EU henkilötietolain tarkastelua kuntoutuksen ja kuntoutuksessa tallennettavien tietojen ja VAT:n näkökulmasta.

Samankaltaiset tiedostot
VAT:n tietosuoja, tietoturva ja uuteen henkilötietolakiin liittyvät tarkennukset.

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

KUMPPANIKSI RY, YLEISPEREHDYTYS

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

EU:n tietosuoja-asetus (GDPR)

TIETOSUOJASELOSTE (laajennettu) Henkilötietolaki (523/1999) 10 ja 24 EU Tietosuoja-asetus 2016/679

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Tietoturva yhdistyksessä

Tietosuoja-asetus (GDPR)

V-S Piiri / Täyskäsi / Alma. Tietosuojauudistus

Varustekorttirekisteri - Tietosuojaseloste

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

WORKSPACE OY REKISTERISELOSTEET

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Rekisteri- ja tietosuojaseloste

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

INVALIDILIITTO RY:N AVUSTAJAKOIRATOIMINNAN ASIAKASREKISTERI

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste 1 (6)

Haminan tietosuojapolitiikka

Rekisteri- ja tietosuojaseloste

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste: Markkinointirekisteri

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste KasvaNet -oppimisympäristö

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Sisällönhallinta, esteettämyys, henkilötiedot,

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJASELOSTE EU:n yleinen tietosuoja-asetus (679/2016), art. 12 Tietosuojalaki Laatimispäivä Rekisterinpitäjä

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojaseloste. 2. Yhteyshenkilö rekisteriä koskevissa asioissa. 3.Tietosuojavastaavan yhteystiedot

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Salon kaupunki , 1820/ /2018

EU:N UUSI TIETOSUOJA- ASETUS (GDPR)

Salon kaupunki , 1820/ /2018

Tutkittavan informointi ja suostumus

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

Salon kaupunki / /2018

LSPeL Porin toiminta-alueen kevätseminaari

EU TIETOSUOJA- ASETUS

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

EU:n tietosuoja-asetus (GDPR)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Salon kaupunki / /2018

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Espoon kaupunki

Tampereen yliopisto Tietosuojailmoitus 1 (5) Tampereen yliopisto Tampereen yliopisto Kalevantie 4, Tampere Puh.

Tampereen Aikidoseura Nozomi ry

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Tietosuojavastaava ja yhteystiedot: Essi Mangström Myllyjärventie 1, Vieremä

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuojaseloste Espoon kaupunki

TIETOSUOJASELOSTE Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (2016/679)

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

UKTY ry:n asiakasrekisterin tietosuojaseloste

4. Henkilötietojen käsittelyn tarkoitus ja käsittelyn laillinen peruste

Rekisteri- ja tietosuojaseloste

Eu:n uusi tietosuojaasetus

Tietosuojaseloste Espoon kaupunki

Teknologia avusteiset palvelutverkostopalaveri

Henkilörekisterin tiedot

Tietosuojaseloste / Tapahtumatukiselvitys

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

TIETOSUOJAILMOITUS EU:n yleinen tietosuoja-asetus (2016/679), Artiklat 13 ja 14 Laadittu: , päivitetty

Osoite: Lintulahdenkuja 4, Helsinki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

Tietosuojaseloste. Trimedia Oy

Tietosuojaseloste 1 (5)

TIETOSUOJASELOSTE EU:n tietosuoja-asetuksen (679/2016) 13 ja 14 artiklan edellyttämä rekisteröidyn informointi

ASIAKAS- JA HENKILÖTIETO REKISTERISELOSTE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

1. Terveydenhuollon toimintayksikkö. HammasOskari Oy, Liesikuja 4A, Rekisteriasioista vastaava yhteyshenkilö

Rekisteri perustuu asiakkuuteen ja sitä käytetään asiakassuhteen hoitamiseen.

EU:n tietosuoja-asetus palokuntien kannalta

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

TIETOSUOJASELOSTE EU:n tietosuoja-asetus 2016/679

Rekisteri- ja tietosuojaseloste

Tietosuojaseloste/Rekisterinpitäjän informointi rekisteröidylle

TIETOSUOJASELOSTE. 4. Rekisterin käyttötarkoitus ja henkilötietojen käsittelyn peruste

Transkriptio:

EU henkilötietolain tarkastelua kuntoutuksen ja kuntoutuksessa tallennettavien tietojen ja VAT:n näkökulmasta. Uudessa asetuksessa henkilötietojen käsittelyssä noudatettavia periaatteita on täsmennetty ja rekisteröidyllä on entistä suurempi oikeus tietää mitä hänestä on talletettu sekä päättää omien tietojensa käytöstä. Asetuksen mukaisia tietosuojaperiaatteita ovat: käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys käyttötarkoitussidonnaisuus tietojen minimointi tietojen täsmällisyys tietojen säilytyksen rajoittaminen tietojen eheys ja luottamuksellisuus rekisterin pitäjän osoitusvelvollisuus Rekisterin pitäjän on huolehdittava siitä, että tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Tämä tarkoittaa myös sitä, että rekisterinpitäjän on kyettävä osoittamaan, että näitä periaatteita noudatetaan. Asetuksen mukaisten tietosuojaperiaatteiden toteutuminen työhön kuntoutuksessa Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Tietojen käsittelyn lainmukaisuus perustuu rekisteröidyn (kuntoutuja-asiakkaan) allekirjoittamaan kirjalliseen suostumukseen. Asetuksen 6 artikla, Käsittelyn lainmukaisuus, kohta 1, kohta a. Tämä allekirjoitettu suostumuslomake on arkistoitava jotta sen olemassa olo voidaan tarvittaessa todentaa. Tietojen käsittelyn kohtuullisuus varmistetaan sillä, että mitään kuntoutuksessa tarpeetonta tietoa ei kerätä. Kerättävät tiedot liittyvät kaikki kuntoutuksen toteuttamiseen, sen dokumentointiin ja siihen, että kuntoutuja-asiakkaan kuntoutuksen perusteella saamat taloudelliset ja / tai sosiaalietuudet voidaan kuntoutujalle toimittaa. Tietojen käsittelyn läpinäkyvyys varmennetaan sillä, että kuntoutuja-asiakkaalla on oikeus saada nähtäväkseen kaikki rekisterin pitäjän hänestä tallettamat tiedot sekä pyytää oikaisemaan virheelliset tiedot. Tämä oikeus kerrotaan kuntoutuja-asiakkaalle perehdyttämisen yhteydessä samalla kun pyydetään suostumus tietojen tallentamiseen. Käyttötarkoitussidonnaisuus Kuntoutusprosessista kerätään vain sellaista tietoa joka on välttämätöntä kuntoutuksen toteuttamiseksi sekä tarvittavien tietojen välittämiseksi muille asiakkaan kuntoutukseen osallistuville ja / tai etuuksia maksaville tahoille. Tietoryhmiä ovat: henkilön perustiedot sekä sopimuksiin ja valmennusjaksoihin liittyvät tiedot läsnäolotiedot (työmaapäiväkirja) kuntoutussuunnitelman tiedot toimintakyvyn arviointitulokset mahdolliset osaamisen todentamiseen liittyvät tiedot 1

Tietojen minimointi Järjestelmään ei koota mitään sellaista tietoa, mitä ei tarvita kuntoutuksen ohjaamiseen tai kuntoutuja-asiakkaan etuuksista huolehtimiseen, eli tietoja kerättäessä ja talletettaessa täyttyy tiedon tarpeellisuus vaade. Tiedot saadaan kuntoutujaasiakkaalta itseltään sekä kuntoutusprosessin aikana kuntoutukseen osallistuvalta henkilöstöltä. Tietojen täsmällisyys Koottavat tiedot ovat määrämuotoisia ja kohdentuvat kuntoutuksen ohjaamiseen, tai kuntoutuksen edistymisestä sekä läsnäolosta tarvittavaan raportointiin. Tietojen säilytyksen rajoittaminen Kuntoutuja-asiakkaan tietoja säilytetään vain rajatun ajan. Säilytysajan pituus on määritelty kussakin käyttäjäorganisaatiossa organisaatiokohtaisesti ja se kerrotaan myös kuntoutuja-asiakkaalle perehdyttämisen yhteydessä. Asiakkaalla on EU asetuksen mukaisesti oikeus myös päättää, että hänen tietonsa poistetaan välittömästi kuntoutuksen päätyttyä, oikeus tulla unohdetuksi, artikla 17 mukaisesti. Tietojen eheys ja luottamuksellisuus Kaikki kuntoutuksessa käsiteltävät tiedot ovat luottamuksellisia ja jokainen jolle järjestelmän käyttöoikeus on annettu, on vaitiolovelvollinen. Kaikista henkilötietoihin, kuntoutussuunnitelman tietoihin ja arviointitietoihin kohdistuvista katseluista, päivityksistä ja tulostuksista menee kirjaus lokiin. Loki voidaan tulostaa pääkäyttäjän oikeuksilla. Lokitietoja ei voi muuttaa. Rekisterin pitäjän osoitusvelvollisuus Rekisterin pitäjällä on osoitusvelvollisuus siitä, että se on noudattanut tietosuojaa ja tietoturvan eri osa-alueita. Rekisterin pitäjän velvollisuus on arkistoida suostumuslomakkeet joihin oikeus tietojen tallentamiseen perustuu. Asiakasrekisterin pidon oikeutus perustuu artiklaan 6, Käsittelyn lainmukaisuus. Erityisiin henkilöryhmiin liittyvien tietojen tallentamisoikeus liittyy artiklan 9 kohtaan 2 b: käsittely on tarpeen rekisterin pitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla. VAT Tietojärjestelmän tarjoama tietosuoja VAT tietojärjestelmä on kuntoutuksen ohjaamiseen ja dokumentointiin tarkoitettu järjestelmä, jonka ohjelmisto toimii HermanIT:n palvelimella Kajaanin Renforsin rannassa. Ohjelmisto on suunniteltu siten, että kullakin käyttäjäorganisaatiolla (rekisterin pitäjä) on erillinen tietokanta johon organisaation käyttäjät kirjautuvat. Ohjelmiston käyttöön suositellaan selaimeksi joko Chrome:a tai Firefox:ia. Käyttäjän selaimen tietoturva-asetukset tulee olla valittuna siten, että selain ei tallenna salasanoja eikä historiatietoja. 2

VAT:tiin kirjautuminen tapahtuu kahdessa vaiheessa. Ensin kirjaudutaan käyttäjän organisaation tietokantaan ja toisessa vaiheessa käyttäjäorganisaation tietoihin. Ensimmäisen vaiheen käyttäjätunnukset ja salasanan antaa ohjelmiston toimittaja. Ensimmäisen vaiheen kirjautumisessa käyttäjätunnuksen ja salasanan lisäksi kirjautumisessa käytetään recaptha varmistusta. Toisen vaiheen henkilökohtaiset käyttäjätunnukset ja salasanat ovat kunkin käyttäjäorganisaation antamia eivätkä ole toimittajan tiedossa. Käyttöoikeudet on rajattu siten että työvalmentajan käyttöoikeuksilla voidaan katsella vain niiden henkilöiden tietoja johon ao. valmentaja on merkitty valmentajaksi voimassa olevalla tai viimeiseksi jääneellä valmennusjaksolla. Yksilövalmentajan (kuntoutusohjaajan) käyttöoikeuksilla voidaan tarkastella organisaation kaikkien kuntoutuja-asiakkaiden tietoja. Yksilövalmentajille järjestelmä tuo etusivulle näkyviin ne henkilöt joiden tietoihin ao. valmentaja on merkitty valmentajaksi. Tällä vältetään tahattomasti tapahtuvaa tietojen katselua. Organisaation käyttäjäoikeudet antaa pääkäyttäjä (admin) kunkin organisaation sisäisten ohjeiden mukaisesti. Kun käyttäjä siirtyy pois organisaation palveluksesta, hänen käyttöoikeutensa merkitään ei aktiiviseksi. Merkinnän tekee pääkäyttäjä (admin). Ei aktiivinen käyttäjä ei voi kirjautua järjestelmään. Järjestelmään kirjattava kuntoutuja-asiakkaan henkilötunnus kryptataan tietokantaan kirjautumisen yhteydessä. HermanIT:n tarjoamat konesalipalvelut tietoturvan ja käytettävyyden näkökulmasta HermanIT noudattaa tietoturva-asioissa ISO/IEC 27001:2013 standardia. Palvelimen ylläpitoon kuuluvat lisäksi palomuuripalvelut, virallinen SSL sertifikaatti ja sen ylläpito. Järjestelmän käyttötoimintoihin kuuluvat Palvelimen hallintapalvelut Tallennuspalvelut Järjestelmän valvonta Varmistukset ja palautukset Palvelujen hallintaa kuuluu lisäksi Palvelimen ongelma- ja muutostenhallinta Palvelimen tietoturva ja käyttöjärjestelmäpäivitykset suoritetaan kuukausittaisessa huoltokatkossa. Katkos suoritetaan kuukauden viimeisenä keskiviikkona klo 22.00. Järjestelmän jatkuvassa palvelussa ovat: Järjestelmän käytettävyys Laitteistovirhelokit 3

Järjestelmäohjelmistot Kapasiteettihälytykset Lokitiedostojen koot Lisäksi palveluun kuuluu vikatilanteiden korjaaminen ja ongelman ratkaisu. VAT palvelin varmistetaan kerran vuorokaudessa, varmistusten säilytysaika on 30 vrk. Fyysinen tietoturva Fyysinen konesalin tietoturva on järjestetty ISO/IEC 27001:2013 tietoturvan hallintajärjestelmän määrittämällä tavalla. Looginen tietoturva HermanIT asentaa, ylläpitää ja päivittää uudet tai olemassa olevat tietoturvakäytännöt jotka se näkee tarpeelliseksi. Implementoi käyttöjärjestelmän tietoturvaan liittyvät määritykset ja toiminnat. HermanIT toteuttaa palomuuripalvelun valvonnan ja hallinnan. Muut käytettävyyteen liittyvät tiedot Palvelinsalin paloturvallisuus on toteutettu jakamalla tila eri palotiloihin, joilla jokaisella on omat hälyttimet ja ilmaisimet. Hälytykset ohjautuvat automaattisesti hälytyskeskukseen. Järjestelmän toimivuus varmistetaan kuukausittain toimintatesteillä. Sähkönsyöttö on toteutettu siten että konesalissa on täysin kahdennettu teollinen sähköverkko kantaverkosta palvelintasolle saakka. Palvelin ja tietoliikennelaitteet on varustettu vähintään kahdella virtalähteellä. Jäähdytysjärjestelmät on kahdennettu. Myös jäähdytysjärjestelmän sähkönsyöttö on kahdennettu. Jäähdytyksen valvonta on toteutettu 24/7/365 ja se on huollettavissa ilman käyttökatkoja. Konesalia ympäröivä alue on aidattu ja sitä valvotaan kameravalvonnalla. Alueelle pääsee vain henkilökohtaisella kulkutunnisteella ja konesalialuetta valvotaan 24/7/365. Organisaatiokohtaiset tietojen käsittelyperiaatteet Tietosuojavastaava Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistuttava siitä, onko organisaatioon asetuksen mukaan nimettävä tietosuojavastaava. Ratkaisua mietittäessä on huomioitava esim. seuraavaa. Tietosuojavastaava on pakollinen esim. kun organisaation ydintehtävät vaativat erityisten henkilötietoryhmien laajamittaista käsittelyä 4

Epäselvissä tilanteissa suositellaan dokumentoimaan oma analyysi ja päätös tietosuojavastaavan tarpeellisuudesta Asetuksen 37 artikla Tietosuojavastaavan nimeäminen 1. b kohta määrittää asian seuraavasti: Rekisterin pitäjän ja henkilötietojen käsittelijän on nimettävä tietosuojavastaava aina kun: Kun rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja /tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Edellä olevan lisäksi tällä hetkellä sosiaali- ja terveydenhuollon palveluja tarjoavilla sekä apteekeilla on velvollisuus nimittää tietosuojavastaava voimassa olevan kansallisen lainsäädännön nojalla. Tietosuojavastaava voidaan nimetä vaikka tietosuoja-asetus ei tähän nimenomaisesti velvoita. Tietosuojavastaavan tehtävät: seuraa tietosuojasääntöjen noudattamista koko organisaatiossa antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin (DPIA) tekemisestä ja valvoo vaikutustenarvioinnin toteutusta on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa tekee yhteistyötä valvontaviranomaisen kanssa ja toimii valvontaviranomaisen yhteyshenkilönä. Organisaation on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Valvontaviranomaisena toimii tällä hetkellä Tietosuojavaltuutetun toimisto ja ilmoituksen voi tehdä vapaamuotoisena. Sähköpostiosoite on tietosuoja@om.fi Postiosoite on: Tietosuojavaltuutetun toimisto Ratapihantie 9, 6. krs 00520 HELSINKI Henkilötietojen säilyttämisaika Organisaation on määriteltävä se aika, jonka jälkeen kuntoutuja-asiakkaan henkilötiedot poistetaan tietojärjestelmästä. VAT järjestelmässä määriteltävän ajan laskeminen voidaan aloittaa kuntoutuja-asiakkaan viimeisen valmennusjakson päättymispäivämäärästä. Yksiselitteistä määräaikaa tietojen säilyttämiseen ei ole, vaan organisaation on päätettävä säilytysajasta tekemänsä viranomaisyhteistyön sekä kuntoutuja-asiakkaidensa etujen pohjalta. 5

Henkilötietojen säilyttämisen määräaikaa päätettäessä voidaan nojautua henkilötietolain 1999/523 seuraaviin pykäliin: 5 Huolellisuusvelvoite Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun. 6 Henkilötietojen käsittelyn suunnittelu Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. 7 Käyttötarkoitussidonnaisuus Henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 :ssä tarkoitettujen käsittelyn tarkoitusten kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei pidetä yhteen sopimattomana alkuperäisten käsittelyn tarkoitusten kanssa. 9 Tietojen laatua koskevat periaatteet Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. Asiakkaiden tiedot poistetaan järjestelmästä adminin (pääkäyttäjä) käyttöoikeuksilla. Poisto tapahtuu antamalla päivämäärä jota vanhemmat tiedot poistetaan. Tämän lisäksi EU:n tietosuoja-asetuksen mukaisesti asiakkaalla on oikeus tietojen poistamiseen artiklan 17 mukaisesti. Oikeus tietojen poistamiseen. Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterin pitäjällä on velvollisuus poistaa 6

henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy: Henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin ja joita varten niitä muutoin käsiteltiin. Rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut 6 artiklan 1 kohdan a alakohdan, tai 9 artiklan 2 kohdan a alakohdan mukaisesti, eikä käsittelyyn ole muuta laillista perustetta. Yksittäinen henkilö poistetaan valitsemalla henkilö, poisto tapahtuu adminin käyttöoikeuksilla. Järjestelmän käytön loputtua muutetaan järjestelmän toimittajan toimesta ensin organisaation tietokannan tunnus siten, että tietokantaa ei voida käyttää. Myöhemmin tietokanta tuhotaan kokonaan jolloin myös varmistukset poistuvat. Järjestelmän pääkäyttäjä Tietoturvan näkökulmasta tarkasteltuna VAT järjestelmän pääkäyttäjän tehtäviin kuuluvat: Loppukäyttäjien käyttäjätunnusten ja salasanojen ylläpito. Ylläpitoon kuuluu myös se, että käyttäjä joka on jonkin aikaa poissa järjestelmän käytöstä (esim. muualla tapahtuvan pitkäkestoisen opiskelun aikana), merkitään ei aktiiviseksi käyttäjäksi jolloin järjestelmä estää ao. käyttäjätunnuksella kirjautumisen. Tarvittaessa lokitiedostojen tulostamisen ja tietojen tarkastamisen yhdessä tietosuojavastaavan sekä tarkastusta pyytäneen rekisteröidyn kanssa. Asiakastietojen poistaminen joko yksittäin, tai organisaation määrittelemän tietojen säilytysajan täytyttyä. Lisäksi tietoturvan näkökulmasta pääkäyttäjän ja tietosuojavastaavan on syytä varmistaa, että organisaatiossa käytettävien työasemien haittaohjelmien torjunta on ajan tasalla sekä se, että selaimen tietoturva-asetuksissa on valittu toiminnot Ei talleteta salasanoja sekä historiatiedoissa Ei mitään historiatietoja. Lisätietoja Henkilötietolaki EU:n yleinen tietosuoja-asetus Tietosuojavaltuutetun toimiston julkaisu Miten valmistautua EU:n tietosuoja-asetukseen 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute