Ulvilan kaupungin tietosuojapolitiikka

Samankaltaiset tiedostot
TIETOSUOJAPOLITIIKKA. Turun kaupunki

Haminan tietosuojapolitiikka

Tampereen ympäristökuntien tietosuojapolitiikka. Hämeenkyrö-Kangasala-Lempäälä-Nokia-Orivesi-Pirkkala-Vesilahti-Ylöjärvi

Ylöjärven kaupungin tietosuojapolitiikka

Eläketurvakeskuksen tietosuojapolitiikka

Hyväksytty Rautavaaran seurakunnan kirkkovaltuustossa / 15

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

LIIKENNE-JA VIESTINTÄMINISTERIÖN TIETOSUOJAKÄYTÄNNÖT

Teknologia avusteiset palvelutverkostopalaveri

TIETOSUOJAPOLITIIKKA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Tietosuojavaltuutetun toimiston tietoisku

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

1 Tietosuojapolitiikka

Seinäjoen kaupungin tietosuojapolitiikka. Kh , 149

Lexian tietosuojaseminaari Dont Mess With My Data! Askelmerkit tästä eteenpäin Saara Ryhtä, Counsel

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Sisällysluettelo: TIETOSUOJAPOLITIIKKA 1 (6)

Kolarin kunnan tietosuojapolitiikka

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

, RAU/475/ /2018

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Politiikka: Tietosuoja Sivu 1/5

EU:n tietosuoja-asetus

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU TIETOSUOJA- ASETUS

Kuhmon kaupungin tietosuoja- ja tietoturvapolitiikka. Kaupunginhallitus, (176 )

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Tietosuoja-asetus ja sen kansallinen implementointi

Vaikutustenarviointi GDPR:n mukaan

10 Yksityiselämän suoja

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tutkittavan informointi ja suostumus

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tampereen Aikidoseura Nozomi ry

Karelia-ammattikorkeakoulun tietosuojapolitiikka

PUOLANGAN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietosuojatehtävät. Järvenpään kaupungissa

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Salon kaupunki , 1820/ /2018

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Tietosuojapolitiikka

6. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Salon kaupunki , 1820/ /2018

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Salon kaupunki / /2018

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Salon kaupunki / /2018

GDPR Tietosuoja-asetus

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

Tietosuoja-asetus (GDPR)

7. Henkilötietojen käsittelyn lainmukaisuus A) Lakisääteinen velvoite Toimintaa ohjaava lainsäädäntö: Maankäyttö- ja rakennuslaki 132/1999

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

LSPeL Porin toiminta-alueen kevätseminaari

Toimintaa ohjaava lainsäädäntö: Arava- ja korkotukilainsäädäntö

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

TIETOSUOJAPOLITIIKKA: SUUN TERVEYDENHOIDON AMMATTILIITTO

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

EU:N YLEINEN TIETOSUOJA-ASETUS JA REKISTERINPITO

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tietosuojaseloste 1 (5) Rekisterin tiedot. Mirka Forsström, Johtava sosiaalityöntekijä. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14

Muut tietojärjestelmät, jotka on otettava huomioon arkaluonteisten asiakas- ja potilastietojen suojaamisen kannalta

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.

Tietosuojaseloste Markkinointirekisteri

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Tietosuojaseloste 1 (5) Rekisterin tiedot. EU:n yleinen tietosuoja-asetus, (2016/679), artiklat 13 ja 14. Pvm

Tietoturva yhdistyksessä

Transkriptio:

111/07.01.01/2018 KH 21.5.2018 Ulvilan kaupungin tietosuojapolitiikka

Johdanto Euroopan unionin yleinen tietosuoja-asetus on tullut voimaan toukokuussa 2016, ja sitä sovelletaan kansallisesti 25.5.2018 alkaen. Asetuksen tavoitteena on varmistaa rekisteröityjen oikeus henkilötietojen suojaan ja yksityisyyteen. Tietosuoja-asetus velvoittaa yritysten ja julkishallinnollisten toimijoiden huolehtimaan rekisterinpidon, henkilötietojen käsittelyn sekä rekisteröidyn henkilön tietojen käsittelyn laillisuudesta ja asianmukaisuudesta. EU:n tietosuoja-asetus asettaa henkilötietojen käsittelylle uusia vaatimuksia toimintatapojen, tiedon elinkaaren hallinnan ja tietojärjestelmien osalta. Rekisterinpitäjän on suunniteltava toimintansa siten, että henkilötietojen käsittelyä koskevat tiedot on tarvittaessa esitettävissä läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Ulvilan kaupunginhallituksen hyväksymässä tietosuojapolitiikassa määritellään, kuinka kaupungin kaikissa palveluissa ja toiminnoissa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso. Tietosuojapolitiikka määrittää ne periaatteet, toimintatavat, vastuut ja valvonnan, joita noudatetaan EU:n yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön nojalla Ulvilan kaupungin tietosuojan toteuttamisessa ja kehittämisessä niiden henkilötietojen ja henkilötietorekistereiden osalta, joissa Ulvilan kaupunki toimii rekisterinpitäjänä. Ulvilan kaupungin palveluiden perustana ovat kuntalaisten tarpeet. Palveluiden tuottaminen perustuu tietoon ja sen käsittelyyn kaupungin ja sen konsernin toimintaympäristöissä. Kaupungin palvelutuotanto on riippuvainen ICT-teknologiasta ja -palveluiden keskeytyksettömästä ja turvallisesta toiminnasta. Tietoturvallisuuden ja tietosuojan huomioiminen aloitetaan suunnitteluvaiheessa. Tietosuojan hallintaan on käytössä erillinen hallintajärjestelmä, johon tallennetaan keskeinen dokumentaatio. Tietosuojaosaamisella voidaan lisätä organisaation tuottavuutta ja tehokkuutta sekä säästää kustannuksia. EU:n yleisen tietosuoja-asetuksen myötä tietosuojasta, tietosuojatyön organisoinnista ja itse tietosuojatyöstä, sekä koko henkilöstön tietosuojaosaamisesta tulee olennainen osa kaupungin operatiivista toimintaa. Kaupungin johto tietosuojatoiminnan omistajana määrittelee tässä politiikassa johtamiseen, palveluihin ja toimintoihin liittyvät tietosuojaperiaatteet, vastuut ja tavoitteet. Politiikka toimii perustana Ulvilan kaupungin tietosuojaa koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden soveltamista käytäntöön. Tietosuojapolitiikka koskee koko kaupunkikonsernia ja niitä kaupungin sidosryhmiä, jotka toimeksiantojensa puitteissa käsittelevät kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa Ulvilan kaupungin omistaman tiedon riippumatta sen esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. Henkilöstön osaaminen ja henkilötietojen käsittelijöiden roolin merkitys on keskeistä kaupungin tietosuojapolitiikan periaatteiden toteuttamisessa. Tietosuojapolitiikka liitetään tarvittaessa kaupungin toimeksiantosopimuksiin. 1

Tietosuojan määritelmä Viranomaisen asiakirjat ovat lähtökohtaisesti julkisia (Perustuslaki 12), jollei sitä julkisuuslaissa tai muussa laissa erikseen toisin säädetä. Julkisuuden ja avoimuuden ohella oikeus yksityisyyden ja henkilötietojen suojaan (Perustuslaki 10) on jokaiselle kuuluva perusoikeus. Henkilötietojen suojasta säädetään erikseen. Henkilötietojen käsittelyn on yhtäältä oltava asianmukaista ja toisaalta sen on aina tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Henkilötietojen suojalla tarkoitetaan myös jokaiselle turvattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada hänestä kerätyt tiedot muutetuiksi tai poistetuiksi, mikäli tietojen oikaisu on tarpeen. Tietosuojan tavoitteet ja periaatteet Kaupungin tavoitteena on huolehtia tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet sekä huolehtimalla käyttäjäkoulutuksesta toteuttaakseen laadukasta ja lainmukaista henkilötietojen käsittelyä. Ulvilan kaupungin toiminnassa toteutetaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta. Tietosuoja otetaan huomioon monipuolisesti perustoiminnan yhteydessä mm. johtamisessa, hankinnoissa, kehitystyössä sekä toimintaprosesseissa. Tietosuojan oikeanlainen toteutuminen varmistetaan myös käyttämällä tilannekohtaisesti parhaita mahdollisia teknisiä ja organisatorisia riskiarvioon perustuvia ratkaisuja. Henkilötietojen käsittely toteutetaan noudattamalla alla lueteltuja tietosuojan yleisiä periaatteita: - henkilötietoja käsitellään lainmukaisesti, asianmukaisesti sekä läpinäkyvästi - henkilötietoja käsitellään suunnitellun käyttötarkoituksen mukaisesti - henkilötietoja kerätään käyttötarkoituksen mukainen määrä, ei enempää - henkilötietojen käsittely toteutetaan täsmällisesti - henkilötietoja säilytetään käyttötarkoituksen kannalta tarkoituksenmukainen aika - henkilötietojen käsittelyssä toteutetaan henkilötietojen eheyden ja luottamuksellisuuden periaatetta Tietosuojatoiminnan kehittämisen lähtökohtana on tietosuojariskien kartoittaminen ja tietosuojaa koskeva vaikutustenarviointi. Kaupunki rekisterinpitäjänä arvioi henkilötietojen käsittelyyn liittyvät riskit ja valitsee arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet. Tietosuojariskien hallinta ja vaikutustenarviointi ovat osa kaupungin riskienhallintaprosessia, jolloin erityisesti merkittävän tason riskit raportoidaan johdolle saakka. Riskilähtöisyys ohjaa organisaation henkilötietojen käsittelyä ja on erittäin tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista. Kaupunki toteuttaa riskilähtöisen toimintaperiaatteen varmistamiseksi tietosuojan vaikutustenarviointeja sellaisten henkilötietojen käsittelytoimille, joiden suunnitteluvaiheessa on todennäköistä, että käsittelytoimiin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä. Vaikutustenarvioinnin tuloksia käytetään niiden hallintakeinojen määrittelemisessä, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa. Samalla varmistetaan tietosuoja-asetuksen vaatimusten toteutuminen. Kaupungin sisäiseen hallintoon ja toimintaan on laadittu erillinen tietosuojaohje. 2

Tietosuojalainsäädäntö EU:n yleinen tietosuoja-asetusta (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016) sovelletaan 25.5.2018 lähtien. Suomen perustuslain 10 :ssä henkilötietojen suojaa koskeva säännös on sisällytetty osaksi yksityiselämän suojaa koskevaa perusoikeussäännöstä. Kansallisesti Suomessa noudatetaan kansallista yleistä tietosuojalakia, jolla täsmennetään ja täydennetään EU:n tietosuoja-asetusta. EU:n tietosuoja-asetuksen ja kansallisen tietosuojalain lisäksi tietosuojaan liittyen tulee huomioida erityislakeja, esim. tasa-arvolaki ja laki yksityisyyden suojasta työelämässä/työelämän tietosuojalaki. Tietosuojan toteuttaminen henkilötietojen koko elinkaaren ajan Tiedonhallinnan suunnitelmallisuus edesauttaa henkilötietojen käytön käyttötarkoitussidonnaisuutta, henkilötietojen minimointia ja rekisteröidyn informointia henkilötietojen käsittelystä. EU:n tietosuoja-asetus velvoittaa rekisterinpitäjän arvioimaan henkilötietojen käsittelyn prosesseja koko henkilötiedon elinkaaren ajan. Henkilörekistereistä laadituissa tietosuojaselosteissa ja tietosuojan hallintamallissa kuvataan, miten henkilötietoja sisältäviä tietovarantoja ylläpidetään, millaisia tietovirtoja henkilötiedoista muodostuu ja mikä on näiden tietojen elinkaari. Arkaluonteisia tietoja ei kerätä, tallenneta tai käsitellä tarpeettomasti. Kaupunki toteuttaa ja sisällyttää tietosuojaperiaatteet ja -vaatimukset jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Näin varmistetaan, että käsittely vastaa tietosuoja-asetuksen vaatimuksia. Kaupunki toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt tietosuojan varmistamiseksi ja rekisteröityjen oikeuksien toteutumiseksi. Toimintaperiaatteilla ja ohjeistuksella varmistetaan, että: - kerätään vain henkilötietoja, jotka ovat välttämättömiä käsittelytarkoituksen kannalta - henkilötietoja ei säilytetä kauemmin kuin on välttämätöntä kyseisessä käsittelytarkoituksessa - henkilötietoja ei saateta rajoittamattoman henkilömäärän saataville Tietosuojan toteuttamisessa kaupunki haluaa varmistaa tietosuojalainsäädännön vaatimusten toteutumisen koko käsiteltävien henkilötietojen elinkaaren ajan. Henkilörekisterit ja tietovarannot Kaupungin tulee tunnistaa ja määritellä kaikki hallitsemansa henkilörekisterit ja tietovarannot omassa toiminnassaan. Henkilötietojen käsittely edellyttää käsittelyn lainmukaisuuden varmistamista. EU:n tietosuoja-asetuksen artiklassa 6 on kerrottu henkilötietojen käsittelyn edellytykset. Kaikille kerätyille henkilötiedoille tulisi olla lainmukainen perustelu. Henkilötietojen käsittelyn lainvoimaisuus tulisi aina arvioida miettien, mihin käyttötarkoitukseen henkilötietoja tarvitaan ja onko käyttötarkoitukseen lainmukainen käsittelyoikeus. 3

Tietoturva EU:n tietosuoja-asetus velvoittaa rekisterinpitäjän arvioimaan vaikutukset rekisteröidylle, mikäli hänen henkilötietoihinsa päästäisiin lainvastaisesti, henkilötiedot muuttuisivat tahtomatta tai henkilötiedot katoaisivat. Lisäksi rekisterinpitäjä arvioi henkilötietojen käsittelyn laajuuden (rekisteröityjen määrä) ja luonteen sekä arvioi, minkälaisia teknisiä ja organisatorisia suojatoimia henkilötietojen suojaamiseen tarvitaan. Mitä arkaluontoisempia tietoja tietojärjestelmässä on, sitä vahvempia tietoturvaratkaisuja ja muita suojatoimia toteutetaan. Rekisterinpitäjä on vastuullinen koko rekisterin, ei pelkästään sovelluksen, tietoturvasta. Rekisterinpitäjän tulee arvioida sovelluksen lisäksi esim. mahdollisen paperiarkiston tietoturva ja rekisteriin liittyvien prosessien tietoturva. Rekisterinpitäjä on vastuussa sovellusten ja ohjelmistoympäristöjen käyttöoikeuksien hallinnasta. Tietosuojavastaava ja henkilöstön tietosuojakoulutus Ulvilan kaupunki huolehtii henkilöstön riittävästä tietosuojaosaamisesta henkilöstökoulutuksien ja informaation välittämisen kautta. Tietosuojavastaava koordinoi koulutusta. Uudet työntekijät perehdytetään tietosuoja-asioihin. Erityisesti tämä korostuu niissä rooleissa, joissa käsitellään arkaluonteisia henkilötietoja. Rekisteröidyn tietopyyntöprosessi Henkilötietoja käsitellään rekisteröidyn kannalta läpinäkyvästi. Ulvilan kaupungissa on määritetty toimintaprosessi ja ohje liittyen toimintaan rekisteröityjen käyttäessä oikeuttaan päästä omiin henkilötietoihinsa. Toimintatapaa noudatetaan niissä tapauksissa, joissa rekisteröidyt haluavat saada nähtäväkseen omia rekistereissä olevia henkilötietojaan. Tietopyyntö osoitetaan kirjaamoon tietosuojavastaavalle erillisellä tietopyyntölomakkeella. Toiminta tietoturva ja -suojapoikkeamatilanteissa sekä ilmoitusvelvollisuus Henkilötietojen tietoturvaloukkauksen sattuessa kaupungilla on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Valvontaviranomaiselle tehdään ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi. Kaupungissa on määritetty toimintaprosessi tietoturva- ja suojaloukkausten varalle. Henkilötietojen tietoturvaloukkaus ilmoitetaan rekisteröidylle ilman aiheetonta viivytystä. Tietosuojavastaava vastaa tietosuojapoikkeaman ilmoitusvelvollisuudesta. 4

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute