Add data protection md

src/server/routes/index.ts

@@ -8,6 +8,7 @@ import initializeSentry from '../util/sentry'
 import errorHandler from '../middleware/error'
 import accessLogger from '../middleware/access'
 import thesisRouter from './thesis'
+import loginRouter from './login'
 
 const router = express()
 
@@ -29,6 +30,7 @@ router.get('/error', () => {
 })
 
 router.use('/theses', thesisRouter)
+router.use('/login', loginRouter)
 
 router.use(SentryHandlers.errorHandler())
 router.use(errorHandler)

src/server/routes/login.ts

@@ -0,0 +1,18 @@
+import express from 'express'
+import passport from 'passport'
+
+import { PUBLIC_URL } from '../../config'
+
+const loginRouter = express.Router()
+
+loginRouter.get('/', passport.authenticate('oidc'))
+
+loginRouter.get(
+  '/callback',
+  passport.authenticate('oidc', { failureRedirect: PUBLIC_URL || '/' }),
+  (_, res) => {
+    res.redirect(PUBLIC_URL || '/')
+  }
+)
+
+export default loginRouter

tietosuojaseloste.md

@@ -0,0 +1,68 @@
+# GRAPA - GRAdut Pikaisesti Alkuun
+
+## Rekisterin nimi
+
+GRAPA - GRAdut Pikaisesti Alkuun
+
+Tallennamme ja käsittelemme Helsingin yliopiston työntekijöiden henkilötietoja EU:n tietosuojaasetuksen mukaisesti.
+
+## Rekisterinpitäjä
+
+Helsingin yliopisto, Tietojenkäsittelytieteen osasto
+
+PL 68 (Pietari Kalmin katu 5)
+00014 HELSINGIN YLIOPISTO
+
+## Rekisteriasioista vastaava henkilö
+
+Matti Luukkainen, [email protected]
+
+## Henkilötietojen käsittelyn tarkoitus
+
+Asiakasrekisteriin tallennettuja henkilötietoja käytetään käyttäjien henkilöllisyyden ja käyttöoikeuksien tarkistamiseen.
+
+## Rekisterin tietosisältö
+
+Henkilötiedot:
+
+- Etu- ja sukunimi
+- Sähköpostiosoite
+
+Muu tietosisältö:
+
+- Riskiarviointilomakkeen tiedot; kysymys, monivalintavastaus
+
+## Säännönmukaiset tietolähteet
+
+Rekisterinpitäjä tallentaa asiakasrekisteriin ne tiedot, jotka asiakas luovuttaa kirjautuessaan sovellukseen ja käyttäessään sovellusta.
+
+Annetut vastaukset saadaan riskiarviointilomakkeen täyttäjältä.
+
+## Henkilötietojen tallentaminen, säilyttäminen, suojaaminen ja käsittely
+
+Henkilötiedot on suojattu asiattomalta pääsyltä ja käsittelemiseltä. Tiedot säilytetään Suomessa. Henkilötietojen käsittelyssä on huomioitu EU:n tietosuoja-asetuksen vaatimukset. Tietosisällöstä tallennetaan varmuuskopioita. Rekisterinpitäjä tallentaa ehyttä ja luotettavaa tietoa, esimerkiksi varmuuskopioiden kautta varmennettuna
+
+## Tietojen siirto EU:n tai ETA:n ulkopuolelle
+
+Henkilötietoja ei siirretä EU:n tai ETA alueen ulkopuolelle.
+
+## Rekisterin suojauksen periaatteet
+
+Sovelluksen yhteydessä olevaa rekisteriä ylläpidetään teknisenä tallenteena salatun tietoliikenneyhteyden kautta salasanoin ja palomuurein suojattuina.
+Järjestelmään tallennettuihin tietoihin pääsevät ja niitä ovat oikeutettuja käyttämään vain nimetyt riskiarviointijärjestelmää työssään käyttävät ja järjestelmän ylläpidosta vastaavat yliopiston henkilökuntaan kuuluvat henkilöt.
+
+Rekisteriin sisältyvät henkilötiedot säilytetään luottamuksellisina. Rekisterin käyttö on ohjeistettu ja henkilörekisteriin pääsy on rajattu siten, että järjestelmään tallennettuihin rekisterin sisältämiin tietoihin pääsevät käsiksi ja niitä ovat oikeutettuja käyttämään vain ne henkilöt, joilla on tehtäviensä puolesta siihen oikeus ja jotka tarvitsevat tietoja tehtävässään. Henkilötietoja käsittelevällä henkilöstöllä on vaitiolovelvollisuus.
+
+Järjestelmään sisäänpääsy edellyttää rekisterin käyttäjältä käyttäjätunnuksen ja salasanan syöttämistä. Palvelinympäristö on suojattu salasanoilla ja asianmukaisella palomuurilla. Palvelimen ja käyttäjän koneen välinen tietoliikenne kulkee salattuna. Lisäksi rekisterinpitäjän tietoverkko ja laitteisto, jolla rekisteri sijaitsee, on suojattu palomuurilla ja muiden teknisten toimenpiteiden avulla. Henkilötietoja sisältävien aineistojen hävitys tehdään tietoturvallisesti.
+
+## Tarkastusoikeudet
+
+Asiakkaana sinulla on oikeus saada pääsy itseäsi koskeviin henkilötietoihin, mukaan lukien oikeus saada jäljennös sinua koskevista henkilötiedoista; pyytää itseäsi koskevien henkilötietojen oikaisemista tai poistamista ja tietyin edellytyksin pyytää käsittelyn rajoittamista tai vastustaa henkilötietojen käsittelyä. Tiedot luovutetaan asiakkaalle ymmärrettävässä muodossa ja aina kirjallisesti.
+
+## Oikeus vaatia tiedon korjaamista
+
+Rekisterinpitäjä oikaisee, poistaa tai täydentää rekisterissä olevan, käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon oma-aloitteisesti tai rekisteröidyn vaatimuksesta. Rekisteröidyn tulee ottaa yhteyttä rekisterinpitäjään tiedon korjaamiseksi.
+
+## Muut henkilötietojen käsittelyyn liittyvät oikeudet
+
+Rekisteröidyllä on myös oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja tässä rekisteriselosteessa mainittuihin tarkoituksiin, ellei tietojen käsittelyyn ole muuta lakiin, viranomaismääräykseen tai vastaavaan liittyvää perustetta. Markkinointikieltoja (soitto, painettu suoramarkkinointi, tekstiviesti ja sähköposti) koskevat tietojen korjauspyynnöt osoitetaan henkilökohtaisesti sähköpostitse. Lisäksi rekisteröidyllä on oikeus tehdä valitus henkilötiedon käsittelystä asianmukaiselle valvontaviranomaiselle.