HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Samankaltaiset tiedostot
EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Kolarin kunnan tietosuojapolitiikka

Tulevat säädösmuutokset ja tietosuoja

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

EU:n tietosuoja-asetus ja sähköposti

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

TIETOSUOJAPOLITIIKKA. Versio: 1.0

Tietosuojavaltuutetun toimiston tietoisku

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Usein kysyttyjä kysymyksiä tietosuojasta

Termit. Tietosuojaseloste

EU:n tietosuoja-asetus (GDPR)

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

TIETOSUOJA JA TIETOTURVA PIETARSAARENSEUDUN SEURAKUNTAYHTYMÄSSÄ

Eläketurvakeskuksen tietosuojapolitiikka

1. Yleiset Periaatteet

Suomen Lentopalloliitto ry:n tietosuojapolitiikka

Tietosuojalainsäädännön uudistus

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Tietosuoja-asetus (GDPR)

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Informaatiovelvoite ja tietosuojaperiaate

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Koulutuskiertue

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Politiikka: Tietosuoja Sivu 1/5

Tietoturva yhdistyksessä

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

1 Tietosuojapolitiikka

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

EU:n tietosuoja-asetus (GDPR)

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Tietosuojauudistus - Välityömarkkinat. Sanni Harju

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

OUKA/10235/ /2017

EU:n tietosuoja-asetus (2016/679)

Tietosuojapolitiikka. Tietoturvatyöryhmä (9)

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Teknologia avusteiset palvelutverkostopalaveri

EU:n tietosuoja-asetus

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

EU:n uusi tietosuoja-asetus

EU-tietosuoja-asetus Kari Kataja, HAMKin tietosuojavastaava

Attendo Finland Oy (ja sen konserniyhtiöt) YLEINEN TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Käsittelysopimus. 1 Tausta ja tarkoitus. 2 Määritelmät

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Tietosuojaseloste 1 (6)

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Karelia-ammattikorkeakoulun tietosuojapolitiikka

Varustekorttirekisteri - Tietosuojaseloste

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Ylöjärven kaupungin tietosuojapolitiikka

Salon kaupunki , 1820/ /2018

Tietosuoja-asetus Immo Aakkula Arkistointi

Rekisteri- ja tietosuojaseloste

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Haminan tietosuojapolitiikka

EU TIETOSUOJA- ASETUS

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

Strafican tietosuojakäytäntö

Henkilötietojen käsittelyohje

Salon kaupunki , 1820/ /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

GDPR Tietosuoja-asetus

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietosuojaseloste 1 (5)

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Transkriptio:

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka 17.4.2018 versio 1.1 1(6)

Sisällys 1 Tarkoitus ja taustaa... 3 2 Sovellettava lainsäädäntö ja määritelmät... 3 2.1 Lainsäädäntö... 3 2.2 Määritelmät... 3 3 Tietosuojaperiaatteet... 4 3.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys... 4 3.2 Käyttötarkoitussidonnaisuus... 4 3.3 Tietojen minimointi... 5 3.4 Tietojen täsmällisyys... 5 3.5 Tietojen säilytyksen rajoittaminen... 5 3.6 Tietojen eheys ja luottamuksellisuus... 5 3.7 Rekisterinpitäjän osoitusvelvollisuus... 5 4 Tietosuojan hallintamalli... 5 5 Tietosuojapolitikan hyväksyminen ja päivittäminen... 6 2(6)

