TIETOTILINPÄÄTÖS 2018

Samankaltaiset tiedostot
Ulvilan kaupungin tietosuojapolitiikka

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Eläketurvakeskuksen tietosuojapolitiikka

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

, RAU/475/ /2018

Haminan tietosuojapolitiikka

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Kaupunginhallitus Liite 2 203

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Teknologia avusteiset palvelutverkostopalaveri

TIETOSUOJAPOLITIIKKA. Turun kaupunki

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Tietosuojavaltuutetun toimiston tietoisku

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

KIURUVEDEN KAUPUNGIN TIETOTILINPÄÄTÖS 2018

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

TIETOSUOJAPOLITIIKKA

1 Tietosuojapolitiikka

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

GDPR Tietosuoja-asetus

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetus Tietoarkiston näkökulmasta. Aila ja aineistojen jatkokäyttö -seminaari Arja Kuula-Luumi Kehittämispäällikkö

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Informaatiovelvoite ja tietosuojaperiaate

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

JYVÄSKYLÄN YLIOPISTON TIETOSUOJAPOLITIIKKA

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Tietosuoja-asetus (GDPR)

GDPR. Timo Kokkonen Webinaari

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Vaikutustenarviointi GDPR:n mukaan

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

EU:n uusi tietosuoja-asetus tulee, oletko valmis? KEUKE Markus Myhrberg

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Kolarin kunnan tietosuojapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Organisaatioluvan hakeminen

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Tietosuojatehtävät. Järvenpään kaupungissa

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetus (GDPR)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n tietosuoja-asetus Matti Sarmela

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuoja-asetus ja sen kansallinen implementointi

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

SUONENJOEN KAUPUNKI TIETOSUOJA- JA TIETOTURVAPOLITIIKKA

EU:n tietosuoja-asetus

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Mikä GDPR? General Data Protection Regulation

Salon kaupunki , 1820/ /2018

1.1. Rekisterinpitäjän henkilötiedoilla tarkoitetaan näissä ehdoissa henkilötietoja, joista Rekisterinpitäjä

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Tietosuojaseloste 1 (5)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste 1 (6)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

2. Rekisterinpitäjän edustajat Vastuuhenkilö: Nimi: maankäyttöpäällikkö

Tietosuojakysely 2018

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Naantalin kaupungin TIETOTILINPÄÄTÖS VUODELTA Turo Järvinen ja Juha Riekkinen [hyväksyntä KH xxx]

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojakysely 2019

Salon kaupunki , 1820/ /2018

Tietoturva- ja tietosuojapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Transkriptio:

TIETOTILINPÄÄTÖS 2018 Kaupunginvaltuusto hyväksynyt 25.3.2019 27, RAU/276/07.01.00/2019 Kristiina Kuusio, tietosuojavastaava kristiina.kuusio@rauma.fi Tieto- ja asianhallinnan poikkihallinnollinen tiimi

SISÄLLYS 1. Tietotilinpäätöksen tarkoitus 3 2. Tietosuojan ja tietoturvallisuuden toteuttaminen 4 3. Tiedonhallinta, tietovarannot ja tietovirrat 6 4. Tietosuoja- ja hankintasopimukset 7 5. Rekisteröidyn oikeudet ja niiden toteutuminen 7 6. Seuranta ja mittaaminen 7 7. Arviointi ja kehittäminen 8 LÄHTEET 10 2

1 Tietotilinpäätöksen tarkoitus Rauman kaupungin tietotilinpäätös laaditaan osana tilinpäätöstä ja sen tarkoitus on kuvata ja arvioida tietosuojan ja tietoturvan tilannetta Rauman kaupungilla. Se toimii sisäisen ja ulkoisen valvonnan raporttina, johdon työvälineenä sekä luottamuksen osoituksena rekisteröityjen ja sidosryhmien suuntaan. Tietotilinpäätöksellä vastataan EU Yleinen tietosuoja-asetuksen osoitusvelvollisuuteen (artikla 24, Rekisterinpitäjän vastuu). Organisaation tulee osoittaa noudattavansa asetusta ja tietosuojaperiaatteita henkilötietojen käsittelyssä sekä toimivansa niin myös käytännössä. Rekisterinpitäjä vastaa osoitusvelvollisuuden (accountability) toteuttamisesta. Rauman kaupungin organisaatiossa noudatetaan kaupunginvaltuuston kesäkuussa 2018 hyväksymää tietosuojapolitiikkaa sisältäen tietoturvan ja siinä kuvattua tietosuojan organisaatiorakennetta. Tietosuojan koordinointi ja kehittäminen toteutuvat tieto- ja asianhallinnan poikkihallinnollisessa tiimissä ja kehittämistoimenpiteet esitetään kaupungin johtoryhmälle päätettäväksi. Tietotilinpäätöksen laatimisesta on vastannut tietosuojavastaava ja se on käsitelty tieto- ja asianhallinnan poikkihallinnollisessa tiimissä. Tietotilinpäätös itsessään on julkinen asiakirja, mutta sen liitteet ovat salaiset koskien tietosuojaan- tai tietoturvaan liittyviä raportteja, tunnuslukuja sekä kehittämisehdotuksia. Tietotilinpäätös laaditaan kerran vuodessa tilinpäätöksen yhteydessä. Tunnusluvut ja raportit toimitetaan puolivuosittain ja tarvittaessa. 3

2 Tietosuojan ja tietoturvallisuuden toteuttaminen Rauman kaupunki valmistautui tietosuoja- ja tietoturvan toteuttamiseen ja EU yleinen tietosuoja-asetuksen velvoitteisiin erillisellä projektilla, joka toteutettiin ajalla 1.11.2017 31.5.2018. Projekti käynnisti asetuksen mukaisen, luottamuksellisen toimintakulttuurin rakentamisen, jossa tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa (mukaan lukien luottamusmiehet). Projektista laadittiin loppuraportti, josta käy ilmi projektin tulokset ja jatkokehittämistoimet. Tulokset raportoitiin kaupungin johdolle ja kaupunginhallitukselle. Rauman tietosuojaprojektissa on osallistuttu Valtiovarainministeriön (VM) työpajoihin ja hyödynnetty sieltä saatua materiaalia. Tietosuoja ja tietoturva nivottiin projektissa osaksi kaupungin toimintaa ja tällä hetkellä niiden koordinointi on osana tieto- ja asianhallinnan poikkihallinnollista tiimiä. Rauman kaupungille nimettiin lakisääteinen tietosuojavastaava (50%:n työpanos), joka on organisaation asiantuntija, tietosuojavaltuutetun toimiston yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa. Sosiaali- ja terveystoimialalle nimettiin tietosuojan yhdyshenkilö. Rauman kaupungin tietosuojaa ja tietoturvaa ohjaa kaupunginvaltuuston 18.6.2018 ( 56) hyväksymä politiikka, joka on laadittu EU:n yleisen tietosuoja-asetuksen, sen artikloiden ja muun noudatettavan keskeisen lainsäädännön mukaisesti ja se pitää sisällään myös tietoturvan. Tietosuojapolitiikka ja tietoturva sisältäen seuraavat liitteet: 1 Keskeiset käsitteet ja sanasto 2 Tietosuojan organisointi, roolit ja vastuut 3 Tietoturvapoikkeamien käsittelyprosessi 4 Tietosuoja- ja tietoturvarikkomusten seuraamustaulukko Tietosuojapolitiikka tukee Rauman kaupungin strategian mukaisesti palvelujen tuottamista asukaslähtöisesti, tehokkaasti ja turvallisesti. Henkilötietojen käsittelyä ohjaa sisäänrakennetun tietosuojan periaate edellyttäen, että tietosuojaperiaatteet ovat osana henkilötietojen käsittelyä niiden kaikissa vaiheissa. Tietosuoja ja tietoturva sivusto on avattu henkilöstön intranettiin, Jemmaan, josta löytyvät kaikki materiaalit, linkit ja ohjeet. Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjä oletusarvoisesti käsittelee vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste ja henkilöstön tulee olla tietoisia siitä missä kaikkialla henkilötietoja sijaitsee ja miten niitä käytetään. Tietosuoja-asetuksen informointivelvoite (artiklat 13 ja 14) edellyttävät organisaatiota informoimaan läpinäkyvästi sen toteuttamasta henkilötietojen käsittelystä. Rauman kaupungin henkilötietojen käsittelytoimet kuvataan tietosuojaselosteissa, joihin on kirjattu tietojen käyttötarkoitus, oikeusperusteet, tietosisältö, tietojen luovutus ja rekisteröityjen oikeudet. Valiokunnan hyväksymät tietosuojaselosteet on tallennettu toimialoittain kaupungin nettisivuille, jossa ne toimivat asiakkaiden informaatioasiakirjoina. Henkilötietojen käsittelyn kartoitus on nyt tehty keskeisten henkilötietoa sisältävien tietojärjestelmien osalta ja kuvattu lähinnä järjestelmäkohtaisesti. 4

Sosiaali- ja terveystoimialalla on laadittu Asiakastietojärjestelmien omavalvontasuunnitelma, joka on hyväksytty viimeksi toimialan johdon katselmuksessa elokuussa 2018. Tietosuoja- ja tietoturvatyön organisointi ja tietosuojavastaavan rooli on merkittävä tekijä myös tietoturvan kannalta. Ennen kaikkea pitäisi muistaa, ettei tietosuojaa ole olemassa ilman tietoturvaa. Tietoturvallisuuden toteuttamiseksi olisi mahdollista ottaa käyttöön hallintamalleja esim. ISO/IEC 27001 ja niihin liittyviä auditointeja. Rekisterinpitäjä on tietosuoja-asetuksen (artikla 24) mukaan vastuussa siitä, että se toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla varmistetaan ja käytännössä myös osoitetaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen vaatimuksia. Henkilöstön koulutus Syksyllä tietosuoja-asetuksen vaatimusten valmistelua varten hankittiin Tieran kautta lakimiehen koulutusta kaupungin johdolle sekä esimiehille. Koko henkilöstön koulutusta varten verrattiin kahta eri verkossa toteutettavaa tietosuojakoulutusohjelmaa ja päätettiin ottaa käyttöön Valtiovarainministeriön laatima Arjen tietosuoja-kokonaisuus; netissä katsottavaa video ja nettitesti, koska ne on laadittu tätä valmistelua varten ja niitä kehitetään koko ajan valtion toimesta ja ne ovat myös maksuttomia. Henkilöstölle on järjestetty myös tietosuojavastaavan koulutusta keskitetysti sekä yksiköittäin. Kaupungin henkilöstöstä Arjen tietosuoja nettitestin vuoden 2018 loppuun mennessä on suorittanut yhteensä 1962 henkilöä eli n. 67 % koko henkilöstöstä. Arjen tietosuojakoulutus: video + testi toteutetaan osana perehdytysohjelmaa. Jatkossa kaikki uudet työntekijät, kesätyöntekijät ja opiskelijat tekevät nettitestin, jos työtehtäviin liittyy henkilötietojen käsittelyä. Myös luottamushenkilöiltä edellytettiin videon katsominen. Henkilöstölle tietosuoja ja tietoturvan sivusto on kaupungin intranetissa, Jemmassa. Sieltä löytyvät ajankohtaiset tietosuojaan liittyvät asiat, ohjeet, tietosuojaselosteet ja lomakkeet. Tietosuojasta pyritään säännöllisesti myös tiedottamaan henkilöstölehdessä. Tietosuojavastaava on käynyt esittämässä asetuksen vaatimuksia myös toimialojen johtoryhmissä ja aamukahvitilaisuuksissa. Tietosuojapolitiikka on esitelty myös valiokunnissa. Sähköpostilla on tiedotettu asiasta projektin aikana liittyen mm. Arjen tietosuojakoulutusten suorittamiseen ja tietoturvapoikkeamien ilmoittamiskäytäntö. Henkilöstön koulutusta täydennetään keskitetyllä tietosuojakoulutuksella ja on varattu aiheelle pysyvä varaus henkilöstökoulutusohjelmaan keväisin ja syksyisin. Tietosuojaohjeet (tallennettu kaupungin intranettiin) Tietosuojan ja tietoturvan huoneentaulu Henkilötietojen käsittelyn periaatteet (Tietosuojaperiaatteet 5 artikla) Salasanaohje Kameravalvonnan ohje 5

Riskiperusteinen lähestymistapa EU:n yleisessä tietosuojavelvoitteessa edellytetään, että riskit on otettava huomioon sisäänrakennettuna ja oletusarvoista tietosuojaa toteutettaessa (artikla 25). Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Velvoitteet ja suojatoimet on suhteutettava tietokäsittelyjen aiheuttamaan riskiin (artikla 32). Korkeamman riskin henkilötietojen käsittely edellyttää enemmän panostamista teknisiin ja hallinnollisiin toimenpiteisiin, kun taas vähäisen riskin toiminta ei aiheuta merkittävää uhkaa rekisteröidyn yksityisyyden suojalle. (Korpisaari, Pitkänen ja Warma-Lehtinen, 2018.) Riskienhallinnan avulla palveluihin, toimintaan ja tietoon kohdistuvia riskejä hallitaan järjestelmällisesti ja ennakoivasti. Rauman kaupungin rekisterinpitäjät arvioivat henkilötietojen käsittelyyn liittyvät riskit ja valitsevat arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet osana organisaation muuta riskienhallintasuunnitelmaa ja kuvattu toimialoittain talousarviossa 2019. Kooste riskiarviosta on raportissa (salainen, Julkisuuslaki 24, kohta 7). Riskilähtöisen toimintaperiaatteen varmistamiseksi tietosuojan vaikutustenarvioinnin sekä tarvittaessa ennakkokuulemisen tulisi tehdä sellaisten henkilötietojen käsittelytoimille, joiden suunnitteluvaiheessa on todennäköistä, että käsittelytoimiin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä. Vaikutustenarviointi edellyttää riskiarviota, koska vain korkeariskisistä toimenpiteistä laaditaan arviointi. Tietosuojaan ja yksilön vapauksiin suunniteltuja henkilötietojen käsittelytoimien vaikutustenarviointia (PIA/DPIA) sekä ennakkokuulemista (artikla 35 ja 36) ei ole vielä toteutettu. 3 Tiedonhallinta, tietovarannot ja tietovirrat Rauman kaupungin tiedonhallinnan, tietovarantojen sekä niihin liittyvien tietovirtojen kokonaistilanteen kuvausta ei ole laadittu, mutta järjestelmäluettelo on ja sitä on hyödynnetty henkilötietojen kartoituksessa (järjestelmäluettelo on tietosuojatilinpäätöksen raportin liitteenä). Jatkossa tarkoitus olisi huomioida tiedonhallintalaki kokonaisuuden hallinnassa (tiedonhallintamalli ja tiedon elinkaari) sekä tarpeen ja käyttötarkoituksen mukaan seuraavia seikkoja: kokonaisarkkitehtuuri (JHS 179), tietojärjestelmäarkkitehtuuri ja tietovarannot. Tietovirtojen (viranomaiset, yksityiset, muut) tulisi vastata kysymyksiin keneltä ja kenelle esim. seuraavan kaavion mukaisesti. Yksinkertaistettu kuvaesimerkki tietovirroista (VAHTI-raportti 2016, s. 32). 6

Toimintatapojen dokumentoinnissa tulisi jatkossa huomioida tiedonhallintalain mukainen tiedonhallintamalli tai kokonaisarkkitehtuurikuvaus (henkilötietojen käsittelyn osalta), tiedonohjaussuunnitelma, sekä ICT-hankintojen tietosuojavaatimukset ja sopimusmallit, tietovirtakaaviot, henkilötietojen hallinta ja kulku sekä henkilötietoja sisältävät tietojärjestelmät. 4 Tietosuoja- ja hankintasopimukset Rauman kaupunki huomioi voimassaolevissa sekä uusissa sopimuksissa Kuntaliiton ja Hanselin valmistelemaa `Henkilötietojen käsittelyn ehdot` -tietosuojaliitettä. Toimintaperiaate on valmisteltu Rauman kaupunginlakimiehen kanssa. Kaupunginhallitus hyväksyi käytännön, jossa kaupunki toimii yhdenmukaisesti kaikkien toimittajien kanssa ja tietosuojaliitteen mukaisia ehtoja sovelletaan kaikissa Rauman kaupungin henkilötietojen käsittelyyn liittyvissä sopimussuhteissa. Toimialat on vastuutettu toimittamaan liite sopimusten mukaisille toimittajilleen. 5 Rekisteröidyn oikeudet ja niiden toteutuminen Rauman kaupunki pyrkii noudattaa henkilötietojen käsittelyssä läpinäkyvyyttä ja tietojen täsmällisyyttä asetuksen mukaisesti (artikla 5). Informointivelvoitteen täyttämiseksi käytetään toistaiseksi tietosuojaselosteita. Hyväksytyt ja ajantasaiset tietosuojaselosteet löytyvät kaupungin nettisivuilta (artiklat 13 ja 14). Rauman kaupungin nettisivuille on avattu Tietosuojasivusto rekisteröidyille asian tiedottamista varten. Nettisivuilta löytyvät rekisteröityjen oikeuksiin perustuvat tarkastuspyyntö- ja oikaisupyyntölomakkeet (artiklat 15, 16). Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille 72 tunnin kuluessa. Tietosuojavastaava teki vuoden 2018 aikana yhden ilmoituksen tietosuojavaltuutetulle. Henkilötietoihin kohdistuvasta tietoturvaloukkauksesta on ilmoitettava rekisteröidylle ilman aiheetonta viivytystä silloin, kun loukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tietoturvaloukkauksista ilmoittaminen (artikla 33) tapahtuu tietosuojavastaavan, hallintopäällikön ja tietohallintopäällikön harkinnan mukaan. Rekisteröityihin tietosuojavastaava on ollut yhteydessä kirjeitse ja puhelimitse. 6 Seuranta ja mittaaminen Tämän tietotilinpäätöksen tehtävänä on avata tärkeää tietoa organisaation tietosuojan nykytilasta, sillä se on merkittävää rekisterinpitäjän osoitusvelvollisuuden toteuttamisen kannalta. Säännöllisen raportoinnin tulee sisältää tärkeimmät tietosuojaan ja henkilötietojen käsittelyyn liittyvät tekijät. Suomessa kansallisena valvontaviranomaisena toimii tietosuojavaltuutettu. Toiminnassaan tietosuojavaltuutettu on itsenäinen ja riippumaton. Tietosuojavaltuutettu on Euroopan tietosuojaneuvoston jäsen. 7

Tietosuojatilinpäätöksen raportissa salaisina (JulkL 24, kohta 7) on kuvattu seuraavat tietosuojamittarit: 1. Henkilötietojen käsittely - tietosuojaselosteet - henkilörekisterien tarkastuspyynnöt - toimintaohjeet 2. Tietoturvapoikkeamat 3. Tietosuoja- ja tietoturvaprosessit 4. TAISTO harjoituksen raportti 5. GDPR itsearvioinnin raportit (2 kpl) 6. TietosuojaAsetuksen OsoitusKriteeristö (TAOK) 7. Henkilöstön koulutusraportti 8. Tietosuojaan ja tietoturvaan liittyvät riskit talousarviossa 2019 9. Sosiaali- ja terveystoimialan lokitietojen tarkistukset 7 Arviointi ja kehittäminen EU Yleinen tietosuoja-asetus on otettu organisaatiossamme vastaan kiitettävästi ja organisaatio pyrkii vastaamaan asetuksen tuomiin haasteisiin, joskin monella osa-alueella on vielä kehitettävää. Keskeisenä ohjaavana dokumenttina toimii jo edellä mainittu tietosuojapolitiikka ja tietoturva. Rauman kaupunki osallistui valtakunnalliseen tietosuojan ja turvan Taisto18 harjoitukseen. Raportin mukaan sijoituimme aika lähelle vastaajien keskiarvoa. Yhteenvetoraportin mukaan olemme tunnistaneet kehityskohteita toiminnassanne harjoituksen aikana. Ohjeiden ja vastuiden päivittäminen tukee niin tietosuojan kuin -turvan kehittämistä. Samoin myös prosessien, vastuunjaon toiminnan varmistaminen ja riskiarviointi tietoturvaloukkauksissa tukee kehittämistä. Myös ilmoituskäytännön hiominen tietosuojavaltuutetulle on tärkeää. Rauman kaupunki vastasi Valtiovarainministeriön julkisen hallinnon vuoden 2017 tieto- ja kyberturvallisuutta koskevaan kyselyyn tammikuussa 2018. Keskeiset huomiot tietosuojan ja tietoturvan kehittämistoimenpiteistä on raportoitu erikseen (salainen, Julkisuuslaki 24, kohta 7). Tietosuojaprojektissa osallistuttiin Valtiovarainministeriön (VM) työpajoihin ja hyödynnettiin sieltä saatua materiaalia. Rauman kaupunki on laatinut julkisen hallinnon GDPR itsearviointityökalun avulla arvion tietosuojan tilanteesta asetukseen nähden. Itsearviointi toteutettiin ensimmäisen kerran tietosuojaprojektin päättyessä toukokuussa 2018 ja nyt itsearviointi laadittiin tähän tietotilinpäätökseen tammikuussa 2019. Taulukko käsittää ne aihealueet ja vaatimukset, jotka tietosuoja-asetuksen ja hyvien käytäntöjen mukaisen tietosuojan ja tietoturvan hallinnan ja henkilötietojen käsittelyn tulee täyttää. Vaatimukset jakautuvat tietosuojan hallintaan sekä tiedon elinkaarta ja prosesseja koskeviin vaatimuksiin. Jokainen osa-alue ja vaatimus on numeroitu. Osa-alueessa 12 on käsitelty tietojärjestelmien hallintaan ja tietoturvallisuuteen liittyviä aihealueita. Osa-alueet on avattu tarkemmin raportissa olevassa taulukossa. Itsearviointi osoittaa, että monella osa-alueella asetuksen vaatimuksenmukaisuus on parantunut viime vuodesta. Itsearviointityökalu antaa hyvät suuntaviivat jatkotyöskentelyyn ja kehittämiseen. Tietoturvallisuusosio on pysynyt lähes samana. 8

Henkilökunnan osaamiseen on kiinnitetty huomiota koko ajan. Koulutusraportti on osana tietosuojan raporttia. Jatkossa olisi tarkoitus ottaa käyttöön valtakunnallinen eoppiva tietosuojakoulutus, kun se toivottavasti saadaan myös kuntien työkaluksi. Henkilökunnan tarpeita kuunnellaan koulutuksen, ohjeistuksen sekä prosessien tuntemisen lisäämiseksi. Henkilökunnan tietosuojaosaamisen arviointia ei toteuteta tällä hetkellä systemaattisesti. Ehkä se on aiheellista miettiä myös lähivuosien aikana. Henkilökunnalla on velvollisuus ja mahdollisuus raportoida havaitsemistaan tietoturvapoikkeamista HaiPro- ohjelmalla, jonka ohjeet ja linkit löytyvät intranetista, Jemmasta. Ilmoitukset toimivat tärkeänä osana tietoturvan kehittämistä ja koulutustarpeiden kartoitusta ja arviointia. 9

LÄHTEET EU Yleinen tietosuoja-asetus 2016. Luettavissa: http://www.privacy-regulation.eu/fi/index.htm EU Tietosuojan kokonaisuudistus, VAHTI raportti, 2016. Luettavissa: https://www.vahtiohje.fi/c/ document_library/get_file?uuid=ddb05959-40d1-435f-af23-fd20fc21d63f&groupid=10229 Rauman kaupunki, tietosuojasivut. Luettavissa: https://www.rauma.fi/kaupunki-ja-hallinto/ asiointi/tietosuoja/ Rauman kaupunki, Tietosuojapolitiikka ja tietoturva, 2018. Luettavissa: https://www.rauma.fi/ wp-content/uploads/2018/08/tietosuojapolitiikka-ja-tietoturva_2018.pdf Tietosuojalaki (1050/2018). Finlex. Luettavissa: https://www.finlex.fi/fi/laki/alkup/2018/20181050 Tietosuojavaltuutetun toimisto, 2018. https://tietosuoja.fi/etusivu Uusi tietosuojalainsäädäntö, 2018. Korpisaari, Pitkänen ja Warma-Lehtinen. Alma Talent Oy. Valtiovarainministeriö, Arjen tietosuoja 2018. Luettavissa: https://arjentietosuoja.fi/fi/#/front 10

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute