YLEISET KIRJASTOT JA TIETOSUOJA ULLA VIRRANNIEMI

Samankaltaiset tiedostot
YLEISET KIRJASTOT JA TIETOSUOJA Koulutukset syksy ULLA VIRRANNIEMI

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tulevat säädösmuutokset ja tietosuoja

Usein kysyttyjä kysymyksiä tietosuojasta

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:N TIETOSUOJA-ASETUKSET WALMU

General Data Protection Regulation, GDPR. Tietosuoja-asetuksen vaikutukset pk-yrittäjän näkökulmasta Juha Oravala D-Fence Oy

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Termit. Tietosuojaseloste

Kolarin kunnan tietosuojapolitiikka

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN MAAHANMUUTTAJAPALVELUISSA

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

EU:n tietosuoja-asetus palokuntien kannalta

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

EU:n tietosuoja-asetus palokuntien kannalta

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Informaatiovelvoite ja tietosuojaperiaate

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VARHAISKASVATUKSEN ASIAKKUUDEN HALLINNASSA

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietoturva yhdistyksessä

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Organisaatioluvan hakeminen

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Jäsenrekisteri tietosuoja-asetus ja henkilötietolaki

Haminan tietosuojapolitiikka

WORKSPACE OY REKISTERISELOSTEET

GDPR. aka. Euroopan tietosuoja-asetus

Teknologia avusteiset palvelutverkostopalaveri

EU:n tietosuoja-asetus ja sähköposti

GDPR Tietosuoja-asetus

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN IKÄIHMISTEN PALVELUISSA

Varustekorttirekisteri - Tietosuojaseloste

Tietosuojalainsäädäntö uudistuu. Tietosuoja-asetus. Ylitarkastaja Anna Hänninen. VAHTIn kuntien tietoturvajaoston alueseminaarikiertue

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA HAUSJÄRVEN KUNNAN VAMMAISPALVELUISSA

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

LSPeL Porin toiminta-alueen kevätseminaari

REKISTERINPITÄJÄ Fysioterapiapalvelut Kirsi Pätsi Rovaniemen toimipiste, Valtakatu 30 A 10, Rovaniemi

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste Espoon kaupunki

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

- pienten ja keskisuurten yritysten ja järjestöjen valmennushanke

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Koulutuskiertue

Rekisteriin kuuluvat seuraavat henkilötietoja sisältävät rekisterit ja osarekisterit:

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Vaikutustenarviointi GDPR:n mukaan

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojaseloste Espoon kaupunki

Salon kaupunki , 1820/ /2018

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Salon kaupunki , 1820/ /2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Salon kaupunki / /2018

Henkilötietojesi käsittelyn tarkoituksena on:

Tietosuojaseloste. Tunne Hoiva Oy:n rekisterit: Asiakasrekisteri Laskutusrekisteri Työnhakijarekisteri Työntekijärekisteri.

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Ajankohtaista tietosuoja-asetuksesta

EU:n uusi tietosuoja-asetus

EU-tietosuoja-asetus. Helsingin kaupunki Kaupunginkanslia

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tämä on EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen tietosuojailmoitus. Laadittu

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Kameravalvontarekisteri, Veho Oy Ab 1 (5) TIETOSUOJASELOSTE 1 YKSITYISYYTESI SUOJAAMINEN

Tietosuoja-asetus. Valo, Valtakunnallinen liikunta- ja urheiluorganisaatio ry Castrén & Snellman

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tiedon elinkaaren hallinta Henkilötietojen suoja

1 (5) EU:n yleinen tietosuoja-asetus, artiklat GEOLOGIAN TUTKIMUSKESKUS TIETOSUOJASELOSTE GTK/151/00.19/2016

alueen turvallisuuden lisääminen; sekä

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojailmoitus TIETOSUOJAILMOITUS TAPAHTUMAT. Rekisterinpitäjä. Yhteyshenkilö. Tietosuojavastaava

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Rekisteri- ja tietosuojaseloste

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste Espoon kaupunki

Salon kaupunki / /2018

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Transkriptio:

YLEISET KIRJASTOT JA TIETOSUOJA

ALKUVERRYTTELY Minulla ei ole mitään salattavaa - http://www.tietosuoja. fi/fi/index/blogi/6iut CELFH/2018/mkQJg H3cv.html.stx

TAUSTAA EU GDPR = Euroopan unionin tietosuoja-asetus - Tullut voimaan 24.5.2016 Tavoitteena 1. Yhtenäistää ja selkeyttää EU jäsenmaiden tietosuojalainsäädäntöä ja parantaa myös tiedon liikkuvuutta jäsenvaltioiden välillä. Henkilötietojen taloudellinen merkitys 2. Parantaa ja selkeyttää rekisteröidyn oikeuksia. 3. Koskee vain luonnollisia, elossaolevia henkilöitä.

TAVOITTEET Uuden lainsäädännön tavoitteena on parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin yhtenäistää tietosuojasääntelyä kaikissa EU-maissa edistää digitaalisten sisämarkkinoiden kehittymistä.

PERUSPERIAATTEITA Sisäänrakennetun tietosuojan periaate Järjestelmät, prosessit ja periaatteet on määritelty sellaisiksi, että ne lähtökohtaisesti tukevat tietosuojaa. Oletusarvoisen tietosuojan periaate vain kunkin tarkoituksen kannalta tarpeelliset henkilötiedot Osoitusvelvollisuus Pitää pystyä osoittamaan, että näitä periaatteita on noudatettu organisaation toiminnassa. Pelkkä lain noudattaminen ei riitä, vaan se tulee todentaa.

SUHDE AIKAISEMPAAN LAINSÄÄDÄNTÖÖN Rekisteröidyn oikeudet vastaavat Suomessa pitkälti aiempaa (Henkilötietolaki) Mm. oikeus tarkistaa itseään koskevat tiedot, velvollisuus korjata virheelliset tiedot, poistettava tarpeeton ja vanhentunut tieto. Uutta: Oikeus tulla unohdetuksi - > ei sovelleta lakisääteisiin rekistereihin, joissa tieto tulee säilyttää lakisääteisesti. (käytännössä esim. kaupalliset rekisterit). Oikeus saada itseään koskevat tiedot sähköisesti ja siirtää tietojaan järjestelmästä toiseen. Tietosuojavastaava (aiemmin vain SOTE, nyt laajasti) Tietoturvaloukkauksista raportointi (valvontaviranomainen ja rekisteröity) Hallinnolliset sanktiot (ei vielä tietoa, koskeeko julkishallinnonorganisaatioita) Sisäänrakennettu tietosuoja järjestelmä on suunniteltu niin, että tietosuoja on helppo osoittaa. Jos henkilötietojen käsittely perustuu suostumukseen, suostumuksen on oltava nimenomainen (ei poista ruksi, jos ei, vaan laita ruksi, jos hyväksyt

KÄYTÄNNÖSSÄ Henkilöä koskevan tiedon keräämiselle tulee aina olla peruste, samoin sen säilyttämiselle. Aikaisemmassakaan laissa ei hyväksytty nice to know tyyppisen tiedon tallentamista, mutta nyt tätä on korostettu. Aikaisemmin ei edellytetty, että tietojen käsittelijästä jäisi ns. lokitieto rekisteriin, mutta nyt edellytetään. HUOM! Ei kuitenkaan tietojen katselutasolla, kuten esim. SOTE:n ja poliisin rekistereissä, mutta muutos tasolla. KUITENKIN, jos järjestelmä kerää katselustakin lokitietoja, niin tiedot on luovutettava (tulkinta).

MIKÄ ON HENKILÖTIETO Tieto/tiedot, joiden nojalla joku henkilö voidaan suoraan tai epäsuorasti tunnistaa Pelkkä ammatti, sukupuoli, kieli, syntymäpaikka eivät välttämättä ole sitä, mutta voivat yhdisteltyinä muodostaa henkilötiedon. Asetus koskee niin julkisia, kuin ei-julkisia henkilötietoja siksi myös kirjaston aineistorekisteri ja julkaisurekisterit voivat olla henkilörekistereitä. Tietojen kerääminen pystyttävä perustelemaan Myös valokuva, josta henkilö on tunnistettavissa, on henkilötieto mutta miloin valokuvat muodostavat henkilörekisterin?

ASETUKSESTA henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella

REKISTERI JA KÄSITTELY rekisteri = mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu.. käsittely = toiminto tai toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista

REKISTERINPITÄJÄ Luonnollinen tai oikeushenkilö, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Kirjastossa KIRJASTO on rekisterinpitäjä, ei kunta koska kirjasto määrittelee miksi, mitä ja miten tietoja käsitellään. Kunnan tietohallinto ei voi sisällöllisesti olla rekisterinpitäjä, vaikka tosiasiallisesti esim. tietopyyntöihin tarvitaan apua myös tietohallinnon toimijoilta, jolloin heitä voidaan pitää asetuksessa tarkoitettuina henkilötietojen käsittelijöinä.

ONGELMIA Väärinkäsityksiä, liian tiukkoja tulkintoja Aitoja epäselvyyksiä Huonot käännökset, olemattomat tulkinnat.

HENKILÖTUNNUS Siilo-ratkaisu kaikki lainauspalvelun työntekijät eivät automaattisesti pääse käsiksi henkilötunnukseen. Kirjastolla on oikeus pyytää asiakkaaltaan henkilötunnus, niiltä osin Tietosuojalautakunnan päätös 29.11.1993 56/1993, liittyen henkilötunnuksen tarpeellisuusvaatimukseen kirjaston lainausrekisterissä on ainakin toistaiseksi voimassa, samoin kuin. Ja tietosuojavaltuutetun lausunto asiakkaan henkilötietojen kysymisestä tietokonetta käytettäessä http://www.tietosuoja.fi/fi/index/ratkaisut/asiakkaanhenkilotunnuksenkasittelykirjas. html

KIRJASTOKORTTI! pseudonymisoimisella henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu Elikkä, jos kirjastossa asiakkaan lainaus yms. Tapahtuu kirjastokortilla ja se on linkki tietoihin, niin varsinainen henkilörekisteri voidaan irrottaa lainauksesta ( Siilo ).

ASIAKKAAN TUNNISTAMINEN Asiakkaan tietosuojan kannalta kirjastokortilla on merkitystä. Luotettava tunnistaminen, myös silloin, kun asiakas kysyy esim. itsestään tallennettuja tietoja esim. puhelimitse ei tietosuojapyyntöön voida suostua.

TIETOPYYNTÖ Asiakkaalla on oikeus saada tieto siitä mitä hänestä on rekisteriin tallennettu. Asetuksesta: Rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen... Kaikilla rekisteröidyillä olisi sen vuoksi oltava oikeus tietää ja saada ilmoitus erityisesti henkilötietojen käsittelyn tarkoituksista, ja jos mahdollista, käsittelyajasta, henkilötietojen vastaanottajista, käsiteltävien henkilötietojen automaattisen käsittelyn logiikasta sekä kyseisen käsittelyn mahdollisista seurauksista, ainakin jos käsittely perustuu profilointiin. Mikäli mahdollista, rekisterinpitäjän olisi voitava tarjota etäpääsy suojattuun järjestelmään, jossa rekisteröity saa suoran pääsyn henkilötietoihinsa. Tämä oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin, joita ovat esimerkiksi liikesalaisuudet tai henkinen omaisuus ja erityisesti ohjelmistojen tekijänoikeudet. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjä olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.

KÄYTÄNNÖSSÄ Tulee olla kirjattuna ylös, miten tietopyyntö tulee esittää, jotta asiakas on tunnistettu luotettavasti. Määräaika sille, kuinka nopeasti asia käsitellään (tavoiteaika). Kirjattuna, kuka hoitaa asian, missä muodossa tiedot toimitetaan, mistä rekistereistä tiedot haetaan. Huomioitavaa jos henkilö pyytää kunnasta selvitystä, missä kaikissa KUNNAN rekistereissä hänestä on tietoa, niin kirjastoon voi tulla liitännäispyyntö myös sitä kautta.

VOIKO ASIAKAS VAATIA TIETOJAAN POISTETTAVAKSI Lainaajarekisteristä Voi, jos samalla luopuu lainausoikeudesta -> ei ole pakko olla kirjaston asiakas. Kuitenkin myös kirjastolla on oikeuksia, joten esim. lainat on palautettava ja velat maksettava, ennen tietojen poistoa. Muut rekisterit Esim. osallistumistiedot tapahtumiin yms. voi pyytää. Julkaisutietokannasta (Finnan myötä tullut joissain kirjastoissa esille) Ei oikeutta, ainoastaan oikeus vaatia korjaamaan virheellinen tieto. 5.3.2018 ULLA VIRRANNIEMI

TIETOSUOJALOUKKAUS JA SIITÄ RAPORTOINTI 72 tunnin kuluessa viranomaiselle (tietosuojavaltuutettu) ja henkilölle/henkilöille, joita asia koskee. Paitsi, jos ei ole omiaan aiheuttamaan vahinkoa. Joissain tapauksissa ilmoitus viranomaiselle ja julkinen tiedote (jos kaikki henkilötiedot ovat vuotaneet ulos).

TIETOSUOJAVASTAAVA - MITÄ TEKEE? a) antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, b) seuraa, että noudatetaan tietosuoja-asetusta, siihen liittyviä käytännesääntöjä, ohjeita ja muita säädöksiä (mm. kansallinen lainäädäntö, jahka se valmistuu) c) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista d) tekee yhteistyötä valvontaviranomaisen kanssa; e) toimii valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä

TIETOSUOJAVASTAAVA TARVITAANKO KIRJASTOON? Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun a) tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin; b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

ELIKKÄ Periaatteessa kyllä, mutta pienessä kunnassa kunnan tietosuojavastaava voi toimia myös kirjaston tietosuojavastaavana. Isommassa kunnassa olisi hyvä, että kirjastolla olisi joku nimettyhenkilö, joka vähintäänkin osallistuisi kunnassa tietosuojatyöryhmän toimintaan. Jos rekisterinpitäjä tai henkilötietojen käsittelijä on viranomainen tai julkishallinnon elin, yksi ainoa tietosuojavastaava voidaan nimittää useampaa tällaista viranomaista tai julkishallinnon elintä varten niiden organisaatiorakenne ja koko huomioon ottaen.

YLEISIÄ OHJEITA Lainatietojen säilyttäminen ei täsmällistä aikarajaa, niin kauan kuin perusteltua toiminnan kannalta Saako asiakkaalle kertoa, kenellä kirja on lainassa? EI (koska henkilötieto, saa luovuttaa vain laissa mainituilla edellytyksillä) Kirjastontyöntekijällä on salassapitovelvollisuus. Mitä voi tallentaa? asiakastiedot, jotka välttämättömiä kirjaston toiminnan kannalta Pääsääntö turhia tietoja on tuskin ennenkään tallennettu, mutta on hyvä tarkistaa. 5.3.2018 ULLA VIRRANNIEMI

KÄYTÄNNÖNPOINTTEJA Työntekijöillä on oltava aina henkilökohtaisilla tunnuksilla kirjautuneena järjestelmään, kun käsittelee asiakkaan lainaajatietoja. Kirjastoissa henkilötietojen käsittelyperuste on lähtökohtaisesti joko laki (kirjaston lakisääteinen tehtävä on mm. lainaustoiminnan hoitaminen, johon liittyy rekisterinpito), tai vaihtoehtoisesti asiakkaan perusteltu etu (TULKINTA) Muita käsittelyperusteita sopimus ja asiakkaan suostumus -> lähtökohtaisesti kyse ei olisi näistä. Vastaavasti aineistorekisteriin tallennettujen rekisteritietojen käsittelyssä on myös kyse lakisääteisen tehtävän toteutumisesta (kirjastot muistiorganisaatoina). Tähän perustuu myös oikeus siirtää tekijätietoja esim. kansalliskirjastonrekisteristä yksittäisen kirjaston rekisteriin.

MIKSI LAKISÄÄTEINEN? 6 Yleisen kirjaston tehtävät Yleisen kirjaston tehtävänä on: 1) tarjota pääsy aineistoihin, tietoon ja kulttuurisisältöihin; 2) ylläpitää monipuolista ja uudistuvaa kokoelmaa; 3) edistää lukemista ja kirjallisuutta; 4) tarjota tietopalvelua, ohjausta ja tukea tiedon hankintaan ja käyttöön sekä monipuoliseen lukutaitoon; 5) tarjota tiloja oppimiseen, harrastamiseen, työskentelyyn ja kansalaistoimintaan; 6) edistää yhteiskunnallista ja kulttuurista vuoropuhelua. Yleisellä kirjastolla voi olla 1 momentissa mainittujen tehtävien lisäksi valtakunnallinen kehittämistehtävä, alueellinen kehittämistehtävä ja erityinen tehtävä. Edellä 1 momentissa tarkoitetun tehtävän hoitamiseksi yleisellä kirjastolla tulee olla tarkoituksenmukaiset tilat, ajantasainen välineistö sekä riittävä ja osaava henkilöstö.

ERITYISTAPAUKSIA Kotipalvelu asiakkaan suostumus/asiakkaan kanssa tehtävä sopimus. Suosittelu - jos asiakas kirjoittaa suosituksen, niin voi olla, että hän myös samalla hyväksyy ehdon, jossa hänen nimensä näkyy (ja siis tietenkin tallentuu).

MITÄ PITÄÄ TEHDÄ VIIMEISTÄÄN NYT Selvittää mitä rekisterejä kirjastossa on. Varsinaisen asiakasrekisterin lisäksi esim. kotipalveluun liittyvät rekisterit. Kaikki sellaiset tiedostot, joissa on ihmisten henkilötietoja ja joita käyttää useampi, kuin yksi ihminen. Rekisterikohtaiset riskiarviot (millaista tietoa sisältää) Mihin tietoa luovutetaan (HUOM! Tietojen luovutus tilastointiin tosin asiakasmääriin ja lainoihin liittyvä data on yleensä anomyymiä, mutta tästä huolimatta tämä tulee tuoda esiin. Sopimukset kuntoon ulkopuolisten tiedon käsittelijöiden kanssa. Henkilökunnan jäsenten omat tunnukset.

LAINAAJAKSI ILMOITTAUTUMINEN Pitää olla määritelty miten lainaajalomakkeet arkistoidaan ja missä.

LAPSET KIRJASTON ASIAKKAANA JA REKISTERÖITYNÄ Erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan. Tällaista erityistä suojaa olisi sovellettava etenkin lasten henkilötietojen käyttämistä markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen ja lapsia koskevien henkilötietojen keräämistä, kun käytetään suoraan lapsille tarjottuja palveluja. Lapselle voidaan myöntää kirjastokortti vanhemman suostumuksella

TULKINTAONGELMIA On tehty mm. esitys lainaajarekisteristä poistetaan äidinkieli, tämä saattaa aiheuttaa ristiriidan kielilainsäädännön kanssa oikeus saada palvelua äidinkielellään. Ongelma erityisesti, jos tulosteiden perusteena on kielivalinta. Aina ennen kuin joku tieto poistetaan turhana kannattaa tarkistaa, miksi se on alun perin rekisteriin tallennettu. Hyvä lähtökohta on se, ettei aikaisempi hyvä käytäntö ole automaattisesti turhaa. Kuvat kuva on henkilötieto, mutta milloin kuvista muodostuu henkilörekisteri. Kuitenkin sananvapaus ja julkaisuvapaus koskee myös kuvia. KUITENKIN, jos esim. kirjastolla on kuvakokoelma, tai vaikka instagramtili, niin riittääkö, että siitä on rekisteriseloste, kun kuvat sinällään (vaikka henkilötietoja ovatkin) eivät ole salassa pidettävää aineistoa?

HYVIÄ KÄYTÄNTEITÄ Tietojen säännöllinen tarkistaminen asiakkaalta itseltään. Voidaan myös miettiä tehdäänkö linkki esim. väestörekisteriin, mutta siinä taas on omat ongelmansa tietojen siirron suhteen. Lähtökohta tulisi kuitenkin olla, että tiedot tulevat rekisteröidyltä itseltään. Tietojen poisto, kun asiakas ei ole käyttänyt kirjaston palveluita xx-vuoteen (määriteltävä mielellään käyttösäännöissä, mutta ainakin rekisteriselosteessa.)

KEEP CALM AND CARRY ON

LISÄÄ INFOA Arjen tietosuoja: https://vimeo.com/222342825 Tietosuojan ja tietoturvan huoneentaulu: https://opitietosuojaa.fi/images/tiedostot/pikakuvakkeet/ty%c3%b6kalupakki_tiet oturva_huoneen_taulu.pdf Tietosuojasanastoa http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/sanastoa.html Vahtihankkeita http://vm.fi/tietosuojan-yhteishankkeet Kuvat Ulla Virranniemi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute