Henkilötietojen käsittely Vantaan kaupunginkirjastossa

Kirjastojärjestelmään tallennettujen henkilötietojen käsittelyn tarkoituksena on kirjastopalveluiden järjestäminen. Kirjastot käyttävät rekisteriä lainauksenvalvontaan, perintään, tilastointiin, viestintään, verkko- ja mobiilipalveluiden, omatoimikirjastojen ja muiden kirjastopalveluiden tarjoamiseen sekä käyttäjien tunnistautumiseen.

Henkilötietojen käsittely perustuu Vantaan kaupunginkirjaston lakisääteisten velvoitteiden noudattamiseen eli velvoitteeseen tarjota kuntalaisille kirjastopalveluita. Tietosuojalain mukaan kirjastolla on oikeus rekisteröidä asiakkaan henkilötunnus.

Käsittelyn oikeusperusteet:
EU:n yleinen tietosuoja-asetus (2016/679) 6 artikla 1 kohta a, b ja c alakohta, käsittely on tarpeen
rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
Tietosuojalaki (1020/2018) 6 §
Laki yleisistä kirjastoista (1492/2016)
Laki viranomaisten toiminnan julkisuudesta (621/1999)

Kirjastokorttia hankittaessa Helmet-kirjastojen asiakasrekisteriin tallennetaan:

• nimi
• henkilötunnus
• asiakastunnus
• tunnusluku salattuna
• osoite
• puhelinnumero
• sähköpostiosoite
• syntymäaika
• asiakasryhmä (esim. lapsi, aikuinen, kotipalveluasiakas, laitos)
• sukupuoli (tilastollista käsittelyä varten)
• kielivalinta ja lähetystapa (asiakaspostin lähettämistä varten)

Jos asiakkaalla ei ole suomalaista henkilötunnusta, on kortti voimassa vuoden kerrallaan eikä henkilötunnusta tallenneta asiakasrekisteriin.

Asiakkaan käyttäessä korttiaan rekisteriin tallentuvat:

• lainauksenvalvonnan tapahtumatiedot, tiedot voimaolevissa lainoista ja varatusta aineistosta
• selvittämättömät asiat (esim. maksamattomat maksut) ja niihin liittyvät huomautukset

Alle 15-vuotiaan lapsen vastuuhenkilönä toimivan henkilön sekä laitoksen tai muun yhteisön yhteyshenkilönä toimivan henkilötiedot rekisteröidään vastaavasti.

Osa rekisteritiedoista on asiakkaan käytössä kirjastojen verkkopalvelussa osoitteessa helmet.fi. Asiakas tarvitsee asiakastunnuksen ja henkilökohtaisen tunnusluvun tietojensa katseluun.

Tiedot saadaan asiakkaalta. Asiakas voi myös itse päivittää osan rekisterin asiakastiedoista kirjastojen verkkopalvelussa osoitteessa helmet.fi. Päivittäminen edellyttää, että asiakkaalla on asiakastunnus ja henkilökohtainen tunnusluku. Asiakkaan antamat (osoite)tiedot voidaan tarkistaa ja päivittää väestötietojärjestelmästä.

Henkilötietojen antaminen on välttämätöntä Helmet- kirjastokortin saamiseksi.

Vantaan kaupunginkirjasto huolehtii omistamansa palauttamattoman aineiston perinnästä. Perintätoimistolle luovutetaan linjasiirtona kerran viikossa tiedot täysi-ikäisistä rekisteröidyistä, joiden lainaama aineisto on palauttamatta 60 vuorokauden kuluttua eräpäivästä. Tiedosto sisältää rekisteröidyn nimen, osoitteen, puhelinnumeron ja henkilötunnuksen sekä eräpäivä-, nimeke- ja hintatiedot palauttamattomasta aineistosta.

Henkilötietoja käsittelevät kirjaston tarjoamien ja asiakkaan käyttöön ottamien palveluiden toimittajat:

• kirjastojärjestelmän ohjelmistotoimittaja
• kirjastojärjestelmän käyttöpalvelun toimittaja
• lainaus- ja palautusautomaattien toimittajat
• RFID-teknologiaa hyödyntävien palautus- ja varaushyllyjen toimittajat
• omatoimikirjastojen toimittajat
• verkkopalveluiden toimittajat
• mobiilipalveluiden toimittajat
• verkkomaksupalveluiden toimittaja
• e-aineistojen toimittajat
• asiakaskäyttöön tarkoitettujen laitteiden toimittajat

Lisäksi anonymisoitua käyttödataa luovutetaan suosittelupalveluiden toteuttamiseen sekä tilastointiin ja tutkimukseen.

Edellä mainituista palveluista on solmittu Helmet- sopimukset toimittajien kanssa. Osa palveluntarjoajista toimii myös EU:n tai ETA:n ulkopuolella. Henkilötietoja voidaan luovuttaa tahoille, joilla on lain mukaan oikeus saada tiedot, esimerkiksi kaupungin sosiaalihuollollelastensuojelulain perusteella tai poliisille poliisilain perusteella. Tietoja ei koskaan luovuteta ulkopuolisille tahoille markkinointi- tai muihin kaupallisiin tarkoituksiin.

Henkilötietojen tietoturva ja tietosuoja on varmistettu erilaisin teknisin ja organisatorisin toimenpitein. Henkilötietoja saavat esimerkiksi käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin yksittäinen tehtävä sitä edellyttää. Henkilökunnalla on myös salassapito- ja vaitiolovelvollisuus, joka jatkuu työ- ja virkasuhteen päättymisen jälkeen.

Tapauksissa, joissa henkilötietojen käsittelijä käsittelee henkilötietoja Vantaan kaupungin lukuun, asianmukaisesta tietoturvan ja tietosuojan tasosta on sovittu käsittelijän kanssa tehdyssä sopimuksessa. Pääsääntöisesti tietoja käsitellään vain EU:n tai ETA:n alueella, mutta käsittelijä voi siirtää tietoja myös EU:n tai ETA:n ulkopuolelle. Siirto on kuitenkin sallittu vain, kun siirto täyttää sille tietosuojalainsäädännössä ja sopimuksessa asetetut vaatimukset, joilla varmistetaan riittävä henkilötietojen suojan taso.

On mahdollista, että suojauksesta huolimatta henkilötiedot voivat poikkeustapauksessa joutua tietoturvaloukkauksen kohteeksi sekä ulkopuolisen haltuun. Näissä tilanteissa Vantaan kaupunki ryhtyy välittömästi toimenpiteisiin tilanteen korjaamiseksi ja tekee tarvittavat ilmoitukset kansalliselle tietosuojavaltuutetulle ja rekisteröidyille. Vantaan kaupunki ilmoittaa loukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä heti ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Mikäli loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, Vantaan kaupunki ilmoittaa loukkauksesta rekisteröidyille ilman aiheetonta viivytystä. Tällöin kaupunki ilmoittaa tietojen vuotamisesta niille rekisteröidyille, joiden tietoihin tietoturvaloukkaus kohdistuu. Jos tietovuoto koskee suurta ihmisjoukkoa, eikä asia vaadi rekisteröidyiltä välittömiä toimenpiteitä, tietoturvaloukkauksesta voidaan ilmoittaa myös yleisellä tiedotteella.

Asiakkaan ennakkotietoina kirjaston verkkopalvelussa rekisteröimät henkilötiedot poistetaan kolmen kuukauden kuluttua, jos asiakas ei ole noutanut kirjastokorttiaan. Rekisteristä poistetaan asiakastiedot, joita asiakas ei ole käyttänyt kolmeen vuoteen ja joihin ei liity selvittämättömiä asioita (esim. maksamattomia maksuja). Poistot tehdään kerran vuodessa.

Tietoja ei käytetä profilointiin tai automaattiseen päätöksentekoon.

Asiakkaalla on oikeus tarkistaa, mitä tietoja hänestä on tallennettu kirjaston asiakasrekisteriin. Tiedot voi tarkistaa kirjaston asiakaspalvelussa, kun on todistanut henkilöllisyytensä esittämällä kirjaston hyväksymän voimassa olevan henkilötodistuksen. Alle 15-vuotiaan vastuuhenkilöllä on oikeus saada tietoa vastattavansa myöhässä olevista lainoista ja maksamattomista maksuista.

Laitoksen tai yhteisön vastuuhenkilöllä on oikeus tarkistaa laitoksen tai yhteisön tiedot.

Rekisteröidyllä on käsittelyperusteesta riippuen oikeus

• tarkastaa, mitä tietoja käsitellään
• vaatia virheellisten tai epätarkkojen tietojen oikaisemista
• vaatia tietojen poistamista
• vaatia tietojen käsittelyn rajoittamista
• vastustaa tietojen käsittelyä
• oikeus saada tiedot ja siirtää ne toiselle rekisterinpitäjälle sekä peruuttaa antamansa
• suostumus milloin tahansa, jos käsittely perustuu suostumukseen.

Oikeuksien käyttäminen on lähtökohtaisesti maksutonta.

Jos epäilet, että henkilötietojasi käsitellään lainvastaisesti, voit tehdä valituksen valvontaviranomaiselle siinä EU:n jäsenvaltiossa, jossa vakituinen kotipaikkasi tai työpaikkasi on tai jossa katsot säännösten rikkomisen tapahtuneen. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Lisätietoa ja ohjeita valituksen tekemiseen saat tietosuojavaltuutetun toimiston verkkosivuilta ja puhelinneuvonnasta:

Tietosuojavaltuutetun toimisto / www.tietosuoja.fi
Käyntiosoite: Ratapihantie 9, 00520 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Sähköposti: tietosuoja(at)om.fi
Puhelin (vaihde): 029 566 6700
Puhelin (neuvonta yksityishenkilöille): 029 566 6777

Lisätietoja henkilötietojen käsittelystä saat alla mainitulta yhteyshenkilöltä. Otathan ystävällisesti huomioon, että sähköposti ei ole turvallinen väline henkilötietojen käsittelyyn, joten ethän lähetä esimerkiksi henkilötunnusta tai arkaluonteista tietoa sähköpostilla.

Yhteyshenkilö
Leena Toivonen
Kirjastopalveluiden päällikkö
Vantaan kaupunginkirjasto, Lummetie 4, 01300 Vantaa
leena.toivonen(at)vantaa.fi

Rekisterinpitäjä on Vantaan kaupungin kaupunkikulttuurilautakunta. Rekisterinpitäjän ja Vantaan kaupungin tietosuojavastaavan yhteystiedot löydät alta:

Rekisterinpitäjä Tietosuojavastaava
Vantaan kaupunki Mikael Valtomaa, lakimies
Kaupunkikulttuurilautakunta etunimi.sukunimi(at)vantaa.fi
Y-tunnus 0124610-9 puh. 040 071 3358
Asematie 7, 01300 Vantaa

Kirjaamo
Postiosoite: PL 1100, 01030 Vantaan kaupunki
Käyntiosoite: Tikkurilan Vantaa-info, Dixi, Ratatie 11,
2. krs, 01300 Vantaa.
Puhelin (vaihde): 09 839 11
Faksi 09 8392 4163, sähköposti: kirjaamo(at)vantaa.fi