Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Tietosuojavaltuutetun toimisto OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja Reijo Aarnio tietosuojavaltuutettu EU-tietosuoja-asetuksen vaikutukset –koulutuskierros.

JulkaistuTarja Karjalainen Muutettu yli 7 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Tietosuojavaltuutetun toimisto OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja Reijo Aarnio tietosuojavaltuutettu EU-tietosuoja-asetuksen vaikutukset –koulutuskierros."— Esityksen transkriptio:

1 Tietosuojavaltuutetun toimisto OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja Reijo Aarnio tietosuojavaltuutettu EU-tietosuoja-asetuksen vaikutukset –koulutuskierros Yhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015 1

2 Tietoyhteiskunnan ”pullonkaulat”  Osaamisvaje  Lainsäädäntö  Ohjausfunktio  Luottamusta lisäävät toimet  Sisäänrakennetut byrokratiat TIETOSUOJAVALTUUTETUN TOIMISTO 2

3 24.2.2009, Dnro 3256/4/07 Ratkaisija: Oikeusasiamies Riitta-Leena Paunio Esittelijä: Oikeusasiamiehensihteeri Leena-Maija Vitie SÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA Kantelija arvosteli 24.10.2007 saapuneessa kirjeessään Turun terveystoimen menettelyä sähköisen potilastietojärjestelmän uuden version käyttöönotossa. Kantelijan mielestä Pegasos-järjestelmän uusi versio otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedotettu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaan aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajaksi eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan mukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitietoja, hänen käytössään olevia lääkkeitä tai aikaisempia laboratoriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuksiin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamisesta toisen järjestelmän kautta annettiin ohjeet vasta järjestelmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvallisuuden ja vaikeutti myös potilaiden hoidon tarpeen arviointia. TIETOSUOJAVALTUUTETUN TOIMISTO 3

4 17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Tuomioistuin sovelsi ihmisoikeus- sopimusta tieto- turvallisuuteen! - yksityisyyden suoja edellyttää käytännöllisiä ja tehokkaita keinoja poissulkea mahdollisuudet luvattomaan käsittelyyn.  TIETOSUOJAVALTUUTETUN TOIMISTO 4

5 17.7.2008 Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03) Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv)  tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja  vahingonkorvausvaatimus hylättiin EIT:n arviointi: ”Sairaalan potilastietojen käytön valvonta riittämätöntä”; Suomen valtio tuomittiin korvauksiin, koska se oli epäonnistunut ihmisoikeussopimuksen mukaisessa toiminta- velvollisuudessaan hakijan yksityisyyden suojaamisessa. - voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan - Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille, että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen Johtopäätöksiä: - rekisterinpidon tietoturva, lokit  päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvon- nallinen väline, vaan lokittamiseen on oikeus myös rekiste- röidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan.  rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt TIETOSUOJAVALTUUTETUN TOIMISTO 5

6 HENKILÖTIETOLAKI Arvioi oma toiminta 5-6 § Aloitus 2§ Suunnittelu huolellisuus 5-6§ Nimeä vastuu- henkilö 5§ Henkilötiedot 3§ 1 k, 9, 12-20 § Tietoturvallisuus 32§ Mistä henkilötiedot kerätään 8, 9, 12-20 § Käyttötarkoitus- sidonnaisuus 7§ Ulkoistaminen 8.1§ 7-k Oikeus käsitellä 8, 12, 13, 14-20§ Käsittelyn tarkoitus 3 § 3-k & 6 § Käytön hallinnointi 5§ Rekisteröidyn oikeudet 24-29§ Kouluta, ohjeista 5§ Viranomaisilmoitukset 36-37§ Informointi- velvollisuus 24§ Hävitä, arkistoi 12.2 §, 21 §, 19.1 § 1k 34-35 § Luovutukset 8, 12-20 § (6§) Rekisterinpitäjän (3 § 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi Ulkomaille siirrot 22-23§ Rekisteriseloste 10§ HENKILÖREKISTERI 3§ 3k Vaitiolovelvollisuus 33 § JulkL JulkA 2 § TIETOSUOJAVALTUUTETUN TOIMISTO 6

7 Henkilötietolaki ja Julkisuuslaki ”Viranomaisten henkilötietojen käsittely eli henkilötietolain ja julkisuuslainsäädännön suhde on pyritty sääntelemään selkeästi. Henkilötietolaki luonnollisesti koskee myös viranomaisia henkilötietojen käsittelijänä. Tiedonsaantioikeus viranomaisrekistereistä määräytyy kuitenkin julkisuuslainsäädännön mukaan. Tiedon antamisesta silloin kun kysymys on henkilörekisterissä olevista henkilötiedoista sisältyy yksityiskohtainen säännös julkisuuslain 16 §:n 3 momenttiin” 7

8 Henkilötietolaki 8.4 § Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään. TIETOSUOJAVALTUUTETUN TOIMISTO 8

9 HE 96/1998 Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi YKSITYISKOHTAISET PERUSTELUT Luovutettaessa tietoja viranomaisten henkilörekistereistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset. Julkisuusperiaatteen toteuttamistavoista ja yleisimmistä salassapitoperusteista ehdotetaan säädettäväksi eduskunnan käsiteltävänä olevassa laissa viranomaisten toiminnan julkisuudesta. Yhdenmukaisuuden vuoksi on tarkoituksenmukaista, että henkilötietojen luovuttamisesta viranomaisen tiedostoista säädettäisiin tuossa laissa. Ehdotettuun lakiin viranomaisten toiminnan julkisuudesta on sisällytetty yksityisyyden suojan kannalta tarpeelliset henkilötietojen luovuttamisen rajoitukset. Lähtökohtana on, ettei laissa edelleenkään rajoitettaisi yksittäisen tiedon luovuttamista viranomaisen henkilörekisteristä, jollei salassapitosäännöksistä muuta johdu. Laissa viranomaisten toiminnan julkisuudesta säädettäisiin myös, millä edellytyksillä henkilötietojen laajamittainen luovuttaminen esimerkiksi sähköisessä muodossa on sallittua. TIETOSUOJAVALTUUTETUN TOIMISTO 9

10 VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTAMINEN Henkilötietolaki 8 § 4 mom - - - - - - - - - - - - - viranomaisten tietojen luovuttaminen julkisuuslain mukaan (laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §) Laki viranomaisten toiminnan julkisuudesta - - - - - - - - - - - - - - - - 24 § salassapito- säännös - salassapidettävien tietojen luovuttamisen edellytykset 26 § - 30 § * lainsäännös, suostumus, toimeksianto ERITYISLAKIEN SALASSAPITO- JA LUOVUTUS- SÄÄNNÖKSET esim. - - - - - - - - - - - - - - - - - - - L sosiaalihuollon asiakkaan asemasta ja oikeuksista - salassapito 14 § - luovutus 16 § - 18 § - tiedonsaantioikeus 20 § - - - - - - - - - - - - - - - - - - - L potilaan asemasta ja oikeuksista - salassapito ja luovutus 13 § - - - - - - - - - - - - - - - - - - - Sekä muut erityislait TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014 EI SOVELLETA, koska: LUOVUTUKSEEN SOVELLETAAN Henkilötietolaki 8 § ja 12 § + 6 § - - - - - - - - - - - - - - - tietojen vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja Esim. lakisääteinen tehtävä tai asiakassuhde - - - - - - - - - - - - - - - henkilötietojen käsittely suunniteltava ja määriteltävä käyttötarkoitus (6 §) Tiedon pyytäjä (rekisterinpitäjä B) Tiedon luovuttaja (rekisterinpitäjä A) Oma-aloitteinen ilmoitusoikeus tai -velvollisuus pyyntö / luovutus 10

11 11 POLIISIPÄIVÄKOTIKOULUTERVEYDEN- HUOLTO MUUT TAHOT… ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA SIJOITUS- KUNTA LsL 78 § UUDEN KOTIKUNNAN LASTENSUOJELU LASTENSUOJELU LS-ilmoitukset Tiedot ilmoitusvelvollisuus seksuaalirikoksista LsL 25 § 3 mom mm. oma-aloitteiset ilmoitukset SaL 18 § (lapsen etu) Ilmoitus- velvollisuus henkeen ja terveyteen kohdistuvista ja seksuaalirikoksista LsL 25 d § 3 mom LS-ilmoituksen tekovelvollisuus LsL 25 – 25c § Lastensuojelulla oikeus antaa ja saada tietoja SaL 16-18 §, 20 § ilmoitus lapsen sijoituksesta ilmoitus ls-asiakkaan muutosta ja asiakirjat LsL 25 d § SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki

12 Julkisuuslaki 18 § Hyvä tiedonhallintatapa Viranomaisen tulee hyvän tiedonhallintatavan luomiseksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti: 3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suunniteltujen toimenpiteiden vaikutus ….sekä asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suojan järjestämiseksi, 5) huolehtia, että sen palveluksessa olevilla on tarvittava tieto käsiteltävien asiakirjojen julkisuudesta ….noudattamista valvotaan. Tarkempia säännöksiä 1 momentissa säädettyjen velvoitteiden toteuttamiseksi tarpellisista toimenpiteistä annetaan asetuksella……Arkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään. - TIETOHALLINTOLAKI TIETOSUOJAVALTUUTETUN TOIMISTO 12

13 Julkisuuslaki (621/1999) 16.3 § Asiakirjan antamistavat Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähköisessä muodossa, jollei laissa ole toisin erikseen säädetty, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. Henkilötietoja saa kuitenkin luovuttaa suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa. TIETOSUOJAVALTUUTETUN TOIMISTO 13

14 REKISTE- RÖITY REKISTERIN- PITÄJÄ PERINTEINEN TIETOSUOJAMALLI TIETOSUOJA HENKILÖTIEDOT VIRANOMAISET PERIAATTEET: - KÄYTTÖTARKOITUKSEN- MUKAISUUS - LAATU - SUHTEELLISUUS - TARPEELLISUUS JULKISUUS TIETOSUOJAVALTUUTETUN TOIMISTO 14

15 ”UUSI TIETOSUOJAMALLI” REKIS- TERÖITY VIRANOMAISET REKISTERIN- PITÄJÄ TIE- DOS- TOT TIETOSUOJA TULISI INTEGROIDA - PERIAATTEET TUOMIO- ISTUIN LUVAT EDUSKUNTA TOIMIVALTA * KÄYTTÖ- TARKOITUKSEN- MUKAISUUS * LAATU * SUHTEELLLISUUS * TARPEELLISUUS TIETOSUOJAVALTUUTETUN TOIMISTO 15

16 JULKISUUSLAKI (621/1999)HENKILÖTIETOLAKI (523/1999) MIKÄ?Asiaosaisen tiedonsaantioikeus (JulkL 11§)Rekisteröidyn tarkastusoikeus (HetiL 26 §) KUKA? Asianosainen Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. (JulkL 11:1§) Rekisteröity Se henkilö, jota henkilötieto koskee. (HetiL 3 §) MIHIN KOHDISTUUAsiakirjaHenkilörekisteri LAAJUUS Asiakirjan sisältö, joka voi tai on voinut vaikuttaa asianosaisen asian käsittelyyn. (JulkL 11:1§) Vain rekisteröityä itseään koskevat tiedot (HetiL 26:1§) LOKITIETOJEN OSALTA Se asianosainen, jonka tietojen suojaksi lokijärjestelmä on rakennettu eli suojattavan tietojärjestelmän rekisteröity HUOM! KHO: 2014:69 ”Julkisuuslain 11 § ei mahdollistanut tiedonsaantioikeutta siinä tilanteessa, jossa lokitietoja pyytänyt vasta epäili, että häntä koskevien poliisin tietojärjestelmiin sisältyvien tietojen käyttäminen ei ollut ollut asianmukaista. Lokitietoja koskeva asianosaisen tiedonsaantioikeus saattoi perustua vain siihen, että tiedot vaikuttivat tai olivat voineet vaikuttaa jonkin poliisissa vireillä olevan tai olleen, tiedon pyytäjää koskevan asian käsittelyyn.” Rekisteröity on se tietojärjestelmän käyttäjä, jonka tietojärjestelmän käytöstä lokitiedot kertyvät eli käytönvalvonnan rekisteröity RAJOITUSPERUSTEETJulkL 11 § 2 mom.HetiL 27 § TOTEUTTAMISMUOTO Viranomaisen asiakirjan sisällöstä annetaan tieto suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. (JulkL 16 §) Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. (HetiL 28:2 §) VALITUSTIEHallinto-oikeusTietosuojavaltuutettu → Hallinto-oikeus 16

17 ”HYVÄÄN HENKILÖTIETOJEN KÄSITTELYTAPAAN” ”Ota oppaaksi ” -työkirja Työkirjamalli on laadittu käytettäväksi henkilötietojen käsittelyn ja henkilörekisterin rekisteritoimintojen analysoinnissa, kuvaamisessa, suunnittelussa sekä lainmukaisuuden arvioinnissa. Työkirjassa käydään läpi kohta kohdalta, minkä tyyppiset kysymykset tulee selvitellä ja määritellä henkilötietojen käsittelyyn ja rekisterinpitoon liittyen. Rekisteritoimintojen suunnittelun kaikissa vaiheissa tulee aina pitää lähtökohtana, ettei rekisteröityjen yksityisyyttä eikä hänen etujaan ja oikeuksiaan saa perusteettomasti vaarantaa. Täydennettävissä taulukoissa sarkain-nappula tekee uuden tyhjän rivin. TIETOSUOJAVALTUUTETUN TOIMISTO 17

18 KOHTA 1 ARVIOI OMA TOIMINTASI Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (asiallisuusvaatimus) Analysoi ja kirjaa omat tehtäväsi ja ne toiminnot, joita tehtävien hoitaminen edellyttää (Toimintaprosessien kuvaus): KOHTA 2 Määrittele KÄSITTELYN TARKOITUS 1. Arvioi mitä tarkoitusta varten, mitä tietoja millä tavoin toimintasi eri vaiheissa on tarpeen kerätä, käyttää, luovuttaa tai muulla tavalla käsitellä henkilötietoja. 2. Määrittele jo tässä vaiheessa tietotyypeittäin tietojen tallennusaika. Ota myös huomioon mahdollisten erityislakien asettamat vaatimukset. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimukset. 3. Päätä, miten hävität tai arkistoit tiedot, joita et enää tarvitse ko. toiminnoissa. 4. Huomioi tietojen käyttö mm. ulkoisessa tiedottamisessa. Miten voit huolehtia siitä ilman tunnistetietoja (JulkL) TIETOSUOJAVALTUUTETUN TOIMISTO 18

19 KOHTA 1, jatkuu ARVIOI OMA TOIMINTASI KOHTA 2, jatkuu Määrittele KÄSITTELYN TARKOITUS TIETOSUOJAVALTUUTETUN TOIMISTO 19

20 KOHTA 3 HUOLELLISUUSVELVOITE (HetiL 5 §) 1. Katso Henkilötietolain 5 § 2. Yksityiselämän suojan ja muiden yksityisyyttä suojaavien perusoikeuksien tulee toteutua. 3. Tiedollisten perusoikeuksien perhe: - oikeus yksityiselämän suojaan - oikeus ihmisarvoiseen kohteluun - oikeus kunniaan - itsemääräämisoikeus - yhdenvertaisuus - syrjintäkielto * oikeus saada tietoja viranomaisten toiminnasta (JulkL) * sananvapaus TIETOSUOJAVALTUUTETUN TOIMISTO 20

21 KOHTA 4 TIETOTURVALLISUUS (HetiL 32 §) JA ULKOISTAMINEN 1. Rekisterinpitäjän on toteutettava tarpeelliset - tekniset - organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. 2. Ota tietoturvallisuus osaksi suunnittelua heti sen alusta alkaen. 3. Käytä apunasi niitä kuvauksia, jotka laadit arvioidessasi omaa toimintaasi ja siihen liittyvää käsittelyä. 4. Tietoturvallisuus tukee omaa toimintaasi. 5. Jos järjestelmäsi tietoturvallisuus pettää, et voi toteuttaa rekisteröidyn oikeuksia ! 6. Muista, että ulkoistaessasi toimintoja, on palveluntuottaja velvollinen antamaan tietoturvallisuudesta riittävät takeet. Pyydä nähdäksesi esim. toimintailmoitus. 7. Vastaat aina palveluntuottajan toiminnasta henkilötietojen käsittelyn osalta !!! 8. Tee kirjallinen sopimus, määrittele siinä vastuut ja velvoitteet ja menettelytavat. 9. Merkitse tiedot rekisteriselosteen ko. kohtaan vain yleisellä tasolla. 10. Tietoturvallisuus on organisaation johdon vastuulla. TIETOSUOJAVALTUUTETUN TOIMISTO 21

22 Toimintasuunnitelma tietosuojaloukkauksen tapahduttua? 1.Havainnointi (BREACH / EVENT) 2. Käynnistys (MOBILIZE) 3. Vakauttaminen (STABILIZE) 4. Tutkinta (INVESTIGATE) 5. Tiedotus (COMMUNICATE) 6. Lievennys (MITIGATE) 7. Tiedoksianto (NOTIFY) 8. ”Ota opiksi ja muuta” (REVIEW & IMPROVE) TIETOSUOJAVALTUUTETUN TOIMISTO 22

23 KOHTA 5 MÄÄRITTELE OIKEUTESI KÄSITELLÄ HENKILÖTIETOJA 1. Henkilötietolaki on yleislaki, jota sovelletaan aina, ellei käsittelystä säädetä jossain erityislaissa. 2. Henkilötietolain 8 § yleiset edellytykset 13 § henkilötunnuksen käsittely 11, 12 §:t arkaluonteiset tiedot 4 luku: käsittely erityisiä tarkoituksia varten 3. Käytä apunasi edellä esitettyjä toimintasi ja siihen liittyviä käyttötarkoitusmäärittelyjä. 4. Oikeuteni käsitellä henkilötietoja perustuu: TIETOSUOJAVALTUUTETUN TOIMISTO 8 § = ketä koskevia tietoja 9 §, 11§, 12§, 13 § = mitä tietoja 23

24 KOHTA 6 KÄYTTÖTARKOITUSSIDONNAISUUS (HetiL 7 §) 1. Voit käsitellä henkilötietoja vain HetiL 6 §:n mukaista käsittelyn tarkoitusta varten. 2. Voit käsitellä henkilötietoja myös tutkimus- ja tilastointitarkoituksessa. 3. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimus. 4. Määrittele sisäiset käyttöoikeudet toimihenkilöiden työtehtävien perusteella: TIETOSUOJAVALTUUTETUN TOIMISTO 24

25 KOHTA 7 TIEDOT (HetiL 9 §) 1.Olet arvioinut edellä esitetyllä tavalla toimintasi ja siihen perustuvan käyttötarkoituksen kannalta tarpeelliset tiedot. 2. Arvioi ja toteuta toimenpiteet, joiden avulla voit huolehtia tietojen korkeasta laadusta. Tiedot eivät saa olla: - virheellisiä - epätäydellisiä - vanhentuneita 3. Toimintani kannalta tarpeellisia tietoja ovat: 4. Toimenpiteet tietojen laadun varmistamiseksi: TIETOSUOJAVALTUUTETUN TOIMISTO 25

26 KOHTA 8 MISTÄ TIEDOT HANKITAAN 1. Käytä luotettavia tietolähteitä. 2. Pääasiallinen tietolähde: rekisteröity 3. Noudata tietoturvallisuutta tietoja kerättäessä. 4. Huolellisuuteen kuuluu mm. kirjanpito tietovirroista ja tietovälineistä. 5. Hankin tiedot (tyypeittäin): TIETOSUOJAVALTUUTETUN TOIMISTO 26

27 KOHTA 9 1/2 TIETOJEN LUOVUTUS 1. ”Palaa” käsittelyn tarkoitukseen. Ehkä ei ole tarkoituskaan luovuttaa tietoja. 2. HetiL 8.2 §:n mukaan asiakas-, palvelussuhteen, jäsenyyden tai muun vastaavan suhteen perusteella käsiteltäviä tietoja voidaan luovuttaa vain:  jos luovuttaminen kuuluu tavanomaisena osana ko. toiminnan harjoittamiseen,  tarkoitus, johon tiedot luovutetaan ei ole yhteen sopimaton käsittelyn tarkoituksen kanssa  rekisteröidyn voidaan olettaa (ts. rekisteröity tietää) tietävän henkilötietojensa luovuttamisesta. 3. Jos aiot luovuttaa tietoja, sinun tulee huolehtia asian informoimisesta (HetiL 24 §) rekisteröidylle. 4. Julkisuuslain 13 ja 16 §§:t. 5. Ulkomaille luovutuksesta omat säännöksensä. 6. Mitä tietoja luovutan ja miten sen perustelen: TIETOSUOJAVALTUUTETUN TOIMISTO 27

28 KOHTA 92/2 TIETOJEN LUOVUTUS, jatkuu 7. Muista, että rekisteröidyllä on eräissä tapauksissa oikeus kieltää tietojen luovutus (HetiL 30 §) 8. Rekisteriseloste ! TIETOSUOJAVALTUUTETUN TOIMISTO 28

29 KOHTA 10 REKISTERÖIDYN OIKEUDET 1. Huolehdi, että rekisteröidyn oikeudet voivat toteutua 2.1 oikeus tietää => informointivelvoite HetiL 24 § 2.2. oikeus päättää => suostumus 8 §, 12 §, 13 §, 23 § 2.3. oikeus tarkastaa => HetiL 26-28 §§:t 2.4.oikeus vaatia virheen oikaisua => 29 § 2.5.oikeus valittaa => rekisterinpitäjälle ja tietosuojavaltuutetulle 2.6.oikeus kieltää=> HetiL 30 § suoramarkkinointi, etämyynti, markkina- ja mielipidetutkimus, sukututkimus, henkilömatrikkelit 3. Suunnittele rekisteröidyn oikeuksien toteuttaminen. TIETOSUOJAVALTUUTETUN TOIMISTO 29

30 KOHTA 11 KÄYTÖN HALLINNOINTI 1. Toimintasi ja käyttötarkoituksen perusteella laadi sisäiset ohjeet. Tiedota ne henkilöstölle. 2. Määrittele tarkasti tarpeen mukaan henkilöstön käyttöoikeudet. Ylläpidä niitä. 3. Valvo käyttöä. 4. Huolehdi sopimuksista. 5. Huolehdi ”kirjanpidosta” TIETOSUOJAVALTUUTETUN TOIMISTO 30

31 KOHTA 12 NIMEÄ VASTUUHENKILÖ 1. Organisaatiossamme henkilörekisterin pidosta vastaa: 2. Kuka tuottaa rekisteröidyille palvelut? TIETOSUOJAVALTUUTETUN TOIMISTO 31

32 KOHTA 13 REKISTERISELOSTE (HetiL 10 §) 1. Laadi kaikista 2. Käytä apuna informoinnissa 3. Käytä apuna ilmoitusvelvollisuutta toteuttaessasi (36§) 4. Pidä rekisteröityjen saatavilla, myös verkossa! 5. Voit käyttää mallilomaketta. 6. Organisaatiomme rekisteriseloste on nähtävillä: TIETOSUOJAVALTUUTETUN TOIMISTO 32

33 KOHTA 14 HÄVITÄ TAI ARKISTOI (HetiL 9 §, 34 §, 35 §) 1. Kun tiedot tai rekisteri ei enää ole tarpeen, hävitä tai arkistoi 2. Noudata hävittämisessä tietoturvallisuutta. 3. Tee tiedot tunnistamattomiksi, jos enää ei ole tarpeen rekisteröityjä tunnistaa. 4. Muista, että olet jo aiemmin määritellyt tiedoille tallennusajan. 5. Toteuta atk:n avulla puhdistusohjelma osaksi tietojärjestelmääsi. 6. Pidä kirjaa tietojen hävittämisestä. 7. Selvitä, onko sinulla velvoite säilyttää tietoja. 8. Arkistolaitos ohjaa arkistoinnissa => hae Kansallisarkistosta tarvittaessa lupa arkistoida. TIETOSUOJAVALTUUTETUN TOIMISTO 33

34 KOHTA 15 KOULUTA JA OHJEISTA HENKILÖSTÖ 1. Osa hyvää henkilötietojen käsittelytapaa. 2. Ohjeisto auttaa ratkaisemaan esille nousevia kysymyksiä => palvelu tulee sujuvammaksi. 3. Muistuta henkilöstöä vaitiolovelvollisuudesta (33 §) => ota käyttöön vaitiolositoumukset, joiden yhteydessä huolehdi, että henkilöstösi tietää velvollisuutensa. 4. Osallistu käytännesääntötyöhön (42 §). Käytännesäännöt ovat toimialasi oma henkilötietolain ”kommentaari”. TIETOSUOJAVALTUUTETUN TOIMISTO 34

35 KOHTA 16 TOTEUTA INFORMOINTI (HetiL 24 §) 1. Jokaisella on oikeus tietää itseään koskevien henkilötietojen käsittelystä: kuka käsittelee, mihin tarkoitukseen, miten rekisteröity voi käyttää oikeuksiaan. 2. Suunnittele informointi käyttäen apuna laatimiasi tietovirtojen kuvauksia. 3. Voit tarvittaessa tehdä yhteistyötä kumppaniesi kanssa. TIETOSUOJAVALTUUTETUN TOIMISTO 35

36 KOHTA 17 VIRANOMAISILMOITUKSET (HetiL 36 §, 37 §) 1. Tee ilmoitukset riittävän ajoissa. 2. Käytä apuna rekisteriselostetta. KOHTA 18 YLLÄPIDÄ, SEURAA JA VALVO!!! TIETOSUOJAVALTUUTETUN TOIMISTO 36

Lataa ppt "Tietosuojavaltuutetun toimisto OTA OPPAAKSI TIETOSUOJA - alustusta -työkirja Reijo Aarnio tietosuojavaltuutettu EU-tietosuoja-asetuksen vaikutukset –koulutuskierros."

Samankaltaiset esitykset

Anna Johansson, Aalto-yliopisto & Laura Karppinen, Helsingin yliopisto

Anna Johansson, Aalto-yliopisto & Laura Karppinen, Helsingin yliopisto
24.5.2010Pohjois-Suomen aluehallintovirasto, lääninelintarviketarkastaja Raisa Romppanen1 Kokemuksia yleisötilaisuuksien turvallisuuden tarkastamisesta.

Pohjois-Suomen aluehallintovirasto, lääninelintarviketarkastaja Raisa Romppanen1 Kokemuksia yleisötilaisuuksien turvallisuuden tarkastamisesta.
Tietoturvallisuuden huonetaulu

Tietoturvallisuuden huonetaulu
Suomen perustuslaki (731/1999)

Suomen perustuslaki (731/1999)
TIETOSUOJA KIRJASTOSSA

TIETOSUOJA KIRJASTOSSA
 Kirjoita harkiten keskusteluryhmiin Jos kirjoitat viestejä julkisiin keskusteluryhmiin varmista, että viestisi liittyy ryhmän aiheeseen. Älä lähetä.

 Kirjoita harkiten keskusteluryhmiin Jos kirjoitat viestejä julkisiin keskusteluryhmiin varmista, että viestisi liittyy ryhmän aiheeseen. Älä lähetä.
Tietosuoja Tietoturvallisuus IT-rikokset Dosentti, OTT Tuomas Pöysti

Tietosuoja Tietoturvallisuus IT-rikokset Dosentti, OTT Tuomas Pöysti
Sosiaalihuollon asiakkaan asemasta ja oikeuksista

Sosiaalihuollon asiakkaan asemasta ja oikeuksista
Henkilökohtainen apu -järjestelmä periaatteet ja lakitausta

Henkilökohtainen apu -järjestelmä periaatteet ja lakitausta
Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto Tietoturvan.

Korkeakoulujen ja opetus- ja kulttuuriministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto Tietoturvan.
20.11.2014 1 Valvontaviranomaiset 15 § Kunnan määräämä valvontaviranomainen valvoo, että kunta ja tontinomistaja täyttävät laissa säädetyt velvollisuutensa.

Valvontaviranomaiset 15 § Kunnan määräämä valvontaviranomainen valvoo, että kunta ja tontinomistaja täyttävät laissa säädetyt velvollisuutensa.
PALVELULAIN VIRANOMAISIIN KOHDISTUVAT VELVOITTEET Mikko Holm Sisämarkkina- ja kuluttajapolitiikan ryhmä 4. marraskuuta 2009.

PALVELULAIN VIRANOMAISIIN KOHDISTUVAT VELVOITTEET Mikko Holm Sisämarkkina- ja kuluttajapolitiikan ryhmä 4. marraskuuta 2009.
Sosiaali- ja terveysalan lupa- ja valvontaviraston asiantuntijan juridinen asema ja vastuu Valviran asiantuntijasymposium 11.2.2009 Biomedicum Olli Mäenpää,

Sosiaali- ja terveysalan lupa- ja valvontaviraston asiantuntijan juridinen asema ja vastuu Valviran asiantuntijasymposium Biomedicum Olli Mäenpää,
Tietoturvallisuus osa 6

Tietoturvallisuus osa 6
Ohjeistus työntekijätiedoista

Ohjeistus työntekijätiedoista
EVA 2010 ”Säädösten muutoksia tarvitaan etenkin tietoon (tietosuojasäännökset) ja julkisen vallan suoritteisiin (maksuperustelaki) kohdistuvan lainsäädännön.

EVA 2010 ”Säädösten muutoksia tarvitaan etenkin tietoon (tietosuojasäännökset) ja julkisen vallan suoritteisiin (maksuperustelaki) kohdistuvan lainsäädännön.
Hallintolainsäädäntö kalastuksenvalvonnassa

Hallintolainsäädäntö kalastuksenvalvonnassa
Opintohallinnon tietojärjestelmäiltapäivä

Opintohallinnon tietojärjestelmäiltapäivä
Tutkijan identifiointi –seminaari 23.4.2015 Kommentteja Eeva Rantala | 23.4.2015.

Tutkijan identifiointi –seminaari Kommentteja Eeva Rantala |
Työntekijän yksityisyys työelämän kameravalvonnassa.

Työntekijän yksityisyys työelämän kameravalvonnassa.

Samankaltaiset esitykset

Iklan oleh Google