1 TARKOITUS JA TAUSTAA Tässä tietosuojapolitiikassa on kuvattu HSL:n määrittelemät tietosuojan tavoitteet, vastuut ja toimintalinjat. HSL tunnistaa tietosuojan ja rekisteröityjen henkilöiden yksityisyyden suojan merkityksen osana toimintaansa ja sitoutuu tietosuojaan tässä tietosuojapolitiikassa kuvatulla tavalla. Tietosuoja on osa toiminnan vaatimustenmukaisuutta, tietoturvallisuutta ja riskienhallintaa. Tietosuojan tavoitteiden ja merkityksen sekä tietosuojatyön toimintaperiaatteiden määrittely, dokumentointi ja viestintä HSL:n työntekijöille muodostavat keskeisen osan HSL:n tietosuojakulttuuria. Tämän tietosuojapolitiikan ja tähän pohjautuvan tarkemman ohjeistuksen avulla HSL:n henkilöstölle ja yhteistyökumpaneille viestitään HSL:n tietosuojaperiaatteista. Lisäksi laadukkaalla tietoturvatyöllä toteutetaan osaltaan tietosuojan tavoitteiden toteutumista. HSL:n tietoturvapolitiikka määrittelee tietoturvallisuuden ja tietoturvatyön periaatteet. 2 SOVELLETTAVA LAINSÄÄDÄNTÖ JA MÄÄRITELMÄT 2.1 Lainsäädäntö Tietosuojaan ja henkilötietojen käsittelyyn sovelletaan EU:n yleistä tietosuoja-asetusta (2016/679), kansallista henkilötietolainsäädäntöä, sekä muita soveltuvia erityissäännöksiä. Lisäksi HSL:n tietosuojatyötä ohjaavat HSL:n perussopimus, strategia, hallintosääntö ja sisäiset ohjeistot sekä tietoturvan osalta HSL:n tietoturvapolitiikka, ISO/IEC 27001 & 27002 standardit sekä alan hyvät käytännöt. HSL:n toiminnassa toteutetaan perustuslaissa säädettyjä hallinnon julkisuutta ja yksityisyyden suojaa. HSL sovittaa nämä perusoikeudet yhteen lainsäädännössä säädetyllä tavalla. 2.2 Määritelmät Tässä tietosuojapolitiikassa käytetään EU:n yleisen tietosuoja-asetuksen mukaisia käsitemääritelmiä. Henkilötieto tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, eli rekisteröityyn liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. Käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. Henkilötietojen käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. 3(6)

Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Rekisteröidyn suostumus tarkoittaa mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Henkilötietojen tietoturvaloukkaus tarkoittaa tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Profilointi tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin. 3 TIETOSUOJAPERIAATTEET EU:n yleisen tietosuoja-asetuksen mukaisilla periaatteilla ohjataan henkilötietojen käsittelyä niin, että asetuksen vaatimukset toteutuvat ja rekisteröidyn oikeuksia kunnioitetaan. Henkilötietojen käsittelyssä tulee huomioida kaikki alla esitellyt periaatteet. Tietosuojaperiaatteet tulee huomioida koko henkilötietojen käsittelyn elinkaaren ajan. 3.1 Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietoja on käsiteltävä lainmukaisesti, kohtuullisesti sekä rekisteröidyn kannalta läpinäkyvästi. Rekisteröityjen tulee tietää, miten heitä koskevia tietoja kerätään ja käsitellään. Käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä. Rekisteröityjen tulee tietää rekisterinpitäjän henkilöllisyys ja käsittelyn tarkoitukset. Rekisterinpitäjän pitää pystyä antamaan rekisteröidyille tieto heitä koskevien henkilötietojen käsittelystä sekä siitä, miten rekisterinpitäjä varmistaa henkilötietojen käsittelyn asianmukaisuuden ja läpinäkyvyyden. 3.2 Käyttötarkoitussidonnaisuus Henkilötietojen keräämisen tulee olla sidonnainen käyttötarkoitukseen, eli tietojen keräämisen tulee tapahtua tiettyä, nimenomaista ja laillista tarkoitusta varten. Kerättyä tietoa ei saa käyttää myöhemmin muuhun käyttötarkoitukseen. 4(6)

Henkilötietojen myöhempää käsittelyä ei katsota yhteensopimattomaksi alkuperäisten tarkoitusten kanssa, jos käsittely tapahtuu EU:n yleisen tietosuoja-asetuksen tarkoittamia yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten (artikla 89 1 kohta). 3.3 Tietojen minimointi Henkilötietojen on oltava asianmukaisia, olennaisia, riittäviä ja rajoituttava siihen, mikä on tarpeellista niiden käsittelyn tarkoitusten kannalta. Henkilötietojen säilytysajan on oltava mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän täytyy asettaa määräajat henkilötietojen poistolle. Jos tarkkoja määräaikoja ei voida asettaa, rekisterinpitäjän tulee antaa kriteerit henkilötietojen poiston määräajoille. 3.4 Tietojen täsmällisyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä sekä rekisterinpitäjän on kohtuullisin toimenpitein varmistettava, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä, esimerkiksi muutoksenhakuajan päätyttyä. Rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys. 3.5 Tietojen säilytyksen rajoittaminen Henkilötiedot on säilytettävä sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin se on tarpeellista tietojen käsittelyä varten. Tietoja voi kuitenkin säilyttää kauemmin, mikäli tietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia varten tai tietoja käytetään historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. 3.6 Tietojen eheys ja luottamuksellisuus Henkilötietoja käsittelyssä on varmistettava asianmukainen tietoturvallisuus eli tietojen eheys, luottamuksellisuus ja saatavuus. Tietoja tulee suojata luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. 3.7 Rekisterinpitäjän osoitusvelvollisuus Osoitusvelvollisuus tarkoittaa, että rekisterinpitäjän on pystyttävä osoittamaan rekisteröidyille ja tietosuojaviranomaisille, miten tietosuojaperiaatteita noudatetaan. Osoittaminen tapahtuu muun muassa tietosuojaselosteiden laatimisen, rekisteröityjen informoimisen, huolellisesti dokumentoitujen henkilötietojen käsittelyprosessien ja organisaation sisäisen ohjeistuksen keinoin. Rekisterinpitäjän tulee säännöllisesti arvioida, miten periaatteet toteutuvat omassa toiminnassa. 4 TIETOSUOJAN HALLINTAMALLI HSL:n hallintosäännön mukaan hallitus vastaa tietosuojasta ja nimeää tietosuojavastaavan. Tietosuojavastaava vastaa tietosuoja-asetuksessa ja tietosuojan hallintamallissa määritellyistä tehtävistä. 5(6)

Tietosuojan hallintamalli määrittelee HSL:n tietosuojatehtävät ja vastuut hallintosäännön ja tietosuojapolitiikan mukaisesti. Toimitusjohtaja hyväksyy HSL:n tietosuojan hallintamallin. Osaston johtajat vastaavat oman osastonsa toiminnan osalta tietosuojan toteuttamisesta tietosuojapolitiikan mukaisesti, mukaan lukien henkilötietojen käsittelyn ulkoistetut palvelut. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, missä osapuolet sopivat henkilötietojen käsittelyyn liittyvistä vastuista ja velvollisuuksista EU:n yleisessä tietosuoja-asetuksessa määritellyn mukaisesti. Osastonjohtajat vastaavat henkilötietojen käsittelyn vaikutustenarviointien tekemisestä. Vaikutustenarviointi on tehtävä, jos käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksien ja vapauksien kannalta. Vaikutustenarvioinnin tekemiseen tulee pyytää neuvoja tietosuojavastaavalta. Toimitusjohtaja ja osaston johtajat huolehtivat tarpeellisista ja riittävistä resursseista tietosuojatyöhön. Tietosuojavelvoitteet koskevat HSL:n henkilökuntaa ja HSL:n yhteistyökumppaneita. HSL:n tietosuojaa arvioidaan säännöllisesti hallintamallin mukaisesti. Tietosuojavastaava raportoi osaston johtajille tietosuojapoikkeamatilanteissa sekä säännöllisesti osaston johtajille ja hallitukselle tietosuojan hallintamallin periaatteiden mukaisesti. HSL:n henkilökunta ja sen yhteistyökumppanit ovat velvollisia ilmoittamaan havaitsemistaan tietosuojan puutteista, menettelyvirheistä tai muista uhkista lähiesimiehelleen ja HSL:n tietosuojavastaavalle. 5 TIETOSUOJAPOLITIKAN HYVÄKSYMINEN JA PÄIVITTÄMINEN HSL:n hallitus on hyväksynyt tämän tietosuojapolitiikan sisällön. Tietosuojapolitiikan sisältöä tarkistetaan ja päivitetään tarvittaessa. HSL:n tietosuojavastaavan tehtävänä on arvioida tietosuojapolitiikan päivitystarvetta ja päivitysehdotukset viedään HSL:n hallitukseen hyväksyttäviksi. Hallituksen hyväksymä 17.4.2018 6(6)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute