ota oppaaksi tietosuoja - alustusta -työkirja aarnio työkirja ota... · 24.2.2009, dnro 3256/4/07...
TRANSCRIPT
Tietosuojavaltuutetun toimisto
OTA OPPAAKSI TIETOSUOJA- alustusta-työkirja
Reijo Aarniotietosuojavaltuutettu
EU-tietosuoja-asetuksen vaikutukset –koulutuskierro sYhteistyössä tietosuojavaltuutetun toimisto ja FCG / Maaliskuu 2015
1
Tietoyhteiskunnan ”pullonkaulat”
� Osaamisvaje� Lainsäädäntö� Ohjausfunktio� Luottamusta lisäävät toimet� Sisäänrakennetut byrokratiat
TIETOSUOJAVALTUUTETUN TOIMISTO 2
24.2.2009, Dnro 3256/4/07Ratkaisija: Oikeusasiamies Riitta-Leena PaunioEsittelijä: Oikeusasiamiehensihteeri Leena-Maija VitieSÄHKÖISEN POTILASTIETOJÄRJESTELMÄN KÄYTTÖKATKOSTEN VARALTA EI OLLUT RIITTÄVÄÄ OHJEISTUSTA
Kantelija arvosteli 24.10.2007 saapuneessa kirjeess ään Turun terveystoimen menettelyä sähköisen potilastietojärj estelmän uuden version käyttöönotossa.Kantelijan mielestä Pegasos-järjestelmän uusi versi o otettiin 15.10.2007 käyttöön keskeneräisenä eikä käyttöönotosta tiedote ttu henkilökunnalle riittävästi. Järjestelmä toimi erittäin hitaasti ja 22.10.2007 sen toiminnassa oli parin tunnin katkos. Järjestelmä kaatui kokonaa n aamulla 24.10.2007 koko terveystoimen alueella noin kahden tunnin ajak si eikä vielä iltapäivälläkään toiminut kunnolla. Ohjeita siitä, miten järjestelmän kaatuessa toimitaan, ei ollut annettu. Kantelijan m ukaan järjestelmän toimimattomuuden vuoksi potilasta koskevia esitieto ja, hänen käytössään olevia lääkkeitä tai aikaisempia laborat oriotuloksia ei pystytty näkemään. Potilaan lähettäminen laboratoriotutkimuk siin ei myöskään ollut mahdollista. Laboratoriovastausten tulostamis esta toisen järjestelmän kautta annettiin ohjeet vasta järjeste lmän kaaduttua. Kantelijan mielestä tilanne vaaransi potilasturvall isuudenja vaikeutti myös potilaiden hoidon tarpeen arvioin tia.
TIETOSUOJAVALTUUTETUN TOIMISTO3
17.7.2008Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)
Tuomioistuin sovelsi ihmisoikeus-sopimusta tieto-turvallisuuteen!
- yksityisyydensuoja edellyttääkäytännöllisiä jatehokkaita keinojapoissulkea mahdollisuudetluvattomaan käsittelyyn.
����
TIETOSUOJAVALTUUTETUN TOIMISTO4
17.7.2008Euroopan ihmisoikeustuomioistuimen päätös I. V. FINLAND (NO. 20511/03)
Case: hlö sekä töissä että potilaana samaan aikaan sairaalassa (hiv) ���� tieto levisi. Sairaala ei kyennyt selvittämään/esittämään, kuka käsitellyt tietoja ���� vahingonkorvausvaatimus hylättiin
EIT:n arviointi: ”Sairaalan potilastietojen käytön valvonta riittämätöntä”; Suomen valtio tuomittiin korvauksiin, koska seoli epäonnistunut ihmisoikeussopimuksen mukaisessa toiminta-velvollisuudessaan hakijan yksityisyyden suojaamisessa.- voimassaolevaa lainsäädäntöä ei sovellettu riittävään suojaan- Suomen tuomioistuimet eivät antaneet riittävää painoarvoa sille,että puutteellinen pääsyn kontrolli oli lainsäädännön vastainen
Johtopäätöksiä:- rekisterinpidon tietoturva, lokit ���� päätöksen myötä voidaan todeta, että kyseessä ei ole vain rekisterinpitäjän valvon-nallinen väline, vaan lokittamiseen on oikeus myös rekiste-röidyllä tiedonkohteena hakiessaan tietosuojallisia oikeuksiaan.
���� rekisteröidyn oikeudesta omien tietojensa lokitietoihin puuttuvat yhtenäiset säännöt
TIETOSUOJAVALTUUTETUN TOIMISTO 5
HENKILÖTIETOLAKI
Arvioi oma toiminta5-6 §§§§
Aloitus2§§§§
Suunnitteluhuolellisuus
5-6§§§§
Nimeä vastuu-henkilö
5§§§§
Henkilötiedot3§§§§ 1 k, 9, 12-20 §§§§
Tietoturvallisuus32§§§§
Mistä henkilötiedot kerätään
8, 9, 12-20 §§§§
Käyttötarkoitus-sidonnaisuus
7§§§§
Ulkoistaminen8.1§§§§ 7-k
Oikeus käsitellä8, 12, 13, 14-20§§§§
Käsittelyn tarkoitus3 §§§§ 3-k & 6 §§§§
Käytön hallinnointi5§§§§
Rekisteröidynoikeudet24-29§§§§
Kouluta, ohjeista5§§§§
Viranomaisilmoitukset36-37§§§§
Informointi-velvollisuus
24§§§§
Hävitä, arkistoi12.2 §§§§, 21 §§§§,
19.1 §§§§ 1k34-35 §§§§
Luovutukset8, 12-20 §§§§ (6§§§§)
Rekisterinpitäjän (3 §§§§ 4 k) henkilötietojen käsittelyn kuvaus ja lainmukaisuuden arviointi
Ulkomaillesiirrot22-23§§§§
Rekisteriseloste10§§§§H
EN
KIL
ÖR
EK
IST
ER
I 3§§ §§
3k
Vaitiolovelvollisuus33 §§§§
JulkL JulkA 2 §§§§
TIETOSUOJAVALTUUTETUN TOIMISTO 6
Henkilötietolaki ja Julkisuuslaki
”Viranomaisten henkilötietojen käsittely eli henkilötietolain ja julkisuuslainsäädännön suhde on pyritty sääntelemään selkeästi. Henkilötietolaki luonnollisesti koskee myös viranomaisia henkilötietojen käsittelijänä. Tiedonsaantioikeus viranomaisrekistereistä määräytyy kuitenkin julkisuuslainsäädännön mukaan. Tiedon antamisesta silloin kun kysymys on henkilörekisterissä olevista henkilötiedoista sisältyy yksityiskohtainen säännös julkisuuslain 16 §§§§:n 3 momenttiin”
7
Henkilötietolaki 8.4 §
Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.
TIETOSUOJAVALTUUTETUN TOIMISTO 8
HE 96/1998Hallituksen esitys Eduskunnalle henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi
YKSITYISKOHTAISET PERUSTELUT
Luovutettaessa tietoja viranomaisten henkilörekiste reistä on huomioon otettava julkisuusperiaate ja salassapitosäännökset .
Julkisuusperiaatteen toteuttamistavoista ja yleisim mistä salassapitoperusteista ehdotetaan säädettäväksi edu skunnan käsiteltävänä olevassa laissa viranomaisten toiminnan julkisuudes ta. Yhdenmukaisuuden vuoksi on tarkoituksenmukaista, että henkilötietoje n luovuttamisesta viranomaisen tiedostoista säädettäisiin tuossa lais sa.
Ehdotettuun lakiin viranomaisten toiminnan julkisuu desta on sisällytetty yksityisyyden suojan kannalta tarpeelliset henkilöt ietojen luovuttamisen rajoitukset. Lähtökohtana on, ettei laissa edelleen kään rajoitettaisi yksittäisen tiedon luovuttamista viranomaisen henki lörekisteristä, jollei salassapitosäännöksistä muuta johdu. Laissa viranom aisten toiminnan julkisuudesta säädettäisiin myös, millä edellytyksi llä henkilötietojen laajamittainen luovuttaminen esimerkiksi sähköisess ä muodossa on sallittua. TIETOSUOJAVALTUUTETUN TOIMISTO 9
VIRANOMAISTEN SALASSAPIDETTÄVIEN TIETOJEN LUOVUTTA MINEN
Henkilötietolaki8 § 4 mom
- - - - - - - - - - - - -viranomaisten tietojen luovuttaminen julkisuuslain mukaan(laki viranomaisten toiminnan julkisuudesta) - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §)
Laki viranomaisten toiminnan julkisuudesta- - - - - - - - - - - - - - -
- 24 § salassapito-säännös
- salassapidettävien tietojen luovuttamisenedellytykset 26 § - 30 §
* lainsäännös,suostumus,toimeksianto
ERITYISLAKIENSALASSAPITO- JALUOVUTUS-SÄÄNNÖKSET esim.- - - - - - - - - - - - - - - - - - -L sosiaalihuollon asiakkaan asemasta ja oikeuksista- salassapito 14 §§§§- luovutus 16 §§§§ - 18 §§§§- tiedonsaantioikeus
20 §§§§- - - - - - - - - - - - - - - - - - -L potilaan asemasta ja oikeuksista- salassapito ja
luovutus 13 §§§§- - - - - - - - - - - - - - - - - - -Sekä muut erityislait
TIETOSUOJAVALTUUTETUN TOIMISTO, 3.4.2014
EI SOVELLETA, koska:
LUOVUTUKSEEN SOVELLETAAN
Henkilötietolaki8 §§§§ ja 12 §§§§ + 6 §§§§
- - - - - - - - - - - - - -- tietojen
vastaanottajalla tulee olla oikeus käsitellä saamiaan tietoja
Esim. lakisääteinen tehtävä tai asiakassuhde- - - - - - - - - - - - - - -henkilötietojenkäsittely suunniteltava ja määriteltävä käyttötarkoitus(6 §§§§)
Tiedon pyytäjä(rekisterinpitäjä B)
Tiedon luovuttaja(rekisterinpitäjä A)
Oma-aloitteinen ilmoitusoikeus tai -velvollisuus
pyyntö / luovutus
10
11
POLIISI PÄIVÄKOTI KOULU TERVEYDEN-HUOLTO
MUUTTAHOT…
ESIMERKKEJÄ LASTENSUOJELUN TIETOVIRROISTA
SIJOITUS-KUNTA
LsL 78 §§§§
UUDEN KOTIKUNNAN
LASTENSUOJELULASTENSUOJELU
LS-ilmoitukset Tiedot
SaL= Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista, LsL = lastensuojelulaki
Julkisuuslaki18 § Hyvä tiedonhallintatapaViranomaisen tulee hyvän tiedonhallintatavan luomis eksi ja toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä n iihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä sekä tässä tarkoituksessa erityisesti:
3) selvittää tietojärjestelmien käyttöönottoa sekä hallinnollisia ja lainsäädännöllisiä uudistuksia valmisteltaessa suun niteltujen toimenpiteiden vaikutus ….sekä asiakirjojen ja tietojärjestelmien s ekä niihin sisältyvien tietojen suojan järjestämiseksi,
5) huolehtia, että sen palveluksessa olevilla on ta rvittava tieto käsiteltävien asiakirjojen julkisuudesta ….noudattamista valvotaan .
Tarkempia säännöksiä 1 momentissa säädettyjen velvo itteiden toteuttamiseksi tarpellisista toimenpiteistä annetaan asetuksella……A rkistotoimen tehtävistä on voimassa, mitä arkistolaissa (831/1994) tai sen nojalla säädetään tai määrätään.
- TIETOHALLINTOLAKITIETOSUOJAVALTUUTETUN TOIMISTO 12
Julkisuuslaki (621/1999)
16.3 § Asiakirjan antamistavat
Viranomaisen henkilörekisteristä saa antaa henkilötietoja sisältävän kopion tai tulosteen tai sen tiedot sähk öisessä muodossa, jollei laissa ole toisin erikseen säädett y, jos luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sella isia henkilötietoja.
Henkilötietoja saa kuitenkin luovuttaa suoramarkkin ointia ja mielipide- tai markkinatutkimusta varten vain , j os niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.
TIETOSUOJAVALTUUTETUN TOIMISTO 13
REKISTE-RÖITY
REKISTERIN-PITÄJÄ
PERINTEINEN TIETOSUOJAMALLI
TIETOSUOJA
HENKILÖTIEDOT
VIRANOMAISET
PERIAATTEET:- KÄYTTÖTARKOITUKSEN-
MUKAISUUS- LAATU- SUHTEELLISUUS- TARPEELLISUUS
JULKISUUS
TIETOSUOJAVALTUUTETUN TOIMISTO 14
”UUSI TIETOSUOJAMALLI”REKIS-TERÖITY
VIRANOMAISET
REKISTERIN-PITÄJÄ
TIE-DOS-TOT
TIETOSUOJA TULISI INTEGROIDA- PERIAATTEET
TUOMIO-ISTUIN
LUVAT
EDUSKUNTA
TOIMIVALTA
* KÄYTTÖ-TARKOITUKSEN-MUKAISUUS
* LAATU* SUHTEELLLISUUS* TARPEELLISUUS
TIETOSUOJAVALTUUTETUN TOIMISTO 15
JULKISUUSLAKI (621/1999) HENKILÖTIETOLAKI (523/1999)
MIKÄ? Asiaosaisen tiedonsaantioikeus (JulkL 11§) Rekisteröidyn tarkastusoikeus (HetiL 26 §)KUKA? Asianosainen
Hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. (JulkL11:1§)
Rekisteröity
Se henkilö, jota henkilötieto koskee. (HetiL 3 §)
MIHIN KOHDISTUU Asiakirja HenkilörekisteriLAAJUUS Asiakirjan sisältö, joka voi tai on voinut vaikuttaa
asianosaisen asian käsittelyyn. (JulkL 11:1§)Vain rekisteröityä itseään koskevat tiedot (HetiL 26:1§)
LOKITIETOJEN OSALTA Se asianosainen, jonka tietojen suojaksi lokijärjestelmä on rakennettu eli suojattavan tietojärjestelmän rekisteröityHUOM! KHO: 2014:69 ”Julkisuuslain 11 § ei mahdollistanut tiedonsaantioikeutta siinä tilanteessa, jossa lokitietoja pyytänyt vasta epäili, että häntä koskevien poliisin tietojärjestelmiin sisältyvien tietojen käyttäminen ei ollut ollut asianmukaista. Lokitietoja koskeva asianosaisen tiedonsaantioikeus saattoi perustua vain siihen, että tiedot vaikuttivat tai olivat voineet vaikuttaa jonkin poliisissa vireillä olevan tai olleen, tiedon pyytäjää koskevan asian käsittelyyn.”
Rekisteröity on se tietojärjestelmän käyttäjä, jonka tietojärjestelmän käytöstä lokitiedot kertyvät eli käytönvalvonnan rekisteröity
RAJOITUSPERUSTEET JulkL 11 § 2 mom. HetiL 27 §TOTEUTTAMISMUOTO Viranomaisen asiakirjan sisällöstä annetaan tieto
suullisesti taikka antamalla asiakirja viranomaisen luona nähtäväksi ja jäljennettäväksi tai kuunneltavaksi tai antamalla siitä kopio tai tuloste. (JulkL 16 §)
Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. (HetiL 28:2 §)
VALITUSTIE Hallinto-oikeus Tietosuojavaltuutettu→ Hallinto-oikeus
16
”HYVÄÄN HENKILÖTIETOJENKÄSITTELYTAPAAN”
”Ota oppaaksi ” -työkirjaTyökirjamalli on laadittu käytettäväksi henkilötietojen käsittelyn ja henkilörekisterin rekisteritoimintojen analysoinnissa, kuvaamisessa, suunnittelussa sekä lainmukaisuuden arvioinnissa. Työkirjassa käydään läpi kohta kohdalta, minkä tyyppiset kysymykset tulee selvitellä ja määritellä henkilötietojen käsittelyyn ja rekisterinpitoon liittyen. Rekisteritoimintojen suunnittelun kaikissa vaiheissa tulee aina pitää lähtökohtana, ettei rekisteröityjen yksityisyyttä eikä hänen etujaan ja oikeuksiaan saa perusteettomasti vaarantaa.
Täydennettävissä taulukoissa sarkain-nappula tekee uuden tyhjän rivin.
TIETOSUOJAVALTUUTETUN TOIMISTO17
KOHTA 1ARVIOI OMA TOIMINTASI
Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta (asiallisuusvaatimus)
Analysoi ja kirjaa omat tehtäväsi ja ne toiminnot, joita tehtävien hoitaminen edellyttää (Toimintaprosessien kuvaus):
KOHTA 2Määrittele KÄSITTELYN TARKOITUS
1. Arvioi mitä tarkoitusta varten, mitätietoja millä tavoin toimintasi erivaiheissa on tarpeen kerätä, käyttää,luovuttaa tai muulla tavalla käsitellähenkilötietoja.
2. Määrittele jo tässä vaiheessa tietotyypeittäin tietojen tallennusaika. Ota myös huomioon mahdollisten erityislakien asettamat vaatimukset. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimukset.
3. Päätä, miten hävität tai arkistoit tiedot, joita et enää tarvitse ko. toiminnoissa.
4. Huomioi tietojen käyttö mm. ulkoisessatiedottamisessa. Miten voit huolehtia siitä ilman tunnistetietoja (JulkL)
TIETOSUOJAVALTUUTETUN TOIMISTO18
KOHTA 1, jatkuuARVIOI OMA TOIMINTASI
KOHTA 2, jatkuuMäärittele KÄSITTELYN TARKOITUS
TIETOSUOJAVALTUUTETUN TOIMISTO19
KOHTA 3HUOLELLISUUSVELVOITE (HetiL 5 §§§§)
1. Katso Henkilötietolain 5 §§§§2. Yksityiselämän suojan ja muiden yksityisyyttä
suojaavien perusoikeuksien tulee toteutua.3. Tiedollisten perusoikeuksien perhe:
- oikeus yksityiselämän suojaan - oikeus ihmisarvoiseen kohteluun- oikeus kunniaan- itsemääräämisoikeus - yhdenvertaisuus- syrjintäkielto
* oikeus saada tietoja viranomaisten toiminnasta (JulkL)* sananvapaus
TIETOSUOJAVALTUUTETUN TOIMISTO20
KOHTA 4TIETOTURVALLISUUS (HetiL 32 §§§§) JA ULKOISTAMINEN
1. Rekisterinpitäjän on toteutettava tarpeelliset - tekniset - organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.
2. Ota tietoturvallisuus osaksi suunnittelua heti sen alusta alkaen.3. Käytä apunasi niitä kuvauksia, jotka laadit arvioidessasi omaa
toimintaasi ja siihen liittyvää käsittelyä.4. Tietoturvallisuus tukee omaa toimintaasi.5. Jos järjestelmäsi tietoturvallisuus pettää, et voi toteuttaa rekisteröidyn
oikeuksia !6. Muista, että ulkoistaessasi toimintoja, on palveluntuottaja
velvollinen antamaan tietoturvallisuudesta riittävät takeet. Pyydänähdäksesi esim. toimintailmoitus.
7. Vastaat aina palveluntuottajan toiminnasta henkilötietojenkäsittelyn osalta !!!
8. Tee kirjallinen sopimus, määrittele siinä vastuut ja velvoitteet jamenettelytavat.
9. Merkitse tiedot rekisteriselosteen ko. kohtaan vain yleisellä tasolla.10. Tietoturvallisuus on organisaation johdon vastuulla.
TIETOSUOJAVALTUUTETUN TOIMISTO21
Toimintasuunnitelmatietosuojaloukkauksen tapahduttua?1. Havainnointi (BREACH / EVENT)
2. Käynnistys (MOBILIZE)
3. Vakauttaminen (STABILIZE)
4. Tutkinta (INVESTIGATE)
5. Tiedotus (COMMUNICATE)
6. Lievennys (MITIGATE)
7. Tiedoksianto (NOTIFY)
8. ”Ota opiksi ja muuta” (REVIEW & IMPROVE)TIETOSUOJAVALTUUTETUN TOIMISTO
22
KOHTA 5MÄÄRITTELE OIKEUTESI KÄSITELLÄ HENKILÖTIETOJA
1. Henkilötietolaki on yleislaki, jota sovelletaan aina, ellei käsittelystä säädetä jossain erityislaissa.
2. Henkilötietolain 8 § yleiset edellytykset13 § henkilötunnuksen käsittely11, 12 §:t arkaluonteiset tiedot4 luku: käsittely erityisiä tarkoituksia varten
3. Käytä apunasi edellä esitettyjä toimintasi ja siihen liittyviäkäyttötarkoitusmäärittelyjä.
4. Oikeuteni käsitellä henkilötietoja perustuu:
TIETOSUOJAVALTUUTETUN TOIMISTO
8 § = ketä koskevia tietoja9 §, 11§, 12§, 13 § = mitä tietoja
23
KOHTA 6KÄYTTÖTARKOITUSSIDONNAISUUS (HetiL 7 §§§§)
1. Voit käsitellä henkilötietoja vain HetiL 6 §:n mukaistakäsittelyn tarkoitusta varten.
2. Voit käsitellä henkilötietoja myös tutkimus- jatilastointitarkoituksessa.
3. HetiL 9 §:n tarpeellisuus- ja virheettömyysvaatimus.
4. Määrittele sisäiset käyttöoikeudet toimihenkilöidentyötehtävien perusteella:
TIETOSUOJAVALTUUTETUN TOIMISTO24
KOHTA 7TIEDOT (HetiL 9 §§§§)
1. Olet arvioinut edellä esitetyllä tavalla toimintasi ja siihen perustuvan käyttötarkoituksen kannalta tarpeelliset tiedot.
2. Arvioi ja toteuta toimenpiteet, joiden avulla voit huolehtiatietojen korkeasta laadusta. Tiedot eivät saa olla:- virheellisiä- epätäydellisiä - vanhentuneita
3. Toimintani kannalta tarpeellisia tietoja ovat:
4. Toimenpiteet tietojen laadun varmistamiseksi:
TIETOSUOJAVALTUUTETUN TOIMISTO25
KOHTA 8MISTÄ TIEDOT HANKITAAN
1. Käytä luotettavia tietolähteitä.
2. Pääasiallinen tietolähde: rekisteröity
3. Noudata tietoturvallisuutta tietoja kerättäessä.
4. Huolellisuuteen kuuluu mm. kirjanpito tietovirroista ja tietovälineistä.
5. Hankin tiedot (tyypeittäin):
TIETOSUOJAVALTUUTETUN TOIMISTO26
KOHTA 9 1/2TIETOJEN LUOVUTUS
1. ”Palaa” käsittelyn tarkoitukseen. Ehkä ei ole tarkoituskaan luovuttaa tietoja.
2. HetiL 8.2 §:n mukaan asiakas-, palvelussuhteen, jäsenyydentai muun vastaavan suhteen perusteella käsiteltäviä tietojavoidaan luovuttaa vain:
� jos luovuttaminen kuuluu tavanomaisena osana ko.toiminnan harjoittamiseen,
� tarkoitus, johon tiedot luovutetaan ei ole yhteen sopimatonkäsittelyn tarkoituksen kanssa
� rekisteröidyn voidaan olettaa (ts. rekisteröity tietää)tietävän henkilötietojensa luovuttamisesta.
3. Jos aiot luovuttaa tietoja, sinun tulee huolehtia asian informoimisesta (HetiL 24 §) rekisteröidylle.
4. Julkisuuslain 13 ja 16 §§:t. 5. Ulkomaille luovutuksesta omat säännöksensä.6. Mitä tietoja luovutan ja miten sen perustelen:
TIETOSUOJAVALTUUTETUN TOIMISTO27
KOHTA 9 2/2TIETOJEN LUOVUTUS, jatkuu
7. Muista, että rekisteröidyllä on eräissä tapauksissa oikeuskieltää tietojen luovutus (HetiL 30 §)
8. Rekisteriseloste !
TIETOSUOJAVALTUUTETUN TOIMISTO28
KOHTA 10REKISTERÖIDYN OIKEUDET
1. Huolehdi, että rekisteröidyn oikeudet voivat toteutua
2.1 oikeus tietää => informointivelvoite HetiL 24 §2.2. oikeus päättää => suostumus 8 §, 12 §, 13 §, 23 §2.3. oikeus tarkastaa => HetiL 26-28 §§:t2.4. oikeus vaatia virheen oikaisua => 29 §2.5. oikeus valittaa => rekisterinpitäjälle ja
tietosuojavaltuutetulle2.6. oikeus kieltää=> HetiL 30 § suoramarkkinointi,
etämyynti, markkina- ja mielipidetutkimus,sukututkimus, henkilömatrikkelit
3. Suunnittele rekisteröidyn oikeuksien toteuttaminen.
TIETOSUOJAVALTUUTETUN TOIMISTO29
KOHTA 11KÄYTÖN HALLINNOINTI
1. Toimintasi ja käyttötarkoituksen perusteella laadi sisäiset ohjeet. Tiedota ne henkilöstölle.
2. Määrittele tarkasti tarpeen mukaan henkilöstönkäyttöoikeudet. Ylläpidä niitä.
3. Valvo käyttöä.
4. Huolehdi sopimuksista.
5. Huolehdi ”kirjanpidosta”
TIETOSUOJAVALTUUTETUN TOIMISTO30
KOHTA 12NIMEÄ VASTUUHENKILÖ
1. Organisaatiossamme henkilörekisterin pidosta vastaa:
2. Kuka tuottaa rekisteröidyille palvelut?
TIETOSUOJAVALTUUTETUN TOIMISTO31
KOHTA 13REKISTERISELOSTE (HetiL 10 §§§§)
1. Laadi kaikista
2. Käytä apuna informoinnissa
3. Käytä apuna ilmoitusvelvollisuutta toteuttaessasi (36§)
4. Pidä rekisteröityjen saatavilla, myös verkossa!
5. Voit käyttää mallilomaketta.
6. Organisaatiomme rekisteriseloste on nähtävillä:
TIETOSUOJAVALTUUTETUN TOIMISTO32
KOHTA 14HÄVITÄ TAI ARKISTOI (HetiL 9 §§§§, 34 §§§§, 35 §§§§)
1. Kun tiedot tai rekisteri ei enää ole tarpeen, hävitä tai arkistoi
2. Noudata hävittämisessä tietoturvallisuutta.
3. Tee tiedot tunnistamattomiksi, jos enää ei ole tarpeenrekisteröityjä tunnistaa.
4. Muista, että olet jo aiemmin määritellyt tiedoille tallennusajan.
5. Toteuta atk:n avulla puhdistusohjelma osaksitietojärjestelmääsi.
6. Pidä kirjaa tietojen hävittämisestä.
7. Selvitä, onko sinulla velvoite säilyttää tietoja.
8. Arkistolaitos ohjaa arkistoinnissa => hae Kansallisarkistosta tarvittaessa lupa arkistoida.
TIETOSUOJAVALTUUTETUN TOIMISTO33
KOHTA 15KOULUTA JA OHJEISTA HENKILÖSTÖ
1. Osa hyvää henkilötietojen käsittelytapaa.
2. Ohjeisto auttaa ratkaisemaan esille nousevia kysymyksiä => palvelu tulee sujuvammaksi.
3. Muistuta henkilöstöä vaitiolovelvollisuudesta (33 §) => otakäyttöön vaitiolositoumukset, joiden yhteydessä huolehdi,että henkilöstösi tietää velvollisuutensa.
4. Osallistu käytännesääntötyöhön (42 §). Käytännesäännötovat toimialasi oma henkilötietolain ”kommentaari”.
TIETOSUOJAVALTUUTETUN TOIMISTO34
KOHTA 16TOTEUTA INFORMOINTI (HetiL 24 §§§§)
1. Jokaisella on oikeus tietää itseään koskevien henkilötietojenkäsittelystä: kuka käsittelee, mihin tarkoitukseen, mitenrekisteröity voi käyttää oikeuksiaan.
2. Suunnittele informointi käyttäen apuna laatimiasitietovirtojen kuvauksia.
3. Voit tarvittaessa tehdä yhteistyötä kumppaniesi kanssa.
TIETOSUOJAVALTUUTETUN TOIMISTO35
KOHTA 17VIRANOMAISILMOITUKSET (HetiL 36 §§§§, 37 §§§§)
1. Tee ilmoitukset riittävän ajoissa.
2. Käytä apuna rekisteriselostetta.
KOHTA 18
YLLÄPIDÄ, SEURAA JA VALVO!!!
TIETOSUOJAVALTUUTETUN TOIMISTO36