JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio 4.12.2012



Samankaltaiset tiedostot
Henkilötietojen suojasta kiinteistökaupan verkkopalvelussa

Lokipolitiikka (v 1.0/2015)

Rekisterinpidon ja käytönvalvonnan haasteet

TIETOSUOJASELOSTE. yhdistetty rekisteriseloste ja informointiasiakirja. Henkilötietolaki (523/99) 10 ja 24

Yhteystiedot (osoite, puhelin ) Liperin kunta / Keskustie 10, LIPERI puh s-posti: kirjaamo@liperi.fi

Henkilötietojen. suoja. Olli Pitkänen Päivi Tiilikka Eija Warma

Länsi-Pohjan sairaanhoitopiiri Perusterveydenhuollon yksikkö Teija Horsma

Tilastoaineistojen käyttö tutkimuksessa - kansallisia ja. periaatteita. Hallintojohtaja Anna-Leena Reinikainen

Lastensuojelun asiakasrekisteri

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Lastensuojeluilmoitusten rekisteri

sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tietosuoja sosiaali- ja terveyspalveluissa. Ari Andreasson tietosuojavastaava, Tampereen kaupunki , Helsinki

Mäntsälän kunta, Mustijoen perusturva. sosiaalipalvelupäällikkö Arja Tolttila Heikinkuja MÄNTSÄLÄ. puhelin (vaihde)

Julkisen hallinnon kokonaisarkkitehtuurin jalkauttaminen ja jatkokehitys. Itä-Suomen yliopisto, Kuopio neuvotteleva virkamies Jari Kallela

Laki sosiaalihuollon asiakasasiakirjoista (luonnos)

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Tietosuojaseloste. 2a. Rekisterin voimassaoloaika Voimassa toistaiseksi

Matkalla naapuruuteen -seminaari Eduskunnan terveiset. Kansanedustaja, TtT Merja Mäkisalo-Ropponen

Yleistä todentamisesta. Nora Kankaanrinta, Kestävyysasiantuntija Energiavirasto Todentajapäivä

Miten selviän shokista?

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Laatimispäivä: Tämä on tietosuojaseloste, joka sisältää rekisteriselosteen ja asiakkaiden henkilötietojen käsittelyä koskevan informoinnin.

TIETOSUOJASELOSTE LÄÄKÄRIN TERVEYSKANSION KÄYTTÄJÄREKISTERI V. 1.0

Ajankohtaista laboratoriorintamalla Pasila Emilia Savolainen, Suunnittelu- ja ohjausyksikkö

Tietosuojakysely 2018

Tietosuojakysely 2019

Nimi: Perusturvajohtaja Mari Antikainen, puh Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Jäsenluettelo ja henkilörekisterit. Olli Välke Opintokeskus Visio

TIETOSUOJAA DIGITALISOITUVASSA YHTEISKUNNASSA

OMAVALVONTA SOSIAALI JA TERVEYDENHUOLLON LAINSÄÄDÄNNÖSSÄ. Riitta Husso, Valvira

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

HELSINGIN KAUPUNKI TERVEYSKESKUS

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Oulun kaupunki / Joukkoliikennejaosto Y-tunnus

REKISTERISELOSTE Henkilötietolaki (523/99) 10

ASIAKASALOITTEINEN KÄYTÖNVALVONTA TERVEYDENHUOLLOSSA

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

ASIA KANTELU SELVITYS

Pelastuslaitosten tietoturvallisuuden

2.5 SIVISTYSLAUTAKUNTA OVR

Varmennekuvaus terveydenhuollon ammattivarmennetta varten

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Terveydenhuollon laitteet ja tarvikkeet omavalvonnan osana myös sosiaalihuollon palveluissa

Opinnäytteiden ja pitkäaikaissäilytyksen juridiikkaa

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

IISALMEN KAUPUNKI KIINTEISTÖJEN KAMERAVALVONTA Matti Rönkkö tekninen isännöitsijä Iisalmen kaupunki / tilapalvelu

Väli- ja loppuraportointi

Terveydenhuollon potilasasiakirjojen kehittäminen - merkinnöistä palvelukokonaisuuksiin

rajayhteistyötä koskevan lainsäädännön nykytila - saamenkieliset palvelut

Raportointi hankkeen tulosten kuvaajana ja toteutuksen tukena

Paneeli: Käytön valvonta, lokien hallinta, poikkeamien havaitseminen, poliisiyhteistyö

Lue täyttöohjeet ennen tietosuojaselosteen täyttämistä. Käytä tarvittaessa liitettä.

Nimi Kristiina Rantakaisla, fysioterapia. Läntinen Pitkäkatu 35, TURKU, puh Lihastautiliiton fysioterapian asiakastietorekisteri

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON ASETUS. neljännesvuosittaista julkista velkaa koskevien tietojen laatimisesta ja toimittamisesta

Asiakirjahallinta Oulun kaupungissa

JOHDON VELVOITTEET JA VASTUU yleiset periaatteet. Ylitarkastaja Arto Ylipartanen Tietosuojavaltuutetun toimisto

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Yleistä kameravalvonnasta

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Hyvän johtamisen kriteerit julkiselle sektorille

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Helsingin kaupunki Pöytäkirja 28/ (6) Kaupunginhallitus Kj/

ALAJÄRVEN, LEHTIMÄEN, SOININ JA VIMPELIN LOMATOIMISTOJEN PUOLUEETON JA VANKKUMATON ÄÄNENKANNATTAJA. Täyttä asiaa, ei arvailuja - jo vuodesta 2008

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

Etelä-Suomen aluehallintoviraston lausunto hankehakemukseen

Käyttövaltuushallintaa kehitetään (SAP IDM -projekti), hyödyt virastoille

Tilivirastojen ja rahastojen kirjanpitoaineiston säilyttämisestä on erikseen säädetty talousarvioasetuksessa:

Laki sosiaalihuollon asiakasasiakirjoista

MAVEKE Maaseudun taloudellinen vesihuolto ja sen paikallinen kehittäminen

Rekisteriseloste. Potilasrekisterin rekisteriseloste

Lihantarkastuspäätös. Lihantarkastuspäätös

Sisäinen auditointi osa Oamkin ympäristöohjelmatyötä

Erityistä tukea tarvitsevat asiakkaat sosiaali- ja terveydenhuollossa

Selvitys sosiaalihuollon tietosuoja- ja tietoturva-asioista 2011

Nuorten tieto- ja neuvontatyön osaamiskartta Pirjo Kovalainen

ELY-KESKUKSEN TOIMINTA YMPÄRISTÖRIKOSASIOISSA

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja

HOITOSUHTEEN TODENTAMINEN JÄLKIKÄTEEN AUTOMAATTISEN LOKIVALVONNAN AVULLA

Laki. EDUSKUNNAN VASTAUS 52/2005 vp

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TIETOSUOJASELOSTE rekisteriseloste ja asiakkaan informointi henkilötietolaki (523/99) 10 ja 24

Viestintäsuunnitelma Student Lifen ohjausryhmä

Yhteinen ehdotus NEUVOSTON ASETUS. rajoittavista toimenpiteistä Keski-Afrikan tasavallan tilanteen huomioon ottamiseksi

suomi.fi Suomi.fi- asiointivaltuudet

Tietohallinnon kansallinen ohjaus

Prosessit etyön kehittämisessä

Maakuntahallitus Maakuntahallitus

KOULUTUSPOLKU - KOULUTTAUDU LUOKKAKURSSEILLA MEPCO-OSAAJAKSI

Lastensuojelun edunvalvonnan tarpeen arvioiminen lastensuojeluprosessissa Marjukka Heikkilä

Eläketurvakeskuksen tietosuojapolitiikka

KEHITYSVAMMAHUOLLON OHJAUS JA VALVONTA

Sote viidellä järjestäjällä. Kirsi Varhila ylijohtaja STM , Oulu

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Hätäkeskusjärjestelmän haasteet ja kehittäminen

Henkilötietolaki 10 ja 24 Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista 11.3, 12-13, 20.2 ja Ikäihmisten lautakunta

Transkriptio:

JUHTAn Perustietovarantojaosto Tietosuojan ydinryhmä muistio 4.12.2012 Tietojen käytön seuranta ja valvonta 1. Toimeksianto JUHTAn perustietovarantojaoston työsuunnitelman mukaisesti tietosuojan ydinryhmä on arvioinut perustietovarantojen tietojen käsittelyn seurannan periaatteita. Selvityksessä on pyritty löytämään keinoja, joilla kansalaisen perusoikeuksien toteutumista voitaisiin parantaa yhtenäisin menettelyin. Perustietovarantojaoston tietosuojan ydinryhmässä on selvitetty tietojen käytön seurantaa ja valvontaa (lokiseuranta) ydinryhmän organisaatioissa ja keskusteltu seurannan ja valvontatoimenpiteiden kehittämisestä. 2. Lainsäädäntö ja ohjeistus Tietojen käsittelyn seuranta ja valvonta perustuu viranomaisella: Lainsäädäntö Viranomaisten toiminnan julkisuudesta annetun lain (621/1999, jäljempänä julkisuuslain) 18 :n hyvään tiedonhallintatapaan, jossa velvoitetaan viranomaista huolehtimaan, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin. Valtionhallinnon viranomaisella tietoturvallisuudesta valtionhallinnossa annetun asetuksen (681/2010) 5 :ään, jossa säädetään tietoturvallisuuden perustason velvoitteena olevan mm. käytön valvonta ja seuranta sekä asetuksen 20 :ään, jossa säädetään asetuksen mukaisesti luokiteltujen asiakirjojen käsittelyn kirjaamisesta mm. lokiin. Henkilötietolain (523/1999) 32 :ään, jossa säädetään rekisterinpitäjän velvollisuudesta suojata henkilötietojen käsittely. Väestörekisterikeskuksella väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 5 lukuun, jossa säädetään seurannasta ja valvonnasta. Valtion tilivirastolla on valtion talousarvioista annetun lain (488/1988) ja asetuksen (1243/1992) mukaisesti velvollisuus valvoa kirjanpitojärjestelmiä (mm. verotuksen tietojärjestelmä). Yleinen ohjeistus Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 Lokiohje, VAHTI 3/2009 Tietosuojavaltuutetun toimiston ohjeet käytönvalvonnasta Tietosuojavaltuutetun toimisto - Käytönvalvonnan ohjeet

3. Seurannan ja valvonnan kehittäminen Seurannassa kerättyjen lokitietojen käsittelyä koskeva yleinen ohjeistus on kattavaa. Ohjeistukseen sisältyy mm. tarkistuslistoja, joita hyödyntämällä on helppo tarkistaa tietojen käsittelyn menettelyjen asianmukaisuus. Seurannassa ja valvonnassa kerättyjen tietojen käsittelyssä ja käsittelyn ohjeistamisessa on jonkin verran erilaisia käytäntöjä. Seurannassa ja valvonnassa on kysymys lähtökohtaisesti kansalaisen perusoikeuksien turvaamisesta ja tätä turvaa voitaisiin kansalaisen näkökulmasta parantaa entisestään yhtenäisillä menettelyillä. Tietosuojan ydinryhmä on arvioinut seuraavien seikkojen merkitystä yhtenäisyyden parantamiseksi: 1) Käyttötarkoitus ja tietojen säilyttäminen Henkilötietoja sisältäviä lokitietoja saa säilyttää vain käyttötarkoituksen kannalta tarpeellisen ajan, jonka jälkeen tiedot tulee hävittää. Seuranta- ja valvontatarkoituksessa kerättyjen tietojen säilytysaika on selkeä; viranomaisessa se on käytännössä rikoslaissa säädetyn virkarikoksen vanhentumisajan mukainen, joka on 5 vuotta (rikoslain 8 luvun 1 ). Erityislainsäädännössä on myös säädetty säilytysajoista tarkemmin, esimerkiksi väestötietojärjestelmän lokirekisterit (661/2009, 20 ja 56 ). Lokitietoja kerätään myös muita käyttötarkoituksia kuten tilastointia, tietojärjestelmien kehittämistä ja teknisen toimivuuden seuraamista varten. Näiden tietojen säilytysaika on lyhyempi ja se tulee organisaatioissa määritellä erikseen. Suositus: Perustietovaranto-organisaatioissa käydään läpi lokitietojen keräämisen ja tallettamisen käyttötarkoitukset ja määritellään säilytysajat näiden mukaisesti.

Tilastointi- yms. muita käyttötarkoituksia varten voitaisiin kehittää yhteinen malli säilytysaikojen määrittelylle. 2) Seurannasta informointi ja lokipolitiikka Tietojen käsittelyn seuranta ja valvonta ovat kansalaisen perusoikeuksien turvaamista. Seurannasta ja valvonnasta informoiminen parantaa kansalaisen luottamusta perustietovarantojen tietojen käsittelyyn. Viranomaisilla tulisi olla Vahti ohjeen mukainen lokipolitiikka, jossa olisi kuvattuna keskeiset seurannan periaatteet. Suositus: Perustietovaranto-organisaatiot informoivat seurannasta ja valvonnasta internet -sivuillaan esimerkiksi julkaisemalla lokipolitiikkansa. Seurantaa ja valvontaa koskevat internet-sivut/ lokipolitiikka voitaisiin linkittää toisten perustietovarantoorganisaatioiden vastaaville sivustoille. 3) Seurannasta aiheutuvat toimenpiteet Tehokas tietojen käsittelyn seuranta ja valvonta edellyttävät myös, että kerättyjä seurantatietoja hyödynnetään ja tietojen käsittelijöillä on selvillä minkälaisia seuraamuksia väärinkäytöksillä saattaa olla (ennaltaehkäisevyys). Perustietovaranto-organisaatioilla on tällä hetkellä erilaisia käytäntöjä sen suhteen, mihin toimenpiteisiin seurannan johdosta ryhdytään. Silloin kun kysymyksessä on virkarikoksen tai muun rikoksen tunnusmerkistön täyttävä rikos, tulisi viranomaisen tehdä rikosilmoitus poliisille. Eräät terveydenhuollon viranomaiset ovat antaneet oma-aloitteisesti asiakkaalle tietoja havaitusta väärinkäytöksestä. Suositus: Perustietovaranto-organisaatioissa määritellään ne toimenpiteet, joihin ryhdytään väärinkäytöstilanteissa. Määrittely voi olla esimerkiksi osa lokipolitiikkaa. Toimenpiteitä voitaisiin määritellä perustietovaranto-organisaatioissa myös yhteisesti. Esimerkkejä toimenpidevaihtoehdoista liitteessä 1. 4) Valvontaprosessin kuvaaminen Valvonnan toimivuuden ja kehittämisen sekä yhdenvertaisen kohtelun näkökulmasta valvontaprosessi edellyttää prosessin kuvaamista. Kuvauksesta tulisi käydä ilmi, miten selvitystoimenpiteet käynnistyvät, miten ne tehdään, mitkä ovat käsittelyvastuut organisaation sisällä, miten mahdollisiin väärinkäytöksiin puututaan sekä miten tapahtuneesta tiedotetaan. Suositus: Perustietovaranto-organisaatioissa tehdään valvontaprosessin kuvaus, jossa voidaan hyödyntää yhteisiä malleja. Esimerkki lokiselvitysprosessin kuvaamisesta liitteessä 2. 5) Julkisuuslain 11 ja 12 :n ja henkilötietolain 26 :n soveltaminen lokitietoihin Viranomaisten toiminnassa henkilötietolain 26 sekä julkisuuslain 11 ja 12 ovat käytännössä rinnakkaisia. Tietosuojavaltuutettu on ohjeistanut, että lokirekisterissä rekisteröity on henkilö, jonka tietojärjestelmien käyttöä seurataan eli virkailija. Tämän tulkinnan mukaisesti henkilötietolain mukainen tarkastusoikeus olisi vain virkailijalla eikä asiakkaalla. Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä

(159/2007) annetun lain 18 :ssä on erikseen säädetty asiakkaan tiedonsaantioikeudesta lokirekisterin tietoihin. Henkilöllä on oikeus saada viranomaiselta julkisuuslain nojalla kaikki sellaiset asiakirjat, joissa on häntä itseään koskevia tietoja (julkisuuslain 12 ) tai oikeus saada tietoja asianosaisaseman perusteella (julkisuuslain 11 ). Viranomaisella on hallintolain 8 :n mukaisen neuvontavelvollisuuden sekä julkisuuslain 13 ja 14 :n nojalla velvollisuus ohjata asiakasta tämän pyytäessä tietoja lokirekisteristä. Seurannan ja valvonnan ensisijaisena tarkoituksena on kansalaisen perusoikeuksien turvaaminen. Perustietovaranto-organisaatioissa tulisi tavoitteena olla yhdenmukainen menettely ja neuvonta asiakkaan pyytäessä lokitietoja.

Liite 1 / Esimerkkejä toimenpiteistä Samassa asiassa voi soveltua useampi seuraamus. Lokitietojen perusteella tietoja ei ole käsitelty lainkaan eikä selvitystä ole tarpeen jatkaa. Saatavissa oleva selvitys jää puutteelliseksi, esimerkiksi silloin, kun tapahtumasta on kulunut pitkä aika. Asian käsittely päättyy kun tarvittavaa selvitystä ei ole saatavilla. Menettely on ollut lainsäädännön ja lupaehtojen/ohjeiden mukaista, jolloin asian käsittely päättyy. Huomautus henkilölle tai organisaatiolle. Katkaistaan/poistetaan väärinkäytöksen tekijältä käyttöoikeudet toistaiseksi tai pysyvästi. Virkamiesoikeudelliset toimenpiteet, kuten varoitus tai irtisanominen taikka virkasuhteen purkaminen. Rikosilmoitus poliisille. Ilmoitus rekisteröidylle. Yleensä rekisteröidyn aloitteesta tehdyssä selvityksessä. Vahingonkorvausoikeudelliset seuraamukset.

Liite 2 / Esimerkki lokiselvitysprosessista 1. Lokiselvitysprosessin käynnistäminen oma-aloitteisesti tai asiakkaalta tulleen selvityspyynnön perusteella. 2. Lokitietojen kerääminen ja tietojen analysointi. 3. Selvityksen pyytäminen henkilöltä tai organisaatiolta, joka tai jossa tietoja on käsitelty. 4. Tulkinta tietojen käsittelyn lainmukaisuudesta ja lupaehtojen/ohjeiden noudattamisesta. 5. Päätöksenteko mahdollisista seuraamuksista. 6. Tiedoksiannot organisaatiolle ja/tai selvityspyynnön tekijälle ja/tai rekisteröidylle. Tarvittaessa voidaan olla yhteydessä Tietosuojavaltuutettuun. 7. Jatkotoimenpiteet esimerkiksi käyttöoikeuden poistaminen ja/tai rikosilmoituksen tekeminen. 8. Selvitysaineiston säilytys arkistonmuodostamissuunnitelman mukaisesti.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute