Case VRK: tietosuojan työkirjat JUDO Työpaja #2 - tietosuoja Noora Kallio
Esityksen sisältö Tietosuojan hallintamalli Prosessi Työkaluina tietosuojan työkirjat
Ratkaistava asia Miten tietosuoja-asetuksen vaatimukset saataisiin jalkautettua organisaatiossa?
Tietosuojan hallinta VRK:ssa Politiikat Tietoturva- ja tietosuojapolitiikka Lokipolitiikka Riskienhallintapolitiikka Käyttövaltuushallinnan politiikk Pääsynhallintapolitiikka Periaate tietovarantojen, palveluiden ja niiden sijainnin hallinnasta Ohjeet Tietoaineistojen luokittelu ja käsittely Turvallisen sovelluskehityksen käsikirja Riskienhallinnan menettelyohjeistus Lisäksi tarkemmat ohjeistukset eri palveluille Työkalut Business Outcom: tietosuojan esiarviointi Tietosuojan työkirjat Tietosuojan vaikutustenarviointi (DPIA) TIRAssa Riskienhallinta TIRAssa Tietosuojapoikkeamien hallinta TIRAssa
Prosessi Väestörekisterikeskuksessa Uhkamallinnus Mahdolliset tehtävät ja niiden seuraaminen Suunniteltu tai jo olemassa oleva käsittelytoimien kokonaisuus -Business outcome Tietosuojan toteutumisen arviointi Jos tarve: Tietosuojavaikutusten arviointi (DPIA) Dokumentointi
Työkirjojen sisältö OSA I OSA II Avataan yleisesti tietosuojaasetuksen vaatimuksia Tarkempi kriteeristö per tietosuojaasetuksen osa-alueet Työkirjat jakautuvat kahteen osaan: I Rekisteröidyn oikeudet ja II Oletusarvoinen ja sisäänrakennettu tietosuoja
Työkirja I Rekisteröidyn oikeudet - esimerkkejä
Oikeus saada tieto tietoturvaloukkauksesta Esimerkki Varmista, että olet tietoinen tietoturvaloukkausten varalta tehdystä ohjeistuksesta (Tietosuoja-ja tietoturvapoikkeamien hallinta) ja tunnet oman roolisi tässä prosessissa. Tietoturvaloukkaukset on tietyissä tapauksissa pystyttävä ilmoittamaan 72 tunnin sisällä sen havaitsemisesta valvontaviranomaiselle. Tietoturvapäällikkö ja tietosuojavastaava on pidettävä prosessissa mukana. Varmista, että sopimukset sisältävät menettelyohjeet siltä varalta, että tietoturvaloukkaus tapahtuu sopimuskumppanin toiminnassa. Toiminnoittain/palveluittain/rekisterikohtaisesti on tunnistettu ja kirjattu ylös vastuuroolit poikkeamanhallinnassa. Sopimuksissa on huomioitu poikkeamienhallintaprosessi ja vastuut. VRK:n prosessien mukaisesti + mallipohjat näihin kaikilla samat
Esimerkki Jokainen henkilötietoja sisältävä toiminta/menettely/rekisteri/tietojärjestelmä on oltava kuvattuna ja tiedot on löydyttävä tietosuojaselosteesta. Tietosuojaseloste tehdään VRK:n mallipohjalle. Selostetta ei tehdä esim rekisterikohtaisesti, vaan samaan käyttötarkoitukseen liittyvät rekisterit kuvataan samassa selosteessa (esim. viestinnän palvelut ja sidosryhmärekisteri, HR-rekisterit). Varmista, että rekisteriseloste on laadittu sähköisessä muodossa. Selosteen tulee olla tiivis ja ymmärrettävästi laadittu sekä helposti löydettävissä. Selosteen tulee löytyä palvelun internet-sivuilta (jos rekisteri sisältyy johonkin palveluun/tietojärjestelmään), sekä VRK:n julkisilta internet-sivuilta niille myöhemmin osoitettavassa paikassa. Henkilöstöä koskevien selosteiden tulee löytyä sisäisiltä internetsivuilta. Lisäksi selosteet tulee toimittaa VRK:n kirjaamoon. Yhteistyössä palvelumuotoilun kanssa Olen laatinut tietosuojaselosteen, joka pitää sisällään edellä mainitut elementit/päivittänyt vanhat selosteet uuden mallin mukaisiksi. Täytetty seloste on katselmoitu tietosuojavastaavan toimesta. Seloste on käännetty ruotsiksi ja tarpeen mukaan englanniksi. Seloste on toimitettu järjestelmän ylläpitäjälle (järjestelmään), kirjaamoon sekä tarvittaville internetsivuille. Huolehdin siitä, että seloste katselmoidaan ja päivitetään tarvittaessa vuosittain kesäkuun loppuun mennessä (palvelun vuosikello!). Ilmoitus tästä tehdään tietosuojavastaavalle. Jos käsittelyyn liittyy asiakasrajapinnan tai kansalaisen sovellus, olen varmistunut, että seloste ja rekisteröidyn oikeudet ovat nähtävissä, kun henkilö kirjautuu palveluun sisään.
Esimerkki 3 Rekisteröidyn oikeus saada pääsy tietoihin Olen varmistanut, että toiminnoittain/palveluittain on määritelty prosessi rekisteröidyn tietojen pyynnölle. Kun rekisteröity lähestyy rekisterinpitäjää, 1 kk:n reagointiaika alkaa kulumaan. Omien tietojen tarkastustoiminnallisuudesta tulee kertoa rekisteröidylle. Tämä voidaan toteuttaa tietosuojainformaation kautta, ks. edellinen kohta rekisteriseloste. Selvitän, mitä tietoja järjestelmästä/rekisteristä voidaan luovuttaa tai ei voida luovuttaa, mukaan lukien lokitiedot. Tämä tieto on dokumentoitu. Huomaa, että lokitietojen status vaihtelee sen mukaan, mitä lokitietoa se on. Varmistan, että edellä esitetyt tiedot, jotka rekisteröidylle tulee antaa, on helposti saatavilla järjestelmästä ja lähetettävissä rekisteröidylle sähköisessä muodossa. Olen varmistanut tietoa pyytävän henkilön henkilöllisyyden hallintolain mukaisesti. Vastaus annetaan rekisteröidylle täydellisenä, mukaan lukien edellä mainitut tiedot. Mikäli vastaus on kielteinen, rekisteröidylle annetaan valitusosoitus.
Kiitos mielenkiinnosta! Noora.kallio@vrk.fi