SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

Samankaltaiset tiedostot
Haminan tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Ulvilan kaupungin tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Eläketurvakeskuksen tietosuojapolitiikka

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

Teknologia avusteiset palvelutverkostopalaveri

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Kolarin kunnan tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA

, RAU/475/ /2018

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietosuoja-asetus (GDPR)

TIETOTURVA- POLITIIKKA

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:n tietosuoja-asetus

GDPR Tietosuoja-asetus

Salon kaupunki , 1820/ /2018

Salon kaupunki , 1820/ /2018

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Ylöjärven kaupungin tietosuojapolitiikka

Salon kaupunki / /2018

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

EU:n tietosuoja-asetus (GDPR)

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Salon kaupunki / /2018

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Kaupunginhallitus Liite 2 203

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

1 Tietosuojapolitiikka

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Hyväksytty Rautavaaran seurakunnan kirkkovaltuustossa / 15

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka Porvoon Kaupunki

Kuusamon energia- ja vesiosuuskunnan tietosuojaseloste

Tietosuojapolitiikka. Tietoturvatyöryhmä (9)

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Informaatiovelvoite ja tietosuojaperiaate

Utajärven kunta TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Koulutuskiertue

Politiikka: Tietosuoja Sivu 1/5

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

TIETOSUOJAPOLITIIKKA: SUUN TERVEYDENHOIDON AMMATTILIITTO

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

GDPR-pikaopas. Demand more. Puh

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Vaikutustenarviointi GDPR:n mukaan

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Sopimus henkilötietojen käsittelystä (DPA)

Tietoturvapolitiikka

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Tietosuojaseloste 1 (6)

Naantalin kaupungin TIETOTILINPÄÄTÖS VUODELTA Turo Järvinen ja Juha Riekkinen [hyväksyntä KH xxx]

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuojavaltuutetun toimiston tietoisku

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Transkriptio:

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA Kaupunginhallitus 7.5.2018 89

2 Sisällys Johdanto...3 Tietoturva- ja tietosuojapolitiikan periaatteet...3 Rekisterinpitäjän velvollisuudet...4 Rekisteröidyn oikeudet...5 Henkilötietojen käsittelijä = ulkopuolinen toimija...5 Tietoturva...6 Toiminta häiriötilanteissa ja ilmoitusvelvollisuus...6 Tietosuojan ja tietoturvan raportointi...7 Organisaatio ja vastuut...7 Dokumentointi...8

3 Johdanto Suonenjoen kaupunki tuottaa päätuotteenaan hyvinvointipalveluja Suonenjoen kaupungin asukkaille. Palveluiden tuottaminen perustuu tietoon ja sen käsittelyyn. Tietojen digitalisoituessa enimmässä määrin ja tietosuojaan liittyvän lainsäädännön muuttuessa, edellytetään tietosuoja- ja tietoturva ajattelun ottamista osaksi jokaisen kaupungin palveluksessa olevan viranhaltijan ja työntekijän sekä luottamushenkilön päivittäistä työskentelyä. Myös ulkopuolisten toimijoiden ja toimittajien tulee sitoutua Suonenjoen kaupungin tietoturva- ja tietosuojapolitiikkaan. Tietoturva- ja tietosuojapolitiikka määrittää ne periaatteet, toimintatavat, vastuut, toimivallat, valvonnan ja seuraamusjärjestelmän, joita noudatetaan Suonenjoen kaupungin tietoturvan ja tietosuojan toteuttamisessa ja kehittämisessä. Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohje kuvaa ja ohjeistaa sen, miten tehtävät käytännössä hoidetaan. Suonenjoen kaupunki haluaa toteuttaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta ja sisällyttää tietosuojaperiaatteet ja - vaatimukset jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Tietosuojapolitiikan avulla turvataan Suonenjoen kaupungin asiakkaiden, työntekijöiden ja muiden sidosryhmien oikeudet yksityisyyteen. Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Tietoturva- ja tietosuojapolitiikan periaatteet Suonenjoen kaupungin johto tietosuojatoiminnan omistajana määrittelee tässä politiikassa johtamiseen, palveluihin ja toimintoihin liittyvät tietosuojaperiaatteet, vastuut ja tavoitteet. Politiikkaa tarkennetaan erillisillä ohjeilla. Ei riitä, että toimitaan oletusarvoisesti tietosuoja-asetuksen mukaisesti, vaan meidän pitää myös pystyä se osoittamaan. Tietosuojassa ei ole kysymys rajoituksista oikeuksiin saada tietoja vaan toimenpiteistä, joilla henkilön yksityisyys suojataan aina henkilötietoja käsitellessä. Henkilötietoja ovat kaikki sellaiset tiedot, jolla henkilö voidaan suoraan tai epäsuorasti tunnistaa ja yksilöidä. Esimerkiksi nimi, osoite, henkilötunnus, sähköpostiosoite, verkkotunnistetiedot, tallentava kameravalvonta. Henkilötietojen käsittelyä ovat kaikki toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Esimerkiksi henkilötietojen tallennus, muokkaus, säilytys, luovuttaminen, poistaminen. Rekisterinpitäjän on aina määriteltävä käsittelyn peruste huolellisesti. Henkilötietojen käsittelyn on aina oltava perusteltua, asianmukaista ja tapahduttava tiettyä tarkoitusta varten asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Henkilötietoja käsitellään tietosuojaperiaatteiden mukaisesti, rekisteröidyn oikeuksia toteuttaen.

4 Erityisiin henkilötietoryhmiin kuuluvien tietoja käsitellään vain, kun tietojen käsittelemiseen on olemassa lakiin perustuva käsittelyn perusta. Henkilötietojen käsittelyssä varmistetaan alaikäiseltä tietoja kerättäessä vanhempien suostumus henkilötietojen käsittelemiseen sen mukaisesti kuin lainsäädäntö edellyttää. Rekisterinpitäjän velvollisuudet Suonenjoen kaupungin rekisterinpitäjinä toimivat kaupunginhallitus sekä lautakunnat. Rekisterinpitäjä määritellään tehtävien hoidon säännösten ja määräysten mukaisesti. Rekisterinpitäjällä on ylin vastuu rekisterissään olevista henkilötiedoista, käsittelyn suunnittelusta ja toteutuksesta. Rekisterinpitäjä on pystyttävä osoittamaan muun muassa viranomaisille, että esimerkiksi henkilötietojen käsittelyn periaatteita on noudatettu niin, että toiminta on lainmukaista, kohtuullista ja läpinäkyvää. Jokaisella rekisterinpitäjällä on dokumentoituna henkilötietojen käsittelyyn liittyvien prosessien sekä tietosuojaperiaatteiden toteuttamisen käytännöt: Palvelu-/ toimikohtaiset selosteet henkilötietojen käsittelytoimista sekä tietosuojaselosteet. Mahdolliset toimiala- /palvelukohtaiset ohjeistukset, joiden avulla voidaan huomioida suoritettavan henkilötietojen käsittelyn erityispiirteet Riskienarvioinnit, ja vaikutustenarvioinnit merkittävimmille toiminnoille Rekisterinpitäjällä on vastuu oman organisaation riittävästä osaamisesta ja sisäisistä ohjeistuksista. Tietosuojan ja tietoturvan toteuttaminen ja ylläpitäminen ovat osa jokaisen henkilöstöön kuuluvan työtehtäviä ja niihin liittyviin vastuita. Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohje löytyy intran tietosuoja- ja tietoturva sivustolta. Riskianalyysi ja vaikutusten arviointi Tietosuojariskienhallinta on osa Suonenjoen kaupungin riskienhallintaprosessia. Kukin lautakunta rekisterinpitäjänä arvioi tuottamiensa palveluiden henkilötietojen käsittelyyn liittyvät riskit. Riskianalyysissa tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet suhteutetaan henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Riskitason määrityksellä vältetään matalariskisen toiminnan ylisäätely ja vastaavasti tunnistetaan merkittävän tason riskit, jotka on raportoitava kaupungin johdolle saakka. Riskitekijöiden tunnistaminen toimii pohjana myös tarkoituksenmukaisten tietojärjestelmien ja tietoverkkojen tietoturvaratkaisujen käyttämiselle sekä tietosuojakäytännöille. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy.

