Helsingin kaupungin tietosuoja, käytännön kokemuksia ja vinkkejä IIJudo-hankkeen tietosuojatyöpaja 20.11.2019Päivi Vilkki, tietosuojavastaava, varatuomari, Helsingin kaupunki

Sari Lehtonen, tietosuojan asiantuntija, Helsingin kaupunki

Helsingin kaupungin erityispiirteitä

• Paljon työntekijöitä: kaupungilla on n. 38.000 työntekijää, joista valtaosa

käsittelee henkilötietoja.

• Kaupunki jakautuu:

oneljä toimialaa: sosiaali- ja terveystoimiala, kasvatuksen ja koulutuksen toimiala,

kaupunkiympäristön toimiala sekä kulttuurin ja vapaa-ajan toimiala

okolme virastoa: kaupunginkanslia, tarkastusvirasto ja pelastuslaitos

oviisi liikelaitosta: liikennelaitos (HKL), palvelukeskusliikelaitos,

taloushallintopalveluliikelaitos, työterveysliikelaitos ja rakentamispalveluliikelaitos

(Stara)

• Runsaasti tietojärjestelmiä, joita on lähes 800. Henkilötietoja käsitellään

runsaassa 400 tietojärjestelmässä.

Päivi Vilkki ja Sari Lehtonen 2

Tietosuojatyön organisointi Helsingin kaupungilla

Päivi Vilkki ja Sari Lehtonen 3

Tietosuojavastaava, tietosuojatiimi, tietosuojan vastuuhenkilöt

• Kaupungin tietosuojavastaavan on ottanut virkaan kaupunginhallitus.

Tietosuojavastaavan asema ja tehtävät määräytyvät suoraan EU:n tietosuoja-

asetuksen 38. ja 39. artiklan nojalla ja tietosuojavastaava raportoi suoraan

kaupungin ylimmälle johdolle.

• Tietosuojavastaavalla on apunaan tietosuojatiimi, johon kuuluu kaupungin

tietosuojalakimies ja kaksi tietosuojan asiantuntijaa.

• Kuhunkin toimialaan, virastoon ja liikelaitokseen on nimetty tietosuoja-asioiden

vastuuhenkilö, joka toimii yhteyshenkilönä kyseisen organisaation ja

tietosuojavastaavan välillä sekä opastaa ja neuvoo omaa organisaatiotaan

tietosuoja-asioissa.

• Lisäksi toimialoilla, virastoissa ja liikelaitoksissa on oltava nimetty vastuuhenkilö

myös tietoturva-asioissa.

Päivi Vilkki ja Sari Lehtonen 4

Tietosuojatyöryhmä, erilliset tapaamiset, joryt

• Kaupungin tietosuojatyöryhmään kuuluvat tietosuojavastaava (pj), muut tietosuojatiimiläiset ja

edustajat kultakin toimialalta, virastosta ja liikelaitoksesta.• Työryhmä kokoontuu kerran kuukaudessa ja sen tehtävänä on valmistella kaupungin tietosuojaa

koskevaa ohjeistusta ja sisäisiä menettelyjä tietosuojan toteuttamiseksi ja sen osoittamiseksi, että

tietosuoja toteutuu kaupungin toiminnassa. Työryhmän tehtävänä on myös koordinoida kaupungin

tietosuojakäytäntöjen yhtenäisyyttä.

• Tietosuojatyöryhmä voi tarvittaessa jakautua alatyöryhmiin ja käyttää ryhmän ulkopuolisia

asiantuntijoita. Tällä hetkellä alatyöryhminä ovat sopimusasioiden alatyöryhmä ja tietosuojan

vaikutustenarviointien alatyöryhmä.

• Tietosuojatiimi pitää erillisiä tapaamisia yksitellen kunkin toimialan, viraston ja liikelaitoksen

tietosuojan ja tietoturvan vastuuhenkilöiden kanssa.

• Tietosuojavastaava kiertää tarvittaessa kaikki toimialojen, virastojen ja liikelaitosten johtoryhmät

kertomassa tietosuojan ajankohtaisista kuulumisista. Tämän syksyn kierroksen aiheena oli

muistuttaminen siitä, mitä kaikkea tietosuojan vastuuhenkilön tehtäviin kuuluu ja että kunkin

organisaation tulee huolehtia tarvittavan työajan järjestämisestä tähän.Päivi Vilkki ja Sari Lehtonen 5

Tietosuojan vastuuhenkilöiden jatkuvat tehtävät• Tietosuoja ei ole muutaman vuoden projekti vaan se tulee jatkossakin teettämään runsaasti lakisääteisiä

tehtäviä, joita tulee tehdä vuodesta toiseen. Näitä ovat:

• Ohjeistus, neuvonta ja yhteydenpito kaupungin sisällä• Oman organisaation ohjeistus ja neuvonta tietosuoja-asioissa

• Kouluttaminen

• Yhteyshenkilönä toimiminen oman organisaation ja kaupungin tietosuojavastaavan välillä

• Kehittämistehtävät ja hankinnat• Osallistuminen oman organisaation tietosuojan vaikutustenarviointeihin ja asiasta kouluttaminen

• Osallistuminen hankintoihin, jos sopimuksen perusteella toimittaja tulee käsittelemään henkilötietoja kaupungin lukuun ja

huolehtiminen siitä, että kaupungin tietosuoja- ja salassapitoliite tulee sopimuksen liitteeksi

• Kaupungilla aloitetuissa digihankkeissa mukana oleminen oman organisaation osalta

• Tietosuojan ja tietoturvan yhteistyön kehittäminen

• Dokumentointi ja raportointi• Rekisteriselosteiden ja tietosuoja-asetuksen 30 artiklan mukaisten selosteiden ajantasaisuudesta huolehtiminen

• Tietotilinpäätöksen tekeminen

• Tietosuojatentin suorittaneiden kontrollointi

• Yhteydenpito ulkoisten asiakkaiden suuntaan• Tietopyyntöihin ja tiedonkorjausvaatimuksiin vastaaminen

• Tietoturvaloukkauksista tiedon kerääminen ja niistä ilmoittaminen

• Tutkimuslupa-asioiden hoitaminen

Päivi Vilkki ja Sari Lehtonen 6

Helsingin kaupungin määrittelemät tietosuojalainsäädännön vaatimat tehtävät

Päivi Vilkki ja Sari Lehtonen 7

Tietosuojatyöryhmän jaottelu tietosuoja-asetuksen edellyttämistä tehtävistä kaupungilla vuonna 20181. Kaupunki antaa rekisteröidyille ohjausta heidän oikeuksistaan ja

mahdollisuuden toteuttaa niitä

2. Sopimukset, jotka koskevat henkilötietoja käsitteleviä tietojärjestelmiä tai joissa

sovitaan henkilötietojen käsittelystä, saatetaan toteuttamaan tietosuoja-

asetuksen vaatimukset

3. Kaupungin henkilötietoja käsittelevälle henkilöstölle annetaan opetusta ja

ohjeistusta tietosuoja-asetuksen vaatimuksista

4. Kaupungilla toteutetaan sisäänrakennettu ja oletusarvoinen tietosuoja

5. Henkilörekisterien tietoturvasta huolehditaan

Päivi Vilkki ja Sari Lehtonen 8

Tehdyt työt vuonna 2018

1. Kaupunki antaa rekisteröidyille ohjausta heidän oikeuksistaan ja mahdollisuuden

toteuttaa niitä• Internet-sivut, rekisteriselosteet sekä sähköinen, vahvasti tunnistettu yhteys omien tietojensa

pyytämiseksi ja korjausvaatimuksen tekemiseksi, lisäksi paperinen prosessi.

2. Sopimukset, jotka koskevat henkilötietoja käsitteleviä tietojärjestelmiä tai joissa sovitaan

henkilötietojen käsittelystä, saatetaan toteuttamaan tietosuoja-asetuksen vaatimukset• Tietojärjestelmien ja henkilötietoja koskevien sopimusten osalta aloitetiin kaupungin

tietoturvallisuusliitteen (nykyään tietosuoja- ja salassapitoliite) lisääminen osaksi uusia sopimuksia ja

25.5.2018 jälkeen jatkuvia sopimuksia.

3. Kaupungin henkilötietoja käsittelevälle henkilöstölle annetaan opetusta ja ohjeistusta

tietosuoja-asetuksen vaatimuksista• Videokoulutus tietosuojan perusasioista, joka kaikkien henkilötietoja käsittelevien tulee katsoa ja johon

liittyy tietosuojatentti. Koulutuksia pidettiin.

4. Kaupungilla toteutetaan sisäänrakennettu ja oletusarvoinen tietosuoja• Tietosuojan sisällyttäminen osaksi kaikkea henkilötietojen käsittelyä (ohjeistus)

5. Henkilörekisterien tietoturvasta huolehditaan• Yhteistyö tietoturvan kanssa

Päivi Vilkki ja Sari Lehtonen 9

Vuoden 2019 satoa, yhteenveto

1. Tietopyyntöprosessiä on kehitetty, rekisteriselosteita on muokattu ja myös kaupungin Internet-

sivuja on muokattu.

2. Sopimusten osalta tietosuojatyöryhmän sopimuksia koskeva alatyöryhmä (pj.

tietosuojalakimies) teki mm. uuden version liitteestä (tietosuoja- ja salassapitoliite), suppean

version tietosuojaliitteestä, saatepohjan toimittajalle lähetettävästä viestistä ja tietosuojaliitteen

käsittelijäversion.

3. Tietosuojakäsikirjasta valmistui uusi versio, tietosuojatentin suorittaneiden kontrolloinnista

huolehdittiin ja koulutuksia pidettiin.

4. Tietotilinpäätökselle valmistui pohja, samoin tietosuoja-asetuksen 30 artiklan selosteille.

Tietosuojatiimillä oli hanke ”sisäänrakennettu ja oletusarvoinen tietosuoja sisällytetään osaksi

toiminnan kehittämisen prosesseja ja toimintamalleja.

5. Yhteistyötä tietoturvan kanssa jatkettiin.

6. Työlistalle ilmestyi kohta ”muuta”. Siihen kuuluu mm. tietosuojan vaikutustenarvioinnin työkalut,

tietoturvaloukkausten hallinta, yhteistyö toimialojen, virastojen ja liikelaitosten kanssa sekä

tietosuojaviestintä ja tutkimuslupa-asiat.

Päivi Vilkki ja Sari Lehtonen 10

Tietosuojan vaikutustenarviointi

Päivi Vilkki ja Sari Lehtonen 11

Helsingin kaupungin työkalut vaikutustenarviointien tekemiseen

• Helsingin kaupungilla on omat työkalut vaikutustenarviointiin. Niillä selvitetään tietosuoja-

asetuksen edellytysten mukaisesti mm. mitä henkilötietoja käsitellään, millä perusteella

niitä käsitellään, missä niitä käsitellään, miten tiedot suojataan ja miten rekisteröityjen

oikeudet toteutetaan.

• Työkalut perustuvat EU:n yleisen tietosuoja-asetuksen 35 artiklan lisäksi

Tietosuojavaltuutetun ja EU:n Tietosuojatyöryhmä WP 248 ohjeisiin.

• Työkaluja ovat alkukartoitus, tietosuojan tarkistuslista, vaikutustenarvioinnin työkalu ja

riskianalyysilomake.

• Työkalut ja ohjeet löytyvät Helsingin kaupungin nettisivuilta:

https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/tietoa-helsingista/tietosuoja/tietosuojan-

vaikutustenarviointi.

Päivi Vilkki ja Sari Lehtonen 12

Tietosuojan vaikutustenarvioinnin työkalut

Päivi Vilkki ja Sari Lehtonen 13

Alkukartoitus

• Vaikutustenarvioinnin tekemisen tarve tunnistetaan Helsingin kaupungilla

tekemällä siihen liittyvä alkukartoitus aina, kun ryhdytään suunnittelemaan

uutta prosessia, järjestelmähankintaa tai järjestelmän rakentamista

kaupungin omin voimin.

• Alkukartoitus on tehtävä myös silloin, kun suunnitellaan merkittäviä

muutoksia olemassa oleviin prosesseihin ja järjestelmiin.

• Alkukartoituksessa selvitetään ensin, käsitelläänkö henkilötietoja.

• Jos henkilötietoja käsitellään, alkukartoituksen kysymyksiin vastaamalla

selviää, tuleeko tehdä vaikutustenarviointi vai ottaa tietosuoja

kehittämisessä huomioon tietosuojan tarkistuslistan avulla.

Päivi Vilkki ja Sari Lehtonen 14

Vaikutustenarvioinnin työkalu

• Työkalussa oleva arviointitaulukko on jaettu kolmeen erilliseen osa-

alueeseen. Nämä ovat: Järjestelmällinen kuvaus suunnitelluista käsittelytoimista

Henkilötietojen käsittelyn tarpeellisuuden ja oikeellisuuden arviointi

Rekisteröidyn oikeuksille aiheutuvien riskien arviointi

• Kussakin osa-alueessa on tietosuojavaatimuksia, joiden toteutumista

arvioidaan.

Päivi Vilkki ja Sari Lehtonen15

Riskianalyysilomakkeen käyttäminen• Kun tehdään vaikutustenarviointi, riskianalyysilomaketta käytetään riskien vaikuttavuuden

ja todennäköisyyden arvioimiseen sekä riskien hallintatoimenpiteiden dokumentoimiseen ja

seuraamiseen.

• Vaikutustenarvioinnin työkalun Tunnistetut-riskit sarakkeeseen kirjataan riskit otsikkotasolla.

Riskien tarkempi käsittely tehdään riskianalyysilomakkeella.

Päivi Vilkki ja Sari Lehtonen 16

Vaikutustenarvioinnin tekeminen käytännössä

Päivi Vilkki ja Sari Lehtonen 17

Vaikutustenarvioinnin tekeminen

• Vaikutustenarvioinnin tekemisessä on havaittu hyväksi ns.

työpajamenetelmä, jossa pidetään ensin alkukokous, johon kutsutaan

tarvittavat asiantuntijat. Alkukokouksessa sovitaan vastuunjaosta.

• Alkukokouksen jälkeen olevassa vaikutustenarvioinnin työpajassa (tai

työpajoissa) asiantuntijat ovat jo ennakkoon selvittäneet vastuualueillaan

olevia asioita, jolloin tietojen dokumentointi työkaluun voidaan tehdä

yhteisesti. Vaihtoehtoisesti kukin vastuullinen voi täyttää tiedot jo

etukäteen työkaluun.

Päivi Vilkki ja Sari Lehtonen 18

Alkukokous / agenda• Hankkeen yhteenveto, mitä ollaan

tekemässä (puheenjohtaja)

• Henkilötietojen käsittelytoimen kuvaus, jos

halutaan tehdä (ohje tähän löytyy

vaikutustenarvioinnin ohjeesta)

• Vaikutustenarviointi:• Tarkoitus (tietosuojan vastuuhenkilö)

• Työkalun esittely (tietosuojan

vastuuhenkilö)• Käydään vaatimukset läpi (työkalun 2.

sarake, ”Vaatimus”)

• Riskianalyysityökalun esittely

• Vastuunjako:• Työkaluun tai kokousmuistioon kirjataan

vastuut (kuka täyttää minkäkin rivin

vaikutustenarvioinnin työkalusta)

• Aikataulu:• Ajankäytön varmistaminen,

vaikutustenarvioinnin tekeminen vie aikaa

• Työkalun täytön ja työpajojen aikataulusta

sopiminen

Päivi Vilkki ja Sari Lehtonen 19

Vaikutustenarvioinnin työpaja / agenda• Ennen työpajaa:

• Kukin vastuuhenkilö täyttää työkaluun omat

rivinsä, myös tunnistetut riskit

• Kukin vie riskit riskianalyysityökaluun

alustavalla tasolla

• Työpajassa:

• Käydään vaikutustenarvioinnin työkalu läpi

• Kukin esittelee omat rivinsä

• Päätetään, mitkä riskit viedään

riskianalyysityökaluun

• Ryhmä luokittelee riskit

• Ryhmä täyttää riskianalyysityökaluun

riskienhallinnan toimenpiteet

• Aikataulu:

• Seuraavasta työpajasta sopiminen

Riskienhallinnan työkalun käyttö vaikutustenarvioinneissa

Päivi Vilkki ja Sari Lehtonen 20

Päivi Vilkki ja Sari Lehtonen 21

Vaikutustenarviointi osana kehittämisen prosesseja

Päivi Vilkki ja Sari Lehtonen 22

Kehmet – Helsingin kaupungin kehittämismenetelmät

Päivi Vilkki ja Sari Lehtonen

https://kehmet.hel.fi/

23

Päivi Vilkki ja Sari Lehtonen

Tietosuojastepit on lisätty Kehmetiin

24

Tietosuojakäsikirja

Päivi Vilkki ja Sari Lehtonen 25

Tietosuojakäsikirja

• Tietosuojakäsikirja on kaikille kaupungin palveluksessa henkilötietoja

käsitteleville tarkoitettu kattava yleisohjeistus siitä, miten henkilötietoja

käsitellessä tulee toimia. Käsikirjassa kerrotaan perustietoa

tietosuojalainsäädännöstä sekä ohjeistetaan siitä, miten

tietosuojalainsäädännön velvoittamia toimenpiteitä toteutetaan Helsingin

kaupungilla.

• Tietosuojakäsikirjasta valmistui uusi versio, joka on julkaistu kaupungin

ulkoisilla Internet-sivuilla.

Päivi Vilkki ja Sari Lehtonen 26

Rekisteröityjen ohjeistus kaupungin Internet-sivuilla

Päivi Vilkki ja Sari Lehtonen 27

Kaupungin Internet-sivut

• Kaupungin Internet-sivuja, joilla rekisteröidyille annetaan

ohjeistus tietosuojasta Helsingin kaupungin palveluissa, on

muokattu luettavimmiksi linkki

• Kerrotaan rekisteröidyille, että kaupunki kerää tarvittavia

henkilötietoja palveluissa

• Sivuilta rekisteröity pääsee tekemään henkilötietojen

tarkastuspyynnön ja korjausvaatimuksen

• Sivuilla kerrotaan myös kaikista rekisteröityjen oikeuksista

Päivi Vilkki ja Sari Lehtonen 28

Tietotilinpäätös

Päivi Vilkki ja Sari Lehtonen 29

Tietotilinpäätös

• Tietotilinpäätöksellä Helsingin kaupunki osoittaa, että se noudattaa

tietosuoja-asetuksen vaatimuksia.

• Kaikki toimialat, virastot ja liikelaitokset vastaavat

tietotilinpäätöspohjan kysymyspatteristoon 31.1.2020 mennessä

omalta osaltaan.

• Tietosuojan ja tietoturvan vastuuhenkilöt (tai toimialan

tietosuojalakimiehet) koordinoivat tietojen keräämistä ja jokaisella

työntekijällä on velvollisuus antaa häneltä pyydetyt tiedot.

• Tietotilinpäätös menee kaupunginhallitukselle yhtä aikaa kaupungin

tilinpäätöksen kanssa.

• Tietotilinpäätös on julkinen dokumentti.

Päivi Vilkki ja Sari Lehtonen 30

Tietotilinpäätöksen pohjassa kysytään mm.

• Miten tietosuojaa ja tietoturvaa koskevat vastuut on toteutettu kullakin toimialalla,

virastossa ja liikelaitoksessa

• Käyttöoikeuksien hallinnan prosessien kuvaus

• Onko tehty auditointeja ja sertifiointeja

• Tehdyt vaikutustenarvioinnit

• Tietojen luovutukset, mm. keskeisimmät vastaanottajatahot ja miten

dokumentoidaan

• Onko sopimuksiin lisätty tietosuojaliite

• Millaista ohjeistusta henkilötietojen käsittelystä on annettu, onko pidetty

koulutuksia

• Paljonko on tullut rekisteröityjen oikeuksiin liittyviä pyyntöjä

• Paljonko on tapahtunut tietoturvaloukkauksia

• Onko tullut valvontaviranomaisen selvitys- ja tietopyyntöjä

• Millaisia tietosuojan kehittämistarpeita on havaittuPäivi Vilkki ja Sari Lehtonen 31

Ohjeistus tietoturvaloukkaus-tapauksissa

Päivi Vilkki ja Sari Lehtonen 32

Tietoturvaloukkaus

• Henkilöstöä ohjeistetaan, että henkilötietojen tietoturvaloukkauksella tarkoitetaan

tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu tai

niihin pääsee käsiksi ulkopuolinen taho, jolla ei ole oikeutta käsitellä tietoja.

Tietoturvaloukkaus voi tapahtua vahingossa tai tahallisesti.

• Henkilötietojen tietoturvaloukkauksia ovat esimerkiksi tietojen lähettäminen

väärälle henkilölle, kadonnut henkilötietoja sisältävä paperi, omaan työhön

kuulumattomien henkilötietojen katselu, kadonnut muistitikku, varastettu

tietokone, murtautuminen henkilötietoja sisältävään järjestelmään tai

tietojärjestelmän haavoittuvuus, joka aiheuttaa sen, että tietoja on mahdollista

nähdä sellaisen henkilön, jolle ne eivät kuulu.

Päivi Vilkki ja Sari Lehtonen 33

Tietoturvaloukkauksen toimintaohje• Työntekijän tulee ilmoittaa havaitsemastaan tietoturvaloukkauksesta välittömästi esimiehelleen ja oman

organisaationsa tietosuojan vastuuhenkilölle.

• Esimiehen tulee ilmoittaa saamastaan tiedosta välittömästi oman organisaationsa tietosuojan

vastuuhenkilölle.

• Tietosuojan vastuuhenkilön tulee ilmoittaa saamastaan tiedosta välittömästi tietosuojavastaavalle ja

tietosuojalakimiehelle. Jos kyseessä on järjestelmähaavoittuvuus, tulee hänen lisäksi olla yhteydessä oman

organisaationsa tietoturvasta vastaavaan henkilöön. Jos tietosuojavastaava tai tietosuojalakimies pyytää,

tulee hänen ilmoittaa tapahtuneesta loukkauksesta myös rekisteröidylle.

• Tietosuojavastaava tai tietosuojalakimies ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle, jos

loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitus tehdään ilman

aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi. Jos

ilmoitusta ei tehdä 72 tunnin kuluessa, on tietosuojavaltuutetun toimistolle toimitettava perusteltu selitys.

Päivi Vilkki ja Sari Lehtonen 34

Yhteenveto

Päivi Vilkki ja Sari Lehtonen 35

Yhteenveto Helsingin kaupungin tietosuojatyön tilanteesta

• Kaupungin tietosuojatyössä on nyt olemassa kaikille

tietosuojalainsäädännön edellyttämille prosesseille ohjeistus.

• Ohjeistus tulee nyt saada osaksi kaikkia toiminnan

prosesseja, jotta voidaan puhua sisäänrakennetusta ja

oletusarvoisesta tietosuojasta. Tämä työ on hyvässä

vauhdissa.

Päivi Vilkki ja Sari Lehtonen 36

Infoa kaupungin julkaisuista

• Helsingin kaupungin nettisivuilla on julkaistu

• Vaikutustenarvioinnin työkalut >>

• Tietosuojakäsikirja >>

Päivi Vilkki ja Sari Lehtonen 37

“The processing of personal data should be designed to serve mankind.”

(Recital 4 GDPR)