OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA TYÖKIRJA II

Transkriptio

1 TYÖKIRJA ON TEHTY VRK:N KÄYTTÖÖN JA MENETTELYTAPOIHIN SOPIVAKSI TARKISTA SOPIVUUS OMAAN ORGANI- SAATIOON. HUOM! TYÖKIRJASSA EI OLE KAIKKIA ASETUKSEN VAATIMIA ASIOITA OTETTU HUOMIOON, KOSKA KAIKKI EIVÄT SO- VELLU VRK:N TOIMINTAAN. OLETUSARVOINEN JA SISÄÄNRAKENNETTU TIETOSUOJA I YLEISET SUUNTAVIIVAT 1 Johdanto Tämä työkirja on jatkoa edelliselle osalle Rekisteröidyn oikeudet, jossa käsitellään tietosuojaasetuksen vaatimuksia rekisteröidyn oikeuksien toteuttamiseksi. Työkirjan osia kannattaa käsitellä yhdessä, sillä ne täydentävät toisiaan. Aihepiirinsä vuoksi tämä työkirja on asiasisällöltään laajempi ja osin abstraktimpi kuin osa I. Tässä työkirjassa on esitelty toimia, joita oletusarvoisen ja sisäänrakennetun tietosuojan varmistamiseksi on tehtävä. Täydellistä listaa vaadittavista toimista ei voida tässä yhteydessä antaa yleisesti, vaan kunkin rekisterin ja järjestelmän erityispiirteet on luonnollisesti otettava vielä huomioon. Toimet eivät myöskään ole ehdottomia, vaan toimenpiteiden tarpeellisuutta arvioidaan rekistereittäin, riskipohjaisesti. Mikäli toimialueilla/palvelussa katsotaan, että joitakin vaatimuksia ei tulla toteuttamaan rekisterissä/tietojärjestelmässä/palvelussa, tulisi tästä konsultoida tietosuojasta vastaavaa henkilöä. Rekisterin ja järjestelmän erityispiirteitä on syytä tuoda esiin keskusteluissa tietosuojavastaavan tai yksikön juristin kanssa, jotta niiden vaikutuksia vaatimuksiin voidaan arvioida. On syytä korostaa, että tietojen käsittelyä on arvioitava ja dokumentoitava koko tiedon käsittelyn elinkaaren osalta. Palvelusta voi esimerkiksi syntyä erilaisia rekistereitä: varsinaisia tietokantoja/tietojärjestelmiä, palvelun käytöstä syntyviä tapahtumatietorekistereitä/lokirekistereitä ja tapahtumatietojen/lokitietojen käsittelystä syntyviä lokirekistereitä/lokinlokeja. Yhtä lailla henkilötietoja voidaan käsitellä tietojärjestelmien lisäksi manuaalisena aineistona, jonka asianmukaisesta käsittelystä on myös huolehdittava. 2 Vaatimustenmukaisuuden tarkistaminen organisaation toiminnassa Tämä ohjeistus jakaantuu kahteen osaan. Ensimmäisessä osassa kerrotaan asetuksen vaatimuksista yleisesti ja toisessa, työkirja-osassa annetaan suuntaviivat siihen, miten vaatimukset tulee toteuttaa organisaation toiminnassa ja mitä toimia tulee mahdollisesti tehdä. Toimet voivat olla niin järjestelmämuutoksia kuin dokumentaation laatimistakin. Käy läpi tarvittavan kattavalla henkilökokoonpanolla mainitut tehtävät ja vaatimukset. Tavoitteena on tunnistaa rekisteri- ja järjestelmäkohtaisesti oikeudet ja niiden toteutumisen taso tällä hetkellä. Kartoitus tulee tehdä alkusyksyn 2017 aikana. Mikäli oikeudet eivät tällä hetkellä olemassa olevissa henkilörekistereissä tai tietojärjestelmissä toteudu, tai voimassa oleva menettely tai ohjeistus ei vastaa asetuksen vaatimuksia, muutokset tulee saattaa voimaan ennen Raportoi tietosuojavastaavalle tai yksikkösi tietosuojasta vastaavalle henkilölle siitä, minkä rekisterin tai toiminnon osalta vaatimustenmukaisuuden katselmointi on suoritettu ja vaaditaanko toimenpiteitä. Kerro myös, missä aikataulussa ja miten mahdolliset toimenpiteet aiotaan toteuttaa.

2 organisaatiossa asetettu tietosuoja-asetuksen toimeenpanoprojekti neuvoo ja auttaa vaatimusten tulkintakysymyksissä. Voit olla yhteydessä oman yksikkösi juristiin tai organisaation tietosuojavastaavaan. 3 Oletusarvoisen ja sisäänrakennetun tietosuojan kokonaisuus Oletusarvoisen ja sisäänrakennetun tietosuojan vaatimus tarkoittaa sitä, että tietosuojanäkökulma otetaan huomioon kaikissa rekistereissä, palveluissa, järjestelmissä ja toiminnoissa jo niiden suunnitteluvaiheessa, ja erilaiset toiminnallisuudet rakennetaan tietosuojanäkökulma edellä. Esimerkiksi sosiaalisen median palveluissa henkilön tietosuojaa tukevat asetukset tulisivat olla oletuksena automaattisesti päällä. Vaatimus kytkeytyy osoitusvelvollisuuden periaatteeseen, jonka mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on aktiivisesti pystyttävä osoittamaan, että tietosuoja on huomioitu kaikessa toiminnassa niin organisatorisesti kuin teknisestikin ja tietosuoja todella toteutuu käytännössä. Käytännössä tämä tarkoittaa esimerkiksi sitä, että tietosuojaperiaatteiden tulee ohjata sovelluskehitystä ja tämä on myös dokumentoitava: on pystyttävä osoittamaan, miksi tiettyyn ratkaisuun on päädytty ja miten tietosuoja on otettu huomioon. On syytä korostaa, että sisäänrakennetun ja oletusarvoisen tietosuojan periaate edellyttää, että tietosuojaan liittyvät tarpeet ja vaatimukset tunnistetaan ja huomioidaan jo ennen varsinaisen käsittelyn aloittamista. Käytännössä tietosuojan tarpeet tulisikin selvittää ja määrittää jo suunnitteluvaiheessa ja täydentävin osin määrittelyvaiheessa. Tärkeää on huomioida tämä erityisesti, mikäli henkilötietoja käsittelyyn liittyy hankintatarvetta, sillä määrittelyt ja vaatimukset on pystyttävä kirjaamaan riittävästi jo hankintavaiheessa tarjouspyyntöön. Seuraavaksi tässä ohjeistuksessa käsitellään tietosuojaperiaatteita, jotka pitää ottaa huomioon kaikessa toiminnan suunnittelussa, toiminnassa ja joihin kaiken henkilötiedon käsittelyn tulee pohjautua. Lisäksi ohjeistuksessa esitellään organisaatiossa toiminnoilta, palveluilta ja järjestelmiltä vaadittavaa tietosuojadokumentaatiota. Tietosuojan asianmukainen toteutuminen ja keinot, joilla tavoitteeseen päästään, tulee huomioida jo silloin, kun henkilörekisteriä suunnitellaan. Tietosuoja ei saa olla päälleliimattua. 4 Rekisterinpitäjän ja käsittelijän roolit ja vastuut (4 artikla) Rekisterinpitäjä on tietosuoja-asetuksen määritelmän mukaan taho, joka yksin tai yhdessä toisen toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Jos käsittelyperuste on määritelty laissa, voidaan laissa säätää myös siitä, mikä taho on rekisterinpitäjä. Tähän ratkaisuun on päädytty mm. väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 4 :ssä. Henkilötietojen käsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

3 Rekisterinpitäjä on vastuussa henkilötiedon käsittelystä yksityiseen henkilöön (rekisteröityyn) nähden. Vaikka rekisterinpitäjä sinänsä voi olla organisaatio, on tehtävät, jotka rekisterinpitäjyydestä johtuu, kohdistuttava tiettyyn toimenkuvaan (esim. omistaja, palveluvastaava tmv). Tietojärjestelmä tarjoaa alustan henkilötietojen käsittelylle, jolloin järjestelmän kehitys- ja ylläpitotahot ovat henkilötietojen käsittelijöitä (esim. Tietosuojan sopimuskumppanit). toteuttaminen, Molemmissa käytäntöön työkirjoissa vieminen ja on ylläpitäminen vastuita niin rekisterinpitäjälle lähtee siitä, että roolit kuin käsittelijälle. tunnistetaan. Tietosuojan toteuttaminen ja ylläpitäminen vaatii sen, että roolit on tiedostettu ja kuvattu. Sekä rekisterinpitällä että henkilötietojen käsittelijällä on vastuuta ja velvollisuuksia. 5 Tietosuojaperiaatteet (5 artikla) Tietosuoja-asetuksessa säädetään henkilötietojen käsittelyä koskevista periaatteista, jotka ohjaavat rekisterinpitäjää käsittelemään henkilötietoja rekisteröidyn oikeuksia ja vapauksia kunnioittavalla tavalla. Rekisterinpito tulee suunnitella näiden periaatteiden luomilla reunaehdoilla ja vaatimuksilla. Periaatteet vastaavat monilta osin henkilötietolain periaatteita, mutta ne on säännelty kuitenkin hieman henkilötietolakia tarkemmin. 5.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Käsittelyn kohteena olevilla henkilöillä tulisi olla näkyvyys siihen, miten heitä koskevia henkilötietoja kerätään ja käsitellään. Käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä. Luonnollisille henkilöille olisi aktiivisesti tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää käsittelyä koskevia oikeuksiaan. Periaatteen voidaan katsoa velvoittavan yleiseen vastuullisuuteen. Käsittelyä tulisi tarkastella kohteena olevan henkilön näkökulmasta ja harkita, missä määrin käsittelyä voidaan pitää tämän oikeutettujen odotusten mukaisena. Mikäli käsittely ei tästä näkökulmasta ole asiallista, joko käsittelyä tai viestintää pitää muuttaa. Käsittelyn lainmukaisuus on selkeä edellytys noudattaa sekä asetusta että muuta lainsäädäntöä. 5.2 Käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen käsittelyn tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä tai muuten käsittelyä aloitettaessa yksiselitteisesti. Ne ohjaavat toimintaa henkilötiedon ja käsittelyn koko elinkaaren ajan.

4 Henkilötietojen käsittelyn tulisi lisäksi olla perusteltua tämän tarkoituksen valossa: henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Tietojen myöhempi käsittely yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten voi olla sallittua, vaikka se ei sisältyisi alun perin määriteltyjen tarkoitusten kanssa. 5.3 Tietojen minimointi Henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa käsittelyn tarkoituksiin (kts. yllä). Tietojen käsittelyn laajuutta tulisikin aina tarkastella kriittisesti: vuosia sitten päätetty tietosisältö tai yleinen olettama tietojen tarpeellisuudesta ei vielä takaa käsittelyn laillisuutta. 5.4 Täsmällisyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Käsittelijän tai rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. 5.5 Säilytyksen rajoittaminen Käyttötarkoitussidonnaisuus ja tietojen minimointi edellyttävät erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja saa säilyttää muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen käsittelyn tarkoitusten toteuttamista varten. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden tarpeellisuuden määräaikaistarkastelua varten. Poikkeuksellisesti, tiettyjen edellytysten täyttyessä henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten lainsäädännön nojalla. 5.6 Eheys ja luottamuksellisuus Henkilötietoja on käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tämä tarkoittaa esimerkiksi tietojen suojaamista luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Toiminnassa on ehkäistävä luvatonta pääsyä tietoihin ja niiden käsittelyyn käytettyihin laitteisiin. Periaate edellyttää tietoturvallisuudesta huolehtimista ja se tulee asianmukaisesti katettua, kun noudatetaan tietoturvallisuutta koskevia määräyksiä ja käytäntöjä.

5 5.7 Osoitusvelvollisuus Rekisterinpitäjän on voitava osoittaa, että käsittelytoimet ovat asetuksen mukaisia. Erityisesti rekisterinpitäjällä on osoitusvelvollisuus yleisten periaatteiden toteutumisesta käsittelyssä. On huomattava, että rekisterinpitäjä toimii laittomasti, vaikka asetusta ja käsittelyn yleisiä periaatteita muuten noudatettaisiin, jos rekisterinpitäjä ei kykene osoittamaan käsittelynsä asiallisuutta. Dokumentaatiolla on tässä suhteessa suuri merkitys. Toisaalta rekisterinpitäjän on kyettävä osoittamaan, että sen toimenpiteet käsittelytoimien laillisuuden varmistamiseksi ovat tehokkaita. Käytännölle vieraat politiikat tai ohjeistukset, joista työntekijät eivät ole tietoisia, eivät auta rekisterinpitäjää täyttämään asetuksen vaatimuksia. Rekisterinpitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Rekisterinpitäjää koskevan osoitusvelvollisuuden johdosta rekisterinpitäjän on pystyttävä myös osoittamaan, että periaatteita noudatetaan. Rekisterinpitäjän on siis arvioitava, mitä periaatteet käytännössä tarkoittavat ja miten ne toteutuvat omassa toiminnassa. Periaatteiden noudattamisen osoittaminen edellyttää rekisterinpitäjältä mm. henkilötietojen käsittelyn tarkempaa suunnittelua sekä dokumentaatiota. Asetuksen mukaiset tietosuojaperiaatteet ovat hyvin pitkälle yhteneväiset henkilötietolain kanssa. Uutta on kuitenkin se, että ne ovat osoitusvelvollisuuden keskiössä. Tämä tarkoittaa sitä, että organisaation tulee aktiivisesti pystyä osoittamaan tietosuojaperiaatteiden toteutuminen sen järjestelmissä ja palveluissa. 6 Vaadittava dokumentaatio Rekisterinpitäjän on kyettävä jatkossa osoittamaan, että tietosuoja-asetuksen vaatimukset täyttyvät myös käytännön toiminnassa. Siten yksi keskeinen osa osoitusvelvollisuuden täyttymistä on kattava, ajantasainen ja saatavilla oleva dokumentaatio. Dokumentaatiolla tarkoitetaan kaikkia niitä asiakirjoja, jotka osoittavat, miten tietosuoja toteutuu organisaation toiminnassa ylipäänsä, ja tarkemmin esimerkiksi palveluissa tai tietojärjestelmissä. Huomioita tulee kiinnittää myös siihen, että dokumentaatio on tosiasiallisesti saatavilla: jokaisella palvelulla/toiminnolla/tietojärjestelmällä tulee olla yksi yhteinen, looginen paikka, jonne kaikki dokumentaatio tallennetaan huomioiden kuitenkin suojaustasoista johtuvat säilytyskriteerit. Vaadittavia dokumentteja ovat ainakin seuraavat, listaa voi soveltaa sen mukaan, onko kyseessä tietojärjestelmä, palvelu vai toiminto: politiikat käytännesäännöt sertifoinnit arkkitehtuurikuvaukset tiedot auditoinneista rekisteriselosteet/tietosuojaselosteet seloste käsittelytoimista (vaadittava myös henkilötietojen käsittelijältä) salassapitosopimukset/-sitoumukset lokienhallinnan periaatteet

6 palvelukohtaiset valvontasuunnitelmat palvelukuvaukset rekisteröidylle toiminnallisuuden näkökulmasta prosessikuvaukset koulutussuunnitelmat, tiedot henkilöstön koulutuksista sisäiset ohjeet ja määräykset käytönvalvontaa koskevat ohjeistukset ja teknisiä rajoituksia koskevat dokumentit tiedot etäkäyttöyhteyksistä lokeja koskeva prosessikuvaukset ja ohjeet Olemassa oleva tietosuojadokumentaatio tulee käydä läpi ja tarkastella sen riittävyyttä nimenomaan siitä näkökulmasta, pystytäänkö sen avulla osoittamaan tietosuojan toteutuminen. Dokumentaatiota tulee tarvittaessa päivittää ja tarvittaessa luoda uutta. 7 Riskiarviointi (artikla 35) Mikäli henkilötietojen käsittely todennäköisesti aiheuttaa yksilöiden oikeuksille ja vapauksille korkean riskin, rekisterinpitäjän on ennen käsittelyn aloittamista tehtävä vaikutustenarviointi (PIA). Rekisterinpitäjän on tällöin tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä, jotta se tämän arvion perusteella voi määritellä tarvittavat suojatoimet ja riskiin vastaavat muut organisatoriset ja tekniset toimenpiteet. Riskienarviointi on yksi työkaluista, joilla rekisterinpitäjä voi edistää oletusarvoisen ja sisäänrakennetun tietosuojan toteutumista toiminnassa. Tietosuojan vaikutustenarviointia ei siten tarvitse suorittaa välttämättä aina, kun uutta käsittelytoimea aletaan suunnitella. Valvontaviranomainen (nykyään vielä Tietosuojavaltuutetun toimisto) julkistaa tarkemman listan niistä käsittelytoimista, joiden osalta vaikutustenarviointi on tehtävä. Lisäksi organisaation tietoturvapäällikkö ja tietosuojavastaava tukee ja ohjeistaa tietosuojariskien arvioinnissa. Tietosuoja-asetuksessa riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen. Organisaatiossa riskienhallinnan kokonaisuus, myös tietosuojariskien osalta on kuvattu ylätasolla riskienhallintapolitiikassa. Käytännön ohjeet vaikutusarvioinnin tekemiseen on kirjattu organisaatio-tasoisesti riskienhallinnan menetelmäkuvaukseen. Riskiarviointimenettelyä ei tämän vuoksi toisteta tässä ohjeistuksessa, vaan jokaisen tulee tutustua edellä mainittuihin dokumentteihin. Olemassaolevat sekä uudet henkilörekisterit tulee arvioida riskiperusteisesti. Tietosuojariskien arvioinnissa tulee noudattaa organisaation riskienhallintaohjeistusta, jossa tämä menettely kuvataan tarkemmin.

7 II TYÖKIRJA 1 Rekisterinpitäjän ja käsittelijän roolit ja vastuu Rekisterinpitäjän ja tietojen käsittelijän roolit on tunnistettu ja kuvattu. Roolit ja vastuut on kirjattu sopimuksiin. 2 Tietosuojaperiaatteet 2.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Periaate lainmukaisesta, kohtuullisesta ja läpinäkyvästä henkilötietojen käsittelystä on ymmärrettävä koko toiminnan kattavaksi periaatteeksi. Hallinnolliset yleiset vaatimukset Palveluun/rekisteriin/tietojärjestelmään liittyvästä tarpeellisesta henkilöstön koulutuksesta huolehditaan säännöllisesti. Palveluun/rekisteriin/tietojärjestelmään liittyvästä tarpeellisesta sopimuskumppanin/käsittelijän henkilöstön koulutuksesta huolehditaan säännöllisesti joko organisaation tai kumppanin/käsittelijän toimesta ja tätä on edellytetty myös sopimustasolla. Pidetyistä koulutuksista ja osallistumisista (tarpeen mukaan) pidetään kirjaa. Koulutustarpeita arvioidaan säännöllisesti ja erityisesti muutostilanteissa. Tarpeelliset sisäiset ohjeistukset ja määräykset on laadittu, ne ovat ajan tasalla ja ne on huomioitu palvelun/rekisterin/tietojärjestelmän suunnittelussa, määrittelyssä, kehityksessä ja tuotannossa. Sopimukset sisältävät salassapitosopimukset (tai -ehdot) ja vaatimukset sitoumuksien antamisesta. Sopimukset sisältävät tarpeelliset tietosuojaan liittyvät ehdot. 1 Lainmukaisuus ja asianmukaisuus Palvelussa/rekisterissä/järjestelmässä henkilötietoja käsitellään siten kuin lainsäädäntö edellyttää. Lainsäädäntö tarkoittaa tietosuoja-asetuksen lisäksi muuta henkilötietojen käsittelyyn liittyvää lainsäädäntöä 2. Tietoja käsitellään enintään lainsäädännön mahdollistamassa laajuudessa, käsittelyn perusteet on kirjattu sääntelyssä ja viittaus käsittelyn perusteisiin on kirjattu palveluun/rekisteriin/järjestelmään liittyvään dokumentaatioon. Mikäli lainsäädäntö ei tarkasti määritä käsiteltäviä tietoja, käsiteltävien tietojen osalta on tehty arvio tarpeellisista tiedoista ja käsittelyn perusteet on kirjattu palveluun/rekisteriin/järjestelmään liittyvään dokumentaatioon. Palvelun/rekisterin/tietojärjestelmän tietosuojaa arvioidaan säännöllisesti ja aina kehitystä tehtäessä (suunnittelu- ja määrittelyvaiheessa). 1 Tietosuojavastaava ja yksikön juristit tekevät sopimusten arviointia erillään. 2 VRK:n kohdalla väestötietojärjestelmän tietojen ja varmennepalveluissa käsiteltävien henkilötietojen osalta huomioidaan erityisesti laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) ja Suomi.fi-palvelujen osalta hallinnon yhteisistä sähköisen asioinnin tukipalveluista annettu laki (571/2016) sekä tarpeellisin osin laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista.

8 Tarvittaessa käydään vuoropuhelua valvovan viranomaisen kanssa, jotta palvelu täyttää sille asetut vaatimukset. Jos palvelu ei enää täytä vaatimuksia, tulee olla olemassa suunnitelma palvelun lopettamiseksi sekä palvelun hallitulle alasajolle. Tietojen käsittelystä tallennetaan tapahtumatieto/lokitieto. Tapahtumatietoja/lokitietoja ei voida jälkikäteen muuttaa. Palvelun/rekisterin/tietojärjestelmän tietojen käsittelyyn liittyen on laadittu valvontasuunnitelma tai, mikäli valvontaa eri perustellusta syystä suoriteta, perusteet sille on kirjattu perusteet. Tietojen käsittelyyn liittyy käytön valvontaa. Määrittelyssä on arvioitu erityisesti mahdollisuudet tietojen käsittelyyn etäyhteyksin sekä muut tarpeelliset tekniset rajoitukset tietojen käsittelyyn. On arvioitu, käsitelläänkö palvelussa/rekisterissä/tietojärjestelmässä erityisiä henkilötietoryhmiä. Jos käsitellään, tulee vaatimukset tällaiselle käsittelylle täyttyä. Kohtuullisuus Henkilötietoja olisi käsiteltävä vain, jos ei voida toteuttaa muilla keinoin Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietojen käsittelystä on tehtävä tarvittavat ilmoitukset kohtuullisen ajan kuluessa (ks. tarkemmin rekisteröidyn oikeudet- työkirja). Läpinäkyvyys Palvelusta/rekisteristä/järjestelmästä, jossa henkilötietoja käsitellään, on laadittu organisaation mallin mukainen rekisteriseloste/tietosuojaseloste, joka hyväksytetty (lisätietoja työkirjasta rekisteröidyn oikeudet ). On varmistettu, että tietoja ei käsitellä muutoin kuin selosteessa/selosteissa kuvatulla tavalla. Järjestelmästä on laadittu muu edellytetty dokumentaatio. Ks. tarkemmin kohta Dokumentaatio 2.2 Käyttötarkoitussidonnaisuus Palvelun/rekisterin/tietojärjestelmän henkilötietojen käsittelylle on tunnistettu nimenomainen, perusteltu käyttötarkoitus. Käyttötarkoitus on kirjattu erityislakiin tai löydettävissä tai johdettavissa yleissääntelystä. On arvioitu, että käsittelyn tarkoitusta ei voida toteuttaa muutoin, vaan kyseisten henkilötietojen käsittely on tarpeen kyseisessä käyttötarkoituksessa eikä sitä voida toteuttaa esimerkiksi vähemmällä tietosisällöllä (mahdollinen tietojen minimointi). 3 Henkilötietojen käsittelyn tarkoitukset on määritelty ja dokumentoitu palvelun/rekisterin/tietojärjestelmän dokumentaatiossa, erityisesti tietosuojaselosteessa/rekisteriselosteessa. 3 Esimerkkinä voidaan pitää myös sitä, että samoja tietoja sisältäviä rekistereitä ei tuoteta useita kappaleita, vaan hyödynnetään mahdollisuuksien mukaan yhtä primäärirekisteriä. Kuitenkin esimerkiksi rekisterin varmistamisen näkökulmasta on tarpeen esimerkiksi ympäristöjen kahdentaminen.

9 On laadittu menettely, jolla henkilötietojen käsittelyn käyttötarkoitukset ilmoitetaan rekisteröidyille (henkilöt) tietojen keruun yhteydessä tai kun tietojen käsittelyä muutoin aloitetaan. 4 Menettely huomioi myös muutostilanteiden hallinnan eli muuttuneesta käyttötarkoituksesta ilmoittamisen sekä mahdollisissa suostumusta edellyttävissä henkilötietojen käsittelyssä tarpeen pyytää henkilöltä suostumus uudelleen. On varmistuttu riittävästi siitä, että tietoja ei voida käyttää muihin käyttötarkoituksiin ja mahdollisesta väärinkäytöksistä saadaan tietoa. 5 Lailliset käyttötarkoitukset on kirjattu mahdollisiin sopimuksiin, erityisesti käsittelijöiden ja Väestörekisterikeskuksen välisiin sopimuksiin. Tarpeellisin osin sopimuksissa on sanktioitu käsittely muihin kuin laillisiin käyttötarkoituksiin. Lailliset käyttötarkoitukset on kirjattu mahdollisiin lupiin tai vastaaviin hallinnollisiin päätöksiin (Sallitut käyttötarkoitukset / Lailliset käyttötarkoitukset). Tarpeellisin osin lupiin tai vastaaviin on kirjattu seuraamukset tietojen käsittelystä muihin kuin laillisiin käyttötarkoituksiin. Rekisteröityjen osalta on arvioitu Väestörekisterikeskuksen mahdollisuudet tavoittaa henkilöt mahdollisesti tilanteessa, jossa käyttötarkoitusta olisi tarpeen muuttaa ja tämä edellyttäisi rekisteröityjen tavoittamista. 2.3Tietojen minimointi Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on määritelty siten, että käsittelyssä minimoidaan henkilötietojen käsittely. Määritellyn mukainen käsittely on välttämätöntä. 6 Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyä ei toteuta siten, että samaa tietoa käsitellään useissa eri kohdin samaan käyttötarkoitukseen eri järjestelmissä, ellei tähän ole löydettävissä selkeitä perusteita. 7 Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyn vaiheet on kuvattu ja dokumentoitu riittävästi (tietoflow). Tietojen käsittelyn perusteet on löydettävissä dokumentaatiosta. Tietojen käsittelyyn liittyvät käyttövaltuudet on luotu siten, että on olemassa eritasoisia rooleja, joiden perusteella käsiteltävien tietojen tietosisältöä voidaan myös rajoittaa. Tärkeää on, että roolit ovat sellaiset, että tietyllä roolilla näkee vain sillä tehtävään toimeen tai määriteltyyn käyttötarkoitukseen nähden ehdottoman tarpeellisia tietoja. Vaatimus koskee sekä organisaation sisäistä käyttöä että asiakkaille tarjottavia palveluita. 4 Tämä voidaan toteuttaa esimerkiksi siten, että henkilö ei siirry palveluun tai hänestä ei tallenneta tietoja ennen kuin hänellä on ollut mahdollisuus tutustua käyttötarkoitukseen. Mikäli tietojen käsittely edellyttää henkilön suostumusta, palvelun käyttöä ei voi aloittaa taikka tietoja ei haeta taustajärjestelmistä/-rekistereistä tai tietoja ei henkilöltä kerätä, ennen kuin henkilö on antanut suostumuksen. 5 Esimerkiksi tietojen käsittelystä järjestelmässä yöaikaan saadaan automaattisia hälytyksiä, tietojen luovutuksissa edellytetään kontrollipostituksia, luovutettujen tietojen tuhoamisesta edellytetään kuittausta luovutuksensaajalta tai muulta käsittelijätaholta, tapahtumatietojen/lokitietojen käsittelystä jää loki/lokinloki ja tietojen käsittely on perusteltava itse järjestelmässä tai muutoin, jotta se on todennettavissa jälkikäteen. 6 Tämä tarkoittaa, että tehtävät käsittelytoimet ja niiden laajuus ovat perusteltavissa eikä toimea ja käyttötarkoitusta voida toteuttaa siten, että käsiteltäisiin tietoja suppeammin. Toteutus ei voi seurata siitä, mikä katsotaan helpoimmaksi toteuttaa, vaan käsittelylle on sen koko laajuudessa oltava perusteet. 7 Tämä tarkoittaa, että ei esimerkiksi kierrätetä tietoja turhaan usean palvelimen kautta tai tallenneta useille palvelimille väliaikaisesti tai osana väliaikaista käsittelyä. Tämä ei kuitenkaan estä tarpeellista tietojen säilyttämisen varmentamista esim. ympäristön tai tietokannan kahdentamisen avulla.

10 Lokitietojen osalta toteutus on tehty siten, että 1) syntyvän lokitiedon tietosisältö ei tallenneta hyötykuormaa eli varsinaista tietosisältöä, ellei sen tallentamiseen ole erityisiä perusteita ja 2) mahdollisuuksien mukaan aineistoa on anonymisoinnin avulla tehty vähemmän sensitiivisemmäksi (pseudonymisointia ei suositella). Järjestys: 1) minimointi 2) anonymisointi ja vasta kolmantena vaihtoehtona pseu donymisointi Lokitietojen osalta on määritelty, kuvattu ja toteutettu erikseen henkilötietoja sisältävät lokit ja tekniset lokit. organisaation ulkopuolelle tapahtuva tietojen luovuttaminen ja käsittely palvelusta/rekisteristä/tietojärjestelmästä on toteutettu huomioiden tietojen minimointi. Tämä sisältää asiakasorganisaatioiden tietojen käsittelyn, sopimuskumppanien ja alihankkijoiden sekä niiden henkilöstön tietojen käsittelyn sekä tarpeellisin osin rekisteröidyille itselleen tapahtuvan tietojen luovuttamisen. 2.4Täsmällisyys Palvelun/rekisterin/tietojärjestelmän tietolähteet on määritelty ja kuvattu. Palvelun/rekisterin/tietojärjestelmän eri tietojen käsittelyssä hyödynnetään mahdollisuuksien mukaan aina tietojen lähteenä primäärirekisteriä tai tieto pyydetään henkilöltä itseltään. Tässä on huomioitava myös lainsäädännön asettamat vaatimukset esimerkiksi palvelussa/rekisterissä/tietojärjestelmässä käytettävistä rekistereistä 8. Palvelun/rekisterin/tietojärjestelmän tietojen päivitystarve on arvioitu. o Mikäli päivitystarve on olemassa, päivitystarve ja -tapa on määritelty ja kuvattu. o Päivitystapa on toteutettu, tarvittavat luvat haettu tai sopimukset tehty. o Päivitystarvetta ja -tapaa arvioidaan säännöllisesti, esim. vuosittain. o On nimetty vastuuhenkilö ja tämän varahenkilö päivitykseen liittyviin asioihin. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jolla voidaan löytää epätarkkoja ja virheellisiä tietoja. Mikäli tätä ei voida toteuttaa, on kirjattuna, miten huolehditaan epätarkkojen ja virheellisten henkilötietojen poistamisesta tai oikaisemisesta viipymättä. Ks. seuraavat kohdat. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jolla epätarkoista ja/tai virheellisistä tiedoista voi ilmoittaa organisaatiolle. Ilmoittamismenettely on kuvattu ja julkaistu tarpeellisille tahoille (sisäiset asiakkaat, ulkoiset asiakkaat, asiakasorganisaatiot, henkilöt/rekisteröidyt) dokumentaatio- ja viestintävaatimusten mukaisesti. Tietojen oikaiseminen ja/tai poistaminen ei sovellu kaikkeen toimintaan, kuten esimerkiksi lokitietojen sisältöön. Mikäli oikaiseminen ja/tai poistaminen ei sovellu, tästä on kirjaus tietosuojaselosteessa ja muussa tarpeellisessa dokumentaatiossa. Palvelun/rekisterin/tietojärjestelmän sisältävien tietojen osalta on olemassa menettely, jonka mukaisesti organisaatio poistaa tai oikaisee epätarkat ja/tai virheelliset tiedot viipymättä. Menettely on kuvattu ja julkaistu tarpeellisille tahoille dokumentaatio- ja viestintävaatimusten mukaisesti. Tietojen oikaiseminen ja/tai poistaminen ei sovellu kaikkeen toimintaan, kuten esimerkiksi lokitietojen sisältöön. Mikäli oikaiseminen ja/tai poistaminen ei sovellu, tästä on kirjaus tietosuojaselosteessa ja muussa tarpeellisessa dokumentaatiossa. 8 Esimerkiksi sääntely siitä, minkä rekistereihin tietoja ja miltä osin voidaan käyttää palvelutuotannossa. Esimerkkinä voidaan mainita hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetun lain 9 (Palvelutuotannossa säännönmukaisesti hyödynnettävät tietolähteet).

11 On nimetty vastuuhenkilöt ja näiden varahenkilöt menettelyjen toteuttamiseen ja (prosessivastaava) kuvausten ajantasaisuudesta huolehtimiseen. 2.5 Säilytyksen rajoittaminen On arvioitu, mitä palvelun/rekisterin/tietojärjestelmän tietoja on tarpeen perustellusti säilyttää siten, että rekisteröity on tunnistettavissa. On arvioitu mahdollisuudet toteuttaa tietojen säilyttämistä siten, että rekisteröity ei ole tunnistettavissa. 9 Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Ks. tarkemmin kohta 2.3 Tietojen minimointi. Palvelun/rekisterin/tietojärjestelmän tietojen yleinen ja tietokohtainen (erityisesti henkilötietokohtainen) säilytysaika on määritelty ja se on kirjattu erityisesti tietosuojaselosteeseen henkilötietojen osalta. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Määritelty tietojen säilytys- ja saatavillaoloaika noudattaa käyttötarkoitussidonnaisuuden sekä käsittelyn minimoinnin periaatteita eli tietoja säilytetään (käsitellään) ajallisesti mahdollisimman lyhyt aika ja säilytys (käsittely) on perusteltavissa. Tietojen säilyttämisessä on huomioitu sekä säilytyksen ajallisuus että laajuus. Palvelun/rekisterin/tietojärjestelmän osalta toteutetaan asetetut määräajat henkilötietojen poistolle tai siirrolle palvelusta/rekisteristä/tietojärjestelmästä. Henkilötietojen poisto toteutetaan pysyvästi tietoturvallisuuden vaatimukset huomioiden, ellei henkilötietojen säilyttämisestä pysyvästi ole säädetty laissa. Mikäli henkilötiedot on tarpeen siirtää muuhun järjestelmään pidemmäksi säilytysajaksi, siirto toteutuu siten, että alkuperäisestä rekisteristä/tietojärjestelmästä tiedot poistuvat pysyvästi. Lokitiedon muodostumisesta poistoprosessin yhteydessä varmistutaan. Henkilötietojen säilymisestä (ml. lokitiedot) asianmukaisesti varmistutaan säännöllisesti. Henkilötietojen säilytystarvetta, -tapaa ja -aikaa arvioidaan säännöllisesti, esim. vuosittain. 2.6 Eheys ja luottamuksellisuus Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus. Tämä tarkoittaa esimerkiksi tietojen suojaamista luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Toiminnassa on ehkäistävä luvatonta pääsyä tietoihin ja niiden käsittelyyn käytettyihin laitteisiin. Periaate edellyttää tietoturvallisuudesta huolehtimista ja se tulee asianmukaisesti katettua, kun noudatetaan tietoturvallisuutta koskevia määräyksiä ja käytäntöjä. Palvelun/rekisterin/tietojärjestelmän henkilötiedot on salattu ja suojattu asianmukaisesti huomioiden tietoturvallisuuden vaatimukset. Käyttövaltuuksien ja niiden laajuuden myöntämisen edellytykset on kuvattu ja prosessi käyttövaltuuksien hallinnointiin on olemassa. On varmistettava, ettei tietosisältö aiheettomasti muutu. Kohteelle on määritelty tietoturvataso ja on toteutettu kyseiselle tietoturvatasolle määritellyt vaatimukset. 9 Esimerkiksi anonymisoimalla osa käytettävästä tietoaineistosta.

12 Tietoturva-ja tietosuojapoikkeamatutkinta on mahdollisuuksien mukaan automaattista. Jos on toteutettu räätälöityä sovelluskehitystä, tulee huomioida sovelluskehityksen tietoturvallisuusvaatimukset Osoitusvelvollisuus Rekisterinpitäjän on voitava osoittaa, että käsittelytoimet ovat asetuksen mukaisia. Erityisesti rekisterinpitäjällä on osoitusvelvollisuus yleisten periaatteiden toteutumisesta käsittelyssä. On huomattava, että rekisterinpitäjä toimii laittomasti, vaikka asetusta ja käsittelyn yleisiä periaatteita muuten noudatettaisiin, jos rekisterinpitäjä ei kykene osoittamaan käsittelynsä asiallisuutta. Dokumentaatiolla on tässä suhteessa suuri merkitys. Osoitusvelvollisuus täytetään ennen muuta riittävällä dokumentaatiolla. 3 Dokumentaatio Riittävän kattavan ja saatavilla olevan dokumentaation merkitys kasvaa tietosuoja-asetuksen voimaantullessa. Tällaisella dokumentoinnilla organisaatio voi osaltaan toteuttaa osoitusvelvollisuutta ja toisaalta se helpottaa esim. rekisteröidyn oikeuksiin liittyvien prosessien läpiviemistä. Tietojen käsittely on kuvattu niiden koko elinkaaren osalta, ml. lokitiedot ja tietojen tuhoaminen. Henkilöille suunnattu dokumentaatio sisältää tietoa henkilötietojen käsittelyyn liittyvistä riskeistä ja säännöistä. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio sisältää tietoa henkilötietojen käsittelyyn liittyen palvelun/rekisterin/järjestelmän suojatoimista huomioiden salassapitotarpeet suojaustoimista. Dokumentaatio on tältä osin käyty läpi tietoturvavastaavan kanssa. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on laadittu siten, että se on helposti ymmärrettävää. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on ajantasaista ja päivitysprosessi on sovittu, jotta voidaan varmistua tiedon ajantasaisuudesta. (Läpinäkyvyys) Henkilöille suunnattu dokumentaatio on saatavilla palvelussa, organisaation verkkosivuilla tai julkaistu muutoin helposti saataville. (Läpinäkyvyys) Sovellus-/järjestelmäkehityksessä on dokumentoitu eri vaiheet ja syyt, miksi tiettyyn ratkaisuun on päädytty. (Läpinäkyvyys ja osoitusvelvollisuus) Palvelun/toiminnon osalta on varmistettu, että edellä kuvattu dokumentaatio on olemassa ja se on loogisessa paikassa, helposti löydettävissä. Prosessi häiriö- ja virhetilanteisiin on kuvattu, tarpeellinen dokumentaatio, kuten viestipohjat, luotu ja tarpeelliset vastuuhenkilöt nimetty. 10 Mikäli kohde tai sen osassa on toteutettu räätälöityä sovelluskehitystä on tarvittavat sovelluskehityksen tietoturvallisuusvaatimukset huomioitu. Sovelluskehitykseksi katsotaan kaikki uudet kehitetyt toiminnallisuudet, ml. kehitys kone- ja ohjelmointikielillä, kuvauskielillä (mm. html, XML), komentosarjakielillä (mm. bash, MS-DOS batch) tai makrokielillä (mm. Python, Perl, PHP).

13 Yhteistyössä tietosuojavastaavan ja viestinnän kanssa on käyty läpi tiedottamistavat ja -kanavat ja ne on kirjattu riittäviltä osin. Dokumentaation laatimisesta ja ajantasaisuudesta vastaavat nimetyt henkilöt. Dokumentit katselmoidaan säännöllisesti niiden ajantasaisuuden varmistamiseksi Vaikutustenarviointi Tietosuojariskien arviointi on tarkemmin kuvattu ja ohjeistettu organisaation riskienhallintaohjeessa. Tietosuojaan liittyen toimenpiteiden riittävyys on mitoitettava riskiarvioinnin perusteella, jossa otetaan huomioon esimerkiksi käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit. Vaikutustenarviointi tulee tehdä niiden käsittelytoimien osalta, jotka alkavat tai sen jälkeen. Niiden käsittelytoimien osalta, joita jo tehdään, arviointi on tehtävä, mikäli käsittelyssä tapahtuu merkittävä muutos (esim. uuden teknologian käyttöönotto) tai esimerkiksi käsittelytoimien hallinnollinen tai sosiaalinen kenttä muuttuu (esim. jos henkilötietoja aiotaan siirtää maahan, joka on irtaantunut EU:sta). Organisaatiossa vaikutustenarviointitarve tulee jatkossa tarkastella vähintään kolmen vuoden välein tai useamminkin tarvittaessa (WP29:n suositus). Organisaation tietoturvapäällikkö, tietoturva-asiantuntija ja tietosuojavastaava neuvovat ja opastavat tietosuojariskien arvioimisessa, hallinnassa, sekä mahdollisessa vaikutustenarvioinnin käynnistämisessä. On tunnistettu tilanteet, joissa tulee tehdä arviointi siitä, tuleeko vaikutustenarviointi suorittaa. Arvioinnissa konsultoidaan tietoturvapäällikköä ja tietosuojavastaavaa. On suoritettu vaikutustenarviointi yhteistyössä tietosuojavastaavan ja muiden tarpeellisten henkilöiden kanssa. Mikäli vaikutustenarviointia ei tarvitse suorittaa, on kirjattu syyt tälle. On dokumentoitu, että vaikutustenarviointi tehdään tai sitä ei tehdä ja perusteet tekemiselle. Vaikutustenarviointiprosessissa on seurattu riskienhallinnan menettelyohjeistusta. Vaikutustenarviointi on dokumentoitu. On varmistettu, että on menettely, jolla tietosuojavastaavaa tiedotetaan, kun sellaisia käsittelytoimia, jotka koskevat henkilötietoja, suunnitellaan tai muutetaan. Tehtävä on vastuutettu. 11 Erityisesti huolehditaan, että tietosuoja-/rekisteriselosteet ovat ajan tasalla.