Tietosuojapolitiikka. Tietoturvatyöryhmä (9)

Samankaltaiset tiedostot
Varustekorttirekisteri - Tietosuojaseloste

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Haminan tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Kolarin kunnan tietosuojapolitiikka

Tietosuojaseloste 1 (6)

Tietosuojaseloste Espoon kaupunki

Rekisteriseloste, Espoon kaupunki

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Tietosuojaseloste Espoon kaupunki

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuojaseloste 1 (5)

Tietosuojaseloste 1 (5)

Termit. Tietosuojaseloste

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Politiikka: Tietosuoja Sivu 1/5

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste: Markkinointirekisteri

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

Tietosuojaseloste: Tehy jäsenrekisteri

Informaatiovelvoite ja tietosuojaperiaate

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Henkilötietojen käsittelyn ehdot. 1. Yleistä

EU:N TIETOSUOJA- ASETUS JA SEN VAIKUTUS REKISTERÖITYNEELLE

Tietosuojatehtävät. Järvenpään kaupungissa

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Laadittu TIETOSUOJASELOSTE Insinööritoimisto Suunnittelukide Oy Tietosuoja-asetus (EU) 2016/679

INHUNT LAW OY:N TIETOSUOJAILMOITUS

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

TIETOSUOJASELOSTE. EU:n tietosuoja-asetus (EU) 2016/679. Laatimispvm: Yhteystiedot

Salon kaupunki , 1820/ /2018

Tietosuojaseloste Espoon kaupunki

Tampereen Aikidoseura Nozomi ry

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (6)

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietoturvapolitiikka Porvoon Kaupunki

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste / Tapahtumatukiselvitys

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Salon kaupunki , 1820/ /2018

Rekisteriseloste Espoon kaupunki

TIETOSUOJAPOLITIIKKA

Tietosuojaseloste 1 (5) Laadittu: nina.gronmark(at)espoo.fi. anna.autio(at)espoo.fi. Juho Nurmi, tietosuojavastaava

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Ulvilan kaupungin tietosuojapolitiikka

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaseloste Espoon kaupunki

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

1. Rekisterin nimi Kameravalvonnan henkilörekisteri Vesilahden kunnan kiinteistöissä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Tietosuojaseloste 1 (5) Hyväksytty tietosuoja-asetuksen toimeenpanoprojektissa Tuula Antola, elinkeinojohtaja

UNITED BANKERS -KONSERNIN YHTIÖN MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

Salon kaupunki / /2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojavaltuutetun toimiston tietoisku

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

TIETOSUOJASELOSTE. Wessmanninkatu 2, Äänekoski , raija.tuhkanen[at]aanekoski.fi

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietosuojaseloste 1 (5)

GDPR Tietosuoja-asetus

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Tietosuojaseloste Community

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

Salon kaupunki / /2018

Transkriptio:

Tietosuojapolitiikka Tietoturvatyöryhmä 20.4.2018 1 (9)

Sisällys Johdanto... 3 Henkilötietojen käsittelyssä noudatettavat periaatteet... 4 Tietosuojan organisointi... 5 3.1 Tietosuojan vastuut... 5 3.2 Henkilötietojen käsittely organisaation ulkopuolella... 6 Henkilöstön osaamisen varmistaminen... 6 Rekisteröidyn oikeudet... 6 Väärinkäytön seuraamukset... 8 Poikkeamien hallinta... 8 Tietojen käsittelyä ohjaava ohjeistus... 9 2 (9)

Johdanto Kaupungin johto määrittelee tässä Porvoon kaupungin tietosuojapolitiikassa tietosuojaa koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kaupungin tietosuojaa koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden käytäntöön soveltamisessa. Politiikka on käyttäjien saatavilla sähköisessä muodossa intranetissä ja tarvittaessa paperiversiona. Tietosuojapolitiikan ja -ohjeiden noudattaminen on tärkeä osa kaupungin sisäistä valvontaa ja riskienhallintaa. Tietosuojapolitiikkaa tulee noudattaa kaikessa kaupungin toiminnassa ja se velvoittaa kaikkia sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kaupungin omistamaa tai hallinnoimaa henkilötietoa. Politiikka kattaa kaupungin käyttämän, omistaman ja hallinnoiman henkilötiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. Tietosuoja liittyy läheisesti tietoturvaan, eli tietojen saatavuuden, eheyden ja luottamuksellisuuden varmistamiseen. Tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen. Siihen liittyvät periaatteet on kuvattu kaupungin tietoturvapolitiikassa ja tietoturvaohjeissa. Tietosuojapolitiikka ja henkilötietojen käsittelyä koskevat ohjeet täydentävät edellä mainittuja henkilötietojen turvallisen käsittelyn osalta. Tietosuoja on henkilötietojen suojaa. Tietosuojalla tarkoitetaan henkilön yksityisyyden ja luottamuksen turvaamista eli henkilötietojen oikeaoppista käsittelyä sekä tietojen suojaamista asiattomalta käytöltä. Tietosuojan tarkoituksena on varmistaa yksilön perusoikeuksien säilyminen kaikessa henkilötiedon käsittelyssä. Henkilötietoja ovat kaikki tunnistettavaan henkilöön liitettävissä olevat tiedot. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Tämä tarkoittaa käytännössä, että nimen, osoitteen ja henkilötunnisteen lisäksi myös muut henkilöä yksilöivät tiedot, kuten IP osoitteet, luottokorttinumerot, puhelinnumerot, kiinteistötunnukset, auton rekisterinumero ja valokuvat, joissa esiintyy edellä mainittuja, ovat henkilötietoa. EU:n tietosuoja-asetus asettaa entistä tiukemmat vaatimukset henkilötietojen käsittelylle. Tiukentuneiden vaatimusten ohella asetuksen voimaantulon jälkeen Porvoon kaupungilla on velvollisuus osoittaa, miten se käsittelee henkilötietoja ja miten yksityisyyden suoja turvataan. Jatkossa kaupungin on siis sekä käsiteltävä henkilötietoja tiukentuneiden vaatimusten mukaisesti että myös pystyttävä todentamaan tämä. Tietosuojapolitiikassa määritellään henkilötietojen suojaamisen yleiset periaatteet, jotka muodostavat samalla perusteet edellä mainitulle osoittamisvelvollisuudelle. Periaatteita noudattamalla tavoitellaan luottamusta: Porvoossa henkilötietoja käsitellään tavalla, johon kuntalaiset ja muut rekisteröidyt voivat luottaa. Tämä edellyttää, että henkilötietojen käsittelyn periaatteet ovat riittävän selkeät ja konkreettiset, ja että rekisteröidyillä on saatavilla riittävästi informaatiota tietosuojan toteutumisesta Porvoossa. Sisäänrakennettu ja oletusarvoinen tietosuoja tarkoittaa sitä, että henkilötietojen suoja otetaan huomioon jo toimintaa suunniteltaessa. Aina kun suunnitellaan uutta toimintaa, hankintaa tai toimintatavan muutosta, johon sisältyy henkilötietojen käsittelyä, on arvioitava toiminnan vaikutuksia tietosuojan näkökulmasta ja arviointiin on otettava mukaan kaupungin tietosuojavastaava. 3 (9)

Porvoon kaupungin on rekisterinpitäjänä huolehdittava siitä, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja että tämä huomioidaan myös uusia käsittely- ja toimintatapoja suunniteltaessa. Henkilötietojen käsittelyn tulee olla tarkoitussidonnaista; rekisterinpitäjän tulee ennakkoon määritellä ne tarkoitukset, joihin henkilötietoja käsitellään ja varmistaa, ettei tietoja käsitellä muihin tarkoituksiin. Tietosuojan toteutumista tulee tarkastella riskilähtöisesti. Henkilötietojen käsittelyssä noudatettavat periaatteet Henkilötietoja on käsiteltävä lainmukaisesti, kohtuullisesti sekä rekisteröidyn kannalta läpinäkyvästi. Läpinäkyvällä käsittelyllä tarkoitetaan sitä, että rekisteröidylle tulisi olla läpinäkyvää miten heitä koskevia tietoja kerätään ja käytetään sekä missä määrin henkilötietoja käsitellään tai on aikeissa käsitellä. Läpinäkyvyyden periaatteen mukaisesti henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä. Henkilötietojen kerääminen tulee olla sidonnainen käyttötarkoitukseen, ja tietojen kerääminen tuleekin tapahtua tiettyä, nimenomaista ja laillista tarkoitusta varten. Kerättyä tietoa ei saa käyttää myöhemmin tarkoitukseen, jolla ei ole sidonnaisuutta kerätyn tiedon käyttötarkoitukseen. Henkilötietojen kerääminen tulee rajata ja minimoida tarpeelliseen tietoon suhteessa keräämisen tarkoitukseen ja henkilötietojen on oltava asianmukaisia sekä olennaisia. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä sekä rekisterinpitäjän on kohtuullisin toimenpitein varmistettava, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Rekisterinpitäjän on varmistettava, esimerkiksi asetettujen määräaikojen avulla, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin se on tarpeen tietojen käsittelyä varten. Tietoja voi kuitenkin säilyttää kauemmin, mikäli tietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia varten tai tietoja käytetään historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Henkilötietoja käsittelyssä on varmistettava tietojen asianmukainen turvallisuus ja siten tietojen eheys ja luottamuksellisuus. Tietoja tulee suojata luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta, jossa on käytettävä asianmukaisia teknisiä tai organisatorisia toimia. 4 (9)

Tietosuojan organisointi Tietosuojan toteutumisesta kaupungissa on viime kädessä vastuussa kaupungin johto eli kaupunginhallitus, joka päättää tietosuojapolitiikasta. Tietosuojatyön organisoinnista kaupungissa huolehtii tietosuojavastaava, joka raportoi ylimmälle johdolle. Tietosuojavastaava on rooli, ei virkanimike. Tehtävää hoitavalla henkilöllä on oikeus saada työhönsä lisäresursseja tarpeen mukaan. Hänellä on oikeus tarvittaessa edellyttää muilta kaupungin työntekijöiltä osallistumista tietosuojatyöhön ja tarvittavien tietojen antamista. Porvoon kaupungissa tietosuojatyötä valvoo ja edistää tietosuojaryhmä. Ryhmässä on edustus kaikilta kaupungin toimialoilta. Henkilörekisteri on mikä tahansa jäsenneltyä henkilötietoa sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein. Tieto voi sijaita tietojärjestelmissä, paperilla tai eri tallennusvälineillä. Jokaisen henkilörekisterin osalta tulee olla määritelty rekisterinpitäjä ja mahdolliset ulkopuoliset henkilötietojen käsittelijät. Rekisterinpitäjä on henkilö tai viranomainen, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Kunnissa rekisterinpitäjiä ovat rekisterin aihepiiristä vastaavat toimielimet, joita on informoitava heille kuuluvista rekisteristä ja heidän vastuista rekisterinpitäjinä. Lisäksi rekistereille määritellään vastuuhenkilö ja yhteyshenkilö (kaupungin työntekijä). Kaupungin henkilörekistereistä ylläpidetään ajantasaista luetteloa ja kaupungin verkkopalvelussa on saatavilla tietosuojaselosteet, joista käy ilmi rekisterin tietosisältö, tietojen käsittelyn periaatteet, yhteyshenkilö, tietosuojavastaava ja muut tarvittavat tiedot. 3.1 Tietosuojan vastuut Kaupungin keskeisimmät tietosuojaan liittyvät toimijat ja roolit vastuineen on määritelty alla. Kaupunginhallitus on kaupungin ylin henkilötietojen käsittelystä päättävä taho. Kaupunginhallitus hyväksyy tähän tietosuojapolitiikkaan ehdotetut muutokset. Lautakunnat ja kaupunginhallitus toimivat toimialojensa rekisterinpitäjinä. Rekisterin vastuuhenkilö, yhteyshenkilö tai järjestelmän pääkäyttäjä toimii käytännössä rekisterinpitäjän puolesta. Kaupunginjohtaja toimii tietosuojan omistajana kaupungissa luoden edellytykset tietosuojan asianmukaiselle toteuttamiselle. Kaupunginjohtaja asettaa ryhmän seuraamaan tietosuojan toteutumista, tekemään kehitysehdotuksia sekä toimimaan tietosuojavastaavan sekä järjestelmien pääkäyttäjien tukena (tietosuojaryhmä). Toimialojen, liikelaitosten ja konsernin tytäryhtiöiden johto vastaa tietosuojan toteutuksesta johtamansa toiminnan osalta. Esimies vastaa tietosuojan toteutumisesta alaisessaan toiminnassa. Tiedon käyttäjä vastaa omalta osaltaan määräysten ja ohjeiden noudattamisesta. Jokaisen käyttäjän vastuulla on lisäksi tietoturvaan ja tietosuojaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen viipymättä joko esimiehelle tai Palvelupisteeseen. 5 (9)

Tietosuojavastaavan tehtävänä on antaa asiantuntija-apua sekä organisaation henkilöstölle että johdolle tietosuoja-asioissa. Tietosuojavastaava valvoo henkilötietojen käsittelyyn liittyvien toimintatapojen toteuttamista tietosuojan osalta sekä toimii yhteyshenkilönä valvontaviranomaisen suuntaan tietoturvapoikkeamien ilmoittamisessa ja käsittelyssä. Tietosuojavastaava raportoi kaupungin johdolle. Tietosuojaryhmä toimii tietosuojavastaavan tukena ja tietosuojan kehityksen asiantuntijana ja edistäjänä organisaatiossa sekä sovittaa yhteiset mallit oman organisaation toimintaan. Ryhmään kuuluu puheenjohtajana tietosuojavastaava, kaupungin lakimies, edustus tietohallinnosta, it-palveluista sekä tarpeellisilta osin toimialoilta. 3.2 Henkilötietojen käsittely organisaation ulkopuolella Henkilötietojen käsittelijä voi myös olla ulkopuolinen toimija, jolla on esim. teknisen tuen toteuttamiseksi mahdollisuus päästä näkemään järjestelmään talletettuja tietoja. Kaupungin puolesta sopimuksesta vastuussa oleva taho vastaa, että ulkopuolisen henkilötietojen käsittelijän tehtävät ja vastuu ovat selkeästi määritelty sopimuslausekkein ja henkilötietojen käsittelyä koskevalla rekisterinpitäjän laatimalla kirjallisella ohjeella. Tietosuoja tulee huomioida koko hankintaprosessin ja sopimuksen elinkaaren aikana. Henkilöstön osaamisen varmistaminen Kaupungin sisäisiä henkilötietojen käsittelijöitä ovat kaikki henkilötietoja työssään käsittelevät henkilöt sekä luottamushenkilöt. Heiltä vaaditaan osaamista ja sitoutumista tietosuojan toteuttamiseen työ- ja luottamustehtävissä. Osaamisen varmistamiseksi koko henkilöstöltä edellytetään tietoturvaja tietosuojakoulutuksen suorittamista. Esimiesten tulee varmistaa, että henkilöstö suorittaa tarvittavat koulutukset ja toimii tietosuojaa koskevien ohjeiden mukaisesti. Lisäksi järjestetään tietosuojakoulutusta kohdennetuille henkilöstö- ja luottamushenkilöryhmille. Rekisteröidyn oikeudet Rekisteröidyn oikeuksien toteuttaminen on yksi rekisterinpitäjän päävelvollisuuksista. Tietosuoja on ihmisten yksityiselämän suojaamista, ja siihen kuuluu jokaisen oikeus omiin henkilötietoihinsa. Tietosuoja-asetuksen määrittelemät rekisteröityjen oikeudet ovat osin vastaavia kuin henkilötietolaissakin määritellyt oikeudet. Asetus kuitenkin tuo myös uusia oikeuksia rekisteröidyille vastaamaan teknologian ja henkilötietoja käsittelevien palveluiden kehitystä. Rekisterinpitäjällä on velvollisuus toimittaa rekisteröidyille tietoja henkilötietojen käsittelystä. Rekisterinpitäjällä on velvollisuus tunnistaa rekisteröidyn henkilöllisyys, kun hän käyttää oikeuksiaan saadakseen pääsyn tietoihinsa, oikeuksiaan häntä koskevien tietojen oikaisuun, poistamiseen tai siirtääkseen tietonsa järjestelmästä toiseen. Rekisteröidyn pyyntöihin näitä oikeuksia koskien tulee 6 (9)

vastata kuukauden kuluessa pyynnön vastaanottamisesta. Tarvittaessa rekisterinpitäjä voi soveltaa kahden kuukauden jatkoaikaa, mikäli rekisteröidyn pyyntö on monimutkainen tai niitä on tullut määrällisesti useita. Tiedot tulee pääsääntöisesti toimittaa sähköisessä muodossa ja maksutta. Rekisterinpitäjällä on velvollisuus tiedottaa avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista. Uusia viestittäviä asioita ovat asetuksen mukaan henkilötietojen säilytysajan ja tietosuojavastaavan yhteystietojen ilmoittaminen. Rekisterinpitäjän antama kuvaus henkilötietojen käsittelystä tulee pitää julkisesti saatavilla ja sen ajantasaisuus tulee tarkistaa säännöllisesti. Rekisteröidyillä on oikeus saada pääsy omiin henkilötietoihinsa. Tämä tarkoittaa, että rekisterinpitäjän on rekisteröidyn pyytäessä ilmoitettava käsitelläänkö häntä koskevia henkilötietoja vai ei sekä toimitettava jäljennös käsiteltävistä henkilötiedoista. Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee rekisteröityä koskevat virheelliset henkilötiedot tai täydentää puutteellisia henkilötietoja. Oikeus tulla unohdetuksi tarkoittaa rekisteröidyn oikeutta pyytää rekisterinpitäjää poistamaan esimerkiksi häntä koskevat vanhentuneet henkilötiedot. Rekisteröidyllä on esimerkiksi oikeus peruuttaa suostumuksensa, johon henkilötietojen käsittely on perustunut. Jos rekisteröity peruuttaa suostumuksen, hän voi esittää rekisterinpitäjälle pyynnön poistaa rekisteröityä koskevat tiedot järjestelmistään, minkä jälkeen rekisterinpitäjän on poistettava henkilötiedot, ellei käsittelylle ole muuta laillista perustetta. Suostumuksen peruuttamisen tulee olla yhtä helppoa kuin sen antamisen. Oikeutta tulla unohdetuksi ei sovelleta lakisääteisiin rekistereihin. Tietojen poistaminen niistä ei ole mahdollista lakisääteisen tehtävän suorittamiseen liittyvän käsittelyn yhteydessä. Tietosuoja-asetuksen tuoma uusi rekisteröidyn oikeus on oikeus siirtää tiedot järjestelmästä toiseen. Käytännössä rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot yleisesti käytössä olevassa siirtomuodossa ja toimittaa ne toiselle rekisterinpitäjälle. Siirto-oikeuteen kuuluu myös tietojen siirtäminen suoraan rekisterinpitäjältä toiselle jos se on teknisesti mahdollista. Oikeus edellyttää, että käsittely perustuu suostumukseen tai sopimukseen ja käsittely tehdään automatisoidusti. Siirto-oikeutta sovelletaan myös julkisella sektorilla niihin rekistereihin, jotka on kerätty vapaaehtoisten tehtävien hoitamiseen. Siirto-oikeutta ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamisessa tai julkisen vallan käyttämisessä. Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla merkittävällä tavalla. Uutena velvollisuutena rekisterinpitäjille on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus astuu voimaan, jos loukkaus todennäköisesti aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille, esimerkiksi identiteetinvarkauksien, maksuvälinepetosten tai muun rikollisen toiminnan muodossa. Ilmoitusta ei tarvitse lähettää tietyissä tilanteissa, esimerkiksi jos vuotaneet henkilötiedot ovat salattu ja salausavaimet eivät ole vaarantuneet. Rekisterinpitäjä voi ilmoittaa vuodosta median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa. Tällaisiksi tilanteiksi voidaan nähdä suuren kokoluokan tietovuodot, joiden piirissä on lukemattomia rekisteröityjä. Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen 7 (9)

on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta. Valituksen tekeminen ei rajoita rekisteröidyn muiden hallinnollisten muutoksenhaku- tai oikeussuojakeinojen käyttämistä Jos henkilölle aiheutuu asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta. Väärinkäytön seuraamukset Kun havaitaan henkilötietoihin liittyvä väärinkäytös, esimiehen on ryhdyttävä tarvittaviin toimenpiteisiin, esim. tietosuojavastaavan avulla. Toimenpiteiden laatu harkitaan aina tapauskohtaisesti teon vakavuuden mukaan. Tietojen perusteeton käsittely johtaa aina seuraamuksiin asianomaiselle henkilölle. Mahdolliset seuraamukset: 1. Huomautus suullinen 2. Huomautus kirjallinen 3. Rajoituksia käyttöoikeuksiin 4. Työsuhteeseen liittyvät seuraamukset 5. Rikosoikeudelliset seuraamukset (harkitaan tutkintapyynnön laatimista poliisille) 6. Vahingonkorvausvastuu Poikkeamien hallinta Rekisterinpitäjällä on velvollisuus ilmoittaa tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta, riippumatta siitä, onko loukkaus tapahtunut omassa vai käsittelijän toiminnassa. Rekisterinpitäjä voi jättää tietoturvaloukkausta koskevan ilmoituksen tekemättä ainoastaan, mikäli loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä loukkauksen tietoonsa saatuaan. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen tietoturvaloukkauksesta myös rekisteröidyille, jos loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Asetuksessa on säädetty tarkemmin mitä rekisteröidyille toimitettava ilmoitus tulisi sisältää. Porvoon kaupungin ohjeessa Tietoturvapoikkeamien hallinta löytyy tarkemmat ohjeistukset poikkeamien hallinnasta. 8 (9)

Tietojen käsittelyä ohjaava ohjeistus Porvoon kaupungin tietosuojaohjeistukset tulee olla ajatasaisia ja henkilöstön helposti saatavissa. Viimekädessä toimialat ovat vastuussa omista ohjeistuksistaan. Tietosuojavastaavan tehtäviin yhdessä tietosuojaryhmän kanssa kuuluu auttaa tarvittavien ohjeistuksien laatimisessa. Tietosuojaohjeistuksiin liittyy läheisesti kaupungin ohjeet tietoturvasta. Tietoturvaryhmä katselmoi tämän tietosuojapolitiikan vuosittain ja politiikka päivitetään tarvittaessa. 9 (9)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute