Tämä ohje liittyy Oulun yliopiston ja Oulun ammattikorkeakoulun tietoaineistojen käsittelyohjeeseen.

Huomioita henkilötietojen käsittelyyn liittyen

Henkilötietojen käsittelyssä on aina noudatettava erityistä huolellisuutta. Jos yksiköillä tai tiedekunnilla on tarve poiketa tämän ohjeistuksen linjauksesta tiedon käsittelysijainnin osalta, on suunnitellusta henkilötietojen käsittelystä syytä tehdä erillinen tietosuojan ennakkoarviointi tai Tietosuoja-asetuksen mukainen tietosuojan vaikutustenarviointi (Lisätietoa: Tietosuoja (Oulun yliopiston Patio-intranet) ja Tietosuoja (Oamkin intra Heimo). Tietosuojan ennakkoarvioinnin tai tietosuojan vaikutustenarvioinnin tulosten pohjalta vastuullinen taho voi päättää, voidaanko tietoaineistoa käsitellä kyseisellä palvelulla.

Tietoaineiston luokittelu sisällön perusteella

Luokittele tieto korkeimman tietoaineistossa esiintyvän tietotyypin luokan mukaiseksi. Kun tiedolle on valittu luokka, arvioi sisältääkö tieto kyseisen luokan tasoista henkilötietoa. Jos tietoaineisto sisältää kyseisen luokan tasoista henkilötietoa, luokittele tieto alaluokan henkilötieto avulla.

Esimerkkejä:

1. Jos Luottamuksellinen rajoitettu (2A) luokan tietoaineisto sisältää Luottamuksellinen rajoitettu (2A) -luokan henkilötietoja, tehdään luokittelu luokkaan Luottamuksellinen rajoitettu (2A) – Henkilötieto.
2. Jos Salainen (1R) luokan tietoaineisto sisältää Luottamuksellinen (3Y) -luokan henkilötietoja, tehdään luokittelu luokkaan Salainen (1R) – Muu tieto.

Rajoitettu pääsy -alaluokkaa käytetään vain, kun tiedosto on suojattava salauksella tai käyttöoikeudet on määritettävä dokumenttitasolla.

Sisältö ratkaisee, ei aineiston tyyppi (muistio, luonnos, tms.)

 Salainen (1R) – Muu tieto

• Tieto, jonka leviämisestä aiheutuisi vakavaa vahinkoa
• Erityisesti suojattavat liikesalaisuudet
• Sopimuksellisesti suojattu tieto omistajan määräämänä
• Poikkeustiladokumentaatio ja organisaatiot
• Korkeakoulun sisäistä turvallisuutta koskevat tiedot
• Henkilöiden ja rakennusten sekä suojaus ja turvajärjestelyt
• IT-järjestelmien suojaus ja turvajärjestelyt: Tietoturvadokumentaatio, Verkkodokumentaatio, Tietojärjestelmien tarkka tekninen dokumentaatio, Pääsyhallinnan tekninen dokumentaatio
• Viranomaisten turvaluokitellut tiedot

 Salainen (1R) – Henkilötieto

• Henkilötieto, jonka käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille
• Erityiset henkilötiedot, eli tiedot, joista ilmenee henkilön etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, terveyttä koskevia tietoja, seksuaalinen suuntautuminen tai käyttäytyminen, geneettisiä ja biometrisiä tietoja henkilön yksiselitteistä tunnistamista varten
• Sairauspoissaolotodistukset
• Palkkaan, taloudelliseen tilanteeseen, henkilön taloudelliseen asemaan ja maksuihin liittyvät tiedot
• Henkilökohtaisten ominaisuuksien arviointi
• Psykologisen testin tai soveltuvuuskokeen tulos
• Opiskelijahuoltoa tai oppilaan opetuksesta vapauttamista koskevat tiedot
• Opetukseen liittyvät suojeltavat aineistot
• Sosiaalihuollon asiakkuutta koskevat tiedot
• Rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot
• Salainen (1R) – Rajoitettu pääsy
• Salainen 1R -luokan muu tieto tai henkilötieto, joka suojataan ja jolle määritetään käyttöoikeudet dokumenttitasolla. Esimerkiksi:
• Luokan Salainen (1R) tutkimusyhteistyössä käsiteltävä tieto, joka vaatii erityistä suojaamista

 Luottamuksellinen rajoitettu (2A) – Muu tieto

• Luottamuksellinen tieto, johon pääsyä rajoitettava 3Y -luokan tietoa tarkemmin riskien vähentämiseksi
• Julkisuuslain salassa pidettävää tietoa, jos tiedon luottamuksellisuuteen tai pitkäaikaistallennukseen kohdistuu korkea riski
• Esimerkiksi järjestelmäsalkku, projektisalkku, tiedonhallintamalli
• NDA-materiaali
• Kanteluasiakirjat ennen asian ratkaisua
• Kolmansien osapuolten liike- tai ammattisalaisuudet
• Korkeakoulun omat liike- tai ammattisalaisuudet
• Korkeakoulun suojattavat immateriaalioikeudet (IPR)
• Onnettomuuksiin tai poikkeusoloihin varautuminen ja väestönsuojelu
• Keskeneräisiä riita- ja rikosasioita koskevat asiakirjat
• Hankinta-aineistot ennen niiden tulemista julkisiksi
• Tilinpitoon tai rahoitukseen liittyvä aineisto
• Tilastoviranomaiselle tilastojen laatimista varten annettu aineisto

 Luottamuksellinen rajoitettu (2A) – Henkilötieto

• Henkilötieto, johon kohdistuu erityisiä vaatimuksia ja johon pääsyä on rajoitettava 3Y -luokan tietoa tarkemmin riskien vähentämiseksi
• Henkilötunnus
• Alaikäisen lapsen tieto
• Luonnollisen henkilön maksuyhteystiedot, maksukorttitiedot
• Tiedot henkilön ilmoittamasta salaisesta puhelinnumerosta, turvakieltomerkityt yhteystiedot ja muut yhteystiedot, jos henkilö on perustellusta syystä pyytänyt niiden salassapitoa
• Tiedot henkilön osallistumisesta yhdistystoimintaan tai vapaa-ajan harrastuksista, perhe-elämästä tai muista niihin verrattavista henkilökohtaisista oloista
• Opiskelijan koe- ja tenttisuoritukset
• Opiskelijan henkilökohtainen opintosuunnitelma
• Opinnäytetyön ja tieteellisen tutkimuksen suunnitelma, (tekninen) kehittämistyö

 Luottamuksellinen (3Y) – Muu tieto

• Tuotetun tiedon oletusluokka, jonka M365-palveluiden luokitusjärjestelmä oletuksena leimaa dokumentin metadataan.
• Tiedot, joihin vain henkilökunnalla on pääsy ja johon pääsyä rajoitetaan organisaation sisällä (esim. rooliin liittyvä peruste, valtuus tai oikeus käsitellä tietoa)
• Erilaiset muistiinpanot ja luonnokset
• Kolmansilta osapuolilta saatu tieto, johon liittyen ei ole annettu erillisiä käsittelyohjeita
• Korkeakoulun sisäistä työskentelyä varten laaditut asiakirjat
• Projektien tiedot
• Korkeakoulun johto- tai ohjesäännössä mainitsemattoman johtoryhmän, työryhmän, projektiryhmän tai muun valmisteluryhmän työskentelymuistio
• Laajat tai kansallisesti pitkäaikaiset tutkimustietomassat riippumatta sisällöstä

Luottamuksellinen (3Y) – Henkilötieto

• Henkilön perustieto
• Käyttäjän identifioiva tunniste, nimi, sähköpostiosoite, puhelinnumero, työosoite
• Muut henkilötiedot, joihin vain henkilökunnalla on pääsy ja joihin pääsyä rajoitetaan organisaation sisällä, mutta joihin ei kohdistu erityisiä vaatimuksia kuten luokissa 2A ja 1R
• Yksilöivät käyttäjätunnukset kuten AD-tunnus
• Muu tieto, joka liittyy henkilöön ja on kerätty suoraan henkilöltä/henkilöstä (esim. ostohistoria, palvelun käyttöhistoria, käyttölokit, tieto henkilön antamasta suostumuksesta tai sen peruutuksesta)
• Tieto, joka ei suoraan yksilöi henkilöä, mutta jota yhdistelemällä muuhun tietoon voidaan yksilöidä tietty henkilö (esim. IP-osoite, joka voidaan yhdistää henkilön käyttämään laitteeseen ja siitä edelleen henkilöön)
• Työsuhteen perustiedot

Sisäinen (4G) – Muu tieto

• Tieto, joka voi olla saatavilla vapaasti kaikelle yhteisön jäsenille:
• Korkeakoulun sisäinen koulutusaineisto
• Intranetissä julkaistu sisältö
• Sisäiset uutiset
• Sisäiset ohjeet
• Opetusmateriaali, jota ei ole tarpeen jakaa anonyymilinkeillä

Sisäinen (4G) – Henkilötieto

• Henkilötieto, joka voi olla saatavilla vapaasti kaikille yhteisön jäsenille
• Organisaation tai henkilön omalla päätöksellä sisäiseksi tehty henkilötieto
• Esimerkiksi Intranetissä julkaistu yhteystieto

Avoin (5W) – Muu tieto

• Tieto, joka voi olla saatavilla vapaasti kaikelle yleisölle
• Organisaation tai henkilön omalla päätöksellä avoimeksi tehty tieto
• Esimerkiksi internet sivustolla julkaistavat tiedot, tiedotteet, julkaisut, dokumentit ja julkiseen käyttöön tarkoitetut ohjeet, someviestintä
• Opetusmateriaali, joka on jaettavissa anonyymilinkeillä

Avoin (5W) – Henkilötieto

• Avoin henkilötieto
• Organisaation tai henkilön omalla päätöksellä avoimeksi tehty henkilötieto
• Esimerkiksi julkisilla sivuilla julkaistu yhteystieto
• Henkilökohtainen
• Henkilökohtaiset tiedot yksityiseen käyttöön
• IT-palvelujen yksityinen käyttö on sallittu vähäisessä määrin ICT-palvelujen käyttösääntöjen mukaisesti

« Takaisin