattande, med vissa undantag (art. 22)

Du har också rätt att bli informerad om en personuppgiftsincident som innebär hög risk för dina personuppgifter (art. 34).

När ändamålet med behandlingen är vetenskaplig forskning, statistik eller arkivändamål kan rättigheterna vara begränsade med stöd av dataskyddslagen (1050/2018). Begränsningar i rättigheterna förutsätter alltid särskilda skyddsåtgärder.

Om du har frågor om dina rättigheter kan du kontakta den ansvariga kontaktpersonen (se ovan) eller Åbo Akademis dataskyddsombud (dataskydd@abo.fi). Se också den övergripande informationen om behandling av personuppgifter på Åbo Akademis webbsidor.

Du har rätt att framföra klagomål till dataskyddsmyndigheten om du anser att dina personuppgifter blivit olagligt behandlade enligt EU:s dataskyddsförordning GDPR.

Kontaktuppgifter till dataskyddsmyndigheten:
Dataombudsmannens byrå
PB 800
00531 Helsingfors
+358 29 566 6700 (växel)
tietosuoja@om.fi
tietosuoja.fi