ota oppaaksi tietosuoja - alustusta -työkirja aarnio työkirja ota... · 24.2.2009, dnro 3256/4/07...

Tietosuojavaltuutetun toimisto

OTA OPPAAKSI TIETOSUOJA- alustusta-työkirja

Reijo Aarniotietosuojavaltuutettu

EU-tietosuoja-asetuksen vaikutukset –koulutuskierro sYhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015

1

Tietoyhteiskunnan ”pullonkaulat”

� Osaamisvaje� Lainsäädäntö� Ohjausfunktio� Luottamusta lisäävät toimet� Sisäänrakennetut byrokratiat

TIETOSUOJAVALTUUTETUN TOIMISTO 2

24.2.2009, Dnro 3256/4/07Ratkaisija: Oikeusasiamies Riitta-Leena PaunioEsittelijä: Oikeusasiamiehensihteeri Leena-Maija VitieSÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA

Kantelija arvosteli 24.10.2007 saapuneessa kirjeess ään Turun terveystoimen menettelyä sähköisen potilastietojärj estelmän uuden version käyttöönotossa.Kantelijan mielestä Pegasos-järjestelmän uusi versi o otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedote ttu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaa n aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajak si eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan m ukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitieto ja, hänen käytössään olevia lääkkeitä tai aikaisempia laborat oriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuk siin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamis esta toisen järjestelmän kautta annettiin ohjeet vasta järjeste lmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvall isuudenja vaikeutti myös potilaiden hoidon tarpeen arvioin tia.

TIETOSUOJAVALTUUTETUN TOIMISTO3

17.7.2008Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)

Tuomioistuin sovelsi ihmisoikeus-sopimusta tieto-turvallisuuteen!

- yksityisyydensuoja edellyttääkäytännöllisiä jatehokkaita keinojapoissulkea mahdollisuudetluvattomaan käsittelyyn.

��


17.7.2008Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)

Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv) �� tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja �� vahingonkorvausvaatimus hylättiin

EIT:n arviointi: ”Sairaalan potilastietojen käytön valvonta riittämätöntä”; Suomen valtio tuomittiin korvauksiin, koska seoli epäonnistunut ihmisoikeussopimuksen mukaisessa toiminta-velvollisuudessaan hakijan yksityisyyden suojaamisessa.- voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan- Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille,että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen

Johtopäätöksiä:- rekisterinpidon tietoturva, lokit �� päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvon-nallinen väline, vaan lokittamiseen on oikeus myös rekiste-röidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan.

�� rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt


HENKILÖTIETOLAKI

Arvioi oma toiminta5-6 §§§§

Aloitus2§§§§

Suunnitteluhuolellisuus

5-6§§§§

Nimeä vastuu-henkilö

5§§§§

Henkilötiedot3§§§§ 1 k, 9, 12-20 §§§§

Tietoturvallisuus32§§§§

Mistä henkilötiedot kerätään

8, 9, 12-20 §§§§

Käyttötarkoitus-sidonnaisuus

7§§§§

Ulkoistaminen8.1§§§§ 7-k

Oikeus käsitellä8, 12, 13, 14-20§§§§

Käsittelyn tarkoitus3 §§§§ 3-k & 6 §§§§

Käytön hallinnointi5§§§§

Rekisteröidynoikeudet24-29§§§§

Kouluta, ohjeista5§§§§

Viranomaisilmoitukset36-37§§§§

Informointi-velvollisuus

24§§§§

Hävitä, arkistoi12.2 §§§§, 21 §§§§,

19.1 §§§§ 1k34-35 §§§§

Luovutukset8, 12-20 §§§§ (6§§§§)

Rekisterinpitäjän (3 §§§§ 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi

Ulkomaillesiirrot22-23§§§§

Rekisteriseloste10§§§§H

EN

KIL

ÖR

EK

IST

ER

I 3§§ §§

3k

Vaitiolovelvollisuus33 §§§§

JulkL JulkA 2 §§§§


Henkilötietolaki ja Julkisuuslaki

”Viranomaisten henkilötietojen käsittely eli henkilötietolain ja julkisuuslainsäädännön suhde on pyritty sääntelemään selkeästi. Henkilötietolaki luonnollisesti koskee myös viranomaisia henkilötietojen käsittelijänä. Tiedonsaantioikeus viranomaisrekistereistä määräytyy kuitenkin julkisuuslainsäädännön mukaan. Tiedon antamisesta silloin kun kysymys on henkilörekisterissä olevista henkilötiedoista sisältyy yksityiskohtainen säännös julkisuuslain 16 §§§§:n 3 momenttiin”

7

Henkilötietolaki 8.4 §

Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.


HE 96/1998Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi

YKSITYISKOHTAISET PERUSTELUT

Luovutettaessa tietoja viranomaisten henkilörekiste reistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset .

Julkisuusperiaatteen toteuttamistavoista ja yleisim mistä salassapitoperusteista ehdotetaan säädettäväksi edu skunnan käsiteltävänä olevassa laissa viranomaisten toiminnan julkisuudes ta. Yhdenmukaisuuden vuoksi on tarkoituksenmukaista, että henkilötietoje n luovuttamisesta viranomaisen tiedostoista säädettäisiin tuossa lais sa.

Ehdotettuun lakiin viranomaisten toiminnan julkisuu desta on sisällytetty yksityisyyden suojan kannalta tarpeelliset henkilöt ietojen luovuttamisen rajoitukset. Lähtökohtana on, ettei laissa edelleen kään rajoitettaisi yksittäisen tiedon luovuttamista viranomaisen henki lörekisteristä, jollei salassapitosäännöksistä muuta johdu. Laissa viranom aisten toiminnan julkisuudesta säädettäisiin myös, millä edellytyksi llä henkilötietojen laajamittainen luovuttaminen esimerkiksi sähköisess ä muodossa on sallittua. TIETOSUOJAVALTUUTETUN TOIMISTO 9

VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTA MINEN

Henkilötietolaki8 § 4 mom

- - - - - - - - - - - - -viranomaisten tietojen luovuttaminen julkisuuslain mukaan(laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §)

Laki viranomaisten toiminnan julkisuudesta- - - - - - - - - - - - - - -

- 24 § salassapito-säännös

- salassapidettävien tietojen luovuttamisenedellytykset 26 § - 30 §

* lainsäännös,suostumus,toimeksianto

ERITYISLAKIENSALASSAPITO- JALUOVUTUS-SÄÄNNÖKSET esim.- - - - - - - - - - - - - - - - - - -L sosiaalihuollon asiakkaan asemasta ja oikeuksista- salassapito 14 §§§§- luovutus 16 §§§§ - 18 §§§§- tiedonsaantioikeus

20 §§§§- - - - - - - - - - - - - - - - - - -L potilaan asemasta ja oikeuksista- salassapito ja

luovutus 13 §§§§- - - - - - - - - - - - - - - - - - -Sekä muut erityislait

TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014

EI SOVELLETA, koska:

LUOVUTUKSEEN SOVELLETAAN

Henkilötietolaki8 §§§§ ja 12 §§§§ + 6 §§§§

- - - - - - - - - - - - - -- tietojen

vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja

Esim. lakisääteinen tehtävä tai asiakassuhde- - - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §§§§)

Tiedon pyytäjä(rekisterinpitäjä B)

Tiedon luovuttaja(rekisterinpitäjä A)

Oma-aloitteinen ilmoitusoikeus tai -velvollisuus

pyyntö / luovutus

10

11

POLIISI PÄIVÄKOTI KOULU TERVEYDEN-HUOLTO

MUUTTAHOT…

ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA

SIJOITUS-KUNTA

LsL 78 §§§§

UUDEN KOTIKUNNAN

LASTENSUOJELULASTENSUOJELU

LS-ilmoitukset Tiedot

SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki

Julkisuuslaki18 § Hyvä tiedonhallintatapaViranomaisen tulee hyvän tiedonhallintatavan luomis eksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä n iihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti:

3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suun niteltujen toimenpiteiden vaikutus ….sekä asiakirjojen ja tietojärjestelmien s ekä niihin sisältyvien tietojen suojan järjestämiseksi,

5) huolehtia, että sen palveluksessa olevilla on ta rvittava tieto käsiteltävien asiakirjojen julkisuudesta ….noudattamista valvotaan .

Tarkempia säännöksiä 1 momentissa säädettyjen velvo itteiden toteuttamiseksi tarpellisista toimenpiteistä annetaan asetuksella……A rkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään.

- TIETOHALLINTOLAKITIETOSUOJAVALTUUTETUN TOIMISTO 12

Julkisuuslaki (621/1999)

16.3 § Asiakirjan antamistavat

Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähk öisessä muodossa, jollei laissa ole toisin erikseen säädett y, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sella isia henkilötietoja.

Henkilötietoja saa kuitenkin luovuttaa suoramarkkin ointia ja mielipide- tai markkinatutkimusta varten vain , j os niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.


REKISTE-RÖITY

REKISTERIN-PITÄJÄ

PERINTEINEN TIETOSUOJAMALLI

TIETOSUOJA

HENKILÖTIEDOT

VIRANOMAISET

PERIAATTEET:- KÄYTTÖTARKOITUKSEN-

MUKAISUUS- LAATU- SUHTEELLISUUS- TARPEELLISUUS

JULKISUUS


”UUSI TIETOSUOJAMALLI”REKIS-TERÖITY

VIRANOMAISET

REKISTERIN-PITÄJÄ

TIE-DOS-TOT

TIETOSUOJA TULISI INTEGROIDA- PERIAATTEET

TUOMIO-ISTUIN

LUVAT

EDUSKUNTA

TOIMIVALTA

* KÄYTTÖ-TARKOITUKSEN-MUKAISUUS

* LAATU* SUHTEELLLISUUS* TARPEELLISUUS


JULKISUUSLAKI (621/1999) HENKILÖTIETOLAKI (523/1999)

MIKÄ? Asiaosaisen tiedonsaantioikeus (JulkL 11§) Rekisteröidyn tarkastusoikeus (HetiL 26 §)KUKA? Asianosainen

Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. (JulkL11:1§)

Rekisteröity

Se henkilö, jota henkilötieto koskee. (HetiL 3 §)

MIHIN KOHDISTUU Asiakirja HenkilörekisteriLAAJUUS Asiakirjan sisältö, joka voi tai on voinut vaikuttaa

asianosaisen asian käsittelyyn. (JulkL 11:1§)Vain rekisteröityä itseään koskevat tiedot (HetiL 26:1§)

LOKITIETOJEN OSALTA Se asianosainen, jonka tietojen suojaksi lokijärjestelmä on rakennettu eli suojattavan tietojärjestelmän rekisteröityHUOM! KHO: 2014:69 ”Julkisuuslain 11 § ei mahdollistanut tiedonsaantioikeutta siinä tilanteessa, jossa lokitietoja pyytänyt vasta epäili, että häntä koskevien poliisin tietojärjestelmiin sisältyvien tietojen käyttäminen ei ollut ollut asianmukaista. Lokitietoja koskeva asianosaisen tiedonsaantioikeus saattoi perustua vain siihen, että tiedot vaikuttivat tai olivat voineet vaikuttaa jonkin poliisissa vireillä olevan tai olleen, tiedon pyytäjää koskevan asian käsittelyyn.”

Rekisteröity on se tietojärjestelmän käyttäjä, jonka tietojärjestelmän käytöstä lokitiedot kertyvät eli käytönvalvonnan rekisteröity

RAJOITUSPERUSTEET JulkL 11 § 2 mom. HetiL 27 §TOTEUTTAMISMUOTO Viranomaisen asiakirjan sisällöstä annetaan tieto

suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. (JulkL 16 §)

Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. (HetiL 28:2 §)

VALITUSTIE Hallinto-oikeus Tietosuojavaltuutettu→ Hallinto-oikeus

16

”HYVÄÄN HENKILÖTIETOJENKÄSITTELYTAPAAN”

”Ota oppaaksi ” -työkirjaTyökirjamalli on laadittu käytettäväksi henkilötietojen käsittelyn ja henkilörekisterin rekisteritoimintojen analysoinnissa, kuvaamisessa, suunnittelussa sekä lainmukaisuuden arvioinnissa. Työkirjassa käydään läpi kohta kohdalta, minkä tyyppiset kysymykset tulee selvitellä ja määritellä henkilötietojen käsittelyyn ja rekisterinpitoon liittyen. Rekisteritoimintojen suunnittelun kaikissa vaiheissa tulee aina pitää lähtökohtana, ettei rekisteröityjen yksityisyyttä eikä hänen etujaan ja oikeuksiaan saa perusteettomasti vaarantaa.

Täydennettävissä taulukoissa sarkain-nappula tekee uuden tyhjän rivin.


KOHTA 1ARVIOI OMA TOIMINTASI

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (asiallisuusvaatimus)

Analysoi ja kirjaa omat tehtäväsi ja ne toiminnot, joita tehtävien hoitaminen edellyttää (Toimintaprosessien kuvaus):

KOHTA 2Määrittele KÄSITTELYN TARKOITUS

1. Arvioi mitä tarkoitusta varten, mitätietoja millä tavoin toimintasi erivaiheissa on tarpeen kerätä, käyttää,luovuttaa tai muulla tavalla käsitellähenkilötietoja.

2. Määrittele jo tässä vaiheessa tietotyypeittäin tietojen tallennusaika. Ota myös huomioon mahdollisten erityislakien asettamat vaatimukset. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimukset.

3. Päätä, miten hävität tai arkistoit tiedot, joita et enää tarvitse ko. toiminnoissa.

4. Huomioi tietojen käyttö mm. ulkoisessatiedottamisessa. Miten voit huolehtia siitä ilman tunnistetietoja (JulkL)


KOHTA 1, jatkuuARVIOI OMA TOIMINTASI

KOHTA 2, jatkuuMäärittele KÄSITTELYN TARKOITUS


KOHTA 3HUOLELLISUUSVELVOITE (HetiL 5 §§§§)

1. Katso Henkilötietolain 5 §§§§2. Yksityiselämän suojan ja muiden yksityisyyttä

suojaavien perusoikeuksien tulee toteutua.3. Tiedollisten perusoikeuksien perhe:

- oikeus yksityiselämän suojaan - oikeus ihmisarvoiseen kohteluun- oikeus kunniaan- itsemääräämisoikeus - yhdenvertaisuus- syrjintäkielto

* oikeus saada tietoja viranomaisten toiminnasta (JulkL)* sananvapaus


KOHTA 4TIETOTURVALLISUUS (HetiL 32 §§§§) JA ULKOISTAMINEN

1. Rekisterinpitäjän on toteutettava tarpeelliset - tekniset - organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

2. Ota tietoturvallisuus osaksi suunnittelua heti sen alusta alkaen.3. Käytä apunasi niitä kuvauksia, jotka laadit arvioidessasi omaa

toimintaasi ja siihen liittyvää käsittelyä.4. Tietoturvallisuus tukee omaa toimintaasi.5. Jos järjestelmäsi tietoturvallisuus pettää, et voi toteuttaa rekisteröidyn

oikeuksia !6. Muista, että ulkoistaessasi toimintoja, on palveluntuottaja

velvollinen antamaan tietoturvallisuudesta riittävät takeet. Pyydänähdäksesi esim. toimintailmoitus.

7. Vastaat aina palveluntuottajan toiminnasta henkilötietojenkäsittelyn osalta !!!

8. Tee kirjallinen sopimus, määrittele siinä vastuut ja velvoitteet jamenettelytavat.

9. Merkitse tiedot rekisteriselosteen ko. kohtaan vain yleisellä tasolla.10. Tietoturvallisuus on organisaation johdon vastuulla.


Toimintasuunnitelmatietosuojaloukkauksen tapahduttua?1. Havainnointi (BREACH / EVENT)

2. Käynnistys (MOBILIZE)

3. Vakauttaminen (STABILIZE)

4. Tutkinta (INVESTIGATE)

5. Tiedotus (COMMUNICATE)

6. Lievennys (MITIGATE)

7. Tiedoksianto (NOTIFY)

8. ”Ota opiksi ja muuta” (REVIEW & IMPROVE)TIETOSUOJAVALTUUTETUN TOIMISTO

22

KOHTA 5MÄÄRITTELE OIKEUTESI KÄSITELLÄ HENKILÖTIETOJA

1. Henkilötietolaki on yleislaki, jota sovelletaan aina, ellei käsittelystä säädetä jossain erityislaissa.

2. Henkilötietolain 8 § yleiset edellytykset13 § henkilötunnuksen käsittely11, 12 §:t arkaluonteiset tiedot4 luku: käsittely erityisiä tarkoituksia varten

3. Käytä apunasi edellä esitettyjä toimintasi ja siihen liittyviäkäyttötarkoitusmäärittelyjä.

4. Oikeuteni käsitellä henkilötietoja perustuu:

TIETOSUOJAVALTUUTETUN TOIMISTO

8 § = ketä koskevia tietoja9 §, 11§, 12§, 13 § = mitä tietoja

23

KOHTA 6KÄYTTÖTARKOITUSSIDONNAISUUS (HetiL 7 §§§§)

1. Voit käsitellä henkilötietoja vain HetiL 6 §:n mukaistakäsittelyn tarkoitusta varten.

2. Voit käsitellä henkilötietoja myös tutkimus- jatilastointitarkoituksessa.

3. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimus.

4. Määrittele sisäiset käyttöoikeudet toimihenkilöidentyötehtävien perusteella:


KOHTA 7TIEDOT (HetiL 9 §§§§)

1. Olet arvioinut edellä esitetyllä tavalla toimintasi ja siihen perustuvan käyttötarkoituksen kannalta tarpeelliset tiedot.

2. Arvioi ja toteuta toimenpiteet, joiden avulla voit huolehtiatietojen korkeasta laadusta. Tiedot eivät saa olla:- virheellisiä- epätäydellisiä - vanhentuneita

3. Toimintani kannalta tarpeellisia tietoja ovat:

4. Toimenpiteet tietojen laadun varmistamiseksi:


KOHTA 8MISTÄ TIEDOT HANKITAAN

1. Käytä luotettavia tietolähteitä.

2. Pääasiallinen tietolähde: rekisteröity

3. Noudata tietoturvallisuutta tietoja kerättäessä.

4. Huolellisuuteen kuuluu mm. kirjanpito tietovirroista ja tietovälineistä.

5. Hankin tiedot (tyypeittäin):


KOHTA 9 1/2TIETOJEN LUOVUTUS

1. ”Palaa” käsittelyn tarkoitukseen. Ehkä ei ole tarkoituskaan luovuttaa tietoja.

2. HetiL 8.2 §:n mukaan asiakas-, palvelussuhteen, jäsenyydentai muun vastaavan suhteen perusteella käsiteltäviä tietojavoidaan luovuttaa vain:

� jos luovuttaminen kuuluu tavanomaisena osana ko.toiminnan harjoittamiseen,

� tarkoitus, johon tiedot luovutetaan ei ole yhteen sopimatonkäsittelyn tarkoituksen kanssa

� rekisteröidyn voidaan olettaa (ts. rekisteröity tietää)tietävän henkilötietojensa luovuttamisesta.

3. Jos aiot luovuttaa tietoja, sinun tulee huolehtia asian informoimisesta (HetiL 24 §) rekisteröidylle.

4. Julkisuuslain 13 ja 16 §§:t. 5. Ulkomaille luovutuksesta omat säännöksensä.6. Mitä tietoja luovutan ja miten sen perustelen:


KOHTA 9 2/2TIETOJEN LUOVUTUS, jatkuu

7. Muista, että rekisteröidyllä on eräissä tapauksissa oikeuskieltää tietojen luovutus (HetiL 30 §)

8. Rekisteriseloste !


KOHTA 10REKISTERÖIDYN OIKEUDET

1. Huolehdi, että rekisteröidyn oikeudet voivat toteutua

2.1 oikeus tietää => informointivelvoite HetiL 24 §2.2. oikeus päättää => suostumus 8 §, 12 §, 13 §, 23 §2.3. oikeus tarkastaa => HetiL 26-28 §§:t2.4. oikeus vaatia virheen oikaisua => 29 §2.5. oikeus valittaa => rekisterinpitäjälle ja

tietosuojavaltuutetulle2.6. oikeus kieltää=> HetiL 30 § suoramarkkinointi,

etämyynti, markkina- ja mielipidetutkimus,sukututkimus, henkilömatrikkelit

3. Suunnittele rekisteröidyn oikeuksien toteuttaminen.


KOHTA 11KÄYTÖN HALLINNOINTI

1. Toimintasi ja käyttötarkoituksen perusteella laadi sisäiset ohjeet. Tiedota ne henkilöstölle.

2. Määrittele tarkasti tarpeen mukaan henkilöstönkäyttöoikeudet. Ylläpidä niitä.

3. Valvo käyttöä.

4. Huolehdi sopimuksista.

5. Huolehdi ”kirjanpidosta”


KOHTA 12NIMEÄ VASTUUHENKILÖ

1. Organisaatiossamme henkilörekisterin pidosta vastaa:

2. Kuka tuottaa rekisteröidyille palvelut?


KOHTA 13REKISTERISELOSTE (HetiL 10 §§§§)

1. Laadi kaikista

2. Käytä apuna informoinnissa

3. Käytä apuna ilmoitusvelvollisuutta toteuttaessasi (36§)

4. Pidä rekisteröityjen saatavilla, myös verkossa!

5. Voit käyttää mallilomaketta.

6. Organisaatiomme rekisteriseloste on nähtävillä:


KOHTA 14HÄVITÄ TAI ARKISTOI (HetiL 9 §§§§, 34 §§§§, 35 §§§§)

1. Kun tiedot tai rekisteri ei enää ole tarpeen, hävitä tai arkistoi

2. Noudata hävittämisessä tietoturvallisuutta.

3. Tee tiedot tunnistamattomiksi, jos enää ei ole tarpeenrekisteröityjä tunnistaa.

4. Muista, että olet jo aiemmin määritellyt tiedoille tallennusajan.

5. Toteuta atk:n avulla puhdistusohjelma osaksitietojärjestelmääsi.

6. Pidä kirjaa tietojen hävittämisestä.

7. Selvitä, onko sinulla velvoite säilyttää tietoja.

8. Arkistolaitos ohjaa arkistoinnissa => hae Kansallisarkistosta tarvittaessa lupa arkistoida.


KOHTA 15KOULUTA JA OHJEISTA HENKILÖSTÖ

1. Osa hyvää henkilötietojen käsittelytapaa.

2. Ohjeisto auttaa ratkaisemaan esille nousevia kysymyksiä => palvelu tulee sujuvammaksi.

3. Muistuta henkilöstöä vaitiolovelvollisuudesta (33 §) => otakäyttöön vaitiolositoumukset, joiden yhteydessä huolehdi,että henkilöstösi tietää velvollisuutensa.

4. Osallistu käytännesääntötyöhön (42 §). Käytännesäännötovat toimialasi oma henkilötietolain ”kommentaari”.


KOHTA 16TOTEUTA INFORMOINTI (HetiL 24 §§§§)

1. Jokaisella on oikeus tietää itseään koskevien henkilötietojenkäsittelystä: kuka käsittelee, mihin tarkoitukseen, mitenrekisteröity voi käyttää oikeuksiaan.

2. Suunnittele informointi käyttäen apuna laatimiasitietovirtojen kuvauksia.

3. Voit tarvittaessa tehdä yhteistyötä kumppaniesi kanssa.


KOHTA 17VIRANOMAISILMOITUKSET (HetiL 36 §§§§, 37 §§§§)

1. Tee ilmoitukset riittävän ajoissa.

2. Käytä apuna rekisteriselostetta.

KOHTA 18

YLLÄPIDÄ, SEURAA JA VALVO!!!


ota oppaaksi tietosuoja - alustusta -työkirja aarnio työkirja ota... · 24.2.2009, dnro 3256/4/07...

Documents