5 Suonenjoen kaupunki toteuttaa riskilähtöisen toimintaperiaatteen varmistamiseksi myös tietosuojan vaikutustenarviointeja. Vaikutustenarviointi vaaditaan vain tilanteessa, jossa henkilötietojen käsittelyyn liittyy erityisiä riskejä käsittelytapojen, käsittelyn laajuuden tai käsiteltävien tietojen luonteen vuoksi. Vaikutustenarvioinnin tuloksia käytetään niiden hallintakeinojen määrittelemisessä, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa. Samalla varmistetaan tietosuoja-asetuksen vaatimusten toteutuminen. Rekisteröidyn oikeudet Tietosuoja-asetus määrittää rekisterinpitäjän velvollisuuksien ohella myös rekisteröidylle oikeuksia. Rekisteröidyllä on oikeus tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada hänestä kerätyt tiedot muutetuiksi tai poistetuiksi, mikäli tietojen oikaisu on tarpeen. Rekisteröidyn oikeudet on kuvattu dokumenteissa Tietosuojaselosteet. Henkilötietojen käsittelyyn liittyviä toimintoja suunniteltaessa on myös huomioitava, että käsittelyn oikeusperuste vaikuttaa jonkin verran siihen, mitä oikeuksia rekisteröidyllä on. Esimerkiksi oikeus siirtää tiedot järjestelmästä toiseen ja vastustamisoikeus liittyvät vain osaan käsittelyperusteista. Osana henkilötietojen käsittelytoimintojen suunnittelua rekisterinpitäjän tulisi selvittää, mitä rekisteröidyn oikeuksia käytössä oleviin käsittelyn perusteisiin liittyy ja miten rekisteröityjen oikeuksien toteuttaminen käytännössä toteutetaan. Rekisteröityjen tietopyyntöprosessi Suonenjoen kaupungissa on määritetty toimintaprosessi ja ohje liittyen toimintaan rekisteröityjen käyttäessä oikeuttaan saada pääsy henkilötietoihinsa. Ohje on nimeltään Rekisteröidyn oikeudet ja se löytyy Intranetistä Tietoturva ja Tietosuoja-sivuilta. Tämän prosessin mukaista toimintatapaa noudatetaan niissä tapauksissa, joissa rekisteröidyt haluavat saada nähtäväkseen omia rekistereissä olevia henkilötietojaan. Henkilötietojen käsittelyn läpinäkyvyys Suonenjoen kaupunki informoi rekisteröityä henkilötietojen käsittelystä kerätessään henkilötietoja sekä julkaisemalla kaupungin internet-sivuilla tietoa henkilötietojen käsittelytoimenpiteistä. Henkilötietojen käsittelijä = ulkopuolinen toimija Hankinnoissa ja sopimuksissa, joissa välittömästi tai välillisesti on kyse henkilötietojen käsittelystä, on huomioitava tietosuoja-asetuksen edellytykset sopimuksille. Henkilötietojen käsittelijällä tarkoitetaan kaupungin ulkopuolista tahoa, sopimuskumppania, joka käsittelee kaupungin henkilötietoja rekisterinpitäjän lukuun, esimerkkinä ostopalvelut ja tietojärjestelmätoimittajat. Vastuu henkilötietojen asianmukaisesta käsittelystä ei siirry palveluntuottajalle, vaan se säilyy rekisterinpitäjällä. Rekisterinpitäjä on juridisessa vastuussa rekisteristä ja määrää rekisterin käytöstä.

