Henkilöstön ohjeistaminen 20.5.2019 JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki
2
Espoo-tarina = kaupungin strategia Vastuullisuus ja luottamus korostuvat tiedon käsittelyssä 3
Espoo-tarinaa toteuttavat isot ja pitkäkestoiset kehittämiskokonaisuudet Espoon uudistettu sotemalli Koulut kuntoon ohjelma Kaupunki palveluna Turvallisuus Hiilineutraali 2030 Tatu ja Patu Espoolainen johtaminen Esjo 2 Espoo viestii Johtamisjärjestelmä ja organisaatio 2021 Englanti palvelukielenä 4
Sisäänrakennettu ja oletusarvoinen tietosuoja (25 artikla) Proaktiivista tietosuojaa Tietosuoja oletusasetuksena Yksityisyys sisällytettynä suunnitteluun Ei kompromisseja Koko elinkaaren suoja Näkyvyys ja läpinäkyvyys Käyttäjä on kuningas 5
Tietosuojakulttuurin edistäminen HUONO Muistutetaan huolellisuudesta Tietosuojaohjeet ja käytännöt, kuten perehdytysohjeet, tarkastuslistat Rakenteelliset muutokset toimintaan, kuten prosessien parantaminen HYVÄ Tekniset suojaukset tietojärjestelmät tukevat käyttäjiä
Ohjeistaminen Espoon tieto Strategia Tietoturva- ja tietosuojapolitiikka Visio ja ohjaus Prosessit Poikkeamaprosessi Riskienhallinta, DPIA Projektiprosessi Hankinnat ja sopimukset Tietopyynnöt Ohjeet Henkilötietojen käsittelyohjeet Koulutukset 7
Esimerkki Espoosta: Tietosuoja projektin elinkaarella Valmistelun aloitus Asettamispäätöpäätös Toteutus- Tuotosten hyväksyminen P0 P1 P2 P3 P4 Projektin lopetus Jälkiarviointi JA Projektiidea Suunnitteluvaihe Valmisteluvaihe Lopetusvaihe Toteutusvaihe Hyötyjen seuranta Tiedostetaan henkilötietojen käsittelyn vaatimukset. Tunnistetaan henkilötietojen käsittely projektin aikana tai sen tuotoksissa. Valitaan henkilötietojen käsittelytapa perustiedotvälilehdellä. Täsmennetään tietosuojan tarve projektisuunnitelmaan. Täytetään tietosuoja-välilehti. Tehdään vaikutustenarviointi (DPIA) ja laaditaan riskien pienentämistoimet korkean riskin projekteissa. Toteutetaan ja seurataan tarkistuspisteiden avulla projektin tietosuojan toteutumista. Raportoidaan tietosuojan toteutuksesta osana edistymisraportointia. Tarkistetaan ja päivitetään riskiprofiili. Raportoidaan tietosuojan toteutus loppuraportissa. Poistetaan ja arkistoidaan tiedot. Aloitetaan tietosuojaselosteen laadinta. Viimeistellään tietosuojaseloste. 8
Rekisterinpitäjän vastuu (artikla 24) Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Riskilähtöisyys ja osoitusvelvollisuus! Tietoturvaa ei tarvitse toteuttaa millä hinnalla tahansa! Yksityisyydelle vakavimpien riskien torjuntaan on käytettävä kaikki keinot, joita uusin tekniikka tarjoaa. 9
Kenellä on vastuu tietosuojasta? Kaupunginhallitus hyväksynyt tietoturva- ja tietosuojapolitiikan 28.5.2018 Hallintosääntö, 11 Toimialajohtajien tehtävät ja ratkaisuvalta: 7) vastaa toimialan sisäisen valvonnan ja riskienhallinnan mukaan lukien tietosuojan järjestämisestä asianmukaisella tavalla 10
11 Tietosuojaryhmä
Osoitusvelvollisuus Sopimukset ja alihankinta Riskilähtöisyys Ohjeet ja dokumentaatio Koulutukset Seuranta ja raportointi Valvonta, auditoinnit Sisäänrakennettu tietosuoja 12
Avoimuus => Organisaatio oppii virheistä Tietosuojavastaava ei ole sheriffi. Oleellista nopea reagointi poikkeaman selvittämiseksi! 13
14
15 Tietoisuuden lisääminen viestintä isossa roolissa
Kiitokset mielenkiinnosta! Juho Nurmi, tietosuojavastaava Espoon kaupunki juho.nurmi@espoo.fi 043 8273077