EU-tietosuoja-asetuksen vaikutukset koulutuskierros Yhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015 OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja Reijo Aarnio tietosuojavaltuutettu Tietosuojavaltuutetun toimisto 1
Tietoyhteiskunnan pullonkaulat Osaamisvaje Lainsäädäntö Ohjausfunktio Luottamusta lisäävät toimet Sisäänrakennetut byrokratiat 2
24.2.2009, Dnro 3256/4/07 Ratkaisija: Oikeusasiamies Riitta-Leena Paunio Esittelijä: Oikeusasiamiehensihteeri Leena-Maija Vitie SÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA Kantelija arvosteli 24.10.2007 saapuneessa kirjeessään Turun terveystoimen menettelyä sähköisen potilastietojärjestelmän uuden version käyttöönotossa. Kantelijan mielestä Pegasos-järjestelmän uusi versio otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedotettu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaan aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajaksi eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan mukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitietoja, hänen käytössään olevia lääkkeitä tai aikaisempia laboratoriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuksiin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamisesta toisen järjestelmän kautta annettiin ohjeet vasta järjestelmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvallisuuden ja vaikeutti myös potilaiden hoidon tarpeen arviointia. 3
17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Tuomioistuin sovelsi ihmisoikeussopimusta tietoturvallisuuteen! - yksityisyyden suoja edellyttää käytännöllisiä ja tehokkaita keinoja poissulkea mahdollisuudet luvattomaan käsittelyyn. 4
17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv) tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja vahingonkorvausvaatimus hylättiin EIT:n arviointi: Sairaalan potilastietojen käytön valvonta riittämätöntä ; Suomen valtio tuomittiin korvauksiin, koska se oli epäonnistunut ihmisoikeussopimuksen mukaisessa toimintavelvollisuudessaan hakijan yksityisyyden suojaamisessa. - voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan - Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille, että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen Johtopäätöksiä: - rekisterinpidon tietoturva, lokit päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvonnallinen väline, vaan lokittamiseen on oikeus myös rekisteröidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan. rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt 5
HENKILÖREKISTERI 3 3k JulkL JulkA 2 Arvioi oma toiminta 5-6 Aloitus 2 Tietoturvallisuus 32 HENKILÖTIETOLAKI Rekisterinpitäjän (3 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Käsittelyn tarkoitus 3 3-k & 6 Suunnittelu huolellisuus 5-6 Ulkoistaminen 8.1 7-k Vaitiolovelvollisuus 33 Oikeus käsitellä 8, 12, 13, 14-20 Käyttötarkoitussidonnaisuus 7 Rekisteriseloste 10 Mistä henkilötiedot kerätään 8, 9, 12-20 Henkilötiedot 3 1 k, 9, 12-20 Rekisteröidyn oikeudet 24-29 Informointivelvollisuus 24 Käytön hallinnointi 5 Luovutukset 8, 12-20 (6 ) Nimeä vastuuhenkilö 5 Hävitä, arkistoi 12.2, 21, 19.1 1k 34-35 Ulkomaille siirrot 22-23 Kouluta, ohjeista 5 Viranomaisilmoitukset 36-37 6
Henkilötietolaki ja Julkisuuslaki Viranomaisten henkilötietojen käsittely eli henkilötietolain ja julkisuuslainsäädännön suhde on pyritty sääntelemään selkeästi. Henkilötietolaki luonnollisesti koskee myös viranomaisia henkilötietojen käsittelijänä. Tiedonsaantioikeus viranomaisrekistereistä määräytyy kuitenkin julkisuuslainsäädännön mukaan. Tiedon antamisesta silloin kun kysymys on henkilörekisterissä olevista henkilötiedoista sisältyy yksityiskohtainen säännös julkisuuslain 16 :n 3 momenttiin 7
Henkilötietolaki 8.4 Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään. 8
HE 96/1998 Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi YKSITYISKOHTAISET PERUSTELUT Luovutettaessa tietoja viranomaisten henkilörekistereistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset. Julkisuusperiaatteen toteuttamistavoista ja yleisimmistä salassapitoperusteista ehdotetaan säädettäväksi eduskunnan käsiteltävänä olevassa laissa viranomaisten toiminnan julkisuudesta. Yhdenmukaisuuden vuoksi on tarkoituksenmukaista, että henkilötietojen luovuttamisesta viranomaisen tiedostoista säädettäisiin tuossa laissa. Ehdotettuun lakiin viranomaisten toiminnan julkisuudesta on sisällytetty yksityisyyden suojan kannalta tarpeelliset henkilötietojen luovuttamisen rajoitukset. Lähtökohtana on, ettei laissa edelleenkään rajoitettaisi yksittäisen tiedon luovuttamista viranomaisen henkilörekisteristä, jollei salassapitosäännöksistä muuta johdu. Laissa viranomaisten toiminnan julkisuudesta säädettäisiin myös, millä edellytyksillä henkilötietojen laajamittainen luovuttaminen esimerkiksi sähköisessä muodossa on sallittua. 9
VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN pyyntö / luovutus Tiedon luovuttaja EI (rekisterinpitäjä A) SOVELLETA, koska: Henkilötietolaki 8 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) Oma-aloitteinen ilmoitusoikeus tai -velvollisuus LUOVUTUKSEEN SOVELLETAAN Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - - - 24 salassapitosäännös - salassapidettävien tietojen luovuttamisen edellytykset 26-30 * lainsäännös, suostumus, toimeksianto ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 - luovutus 16-18 - tiedonsaantioikeus 20 - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 - - - - - - - - - - - - - - - - - - - Sekä muut erityislait Tiedon pyytäjä (rekisterinpitäjä B) Henkilötietolaki 8 ja 12 + 6 - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 ) 10, 3.4.2014
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA POLIISI PÄIVÄKOTI KOULU TERVEYDEN- HUOLTO MUUT TAHOT SIJOITUS- KUNTA LsL 78 LS-ilmoitukset Tiedot LASTENSUOJELU UUDEN KOTIKUNNAN LASTENSUOJELU SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki 11
Julkisuuslaki 18 Hyvä tiedonhallintatapa Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus.sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi, 5) huolehtia, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta.noudattamista valvotaan. Tarkempia säännöksiä 1 momentissa säädettyjen velvoitteiden toteuttamiseksi tarpellisista toimenpiteistä annetaan asetuksella Arkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään. - TIETOHALLINTOLAKI 12
Julkisuuslaki (621/1999) 16.3 Asiakirjan antamistavat Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. 13
PERINTEINEN TIETOSUOJAMALLI VIRANOMAISET TIETOSUOJA JULKISUUS HENKILÖTIEDOT REKISTE- RÖITY PERIAATTEET: - KÄYTTÖTARKOITUKSEN- MUKAISUUS - LAATU - SUHTEELLISUUS - TARPEELLISUUS REKISTERIN- PITÄJÄ 14
EDUSKUNTA UUSI TIETOSUOJAMALLI REKIS- TERÖITY TOIMIVALTA VIRANOMAISET LUVAT TIETOSUOJA TULISI INTEGROIDA - PERIAATTEET * KÄYTTÖ- TARKOITUKSEN- MUKAISUUS * LAATU * SUHTEELLLISUUS * TARPEELLISUUS TIE- DOS- TOT TUOMIO- ISTUIN REKISTERIN- PITÄJÄ 15
JULKISUUSLAKI (621/1999) HENKILÖTIETOLAKI (523/1999) MIKÄ? Asiaosaisen tiedonsaantioikeus (JulkL 11 ) Rekisteröidyn tarkastusoikeus (HetiL 26 ) KUKA? Asianosainen Rekisteröity Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai Se henkilö, jota henkilötieto koskee. (HetiL 3 ) velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. (JulkL 11:1 ) MIHIN KOHDISTUU Asiakirja Henkilörekisteri LAAJUUS Asiakirjan sisältö, joka voi tai on voinut vaikuttaa Vain rekisteröityä itseään koskevat tiedot (HetiL 26:1 ) asianosaisen asian käsittelyyn. (JulkL 11:1 ) LOKITIETOJEN OSALTA Se asianosainen, jonka tietojen suojaksi lokijärjestelmä on rakennettu eli suojattavan tietojärjestelmän rekisteröity HUOM! KHO: 2014:69 Julkisuuslain 11 ei mahdollistanut tiedonsaantioikeutta siinä tilanteessa, jossa lokitietoja pyytänyt vasta epäili, että häntä koskevien poliisin tietojärjestelmiin sisältyvien tietojen käyttäminen ei ollut ollut asianmukaista. Lokitietoja koskeva asianosaisen tiedonsaantioikeus saattoi perustua vain siihen, että tiedot vaikuttivat tai olivat voineet vaikuttaa jonkin poliisissa vireillä olevan tai olleen, tiedon pyytäjää koskevan asian käsittelyyn. Rekisteröity on se tietojärjestelmän käyttäjä, jonka tietojärjestelmän käytöstä lokitiedot kertyvät eli käytönvalvonnan rekisteröity RAJOITUSPERUSTEET JulkL 11 2 mom. HetiL 27 TOTEUTTAMISMUOTO Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. (JulkL 16 ) Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. (HetiL 28:2 ) VALITUSTIE Hallinto-oikeus Tietosuojavaltuutettu Hallinto-oikeus 16
HYVÄÄN HENKILÖTIETOJEN KÄSITTELYTAPAAN Ota oppaaksi -työkirja Työkirjamalli on laadittu käytettäväksi henkilötietojen käsittelyn ja henkilörekisterin rekisteritoimintojen analysoinnissa, kuvaamisessa, suunnittelussa sekä lainmukaisuuden arvioinnissa. Työkirjassa käydään läpi kohta kohdalta, minkä tyyppiset kysymykset tulee selvitellä ja määritellä henkilötietojen käsittelyyn ja rekisterinpitoon liittyen. Rekisteritoimintojen suunnittelun kaikissa vaiheissa tulee aina pitää lähtökohtana, ettei rekisteröityjen yksityisyyttä eikä hänen etujaan ja oikeuksiaan saa perusteettomasti vaarantaa. Täydennettävissä taulukoissa sarkain-nappula tekee uuden tyhjän rivin. 17
KOHTA 1 ARVIOI OMA TOIMINTASI Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (asiallisuusvaatimus) Analysoi ja kirjaa omat tehtäväsi ja ne toiminnot, joita tehtävien hoitaminen edellyttää (Toimintaprosessien kuvaus): KOHTA 2 Määrittele KÄSITTELYN TARKOITUS 1. Arvioi mitä tarkoitusta varten, mitä tietoja millä tavoin toimintasi eri vaiheissa on tarpeen kerätä, käyttää, luovuttaa tai muulla tavalla käsitellä henkilötietoja. 2. Määrittele jo tässä vaiheessa tietotyypeittäin tietojen tallennusaika. Ota myös huomioon mahdollisten erityislakien asettamat vaatimukset. HetiL 9 :n tarpeellisuus- ja virheettömyysvaatimukset. 3. Päätä, miten hävität tai arkistoit tiedot, joita et enää tarvitse ko. toiminnoissa. 4. Huomioi tietojen käyttö mm. ulkoisessa tiedottamisessa. Miten voit huolehtia siitä ilman tunnistetietoja (JulkL) 18
KOHTA 1, jatkuu ARVIOI OMA TOIMINTASI KOHTA 2, jatkuu Määrittele KÄSITTELYN TARKOITUS 19
KOHTA 3 HUOLELLISUUSVELVOITE (HetiL 5 ) 1. Katso Henkilötietolain 5 2. Yksityiselämän suojan ja muiden yksityisyyttä suojaavien perusoikeuksien tulee toteutua. 3. Tiedollisten perusoikeuksien perhe: - oikeus yksityiselämän suojaan - oikeus ihmisarvoiseen kohteluun - oikeus kunniaan - itsemääräämisoikeus - yhdenvertaisuus - syrjintäkielto * oikeus saada tietoja viranomaisten toiminnasta (JulkL) * sananvapaus 20
KOHTA 4 TIETOTURVALLISUUS (HetiL 32 ) JA ULKOISTAMINEN 1. Rekisterinpitäjän on toteutettava tarpeelliset - tekniset - organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. 2. Ota tietoturvallisuus osaksi suunnittelua heti sen alusta alkaen. 3. Käytä apunasi niitä kuvauksia, jotka laadit arvioidessasi omaa toimintaasi ja siihen liittyvää käsittelyä. 4. Tietoturvallisuus tukee omaa toimintaasi. 5. Jos järjestelmäsi tietoturvallisuus pettää, et voi toteuttaa rekisteröidyn oikeuksia! 6. Muista, että ulkoistaessasi toimintoja, on palveluntuottaja velvollinen antamaan tietoturvallisuudesta riittävät takeet. Pyydä nähdäksesi esim. toimintailmoitus. 7. Vastaat aina palveluntuottajan toiminnasta henkilötietojen käsittelyn osalta!!! 8. Tee kirjallinen sopimus, määrittele siinä vastuut ja velvoitteet ja menettelytavat. 9. Merkitse tiedot rekisteriselosteen ko. kohtaan vain yleisellä tasolla. 10. Tietoturvallisuus on organisaation johdon vastuulla. 21
Toimintasuunnitelma tietosuojaloukkauksen tapahduttua? 1. Havainnointi (BREACH / EVENT) 2. Käynnistys (MOBILIZE) 3. Vakauttaminen (STABILIZE) 4. Tutkinta (INVESTIGATE) 5. Tiedotus (COMMUNICATE) 6. Lievennys (MITIGATE) 7. Tiedoksianto (NOTIFY) 8. Ota opiksi ja muuta (REVIEW & IMPROVE) 22
KOHTA 5 MÄÄRITTELE OIKEUTESI KÄSITELLÄ HENKILÖTIETOJA 1. Henkilötietolaki on yleislaki, jota sovelletaan aina, ellei käsittelystä säädetä jossain erityislaissa. 2. Henkilötietolain 8 = ketä koskevia tietoja 8 yleiset edellytykset 9, 11, 12, 13 = mitä 13 henkilötunnuksen käsittely tietoja 11, 12 :t arkaluonteiset tiedot 4 luku: käsittely erityisiä tarkoituksia varten 3. Käytä apunasi edellä esitettyjä toimintasi ja siihen liittyviä käyttötarkoitusmäärittelyjä. 4. Oikeuteni käsitellä henkilötietoja perustuu: 23
KOHTA 6 KÄYTTÖTARKOITUSSIDONNAISUUS (HetiL 7 ) 1. Voit käsitellä henkilötietoja vain HetiL 6 :n mukaista käsittelyn tarkoitusta varten. 2. Voit käsitellä henkilötietoja myös tutkimus- ja tilastointitarkoituksessa. 3. HetiL 9 :n tarpeellisuus- ja virheettömyysvaatimus. 4. Määrittele sisäiset käyttöoikeudet toimihenkilöiden työtehtävien perusteella: 24
KOHTA 7 TIEDOT (HetiL 9 ) 1. Olet arvioinut edellä esitetyllä tavalla toimintasi ja siihen perustuvan käyttötarkoituksen kannalta tarpeelliset tiedot. 2. Arvioi ja toteuta toimenpiteet, joiden avulla voit huolehtia tietojen korkeasta laadusta. Tiedot eivät saa olla: - virheellisiä - epätäydellisiä - vanhentuneita 3. Toimintani kannalta tarpeellisia tietoja ovat: 4. Toimenpiteet tietojen laadun varmistamiseksi: 25
KOHTA 8 MISTÄ TIEDOT HANKITAAN 1. Käytä luotettavia tietolähteitä. 2. Pääasiallinen tietolähde: rekisteröity 3. Noudata tietoturvallisuutta tietoja kerättäessä. 4. Huolellisuuteen kuuluu mm. kirjanpito tietovirroista ja tietovälineistä. 5. Hankin tiedot (tyypeittäin): 26
KOHTA 9 1/2 TIETOJEN LUOVUTUS 1. Palaa käsittelyn tarkoitukseen. Ehkä ei ole tarkoituskaan luovuttaa tietoja. 2. HetiL 8.2 :n mukaan asiakas-, palvelussuhteen, jäsenyyden tai muun vastaavan suhteen perusteella käsiteltäviä tietoja voidaan luovuttaa vain: jos luovuttaminen kuuluu tavanomaisena osana ko. toiminnan harjoittamiseen, tarkoitus, johon tiedot luovutetaan ei ole yhteen sopimaton käsittelyn tarkoituksen kanssa rekisteröidyn voidaan olettaa (ts. rekisteröity tietää) tietävän henkilötietojensa luovuttamisesta. 3. Jos aiot luovuttaa tietoja, sinun tulee huolehtia asian informoimisesta (HetiL 24 ) rekisteröidylle. 4. Julkisuuslain 13 ja 16 :t. 5. Ulkomaille luovutuksesta omat säännöksensä. 6. Mitä tietoja luovutan ja miten sen perustelen: 27
KOHTA 9 2/2 TIETOJEN LUOVUTUS, jatkuu 7. Muista, että rekisteröidyllä on eräissä tapauksissa oikeus kieltää tietojen luovutus (HetiL 30 ) 8. Rekisteriseloste! 28
KOHTA 10 REKISTERÖIDYN OIKEUDET 1. Huolehdi, että rekisteröidyn oikeudet voivat toteutua 2.1 oikeus tietää => informointivelvoite HetiL 24 2.2. oikeus päättää => suostumus 8, 12, 13, 23 2.3. oikeus tarkastaa => HetiL 26-28 :t 2.4. oikeus vaatia virheen oikaisua => 29 2.5. oikeus valittaa => rekisterinpitäjälle ja tietosuojavaltuutetulle 2.6. oikeus kieltää=> HetiL 30 suoramarkkinointi, etämyynti, markkina- ja mielipidetutkimus, sukututkimus, henkilömatrikkelit 3. Suunnittele rekisteröidyn oikeuksien toteuttaminen. 29
KOHTA 11 KÄYTÖN HALLINNOINTI 1. Toimintasi ja käyttötarkoituksen perusteella laadi sisäiset ohjeet. Tiedota ne henkilöstölle. 2. Määrittele tarkasti tarpeen mukaan henkilöstön käyttöoikeudet. Ylläpidä niitä. 3. Valvo käyttöä. 4. Huolehdi sopimuksista. 5. Huolehdi kirjanpidosta 30
KOHTA 12 NIMEÄ VASTUUHENKILÖ 1. Organisaatiossamme henkilörekisterin pidosta vastaa: 2. Kuka tuottaa rekisteröidyille palvelut? 31
KOHTA 13 REKISTERISELOSTE (HetiL 10 ) 1. Laadi kaikista 2. Käytä apuna informoinnissa 3. Käytä apuna ilmoitusvelvollisuutta toteuttaessasi (36 ) 4. Pidä rekisteröityjen saatavilla, myös verkossa! 5. Voit käyttää mallilomaketta. 6. Organisaatiomme rekisteriseloste on nähtävillä: 32
KOHTA 14 HÄVITÄ TAI ARKISTOI (HetiL 9, 34, 35 ) 1. Kun tiedot tai rekisteri ei enää ole tarpeen, hävitä tai arkistoi 2. Noudata hävittämisessä tietoturvallisuutta. 3. Tee tiedot tunnistamattomiksi, jos enää ei ole tarpeen rekisteröityjä tunnistaa. 4. Muista, että olet jo aiemmin määritellyt tiedoille tallennusajan. 5. Toteuta atk:n avulla puhdistusohjelma osaksi tietojärjestelmääsi. 6. Pidä kirjaa tietojen hävittämisestä. 7. Selvitä, onko sinulla velvoite säilyttää tietoja. 8. Arkistolaitos ohjaa arkistoinnissa => hae Kansallisarkistosta tarvittaessa lupa arkistoida. 33
KOHTA 15 KOULUTA JA OHJEISTA HENKILÖSTÖ 1. Osa hyvää henkilötietojen käsittelytapaa. 2. Ohjeisto auttaa ratkaisemaan esille nousevia kysymyksiä => palvelu tulee sujuvammaksi. 3. Muistuta henkilöstöä vaitiolovelvollisuudesta (33 ) => ota käyttöön vaitiolositoumukset, joiden yhteydessä huolehdi, että henkilöstösi tietää velvollisuutensa. 4. Osallistu käytännesääntötyöhön (42 ). Käytännesäännöt ovat toimialasi oma henkilötietolain kommentaari. 34
KOHTA 16 TOTEUTA INFORMOINTI (HetiL 24 ) 1. Jokaisella on oikeus tietää itseään koskevien henkilötietojen käsittelystä: kuka käsittelee, mihin tarkoitukseen, miten rekisteröity voi käyttää oikeuksiaan. 2. Suunnittele informointi käyttäen apuna laatimiasi tietovirtojen kuvauksia. 3. Voit tarvittaessa tehdä yhteistyötä kumppaniesi kanssa. 35
KOHTA 17 VIRANOMAISILMOITUKSET (HetiL 36, 37 ) 1. Tee ilmoitukset riittävän ajoissa. 2. Käytä apuna rekisteriselostetta. KOHTA 18 YLLÄPIDÄ, SEURAA JA VALVO!!! 36