SUONENJOEN KAUPUNKI SUONENJOEN KAUPUNGIN HENKILÖSTÖN TIETOSUOJA- JA TIETOTURVAOHJEISTUS

Samankaltaiset tiedostot
Juokslahden metsästysseura ry:n maanvuokraajien henkilötietojen käsittely

Tietosuojaseloste 1 (5)

T IETOSUOJASELOSTE TYÖNHAKIJAT JA REKRYTOINTITIEDOT SEKÄ VAPAAEHTOISET PAIKANNÄYTTÄJÄT

Medtime Pro -verkkopalvelun käyttöehdot käyttäjälle ja palveluntarjoajalle. Yleistä

UPSEERIEN AMPUMAYHDISTYS ry:n jäsenten henkilötietojen käsittely

PlusTerveys Hammaslääkärit Oy:n rekrytoitavien työntekijöiden henkilötietojen käsittely.

Peränteen Metsästys ja Ampumaseura ry. (PMAS) jäsenten henkilötietojen käsittely

Satakunnan Noutajakoirayhdistyksen ry:n jäsen-, tiedotus- ja tapahtumajärjestämisen henkilötietorekisterien tietosuojaseloste.

Suomen Metsästäjäliiton Pohjois-Karjalan piirin jäsenten henkilötietojen käsittely

Turun ja Säkylän Varuskuntien Eräseura r.y.:n (TSVE ry) jäsenten henkilötietojen käsittely

Metsästysseura Haukka ry:n jäsenten ja maanomistajien henkilötietojen käsittely

Faba osk, osuusrekisteri tietosuojaseloste

Tietosuojaseloste: M-files HR-varaston työntekijöiden henkilörekisteri Sivu 1 / 5

Asianajotoimisto Järvinen & Co Oy:n WinLaw:n asiakas- ja markkinointirekisteri 4 OIKEUSPERUSTE JA HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

Danske Bankin tietosuojatiedote

Lahden seudun joukkoliikenteen rekisteriseloste

3. Rekisterin nimi Lappeenrannan kaupungin joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

Danske Finance Oy:n tietosuojatiedote

EU:n yleisessä tietosuoja-asetuksessa (GDPR) tarkoitettu rekisterinpitäjä on:

Käyttöoikeus Paikkatietoalustan kehitys- ja koulutusympäristön koekäyttöön

Koulutoimi Henkilötietolaki (523/99) 10, 24. Tarkoitettu asiakkaille Laatimispvm:

Plus500CY Ltd. Tietosuoja- ja evästekäytäntö

Tietosuojaseloste Opetusalan Ammattijärjestö OAJ

Tietosuojailmoitus. 1. Soveltamislaajuus ja hyväksyminen. 2. Yhtiö rekisterinpitäjänä. 3. Rekisteriasioita hoitava henkilö. 4.

Sivistysvirasto Henkilötietolaki (523/99) 10, 24. Tarkoitettu asiakkaille Laatimispvm:

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja PL 7, NURMIJÄRVI. Vs. sosiaalityön johtaja Päivi Vuoriheimo puh.

Tietosuojaseloste Tampereen ev. lut. seurakuntayhtymän asiakkuudenhoidon järjestelmästä

Maahantuojat: omavalvontasuunnitelman ja sen toteutumisen tarkastuslomakkeen käyttöohje

ELENIA PALVELUT OY:N TIETOSUOJASELOSTE

Bisnes+ TIETOSUOJASELOSTE

LÄÄKEHOITOSUUNNITELMA VARHAISKASVATUKSESSA

Danske Finance Oy:n tietosuojatiedote

ELENIA LÄMPÖ OY:N TIETOSUOJASELOSTE

Henkilörekisterin tietosuojaseloste

Tietosuoja Tietosuojaperiaatteet Tietosuojaperiaatteemme ovat seuraavat:

7920/16 mn/sj/vb 1 DG F 2C

IMATRAN KAUPUNKI REKISTERISELOSTE Hyvinvointipalvelut Lasten ja nuorten palvelut Psykososiaalinen oppilashuolto Henkilötietolaki (523/99) 10, 24

Energiaviraston ohje tietoturvallisuuteen liittyvän häiriön ilmoittamisesta

Lundbeck noudattaa aina sovellettavaa lainsäädäntöä, mukaan lukien EU:n yleistä tietosuoja-asetusta ja Suomen lakeja.

Miten ja mitä tietoja keräämme sinusta?

Henkilötietojen käsittely yhdistyksessä I samma båt samassa veneessä ry.

REKISTERINPITÄJÄN MUUTOKSET: Toimintamalli muutostilanteessa

TIETOSUOJAKÄYTÄNTÖ. 1. Mitkä tiedot ovat henkilötietoja?

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja

TIETOSUOJAKÄYTÄNTÖ. 1. Mitkä tiedot ovat henkilötietoja?

Kuopion kaupunki Päätöspöytäkirja 1 (6) Tehtävä Kaupunginkanslia Asianro 3122/2017 Arkistopäällikkö

Yhteistyösopimus Kaupunkitutkimus ja metropolipolitiikka tutkimus- ja yhteistyöohjelman toteuttamisesta vuosina

Sisällysluettelo TIETOSUOJASELOSTE

Ohje viranomaisille 8/ (6)

1. Yleistä. Tavoitteet vuodelle 2016

Basware Konsernitilinpäätös Forum Ajankohtaista pörssiyhtiön raportoinnissa

TARVITSEMASI PALVELUT PAIKASTA RIIPPUMATTA

B2C KOHDERYHMÄPALVELUT PALVELUKUVAUS

Tietoturvaohjeita henkilöstölle

REKISTERISELOSTE Henkilötietolaki (523/99) 10

CAVERION OYJ:N HALLITUKSEN TYÖJÄRJESTYS. 1. Hallituksen tehtävien ja toiminnan perusta. 2. Hallituksen kokoonpano ja valintamenettely

(Pandan mainos) (Novalabs mainos)

KUSTANNUSTOIMITTAJIEN TYÖEHTOSOPIMUSTA KOSKEVA NEUVOTTELU

Dnro OUKA/7126/ /2014. Hankinnassa noudatetaan lakia julkisista hankinnoista (348/2007) sekä lakia täydentävää asetusta (614/2007).

KOLMIPORTAINEN TUKI ESIOPETUKSESSA (POL 16, 16a, 17, 17a )

Koulutuksen tarvearviointi vaalitehtävien hoitamista varten

Muistio 1 (5) Tarja Holi. Terveydenhuollon kanteluasioiden käsittelystä Valvirassa. Yleistä

kriisiviestintäohjeistus esimiehille

Windows Nordicin maksunpalautus loppukäyttäjille ("Kampanja") Microsoftin kampanjaehdot

KUNTAKOORDINAATTORIEN NEUVOTTELUPÄIVÄ Oppilas- ja opiskelijahuollon palvelurakenteen ja laadun kehittäminen

Maaret Botska. Asiakirjahallinto ja asiakirjatiedon turvaaminen kunnallisten organisaatioiden muutostilanteissa

Eduskunnan sivistysvaliokunnalle

HENKKARIKLUBI. Mepco HRM uudet ominaisuudet vinkkejä eri osa-alueisiin 1 (16) Lomakkeen kansiorakenne

Hankinnasta on julkaistu ennakkoilmoitus HILMA- palvelussa

Uudenkaupungin kaupungin terveyskeskus pyytää kirjallista tarjoustanne ultraäänilaiteesta

LIIKETOIMINNAN KEHITTÄMISEEN JA YRITYKSEN MUUTOSTILANTEISIIN LIITTYVÄT PALVELUT

Kuntien kulttuuritoiminnasta annetun lain uudistaminen

3. Rekisterin nimi Kuopion seudun joukkoliikenteen matkakorttijärjestelmän asiakasrekisteri

Lausuntopyyntökysely

REKISTERISELOSTE Kulunvalvonta ja työajanseuranta (Hedsam) SISÄLTÖ 1 REKISTERIN NIMI 2 REKISTERINPITÄJÄ 3 REKISTERIN VASTUUHENKILÖ

2. Yhteyshenkilö rekisteriä koskevissa asioissa Joukkoliikennesuunnittelija Lotta Rautio

Yhtiöistä - 11 on varmasti ara-rajoitusten alaisia, - kaksi todennäköisesti ara-rajoitusten alaisia ja - kolme vapaata ara-arajoituksista.

Seloste käsittelytoimista ID (9)

GDPR-tietosuojakäytäntömalli

Domperidonin hyväksytyt käyttöaiheet, jotka on lueteltu alkuperäisvalmisteen CDS-asiakirjassa, ovat seuraavat:

Suomi 100 -tukiohjelma

HAKUOHJE LIIKUNNALLISEN ILTAPÄIVÄTOIMINNAN KEHITTÄMISAVUSTUKSIA VARTEN LUKUVUODELLE

Aloite toimitusvelvollisen myyjän taseselvitystavan muuttamisesta

Kelan järjestelmä muodostaa erän apteekin yhden vuorokauden aikana lähettämistä ostoista.

3. Rekisterin nimi Pohjois-Savon ELY-keskuksen matkakorttijärjestelmän asiakasrekisteri

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja Keskustie 2 A, Nurmijärvi. Woimala sisältää toiminnat. työllisyyspalvelut

VARHAISKASVATUKSEN PALVELUSETELI

Avoin tieto ja avoin hallinto kunnissa

Parikkalan kunta. Koirniemen osayleiskaava Osallistumis- ja arviointisuunnitelma Osayleiskaava-alue

Muistilistan tarkoitus: Valvotaan lain toteutumista sekä tavoitteiden, toimenpiteiden ja koulun tasa-arvotyön seurantamenettelyn laatua.

Hävitä kaikki käyttämättömät säiliöt, joita tämä markkinoilta poistaminen koskee.

Kuopion kaupunki Pöytäkirja 1/ (1) Kaupunkirakennelautakunta Asianro 201/ /2016

Melonta- ja soutuliiton yleisiä periaatteita koskien valintoja

VIHI-Forssan seudun yritysten vihreän kilpailukyvyn ja innovaatioiden kehittäminen ( ) Poistotekstiilit 2012, Workshop -ryhmät 1-4

Ominaisuus- ja toimintokuvaus Idea/Kehityspankki - sovelluksesta

Aineistoa hankitaan laajasti ja monipuolisesti asiakkaiden erilaisiin tarpeisiin. Suosituksena on hankkia kirjaa/1000 asukasta.

Tietosuojaseloste. Henkilötietolaki (523/99) 10 ja

TURVALLISEN OPISKELUYMPÄRISTÖN EDISTÄMINEN JA SORA- LAINSÄÄDÄNNÖN SOVELTAMINEN KEMI-TORNION AMMATTIKOR- KEAKOULUSSA

Koulutustilaisuudessa tehtiin kolme ryhmätyötä. Seuraavassa on koonti ryhmätöiden tuloksista.

Transkriptio:

SUONENJOEN KAUPUNKI SUONENJOEN KAUPUNGIN HENKILÖSTÖN TIETOSUOJA- JA TIETOTURVAOHJEISTUS

Sisällys Jhdant... 3 Rekisterinpitäjä, rekisteröity ja henkilötietjen käsittelijä... 3 Henkilötiedt ja niiden käsitteleminen... 4 Henkilötiedt... 4 Erityiset henkilötiedt... 4 Lasten henkilötiedt... 4 Henkilötietjen käsittely... 5 Tietsujaselste... 5 Lainmukainen henkilötietjen käsittely... 6 Henkilötietjen käsittelyn ikeusperusta... 6 Lakisääteinen peruste... 6 Spimukseen perustuva käsittely... 6 Rekisteröidyn sustumus... 6 Muut henkilötietjen käsittelyn perusteet... 7 Henkilötietjen käsittelyn tietsujaperiaatteet... 8 Sisäänrakennettu- ja letusarvinen tietsuja... 9 Riskiperustainen lähestymistapa... 9 Ositusvelvllisuus... 10 Rekisteröidyn ikeudet... 11 Oikeus tietää mitä henkilötietja kaupungilla hänestä n... 11 Oikeus vaatia henkilötietjensa ikaisemista, pistamista tai käsittelyn rajittamista sekä sustumuksen peruuttamista... 11 Oikeus vastustaa henkilötietjesi käsittelyä... 12 Oikeus siirtää tietnsa järjestelmästä tiseen... 12 Oikeus lla jutumatta perusteetta autmaattisen päätöksenten khteeksi... 13 Tietturvalukkaus... 13 Tietturvalukkauksen riskiarvi... 14 Ilmitus viranmaiselle, tietsujavaltuutetulle... 14 Ilmitus rekisteröidylle... 15 Spimusvaatimukset, kun henkilötietjen käsittelyä ulkistetaan... 16 Tietturva... 16 Lkitiedstt... 17 Rikkmukset ja seuraamukset... 18 Lait ja asetukset... 18 Yhteystietja... 19

Jhdant Sunenjen kaupunki tuttaa päätutteenaan hyvinvintipalveluja Sunenjen kaupungin asukkaille. Palveluiden tuttaminen perustuu tietn ja sen käsittelyyn. Tietsujaan liittyvien lakien tavitteena n sujella lunnllisen henkilön yksityisyyttä. Tämä edellyttää tietsuja- ja tietturva-ajattelun ttamista saksi jka päiväistä työskentelyämme. Jkaisen n tunnettava tehtäviinsä liittyvät tietsujaan ja tietturvaan liittyvät vastuut: käsittelemänsä tiedn luttamuksellisuus, julkisuus / salassa pidettävyys, käyttöikeutensa tiedn käsittelemiseen, lainmukainen tiedn käsitteleminen sekä tietturvan ylläpitäminen. Henkilötietjen käsittelyn n ltava aina tietsuja-asetuksessa määritettyjen perusteiden mukaista. Henkilötietja saavat käsitellä vain ne henkilöt, jilla n siihen tehtäviensä vuksi ikeus, eikä tietja saa luvuttaa tai muuten ilmaista sivullisille henkilöille. Henkilötiediksi luetaan myös tiedt, jtka n saatu tietn henkilötietjen käsittelyyn liittyviä timenpiteitä surittaessa, esimerkiksi henkilön minaisuudet henkilökhtaisista lista tai taludellisesta asemasta. Henkilötietja käsittelevät henkilöt velvitetaan vaitilvelvllisuuteen usein j alan lainsäädännössä ja sen lisäksi asiasta svitaan myös työ- tai muilla spimuksilla. Velvllisuus n vimassa työ-, spimus- tai timeksiantsuhteen päätyttyäkin. Tietturva- ja tietsujaplitiikka määrittää ne periaatteet, timintatavat, vastuut, timivallat, valvnnan ja seuraamusjärjestelmän, jita nudatetaan Sunenjen kaupungin tietturvan ja tietsujan tteuttamisessa ja kehittämisessä. Tämän hjeen tarkitus n kuvata ja hjeistaa se, miten tehtävät käytännössä hidetaan. Ohje auttaa meitä timimaan niin, että malta saltamme täytämme tietsuja-asetuksen rekisterinpitäjälle asettamat velvllisuudet, humiiden rekisteröidyn ikeudet. Rekisterinpitäjä, rekisteröity ja henkilötietjen käsittelijä Tietsuja-asetus määrittää rekisterinpitäjän, rekisteröidyn ja henkilötietjen käsittelijän seuraavasti: Rekisterinpitäjä: Rekisterinpitäjä n se tah, jnka käyttöä varten rekisteröidyn henkilötietja käsitellään. Sunenjen kaupungissa rekisterinpitäjinä timivat kaupunginhallitus sekä lautakunnat. Rekisterinpitäjä määrittelee henkilötietjen käsittelyn tarkitukset ja keint ja sillä n ikeus määrätä rekisterin käytöstä. Rekisteröity: Rekisteröity n lunnllinen henkilö, jnka henkilötietja käsitellään, asiakas, työntekijä, ppilas. Henkilötietjen käsittelijä: Henkilötietjen käsittelijällä tarkitetaan kaupungin ulkpulista taha, spimuskumppania, jka käsittelee kaupungin henkilötietja rekisterinpitäjän lukuun, esimerkkinä stpalvelut ja tietjärjestelmätimittajat. Kaupungin työntekijät eivät siis le henkilötietjen käsittelijöitä vaan reksiterinpitäjän edustajia.

Henkilötiedt ja niiden käsitteleminen Tietsuja-asetusta svelletaan lähtökhtaisesti kaikkeen henkilötietjen käsittelyyn. Tavitteena n sujella lunnllisen henkilön yksityisyyttä. Tietsuja-asetuksessa säädetään henkilötietjen käsittelyä kskevista periaatteista, jtka hjaavat käsittelemään henkilötietja rekisteröidyn ikeuksia ja vapauksia kunniittavalla tavalla. Henkilötietja n käsiteltävä lainmukaista, khtuullisesti ja läpinäkyvästi. Henkilötiedt Henkilötietja vat kaikki sellaiset tiedt, jista henkilö vidaan tunnistaa suraan tai tietja yhdistelemällä. Näitä tietja vat muun muassa nimi, site, henkilötunnus, sähköpstisite, verkktunnistetiedt sekä yksi tai useampi henkilölle tavanmainen fyysinen, fysilginen, geneettinen, psyykkinen, taludellinen, kulttuurillinen tai ssiaalinen tekijä. Erityiset henkilötiedt Erityisiä henkilötietja (=Arkalunteisia henkilötietja) vat: Rtu tai etninen alkuperä, pliittinen mielipide, usknnllinen tai filsfinen vakaumus, ammattiliitn jäsenyys, geneettisten tai bimetristen tietjen käsittely henkilön yksiselitteistä tunnistamista varten, terveyttä kskevat tiedt, lunnllisen henkilön seksuaalista käyttäytyminen ja suuntautuminen. Erityisten henkilötietjen kerääminen n lähtökhtaisesti kielletty, ja käsittelylle n ltava lakiin perustuvat perusteet. Tällaisia laissa mainittuja käsittelyn perusteita vat mm. nimenmainen sustumus, henkilön elintärkeiden etujen sujaaminen tai käsittely n tarpeen tärkeää yleistä etua kskevasta syystä. Lasten henkilötiedt Sumessa lasten ikärajaksi n ehdtettu 13 vutta. Lasten henkilötietja n erityisesti sujattava, kska he eivät ehkä le täysin tietisia henkilötietjen käsittelyä kskevista riskeistä. Tietsujalainsäädännön mukaan lapsi tarvitsee yleensä hultajan tai muun vanhempainvastuunkantajan sustumuksen tai valtuutuksen tietyhteiskunnan palveluiden, esimerkiksi ssiaalisen median ja erilaisten svellusten käyttöön. Lapsi vi kuitenkin käyttää neuvnta- ja tukipalveluja sekä ennalta ehkäiseviä palveluja ilman hultajan sustumusta erityislainsäädännön perusteella. Pyri selvittämään lapsen ikä ja varmentamaan, että sustumuksen n antanut ikärajan ylittänyt lapsi tai lapsen hultaja. Arvii sustumuksen antamiseen liittyviä varmentamistimenpiteitä suhteessa henkilötietjen käsittelyn lunteeseen ja riskeihin. Js pyydät sustumusta lapselta, kiinnitä erityistä humita selkeään ja yksinkertaiseen kieleen. Kun lapsi n riittävän vanha antamaan man sustumuksensa tietyhteiskunnan palveluiden käyttämiseksi, hultajan antama sustumus ei autmaattisesti raukea. Lapsi vi kuitenkin itse perua sustumuksen

täytettyään laissa määritellyn ikärajan, ja rekisterinpitäjänä sinun n kerrttava lapselle tästä mahdllisuudesta. Henkilötietjen käsittely Henkilötietjen käsittelyllä tarkitetaan henkilötietjen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luvuttamista, säilyttämistä, muuttamista, yhdistämistä, sujaamista, pistamista, tuhamista sekä muita henkilötietihin khdistuvia timenpiteitä. Henkilötietjen käsitteleminen suunnitellaan aina ennen uusien tietjen keräämistä. Samalla tarkistetaan mitä näissä hjeissa ja mahdllisesti man alan erityislainsäädännössä edellytetään henkilötietjen käsittelyltä. Tietsujaselste Tietsujaselste n keskeinen tietsujan työkalu. Se laaditaan kaikista kaupungin timinnista, jissa henkilötietja käsitellään. Selsteeseen kuvataan muun muassa mitä rekisteröidyn henkilötietja käsitellään ja miksi. Tietsujaselstetta käytetään sekä sisäisenä työkaluna että rekisteröidyn infrmimiseksi. Sitä täytettäessä suunnitellaan ja varmistetaan, että henkilötietjen käsittelyssä nudatetaan lakia: Rekisterille annetaan nimi, jka ilmaisee rekisterin käyttötarkituksen (esim. kirjastn asiakasrekisteri) Kirjataan rekisterinpitäjä, jnka käyttöä varten henkilötietja kerätään Määritetään henkilötietjen käsittelyn tarkitus ja ikeusperusta Määritetään rekisterin tietsisältö, mitä henkilötietja rekisteröidystä kerätään Kuvataan mistä tiedt saadaan ja kenelle niitä mahdllisesti luvutetaan Määritetään, siirretäänkö tietja EU:n tai ETA:n ulkpulelle Kuvataan, kuinka rekisteröidyn tiedt sujataan Määritetään, henkilötietjen säilytysaika / säilytysajan määräytymisperusteet Kerrtaan, että rekisteröidyllä n ikeus tarkastaa tietnsa ja ikeus vaatia tiedn krjaamista / pistamista sekä peruuttaa sustumukseen perustuvan tietjen käytön millin tahansa Aina kun tat käyttöön uuden järjestelmän, lmakkeen tai muun henkilötietjen keräämisen tai käsittelemisen välineen, selvitä tietsujaselsteesta kuuluvatk ja sisältyvätkö käsiteltävät tiedt j lemassa levaan henkilörekisteriin. Js et löydä etsimääsi palvelua ja tietjen käsittelyperustetta, ta yhteyttä tietsujavastaavaan. Selsteita lisätään/mukataan/pistetaan tarpeen vaatiessa. Tietsujaselsteet löytyvät kaupungin nettisivuilta sekä intrasta. Rekisterinpitäjä n vastuussa siitä, ettei henkilötietja käsitellä ilman asianmukaista ikeusperustaa.

Lainmukainen henkilötietjen käsittely Henkilötietjen lainmukainen käsitteleminen tarkittaa sitä, että rekisterinpitäjä saa käsitellä henkilötietja vain tietsuja-asetuksessa säädetyillä perusteilla. Henkilötietja käsitellään kaikissa tiedn elinkaaren eri vaiheissa tietsujaperiaatteiden mukaisesti, rekisteröidyn ikeuksia tteuttaen. Henkilötietjen käsittelyn ikeusperusta Rekisterinpitäjä n vastuussa siitä, ettei henkilötietja käsitellä ilman asianmukaista ikeusperustaa. Aina käsitellessäsi henkilötietja sinun pitää pystyä määrittämään millä seuraavista perusteista käsittelet tietja (ks. tietsujaselste): rekisteröidyn vapaaehtinen ja infrmitu sustumus sellaisen spimuksen täytäntöön paneminen, jssa rekisteröity n sapulena rekisterinpitäjän lakisääteinen velvite rekisteröidyn tai tisen lunnllisen henkilön elintärkeiden etujen sujaaminen käsittely n tarpeen yleistä etua kskevan tehtävän surittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi käsittely n tarpeen rekisterinpitäjän tai klmannen sapulen ikeutettujen etujentteuttamiseksi Lakisääteinen peruste Kuntien timintaa hjaavat yleinen kuntalainsäädäntö ja eri hallinnnalja kskevat lait. Suuri sa kaupungin henkilötietjen keräämisestä perustuu näiden lakisääteisten velvitteiden hitamiseen. Tällöin henkilötietja käsitellään lakisäteisen velvitteen perusteella. Spimukseen perustuva käsittely Kun rekisteröity n sapulena spimuksessa, hänen henkilötietjaan saa käsitellä spimuksen täytäntöön panemiseksi. Esimerkiksi kirjastkrttia hakiessa tehdään kirjallinen spimus, jnka perusteella kirjast vi käyttää asiakastietja lainausikeuden tarkistamiseen ja lainaustiminnan hitamiseen. Spimuksen määritellään tarkka sisältö ja perustavite, jiden phjalta arviidaan, nk käsittely tarpeen. Käsittely tulee rajata vain välttämättömiin henkilötietihin. Rekisteröidyn sustumus Rekisteröity vi antaa sustumuksensa sille, että hänen henkilötietjaan käsitellään. Tällaisen sustumuksen n ltava vapaaehtinen, yksilöity, tietinen ja yksiselitteinen tahdnilmaisu, jlla rekisteröity hyväksyy henkilötietjensa käsittelyn.

Sustumus pyydetään kirjallisena (paperisella sustumuslmakkeella tai svelluksissa sähköisesti), kska rekisterinpitäjän n pystyttävä sittamaan, että lainmukainen sustumus n lemassa. Sustumuksella n pystyttävä sittamaan: kuka n sustumuksen antanut, kenelle sustumus n annettu ja mihin tarkitukseen sustumus n annettu. Js henkilötietjen käyttötarkitus muuttuu, tulee tähän kysyä uusi sustumus. Tällaisia sustumukseen perustuvia henkilötietjen käsittelyjä vat esimerkiksi pstituslistat, jilla hidetaan tiedtteiden ja kutsujen lähettäminen. Sustumus n vitava peruuttaa yhtä helpsti kuin sen n vinut antaa. Muut henkilötietjen käsittelyn perusteet Elintärkeiden etujen sujaaminen Henkilötietjen käsittely n sallittua, kun se n tarpeen rekisteröidyn tai jnkun tisen henkilön elintärkeiden etujen sujaamiseksi. Esimerkiksi tilanne, jssa n kysymys elämästä ja kulemasta tai uhkista, jtka visivat jhtaa rekisteröidyn tai jnkun tisen lukkaantumiseen tai lla muutin terveydelle vahingllisia. Henkilötietjen käsittely vi palvella elintärkeää etua esimerkiksi humanitaarisissa hätätilanteissa, kuten lunnnkatastrfeissa tai epidemiissa. Henkilötietjen käsittelyä vidaan tarvita muun muassa sillin, kun halutaan seurata epidemian leviämistä. Yleinen etu ja julkinen valta Henkilötietja saa käsitellä, kun yleinen etu tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen sitä edellyttää. Tämä vi timia käsittelyperusteena niin yksityisellä kuin julkisella sektrilla tilanteissa, jissa n kysymys Eurpan uninin tai jäsenvaltin yleisestä edusta tai julkisesta vallasta. Yleistä etua kskeva tehtävä tai julkinen valta n täytynyt antaa lailla tai muilla ikeudellisilla säännöksillä. Yleisen edun mukaista käsittelyä vi esimerkiksi lla henkilötietjen käsittely tieteellisen tai histriallisen tutkimuksen tai tilastinnin tarkituksia varten. Rekisterinpitäjän ikeutettu etu Henkilötietjen käsittely n sallittua sillin, kun se n tarpeen rekisterinpitäjän tai klmannen sapulen ikeutettujen etujen tteuttamiseksi. Se, millin etu vidaan katsa ikeutetuksi, saadaan selville niin kutsutulla tasapaintestillä. Siinä rekisterinpitäjän tai klmannen sapulen intressiä punnitaan rekisteröidyn intressejä ja perusikeuksia vasten. Oikeutettu etu vi lla lemassa esimerkiksi sillin, kun rekisteröidyn ja rekisterinpitäjän välillä n jkin merkityksellinen suhde. Se tarkittaa, että rekisteröity n esimerkiksi rekisterinpitäjän asiakas tai alainen.

Henkilötietjen käsittelyn tietsujaperiaatteet Henkilötietjen lainmukainen käsittely vaatii edellä kuvatun ikeusperusteen lisäksi myös muiden tietsuja periaatteiden nudattamista. Periaatteet n kuvattu alla: Käyttötarkitussidnnaisuus: Henkilötietja n kerättävä tiettyä, nimenmaista ja laillista tarkitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkitusten kanssa yhteen spimattmalla tavalla. Miten timitaan: Tarkista tietjen keräämistä suunnitellessasi käyttötarkitus tietsujaselsteesta. Ota tarvittaessa yhteyttä tietsujavastaavaan. Tiedt kerätään tiettyä käyttötarkitusta varten ja niitä ei käytetä muuhun tarkitukseen. Humaa kuitenkin mahdllinen lain mahdllistama muu käyttö (histriallinen tutkimus, tilastllinen käyttö). Tietjen miniminti: Henkilötietjen n ltava asianmukaisia ja lennaisia ja rajitettuja siihen, mikä n tarpeellista suhteessa niihin tarkituksiin, jita varten niitä käsitellään. Miten timitaan: Kerää vain ne henkilötiedt, jtka vat lennaisia asian käsittelyn kannalta. Tämä n humiitava j suunniteltaessa järjestelmän käyttöön tta ja tehtäessä lmakkeita. Henkilötiet kerätään vain, js käsittelyn tarkitusta ei vida tteuttaa muilla keinilla. Ks. tietsujaselste. Täsmällisyys: henkilötietjen n ltava täsmällisiä ja tarvittaessa päivitettyjä; n tteutettava kaikki mahdlliset khtuulliset timenpiteet sen varmistamiseksi, että käsittelyn tarkituksiin nähden epätarkat ja virheelliset henkilötiedt pistetaan tai ikaistaan viipymättä. Miten timitaan: Suunnittele miten tietjen päivittäminen tapahtuu kerran vudessa päivityspyyntö? Päivitys n suhteutettava k. timintaan. Humaa, että rekisteröity vi myös käyttää ikeuttaan henkilötietjensa ikaisemista, ja tietyissä tilanteissa myös pistamiseen. arkistetaank asiakkaana site ja numer aina hänen ttaessaan yhteyttä? Tarkistetaank tiedt aina hänen ilmittautuessaan timintaa? Lähetetäänkö kerran vudessa tietjen päivityspyyntö? Säilytyksen rajittaminen: Henkilötietja n säilytettävä mudssa, jsta rekisteröity n tunnistettavissa ainastaan niin kauan kuin n tarpeen tietjenkäsittelyn tarkitusten tteuttamista varten. Tietja vi kuitenkin säilyttää kauemmin, mikäli tietja käsitellään ainastaan yleisen edun mukaisia arkistintitarkituksia varten tai tietja käytetään histriallisia tutkimustarkituksia tai tilastllisia tarkituksia varten. Miten timitaan: Säilytysajat n määritelty tietsujaselsteisiin. Eheys ja luttamuksellisuus: Henkilötietja n käsiteltävä tavalla, jlla varmistetaan henkilötietjen asianmukainen turvallisuus, mukaan lukien sujaaminen luvattmalta ja lainvastaiselta käsittelyltä sekä vahingssa tapahtuvalta häviämiseltä, tuhutumiselta tai vahingittumiselta käyttäen asianmukaisia teknisiä tai rganisatrisia timia.

Miten timitaan: Nudata saamiasi hjeita tietsujaan ja tietturvaan liittyen. Muista aina luttamuksellisuus ja turvallisuus. Läpinäkyvyys: Rekisteröidylle tulisi lla läpinäkyvää, miten heitä kskevia tietja kerätään ja käytetään sekä missä määrin henkilötietja käsitellään tai n aikeissa käsitellä. Läpinäkyvyyden periaatteen mukaisesti henkilötietjen käsittelyyn liittyvien tietjen ja viestinnän n ltava helpsti saatavilla ja ymmärrettävissä. Miten timitaan: Rekisteröidylle annetaan tiedksi henkilötietjen keräämisen yhteydessä rekisteriselsteessa levat tiedt. Ajantasainen rekisteriselste löytyy kaupungin verkksivuilta. Sisäänrakennettu- ja letusarvinen tietsuja Asetus velvittaa sisäänrakennetun ja letusarvisen tietsujan käsitteillä rekisterinpitäjää sisällyttämään tietsujaperiaatteet ja -vaatimukset aikaisessa vaiheessa saksi henkilötietjen käsittelyä. Käytännössä tämä tarkittaa tietsujan sisällyttämistä sekä järjestelmä- ja svelluskehitykseen että hankintihin ja prjektinhallintaan. Tietsuja sisällytetään myös kaikkiin hjeisiin ja sääntöihin: Ohjeet ja määräykset, kulutus, salassapitsitumukset, tilivalvnta ja käytönvalvnta, tekniset rajitukset, tiettilinpäätösprsessi, käytännesäännöt. Aina kun suunnitellaan uuden henkilötietja sisältävän järjestelmän, svelluksen tai rekisterin käyttöön ttamista, vaihtamista tai pistamista ta tietsujavastaava ja tietturvavastaava mukaan heti suunnittelusta alkaen. Tietsuja-asetuksen vaatimusten tteutuminen tulee taata määrittelyvaiheesta kk käsiteltävien henkilötietjen elinkaaren ajan. Näin varmistetaan, että käsittely vastaa tietsuja-asetuksen vaatimuksia: letusarvisesti kerätään vain henkilötietja, jtka vat välttämättömiä käsittelytarkituksen kannalta tietja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin n välttämätöntä kyseiseen käsittelytarkitukseen henkilötietja ei letusarvisesti saateta rajittamattman henkilömäärän saataville taataan rekisteröityjen ikeuksien tteutuminen taataan henkilötietjen suja tarvittavin tietturvakeinin. Riskiperustainen lähestymistapa Tietsuja-asetuksessa rekisterinpitäjän velvitteiden määräytymisen salta n maksuttu riskiperusteinen lähestymistapa. Jtta rekisterinpitäjä vi tteuttaa asetuksen sisäänrakennettua ja letusarvista tietsujaa ja muita asetuksessa säädettyjä velvllisuuksia, n rekisterinpitäjän tehtävä perusteellinen arvi henkilötietjen käsittelyyn liittyvistä riskeistä:

Tietsuja-asetuksen velvitteet ja sujatimet suhteutetaan henkilötietjen käsittelystä rekisteröidyn ikeuksille ja vapauksille aiheutuvaan riskiin Pyritään välttämään matalariskisen timinnan ylisääntelyä ja suhteuttamaan tarpeelliset timenpiteet kullinkin henkilötietjen käsittelyyn liittyvän riskin mukaisesti. Tietsuja-asetuksessa riskeillä tarkitetaan henkilötietjen käsittelystä rekisteröidylle mahdllisesti aiheutuvia fyysisiä, aineellisia tai aineettmia vahinkja syrjintä, identiteettivarkaus tai petkseen, taludellinen menetys, ssiaalinen vahink Riski vi lla krkeampi sillin, kun käsitellään esimerkiksi erityisiä henkilötietryhmiin kuuluvia tietja, heikssa asemassa levien (esimerkiksi lasten) tietja tai kun käsitellään suuria määriä henkilötietja ja käsittely kskee suurta rekisteröityjen määrää. Riski vi lla krkeampi myös, kun arviidaan henkilökhtaisia minaisuuksia esimerkiksi sillin, kun kyseessä n henkilöprfilintia varten suritettu analyysi. Riskien analysinnissa käytetään tehtävään tarkitettua työkalua. Timialajhtajat tteuttavat riskiarviinnin yhdessä tietsujavastaavan ja ICT-palveluiden kanssa. Ositusvelvllisuus Viimeisenä, muttei vähäisimpänä, tietsujaperiaatteena n situsvelvllisuus. Vaikka kertisimme, että timimme lainmukaisesti ja käsittelisimme henkilötietja ikeappisesti, se ei enää riitä. Meillä, Sunenjen kaupungilla, n ltava kyky sittaa, että me nudatamme asetusta henkilötietja käsitellessä sekä tteutamme tietsujaperiaatteita myös käytännössä. Ositusvelvllisuus edellyttää käsittelyyn liittyvien prsessien sekä tietsujaperiaatteiden käytännön tteuttamisen dkumentintia. Sunenjen kaupungissa sitamme tietsujaperiaatteiden tteuttamisen muun muassa alla levilla dkumenteilla: Tietsuja-ja tietturvaplitiikka Sunenjen kaupungin henkilöstön tietsuja- ja tietturvahje Tietsujaselsteet Selsteet käsittelytimista yhteenvet rekisterinpitäjän vastuulla levista tietsujaselsteista pyydettäessä timitettava viranmaiselle, tietsujavaltuutetulle Tiettilinpäätös kaupungin sisäisen tarkastelun tulksena laadittu raprtti henkilötietjen käsittelyä kskevista keskeisistä asiista. Riskienarviinnit. Jkainen vi malta saltaan miettiä, mitä dkumentteja vimme hyväksi käyttää, tdentaessamme tietsujaperiaatteiden nudattamisen, esim. kulutuksiin sallistuminen.

Rekisteröidyn ikeudet Rekisteröidyllä n ikeus lakien ja EU:n yleisen tietsuja-asetuksen mukaisiin rekisteröidyn ikeuksiin. Rekisteröidyn ikeuksien tteuttaminen n yksi rekisterinpitäjän päävelvllisuuksista. Rekisteröidyn halutessa tteuttaa rekisteröidyn ikeuksia timitaan tämän hjeen mukaisesti. Rekisteröidyllä n ikeus: Oikeus tietää mitä henkilötietja kaupungilla hänestä n Rekisteröity vi esittää kysymyksen nk rganisaatilla henkilötietja?, ja tähän n velvllisuus vastata. Rekisteröidyllä n ikeus saada jäljennös häntä kskevista henkilötiedista ja niihin khdistuneista käsittelytimista (kuka käsitellyt, mitä tietja, millin) Miten timitaan: Rekisteröity hjataan menemään kaupungin verkksivuille ja täyttämään tietpyyntö -lmake. Lmake hjautuu tietsujavastaavalle, jka käsittelee pyynnön yhdessä k. rekisterin yhteyshenkilön kanssa. Tiedt luvutetaan tiednpyytäjälle jk kasvtusten tai kirjatulla kirjeellä, jtta henkilöllisyys vidaan tdeta (henkilöllisyys varmennetaan aina ennen tietjen luvutusta). Rekisterinpitäjä vi myös kieltäytyä luvuttamasta tietja tietsujalainsäädännössä määritellyin perustein. Esimerkiksi tilanteessa, jssa luvutus vaikuttaa haitallisesti muiden ikeuksiin ja vapauksiin. Tällöin rekisteröidylle timitetaan kirjallinen kieltäytymistdistus (lmake), jssa kieltäytyminen perustellaan. Tietsuja-asetuksessa aikaraja rekisteröidyn esittämään pyyntöön reagimiselle n yksi kuukausi. Määräaikaa vidaan tarvittaessa jatkaa enintään kahdella kuukaudella Tiedt annetaan kerran vudessa maksutta Oikeus vaatia henkilötietjensa ikaisemista, pistamista tai käsittelyn rajittamista sekä sustumuksen peruuttamista Rekisteröidyllä n ikeus vaatia krjaamaan häntä kskeva rekisterissä leva virheellinen, tarpeetn, puutteellinen tai vanhentunut tiet. Rekisteröidyllä n myös ikeus vaatia rekisterinpitäjää rajittamaan henkilötietjensa käsittelyä esimerkiksi siinä tilanteessa, kun hän dttaa vastausta tietjensa ikaisemista tai pistamista kskevaan pyyntöön. Miten timitaan: Rekisteröity hjataan menemään kaupungin verkksivuille ja tulstamaan Henkilötietjen krjaamisvaatimus -lmake. Lmake tulee palauttaa allekirjitettuna kaupungin kirjaamn.

Humiitavaa: Tietja ei vida pyydettäessäkään pistaa, js henkilötietja käsitellään lakisääteisten velvitteiden perusteella. Oikeus vastustaa henkilötietjesi käsittelyä Rekisteröidyllä n ikeus vastustaa häntä kskevien henkilötietjen käsittelyä sillin, kun hän n antanut sustumuksensa tietjen käsittelylle. Rekisteröity visi mm. vastustaa kirjastn ikeutta käsitellä hänen tietja. Rekisterinpitäjä vi kielln jälkeen käsitellä henkilötietja vain, js rekisterinpitäjä vi sittaa, että käsittelyyn n lemassa humattavan tärkeä ja perusteltu syy, jka syrjäyttää rekisteröidyn edut, ikeudet ja vapaudet tai js se n tarpeen ikeusvaateen laatimiseksi, esittämiseksi tai pulustamiseksi. Humiitavaa: Tämä ikeus ei kske henkilötietja, jita käsitellään lakisäteisen velvitteen perusteella. Miten timitaan: Rekisterinpitäjän n tunnistettava rekisteröity siksi rekisteröidyksi, jnka tietja pyyntö kskee. Js n perusteltu syy epäillä rekisteröidyn henkilöllisyyttä, vidaan pyytää lisätietja henkilöllisyyden vahvistamiseksi. Rekisteröidylle n timitettava tiedt timenpiteistä, jihin pyynnön jhdsta n ryhdytty ilman aiheetnta viivytystä viimeistään kuukauden kuluessa pyynnön vastaanttamisesta. Määräaikaa vidaan tarvittaessa jatkaa enintään kaksi kuukautta. Js pyyntöä ei vida tteuttaa, n ilmitettava syy kieltäytymiselle ja mahdllisuudesta tehdä valitus tietsujaviranmaiselle kuukauden kuluessa. Kaikki pyynnöt kirjataan tilastintia vasten. Oikeus siirtää tietnsa järjestelmästä tiseen Rekisteröidyllä n ikeus siirtää henkilötietjansa järjestelmästä tiseen, js tietjen käsittely perustu sustumukseen tai spimukseen. Siirt-ikeuden khteena vat tiedt, jtka rekisteröity n itse timittanut rekisterinpitäjälle. Rekisteröidylle timitetaan pyydettäessä tiedt jäsennellyssä, yleisesti käytetyssä ja kneellisesti luettavassa mudssa ja näin hän vi tteuttaa ikeutensa siirtää tiedt tiselle rekisterinpitäjälle. Humiitavaa: Oikeus kskee vain sähköistä tieta; paperilla levia tietja ei tarvitse luvuttaa siirt-ikeuden perusteella. Miten timitaan: Rekisterinpitäjän n tunnistettava rekisteröity siksi rekisteröidyksi, jnka tietja pyyntö kskee. Js n perusteltu syy epäillä rekisteröidyn

henkilöllisyyttä, vidaan pyytää lisätietja henkilöllisyyden vahvistamiseksi. Rekisteröidylle n timitettava tiedt timenpiteistä, jihin pyynnön jhdsta n ryhdytty ilman aiheetnta viivytystä viimeistään kuukauden kuluessa pyynnön vastaanttamisesta. Määräaikaa vidaan tarvittaessa jatkaa enintään kaksi kuukautta. Js pyyntöä ei vida tteuttaa, n ilmitettava syy kieltäytymiselle ja mahdllisuudesta tehdä valitus tietsujaviranmaiselle kuukauden kuluessa. Kaikki pyynnöt kirjataan tilastintia varten. Oikeus lla jutumatta perusteetta autmaattisen päätöksenten khteeksi Rekisteröidyllä n ikeus lla jutumatta hänen henkilökhtaisia minaisuuksiaan arviivan, mahdllisesti timenpiteen sisältävän päätöksen khteeksi, jka n tehty yksinmaan autmaattisen tietjenkäsittelyn perusteella. Esimerkkinä järjestelmä, jka li arviinut hakijan mahdllisuutta saada lainaa hakijan iän, asuinalueen ja sukupulen perusteella eikä hänen henkilökhtaistentietjen perusteella. Tietturvalukkaus Henkilötietjen tietturvalukkauksella tarkitetaan häiriötilannetta, jnka seurauksena henkilötietja tuhutuu, häviää, muuttuu, henkilötietja luvutetaan luvattmasti tai niihin pääsee käsiksi tah, jlla ei le käsittelyikeutta. Esimerkiksi henkilötietja sisältävä kirje tai sähköpsti lähetetään väärälle henkilölle, työpöydältä kataa henkilötietja sisältäviä papereita, USB-tikku häviää, tietkne varastetaan, tietja hakkeridaan, tietja käsitellään väärin. Tietturvalukkauksesta n heti ilmitettava esimiehelle ja tietsujavastaavalle. Ilmita myös mahdllisesta vakavasta lähellä piti tilanteesta, jtta tiedt vidaan tilastida ja tietturvaa kehittää. Ilmituksen lisäksi n täytettävä ilmitus tietturvan häiriötilanteesta lmake, jka löytyy kaupungin intrasta. Lmakkeeseen kirjataan yksityiskhtaiset tiedt tapahtuneesta, kska rekisterinpitäjän n dkumentitava kaikki henkilötietjen tietturvalukkaukset. Dkumentintivelvllisuuden tai ilmituksen tekemisen laiminlyöminen n tietsuja-asetuksen vastaista ja vi jhtaa tietsuja-asetuksessa määritettyihin seuraamuksiin. Henkilötietjen käsittelijän tulee ilmittaa tietturvalukkauksesta rekisterinpitäjälle, jllei le erikseen svittu, että käsittelijä vi ilmittaa tietturvalukkauksista suraan valvntaviranmaiselle asetuksen edellyttämällä tavalla. Vastuu ilmitusvelvllisuuden tteuttamisesta säilyy kuitenkin rekisterinpitäjällä.

Tietturvalukkauksen riskiarvi Tietsuja- ja tietturvavastaava yhdessä rekisterinpitäjän kanssa arvii häiriötilanteesta rekisteröidylle aiheutuneen riskin suuruuden (ei aiheudu riskiä, aiheutuu riski, aiheutuu krkea riski). Riskin tas määrittää timenpiteet, jihin rekisterinpitäjän n ryhdyttävä - ilmitus valvntaviranmaiselle tai ilmitus rekisteröidylle. Arvissa n humiitava: Tietturvarikkmuksen tyyppi - Seuraukset vivat lla erilaisia esimerkiksi sillin, js erityiset tiedt vat vutaneet internetiin kuin sillin, js henkilötietja ei pääse käsittelemään tietjärjestelmävian vuksi. Henkilötietjen lunne, arkalunteisuus ja määrä - Mitä arkalunteisempaan tietn tietturvalukkaus khdistuu, sen suurempi riski siitä aiheutuu lukkauksen khteena leville ihmisille. Myös rekisteröityä kskevien eri tiettyyppien yhdistelmä n usein arkalunteisempi kuin yksittäinen rekisteröityä kskeva tiet. Kun tietturvalukkaus khdistuu suureen määrään tietja, myös seuraukset aiheutuvat laajalle juklle ihmisiä. Tunnistamisen helppus - On tärkeää arviida sitä, kuinka helpsti henkilöt vat tunnistettavissa tietturvalukkauksen khteena levasta aineiststa jk suraan tai välillisesti muiden saatavilla levien tietjen avulla. Rekisteröidyn minaisuudet - Tietturvalukkauksella vi lla vakavammat vaikutukset sillin, kun se khdistuu lapsiin tai muihin haavittuvammassa tai heikmmassa asemassa leviin. Rekisterinpitäjän minaisuudet - Rekisterinpitäjän timiala ja rli vivat vaikuttaa siihen, millainen riski tietturvalukkauksesta aiheutuu. Esimerkiksi sillin, kun tietturvalukkaus tapahtuu ssiaalipalveluiden asiakastietjärjestelmässä, n rekisteröidylle aiheutuva uhka tdennäköisesti suurempi kuin sillin, kun tietturvalukkaus tapahtuu kulttuuripalveluiden asiakasrekisteri. Tietvudn seurauksien vakavuus - Tietturvalukkauksen seurausten vidaan katsa levan erityisen vakavia esimerkiksi sillin, kun siitä vi seurata identiteettivarkaus, pets, psyykkistä ahdistusta, nöyryytystä tai maineen menetys. Myös se, kenen haltuun tiedt vat jutuneet, vi vaikuttaa siihen, millaisia seurauksia n dtettavissa. Väärinkäytön tdennäköisyys vi lla suurempi, js tiedetään, että tiedt vat päätyneet riklliselle. Kun rekisterinpitäjä arvii tietturvalukkaukseen liittyvää riskiä, sen n tettava humin tietturvalukkauksesta mahdllisesti aiheutuvan seurauksen vakavuus khteena levalle yksilölle ja tdennäköisyys, jlla tämä seuraus tteutuu. Mitä vakavampi seuraus n, sen suurempi riski tietturvalukkaukseen liittyy ja mitä tdennäköisemmin tämä seuraus tteutuu, sen krkeampi riski n. Tietturvalukkauksien vaikutukset ja tteutetut krjaavat timet n dkumentitava riippumatta siitä, mitä timenpiteitä tietturvalukkauksesta lpulta seuraa. Ilmitus viranmaiselle, tietsujavaltuutetulle Js tilanteesta vi aiheutua riski lunnllisten henkilöiden ikeuksille ja vapauksille, rekisterinpitäjän n ilmitettava henkilötietjen tietturvalukkauksesta valvntaviranmaiselle.

Ilmitus n tehtävä heti ilman aiheetnta viivytystä ja mahdllisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä n tullut tietiseksi tietturvalukkauksesta. Ilmituksessa n kuvattava henkilötietjen tietturvalukkaus, mahdllisuuksien mukaan myös asianmaisten rekisteröityjen ryhmät ja arviidut lukumäärät sekä henkilötiettyyppien ryhmät ja arviidut lukumäärät ilmitettava tietsujavastaavan nimi ja yhteystiedt tai muu yhteyspiste, jsta vi saada lisätieta kuvattava henkilötietjen tietturvalukkauksen tdennäköiset seuraukset kuvattava timenpiteet, jita rekisterinpitäjä n ehdttanut tai jtka se n tteuttanut henkilötietjen tietturvalukkauksen jhdsta, tarvittaessa myös timenpiteet mahdllisten haittavaikutusten lieventämiseksi. Js tietja ei le mahdllista timittaa samanaikaisesti, tiedt vidaan timittaa vaiheittain ilman aiheetnta viivytystä. Js ilmitusta ei tehdä 72 tunnin kuluessa, rekisterinpitäjän n timitettava perusteltu selitys valvntaviranmaiselle. Ilmitus rekisteröidylle Henkilötietjen tietturvalukkauksesta n ilmitettava rekisteröidylle, js se tdennäköisesti aiheuttaa krkean riskin lunnllisten henkilöiden ikeuksille ja vapauksille. Ilmitus n tehtävä ilman aiheetnta viivytystä, jtta rekisteröidyllä n mahdllisuus sujata itseään, esimerkiksi sulkemalla luttkrttinsa. Ilmituksessa n kuvattava henkilötietjen tietturvalukkaus, mahdllisuuksien mukaan myös asianmaisten rekisteröityjen ryhmät ja arviidut lukumäärät sekä henkilötiettyyppien ryhmät ja arviidut lukumäärät ilmitettava tietsujavastaavan nimi ja yhteystiedt tai muu yhteyspiste, jsta vi saada lisätieta kuvattava henkilötietjen tietturvalukkauksen tdennäköiset seuraukset kuvattava timenpiteet, jita rekisterinpitäjä n ehdttanut tai jtka se n tteuttanut henkilötietjen tietturvalukkauksen jhdsta, tarvittaessa myös timenpiteet mahdllisten haittavaikutusten lieventämiseksi. Ilmitusta ei vaadita, js rekisterinpitäjä n tteuttanut asianmukaiset tekniset ja rganisatriset sujatimenpiteet ja henkilötietjen tietturvalukkauksen khteena leviin henkilötietihin n svellettu kyseisiä timenpiteitä (erityisesti niitä, jiden avulla henkilötiedt muutetaan mutn, jssa ne eivät le sellaisten henkilöiden ymmärrettävissä, jilla ei le lupaa päästä tietihin, kuten salausta) rekisterinpitäjä n tteuttanut jatktimenpiteitä, jilla varmistetaan, että rekisteröidyn ikeuksiin ja vapauksiin khdistuva krkea riski ei enää tdennäköisesti tteudu

se vaatisi khtuutnta vaivaa, kska ei esimerkiksi tiedetä, keitä rekisteröidyt vat. Asiaa arviidaan riskien mukaan. Js henkilökhtainen yhteydentt ei le mahdllinen, n käytettävä julkista tiednanta tai vastaavaa timenpidettä, jlla rekisteröidyille tiedtetaan yhtä tehkkaalla tavalla. Js rekisterinpitäjä ei le vielä ilmittanut henkilötietjen tietturvalukkauksesta rekisteröidylle, valvntaviranmainen vi vaatia ilmituksen tekemistä. Spimusvaatimukset, kun henkilötietjen käsittelyä ulkistetaan Henkilötietjen käsittelyn lainmukaisuus pitää varmistaa myös tilanteissa, jissa ulkinen spimuskumppani tulee käsittelemään henkilötietja hankintaspimuksen perusteella. Rekisterinpitäjän vastuu ei häviä, vaan se vastaa tässäkin tilanteessa henkilötietjen lainmukaisesta käsittelystä. Kun henkilötietjen käsittelyä kskevia tehtäviä annetaan spimusperusteisesti palvelututtajalle, n välttämätöntä hulehtia siitä, että henkilötietjen käsittelyä kskevat ehdt n spimusvelvittein saatettu käsittelijän tietisuuteen. Js käsittelijä ryhtyisi esimerkiksi käsittelemään henkilötietja muussa kuin svitussa käyttötarkituksessa, sille visi syntyä tältä sin rekisterinpitäjän vastuu tai käsittely saattaisi lla lainsäädännön vastaista. Henkilötietjen käsittelyä kskevat ehdt n kirjattava jk spimukseen tai liitettävä spimukseen liitteeksi. Spimuksessa vahvistetaan mm. käsittelyn khde ja kest, käsittelyn lunne ja tarkitus, henkilötietjen tyyppi ja rekisteröityjen ryhmät ja rekisterinpitäjän velvllisuudet ja ikeudet. mukaan liitetään nämä kaupungin käsittelyhjeet sekä mahdlliset timialan tarkentavat hjeet. Timeksianttehtävää surittavaa kskevat hulellisuusvelvite, kielt käyttää saatuja tietja ulkpulisiin tarkituksiin ja velvllisuus sujata saadut tiedt. Kuntaliitn hjeessa "Tietsuja-asetuksen humiiminen kilpailutettaessa julkisia hankintja" annetaan tieta tietsujaan liittyvistä asiista erityisesti julkisia hankintja tekeville rganisaatiille. Tietturva Rekisterinpitäjän ja henkilötietjen käsittelijän n tteutettava riskiä vastaavan turvallisuustasn varmistamiseksi asianmukaiset tekniset ja rganisatriset timenpiteet - tekniset ratkaisut ja käyttäjien timet. ICT-palvelut hulehtii pääkäyttäjien kanssa järjestelmien teknisestä tietturvasta. Tietturvan tärkein sa alue vat kuitenkin käyttäjät itse ja heidän timintansa. Jtta tietturvariskejä pystytään parhaiten hallitsemaan, käyttäjiä n kulutettava ja hjeistettava. Alla n kuvattu tärkeimmät timet tietturvan tteuttamiseksi:

Jkaiselle tietkneen käyttäjälle n mat henkilökhtaiset tunnukset tietkneelle kirjautumista ja sähköpstin käyttämistä varten. Lisäksi jtkin hjelmat vaativat erillisen man käyttäjätunnuksen ja salasanan, jnka esimies tilaa ICT-palveluilta. Jkaisen tulee työskennellä malla tunnuksellaan eikä tunnuksia saa antaa muiden käyttöön. Tämä tarkittaa, että kukaan ei saa työskennellä kneella, jka n avattu tisen henkilön tunnuksilla. Salasanjen tulee lla uniikkeja eli salasanat, jita käytät kaupungin järjestelmissä, eivät saa lla käytössä missään tisessa järjestelmässä. Humiitavaa: Muista, että käytät eri salasanja töissä kuin siviilissä. Tietkneet ja laitteet sekä hjelmat vat käyttäjäkhtaisia ja tarkitettu vain työkäyttöön. Aina pistuttaessa työhuneesta tulee lukita huneen vi ja työasema. Työasema lukitaan painamalla Windws+L tai Ctrl Alt Del ja Enter. Lukittaessa työasema vidaan hjelmia (esim. sähköpsti) jättää auki. Huneessa työasema tulee sijittaa niin, ettei velta tai ikkunasta (erityisesti maatasssa levat huneet) le suraa näköyhteyttä näytölle. Mikäli työskentelet tietvälineellä julkisessa kulkuvälineessä, varmista, etteivät kanssamatkustajat näe käsittelemiäsi tietja ja asiakirjja. Kannettavien ja pöytäkneiden näyttöihin n saatavilla sujakalvja, jtka estävät näytön katsmisen sivuilta. Kannettavien tietkneiden ja puhelimien kanssa pitää nudattaa suurta hulellisuutta, eikä niitä pitäisi esim. jättää autn yön ajaksi tai näkyville autn llessa pysäköitynä. Mbiililaitteet vat hyvin susittuja rikllisten khteita. Tuntemattmia muistitikkuja ei saa liittää kneeseen, vaan ne n timitettava ICT-palveluihin. Js muistitikku tai muu tallennusväline rikkutuu, tai pistetaan muuten käytöstä, ei sitä saa laittaa rskakriin vaan se tulee timittaa ICT-palveluihin hävitettäväksi. ICT-hje hjeistaa tarkemmin tietkneen käytön, humiiden tietturvan. Ohje löytyy kaupungin intrasta. Lkitiedstt Tietsuja-asetus edellyttää, että rekisteröity saa halutessaan tiedn siitä, kuka ja millin n käsitellyt hänen henkilötietjaan. Rekisterinpitäjällä n velvllisuus tteuttaa teknisiä timenpiteitä varmistaakseen sen, että henkilötietja käsittelevät ainastaan siihen ikeutetut henkilöt. Sunenjen kaupunki kerää lkitietja täyttääkseen tämän velvitteen. Työnantaja vi käsitellä lkitietja varmistaakseen, että henkilötietja käsitellään lainmukaisesti. Lkitietja vidaan tarkastella jk teknisesti tai manuaalisesti tietsuja- tai tietturvavastaavan timesta aika ajin tai väärinkäytös epäilyksestä jhtuen. Myös rekisteröidyllä n ikeus tietää, kuka hänen tietjaan n käsitellyt. Lkitietja syntyy, kun järjestelmissä levia tietja katstaan, selataan, mukataan, lisätään tai pistetaan. Käytössä levat henkilötietja sisältävät järjestelmät keräävät ja tallentavat näitä lkitietja. Lkitietjen

keräystas ja säilytysaika vat järjestelmä khtaisia. Tiedstjen salta ICT-palvelut ttavat käyttöön erillisen hjelman lkien jäsentelyyn. Lkeja ja niiden käsittelyä tarvitaan niin pikkeus- kuin nrmaalitilanteissakin. Nrmaalitilanteissa lkeja tarvitaan mm. timinnan häiriöttömyyden seuraamiseen sekä käytön valvntaan, tilastintiin ja laskutukseen. Pikkeustilanteissa lkeja tarvitaan tilanteen nrmalisintiin sekä tapahtumien sapulten, vaikutusten laajuuden sekä syiden selvittämiseen. Lkien tuttama tiet edesauttaa järjestelmän ylläpitäjien ja käyttäjien ikeusturvan tteutumista, järjestelmien ja timinnan kehittämistä sekä erilaisten tietturva- ja muiden pikkeamien selvittämistä. Lkitiedstja säilytetään pääasiassa syyteikeuden vanhenemisajan tai muussa erillislaissa tai asetuksessa säädetyn ajan. Tietsujaselsteissa n tarkemmin määritetty lkien säilytysajista. Rikkmukset ja seuraamukset Jkainen Sunenjen kaupungin palveluksessa leva viranhaltija ja työntekijä sekä luttamushenkilö n velvllinen nudattamaan Sunenjen kaupungin tietsuja- ja tietturvaplitiikkaa, ICT-hjeistusta sekä tietsuja- ja tietturvahjeita. Havaitut rikkmukset (ks. Tietturvalukkaus) raprtidaan jhdlle ja tietsujavastaavalle. Rikkmus vi lla esimerkiksi luvatn asiakastietjen katsminen. Rikkmuksen tekijä saatetaan edesvastuuseen ja häntä vastaan ryhdytään rikkmuksen lunteen vaatimiin timenpiteisiin. Vakaviin tietsujarikkmuksiin liittyvä sisäinen ja julkinen tiedttaminen hidetaan tapauskhtaisesti jhdn tai tietsujavastaavan timesta. Myös tietjen käsittelijä n vastuussa mahdllisesta vahingsta, js se ei le nudattanut tietsujaasetuksessa käsittelijälle nimenmaisesti asetettuja velvitteita tai rekisterinpitäjän lainmukaista hjeistusta. Lait ja asetukset Sunenjen kaupungin tietsujan ja tietturvan käytänteet nudattavat vimassa levia säädöksiä, määräyksiä, hjeita ja susituksia: Tietsujaan liittyvä keskeinen lainsäädäntö: EU:n yleinen tietsuja-asetus (679/2016) Sumen perustuslaki (731/1999) Laki viranmaisten timinnan julkisuudesta (621/1999)

Asetus viranmaisen timinnan julkisuudesta ja hyvästä tiednhallintatavasta (1030/1999) Laki kunnallisesta viranhaltijasta (304/2003) Työspimuslaki (55/2001) Valtineuvstn periaatepäätös valtinhallinnn tietturvallisuuden kehittämisestä, VAHTI 7/2009, Valtinvarainministeriö. Arkistlaki (831/1994): Asiakirjjen laatiminen, säilyttäminen ja käyttö Laki sähköisestä asiinnista viranmaistiminnassa (13/2003) Laki sähköisen viestinnän palveluista 917/2014. Rikslaki (39/1889) Vahingnkrvauslaki (412/1974) Lisäksi Hallituksen esitys eduskunnalle laeiksi Eurpan uninin verkk- ja tietturvadirektiivin täytäntöönpann liittyvien lakien muuttamisesta, HE 192/2017 vp. Laki ssiaalihulln asiakkaan asemasta ja ikeuksista (812/2000) Laki ptilaan asemasta ja ikeuksista (785/1992) Laki terveydenhulln ammattihenkilöistä (559/1994) Yhteystietja Sunenjen kaupungin tietsujavastaava Hanna Heikkilä, puh. 044 758 1452 hanna.heikkila@sunenjki.fi Sunenjen kaupungin tietsujavastaava / ssiaalipalvelut Tiina Piitulainen, puh. 044 755 0990 tiina.piitulainen@sunenjki.fi Sunenjen kaupungin tietturvavastaava Lauri Änäkkälä, puh. 044 758 1557 lauri.anakkala@sunenjki.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute