Skip to content

CSC:n EUDAT-palveluiden henkilötietojen suojatoimet#

Tämä dokumentti päivitetty 27.1.2026

1. Tarkoitus#

Tämä kuvaus henkilötietojen suojatoimista (technical and organisational security measures, TOMs) on osa Tietosuoja-asetuksen (EU) 2016/679 artiklan 28 tarkoittamaa rekisterinpitäjän ja käsittelijän sopimusta henkilötietojen käsittelystä. Alla on lueteltu suojatoimet, jotka CSC toteuttaa EUDAT-palveluissa nimeltä CDI B2SHARE, B2SHARE Premium ja B2DROP Premium. Nämä EUDAT-palvelut mahdollistavat aineistojen jakamisen muiden hyödynnettäväksi. Aineiston omistajalla ja rekisterinpitäjällä on viime kädessä vastuu aineiston käsittelystä lakien ja muiden velvoitteiden mukaisesti.

Henkilötietojen käsittelijällä on oikeus muuttaa suojatoimenpiteitä yksipuolisesti ja ilman erillistä ilmoitusta, kun muutokset säilyttävät suojauksen tason tai parantavat sitä. Yksittäinen suojatoimi voidaan korvata toisella, kun se ei heikennä henkilötietojen suojausta. CSC voi tehdä muutoksia tähän kuvaukseen, mikäli henkilötietojen suojatoimia muutetaan.

Tässä suojatoimien kuvauksessa käytettävän terminologian selitykset löytyvät CSC:n tutkimuksen ja opetuksen palvelujen yleisten käyttöehtojen terminologiasta.

2. EUDAT-palveluiden suojatoimet#

2.1. Yleistä#

  • CSC:n suorittamat käsittelytoimet sovitaan kirjallisesti.
  • EUDAT B2DROP Premium ja EUDAT B2SHARE Premium -palveluiden henkilötietojen käsittelystä sovitaan palvelusopimuksissa, esimerkiksi seuraavasti:
    • Tilaaja vastaa siitä, että käsiteltävien henkilötietojen käsittelyn kohde, luonne ja tarkoitus, sekä henkilötietojen tyypit ja rekisteröityjen ryhmät kuvataan asiakirjassa Käsittelytoimien kuvaus.
    • Palvelussa ei käsitellä Tietosuoja-asetuksen 9 ja 10 artiklassa lueteltuja Erityisiin henkilötietoryhmiin kuuluvia tai muuten hyvin henkilökohtaisia tietoja.
  • CDI B2SHARE -palvelussa henkilötietojen käsittely on määritelty käyttöehdoissa ja Tietosuojaselosteessa.
  • CSC:n tuottamien EUDAT-palveluiden Tietosuojaselosteet
  • Palvelun jatkuvuus toteutetaan teknisin ja organisatorisin keinoin, joiden ajantasaisuus sekä toimivuus varmistetaan vähintään vuosittain.
  • CSC ylläpitää oman henkilöstönsä pääsyoikeuksia roolipohjaisesti. Pääsy tietoihin annetaan vain niille, joiden työtehtäviin käsittely kuuluu ja vain siinä laajuudessa kuin se työtehtävien hoitamiseksi on välttämätöntä. Pääsyoikeudet katselmoidaan määräajoin.
  • Henkilötietoihin pääsevät vain tunnistetut käyttäjät, ellei sisältö ole avattu julkisesti kaikkien saataville käyttäjän toimesta. Käyttäjä vastaa siitä, että hänellä on mahdollisia henkilötietoja julkaistessaan oikeus niiden julkaisuun.
  • Palveluiden ylläpidosta syntyy käyttäjän henkilötietoja sisältäviä lokeja.
  • Henkilötietoja sisältäviä lokitietoja säilytetään enintään 5 vuotta ja sitä vanhemmat poistetaan.
  • Henkilötietoja käsittelevien tietosuojaosaamista ylläpidetään säännöllisin väliajoin ja pakollisin koulutuksin, joiden suorituksia seurataan aika ajoin.
  • CSC:n henkilöstö noudattaa työssään Tietosuojalain 35 § mukaista vaitiolovelvollisuutta ja heitä sitoo myös hyväksikäyttökielto.
  • CSC:llä on tietosuojavastaava.
  • Tietojen siirto yleisessä tietoverkossa tehdään salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä.
  • Ohjelmistokehitystä tehdään hyvien käytäntöjen mukaisesti.
  • Muutokset tuotantoon tehdään sovitun muutoksenhallintaprosessin mukaisesti.
  • Kriittisen dokumentaation ajantasaisuus varmistetaan säännöllisillä katselmoinneilla.
  • Palveluille tehdään säännöllisesti haavoittuvaisuusskannauksia.
  • Järjestelmän haavoittuvuuksia seurataan, ja kriittiset korjaukset asennetaan välittömästi, kun korjaus on saatavilla.
  • Tietoturvapoikkeamien käsittelylle on oma prosessi.
  • Palvelujen eheyttä ja saatavuutta valvotaan erilliseen valvontajärjestelmään toteutetuilla kontrolleilla.
  • Palveluissa käytetään monikerroksista suojausta.
  • Tietojen tallennuspaikka on EU:ssa (Suomi).

2.2. Tietojen vastaanoton suojatoimet#

  • Sisältöjä otetaan vastaan vain rekisteröityneiltä käyttäjiltä, salattua tiedonsiirtoa hyödyntäen. Poikkeuksena B2DROP-palvelun rekisteröityjen käyttäjien jakamat rajatut kirjoitusoikeudet, joihin kirjoitusoikeus varmistetaan salasanalla.
  • B2SHARE-palvelussa syötettävät kuvailutiedot koodistoineen validoidaan ennalta määriteltyä tietomallia vasten.

2.3. Tietojen säilytyksen suojatoimet#

  • B2SHARE-palvelussa käyttäjä voi tarkastaa palveluun toimittamansa sisällöt (tiedostot) palvelun laskemaa tarkistussummaa vasten.
  • B2SHARE-palvelussa jokaisella käyttäjän tuottamalla tutkimusaineiston kuvailutietueella on ainutkertainen tunniste.
  • B2SHARE-palvelussa julkaistuille tutkimusaineistoille on palvelussa versiointisäännöt aineiston eheyden takaamiseksi. Jos julkaistun tutkimusaineiston tiedostot eivät ole enää kokonaisuudessaan saatavilla, esimerkiksi tiedostojen poistamisen vuoksi, aineisto merkitään vanhentuneeksi.
  • Palvelun konfiguraatiot säilyvät versionhallinnassa ja tietokannat varmuuskopioidaan säännöllisesti.
  • B2SHARE-palvelun säännöllisessä eheyden tarkastuksessa havaitut poikkeamiin puututaan viipymättä.

2.4. Tietojen käytön ja käsittelyn suojatoimet#

  • Jokaisella käyttäjällä on henkilökohtaiset tunnukset palveluun, ja palveluun pääsy on autentikoitu. Poikkeuksena ovat B2SHARE-palvelun haku-, katselu- ja lataustoiminnot, jotka koskevat käyttäjien avoimesti jakamaa sisältöä, eikä niiden käyttö vaadi autentikointia. B2SHARE-palvelussa väliaikaisesti pääsyrajattuun aineistoon (embargo) voi aineiston omistaja jakaa väliaikaisen lukuoikeuden toiselle käyttäjälle, jolta ei vaadita tunnistautumista. B2DROP-palvelussa autentikoidut käyttäjät voivat jakaa rajallista käyttöoikeutta, joissa salasanasuojaus.
  • Jokainen rekisteröitynyt käyttäjä hyväksyy käyttöehdot, jotka kuvaavat palvelun käyttöön liittyvät vastuut ja rajoitukset.
  • Rajapintojen yhteydenottopyynnöt lokitetaan.
  • Käyttöoikeudet palvelun sisällä ovat käyttäjien hallinnoitavissa käyttöoppaissa kuvatuilla tavoilla.
  • Käyttäjä vastaa niiden käyttäjien ohjeistuksesta sekä ohjeistuksen valvonnasta, joille hän on myöntänyt pääsyoikeudet sisältöön.
  • Sisältöjen eheyden varmistamiseksi tehdyt toimenpiteet kirjataan ja niistä tiedotetaan käyttäjiä.

2.5. Tietojen jakelun suojatoimet#

  • Käyttäjät päättävät itse palveluun tuomiensa sisältöjen avoimuudesta, jakamisesta ja käyttöpolitiikasta. Aineiston omistajalla ja rekisterinpitäjällä on vastuu aineiston käsittelystä voimassa olevan lainsäädännön ja muiden velvoitteiden mukaisesti.
  • B2SHARE-palvelussa jokaisella käyttäjän julkaisemaan tutkimusaineistoon liittyvällä palvelussa säilytettävällä tiedostolla on tarkistussumma, joka on saatavilla tiedoston latauksen yhteydessä.

2.6. Tietojen hävityksen suojatoimet#

  • Käytön päätyttyä pääsy käyttäjän sisältöihin estetään. Jos muuta ei sovita, sisällöt hävitetään palvelun käyttöehtojen mukaisen suoja-ajan päätyttyä viipymättä ja pysyvästi.
    • B2SHARE-palvelussa julkaistut aineistot suositellaan siirrettäväksi toisen käyttäjän ylläpidettäväksi.
    • Poikkeuksena ovat B2SHARE-palvelussa tutkimusaineistojen julkaistut kuvailutiedot, joista säilytetään aina ns. muistosivu käyttäjän määrittämin kuvailutiedoin.
  • Käyttäjillä on oikeus pyytää käyttäjätunnuksen tietojen poistamista.
    • Premium-palveluissa käyttäjätunnuksen tiedot hävitetään käytön päätyttyä tilaajan kanssa sovitulla tavalla, tai suoja-ajan jälkeen.
    • B2SHARE -palvelussa käyttäjätunnuksen tiedot voidaan poistaa käyttäjän pyynnöstä, tai suoja-ajan jälkeen.