6 Henkilötietojen käsittelyä sisältävien hankintojen kohdalla tietosuojaan liittyvät näkökohdat huomioidaan jo hankinnan suunnitteluvaiheessa ja saatetaan ne osaksi tarjouspyyntöä. Sopimuskumppaniksi valitaan vain sellaisia toimijoita, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Henkilötietojen käsittelijän vastuu määritetään kirjallisella sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa on määriteltävä vähintään käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Tarkemmat ohjeet löytyvät Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohjeesta. Tietoturva Tietoturvallisuudella tarkoitetaan tiedon, tietojärjestelmien ja tietoliikenteen suojaamista niin, että minimoidaan tietoihin, toimintaan ja palveluihin liittyvät riskit. Tietoturva koostuu tiedon käytettävyydestä, eheydestä, luottamuksellisuudesta, saatavuudesta, kiistämättömyydestä sekä tietojen käsittelyn valvonnasta. Tietoturvan peruskäsitteet ovat: Tietojen eheys: Tieto on oikeaa ja eheää. Tietoja ei voi tahallisesti tai tahattomasti muuttaa. Tietojen luottamuksellisuus: Tieto on vain sen käyttöön oikeutettujen saatavilla ja suojattu muulta käytöltä, esimerkiksi käyttöoikeudet Käytettävyys: Tieto on saatavilla aina sitä tarvittaessa. Lisäksi tietoon käsittelyn eri vaiheissa tehdyt muutokset on tarvittaessa kyettävä todentamaan, esimerkiksi lokitiedostot Tärkeät toiminnot pyritään suojaamaan kaikissa häiriötilanteissa varmistaen palveluiden käytettävyys mahdollisimman lyhyellä toipumisajalla. Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohje kuvaa ja ohjeistaa sen, miten tehtävät käytännössä hoidetaan tietoturva-asiat huomioiden. Toiminta häiriötilanteissa ja ilmoitusvelvollisuus Henkilötietojen käsittelyn häiriötilanteella, eli tietoturvaloukkauksella, tarkoitetaan tilannetta, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi jokin ylimääräinen taho, jolla ei ole käsittelyoikeutta. Tietoturvaloukkauksissa, tai epäiltäessä

7 tietoturvaloukkausta, noudatetaan Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohjeessa kuvattua toimintaprosessia. Ohje löytyy intran tietosuoja- ja tietoturva sivustolta. Henkilötietojen tietoturvaloukkauksen sattuessa tietosuojavastaava tekee asetuksen mukaiset ilmoitukset valvontaviranomaisen sekä rekisteröidyn suuntaan. Tietosuojan ja tietoturvan raportointi Tietoturvan ja tietosuojan toteutuminen varmennetaan vuosittain raportoinnilla johdolle, Tietotilinpäätös. Tietosuojan osalta raportissa selvitetään miten tietosuojaperiaatteita, rekisterinpitäjän velvollisuuksia ja rekisteröidyn oikeuksia on noudatettu. Tietoturvan osalta selvitetään miten tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta on huolehdittu. Arvioinnin tavoite on varmistaa palveluiden jatkuvuus ja toiminnan laatu. Organisaatio ja vastuut Tietosuoja- ja tietoturvatyö ovat osa yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa. Tietosuojan ja tietoturvan ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä vastuuhenkilöitä. Kaupungilla on nimettynä tietoturvavastaava, tietosuojavastaava sekä sosiaalipalveluiden tietosuojavastaava. Kaupunginjohtaja perustaa ja nimittää kaupungin tietosuoja- ja tietoturvatyöryhmän. Rooli Kaupunginhallitus Kaupunginjohtaja Hallintojohtaja ICT-palvelut Tietosuoja- / tietoturvaryhmä Tietosuojavastaava Tietoturvavastaava Vastuu Hyväksyy tietosuoja- ja tietoturvapolitiikan ja tietotilinpäätöksen Perustaa ja nimeää tietosuoja ja -turvaryhmän Valmistelee ja ylläpitää tietosuoja- ja tietoturvapolitiikkaa Ohjeistaa ja koordinoi koko kaupungin tietosuoja- ja tietoturvatyötä Johtaa tietosuoja- ja tietoturvaryhmää Suunnittelee tietosuoja- ja tietoturva koulutuksen yhdessä tietosuoja- ja tietoturvaryhmän kanssa Järjestää ICT-palvelut ja avustaa riskienhallinnassa ja tietoturvan teknisissä ratkaisussa Määrittää tietosuoja ja turvaratkaisuja sekä ohjeistaa toimialoja Suunnittelee, organisoi ja seuraa tietosuojakoulutuksia Jäsenet toimivat yhdyshenkilöinä toimialoilleen Seuraa tietosuoja-asetuksen noudattamista Valvoo organisaation järjestelmien tietosuojan toteutumista Osallistuu riskienarviointien ja tarvittaessa vaikutustenarviointien tekemiseen Osallistuu tietosuojaperiaatteiden määrittelyyn Raportoi ylimmälle johdolle tietosuojan tilasta Neuvoo ja opastaa tietosuoja-asioissa Käsittelee tietosuojapuutteet ja poikkeamat sekä poikkeustilanteet Tekee yhteistyötä valvontaviranomaisen kanssa Vastaa järjestelmistä kerättävien/muodostuvien lokitiedostojen hallinnasta Valvoo organisaation järjestelmien tietoturvan toteutumista Koordinoi poikkeustilanteet Raportoi ylimmälle johdolle tietoturvan tilasta Kehittää ja valmistelee tietoturvaohjeet ja -käytäntöjä

8 Henkilötietojen käsittelijä (ulkoistettu) Toimialajohtajat Esimies Työntekijän/viranhaltija n vastuut Avustaa johtoa ja yksiköitä tietoturva-asioiden toimeenpanossa Osallistuu tietoturvaperiaatteiden määrittelyyn Käynnistää tietoturvapuutteiden ja poikkeamien käsittelyn Vastaa järjestelmistä kerättävien/muodostuvien lokitiedostojen hallinnasta Käsittelee henkilötietoja huolellisesti kaupungin lukuun kirjallisen sopimuksen ja rekisterinpitäjän ohjeiden mukaisesti. Hallitsee oman toimialansa tietosuojan ja tietoturvan erityispiirteet ja lainsäädännön, ja Vastaa näiden pohjalta annetuista tarkennetuista ohjeista Tietoturva- ja tietosuoja-asioiden johtaminen, resursointi ja valvonta Huolehtii tietojenkäsittelyn luottamuksellisuudesta, tietojen oikeellisuudesta ja pääsynvalvonnasta Huomioi tietosuojan ja tietoturvan hankinnoissa ja sopimuksissa Varmistaa tietosuojaan ja tietoturvaan tarvittavan osaamisen henkilöstölle Nimeää jäsenen tietosuoja- ja tietoturvaryhmään Toteuttaa riskiarvioinnit ja tarvittaessa vaikutustenarvioinnit sekä suunnittelee toiminnan häiriötilanteissa yhdessä tietosuojavastaavien ja ICT-palveluiden kanssa Nimeää pääkäyttäjät vastuulla olevien järjestelmien osalta Määrittää rekisterin vastuuhenkilöt Huolehtii raportointiin tarvittavien tietojen tuottamisesta Huolehtii henkilöstönsä riittävästä perehdytyksestä ohjeisiin Vastaa yksikkönsä osalta tietosuojan ja tietoturvan toteutumisesta Hakee käyttöoikeudet ja ilmoittaa niiden poistamisesta pääkäyttäjille Huolehtii, että henkilöstöllä on riittävä tietosuoja/-turva osaaminen Raportoi välittömästi havaituista poikkeamista tietosuojavastaavalle Noudattaa tietosuoja- ja tietoturvaohjeistusta Käsittelee henkilötietoja vain sovitussa käyttötarkoituksessa Raportoi välittömästi havaituista poikkeamista tietosuojavastaavalle Dokumentointi Tietosuoja-asetuksen mukaan rekisterinpitäjän on pystyttävä osoittamaan, että tietosuojaperiaatteita noudatetaan. Suonenjoen kaupungissa tietosuojan ja turvan toteutuminen varmistetaan seuraavilla asiakirjoilla: Tietosuoja- ja tietoturvapolitiikka Suonenjoen kaupungin henkilöstön tietosuoja ja turvaohje Toimiala- /palvelukohtaiset ohjeistukset Rekisteriselosteet (tietojärjestelmät) Selosteet henkilötietojen käsittelytoimista Tietosuojaselosteet Riskienarvioinnit, ja mahdolliset vaikutustenarvioinnit Rekisteröidyn oikeudet Tietotilinpäätös

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute