Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Helsingin kaupungin tietosuoja, käytännön kokemuksia ja vinkkejä IIJudo-hankkeen tietosuojatyöpaja 20.11.2019Päivi Vilkki, tietosuojavastaava, varatuomari, Helsingin kaupunki
Sari Lehtonen, tietosuojan asiantuntija, Helsingin kaupunki
Helsingin kaupungin erityispiirteitä
• Paljon työntekijöitä: kaupungilla on n. 38.000 työntekijää, joista valtaosa
käsittelee henkilötietoja.
• Kaupunki jakautuu:
oneljä toimialaa: sosiaali- ja terveystoimiala, kasvatuksen ja koulutuksen toimiala,
kaupunkiympäristön toimiala sekä kulttuurin ja vapaa-ajan toimiala
okolme virastoa: kaupunginkanslia, tarkastusvirasto ja pelastuslaitos
oviisi liikelaitosta: liikennelaitos (HKL), palvelukeskusliikelaitos,
taloushallintopalveluliikelaitos, työterveysliikelaitos ja rakentamispalveluliikelaitos
(Stara)
• Runsaasti tietojärjestelmiä, joita on lähes 800. Henkilötietoja käsitellään
runsaassa 400 tietojärjestelmässä.
Päivi Vilkki ja Sari Lehtonen 2
Tietosuojatyön organisointi Helsingin kaupungilla
Päivi Vilkki ja Sari Lehtonen 3
Tietosuojavastaava, tietosuojatiimi, tietosuojan vastuuhenkilöt
• Kaupungin tietosuojavastaavan on ottanut virkaan kaupunginhallitus.
Tietosuojavastaavan asema ja tehtävät määräytyvät suoraan EU:n tietosuoja-
asetuksen 38. ja 39. artiklan nojalla ja tietosuojavastaava raportoi suoraan
kaupungin ylimmälle johdolle.
• Tietosuojavastaavalla on apunaan tietosuojatiimi, johon kuuluu kaupungin
tietosuojalakimies ja kaksi tietosuojan asiantuntijaa.
• Kuhunkin toimialaan, virastoon ja liikelaitokseen on nimetty tietosuoja-asioiden
vastuuhenkilö, joka toimii yhteyshenkilönä kyseisen organisaation ja
tietosuojavastaavan välillä sekä opastaa ja neuvoo omaa organisaatiotaan
tietosuoja-asioissa.
• Lisäksi toimialoilla, virastoissa ja liikelaitoksissa on oltava nimetty vastuuhenkilö
myös tietoturva-asioissa.
Päivi Vilkki ja Sari Lehtonen 4
Tietosuojatyöryhmä, erilliset tapaamiset, joryt
• Kaupungin tietosuojatyöryhmään kuuluvat tietosuojavastaava (pj), muut tietosuojatiimiläiset ja
edustajat kultakin toimialalta, virastosta ja liikelaitoksesta.• Työryhmä kokoontuu kerran kuukaudessa ja sen tehtävänä on valmistella kaupungin tietosuojaa
koskevaa ohjeistusta ja sisäisiä menettelyjä tietosuojan toteuttamiseksi ja sen osoittamiseksi, että
tietosuoja toteutuu kaupungin toiminnassa. Työryhmän tehtävänä on myös koordinoida kaupungin
tietosuojakäytäntöjen yhtenäisyyttä.
• Tietosuojatyöryhmä voi tarvittaessa jakautua alatyöryhmiin ja käyttää ryhmän ulkopuolisia
asiantuntijoita. Tällä hetkellä alatyöryhminä ovat sopimusasioiden alatyöryhmä ja tietosuojan
vaikutustenarviointien alatyöryhmä.
• Tietosuojatiimi pitää erillisiä tapaamisia yksitellen kunkin toimialan, viraston ja liikelaitoksen
tietosuojan ja tietoturvan vastuuhenkilöiden kanssa.
• Tietosuojavastaava kiertää tarvittaessa kaikki toimialojen, virastojen ja liikelaitosten johtoryhmät
kertomassa tietosuojan ajankohtaisista kuulumisista. Tämän syksyn kierroksen aiheena oli
muistuttaminen siitä, mitä kaikkea tietosuojan vastuuhenkilön tehtäviin kuuluu ja että kunkin
organisaation tulee huolehtia tarvittavan työajan järjestämisestä tähän.Päivi Vilkki ja Sari Lehtonen 5
Tietosuojan vastuuhenkilöiden jatkuvat tehtävät• Tietosuoja ei ole muutaman vuoden projekti vaan se tulee jatkossakin teettämään runsaasti lakisääteisiä
tehtäviä, joita tulee tehdä vuodesta toiseen. Näitä ovat:
• Ohjeistus, neuvonta ja yhteydenpito kaupungin sisällä• Oman organisaation ohjeistus ja neuvonta tietosuoja-asioissa
• Kouluttaminen
• Yhteyshenkilönä toimiminen oman organisaation ja kaupungin tietosuojavastaavan välillä
• Kehittämistehtävät ja hankinnat• Osallistuminen oman organisaation tietosuojan vaikutustenarviointeihin ja asiasta kouluttaminen
• Osallistuminen hankintoihin, jos sopimuksen perusteella toimittaja tulee käsittelemään henkilötietoja kaupungin lukuun ja
huolehtiminen siitä, että kaupungin tietosuoja- ja salassapitoliite tulee sopimuksen liitteeksi
• Kaupungilla aloitetuissa digihankkeissa mukana oleminen oman organisaation osalta
• Tietosuojan ja tietoturvan yhteistyön kehittäminen
• Dokumentointi ja raportointi• Rekisteriselosteiden ja tietosuoja-asetuksen 30 artiklan mukaisten selosteiden ajantasaisuudesta huolehtiminen
• Tietotilinpäätöksen tekeminen
• Tietosuojatentin suorittaneiden kontrollointi
• Yhteydenpito ulkoisten asiakkaiden suuntaan• Tietopyyntöihin ja tiedonkorjausvaatimuksiin vastaaminen
• Tietoturvaloukkauksista tiedon kerääminen ja niistä ilmoittaminen
• Tutkimuslupa-asioiden hoitaminen
Päivi Vilkki ja Sari Lehtonen 6
Helsingin kaupungin määrittelemät tietosuojalainsäädännön vaatimat tehtävät
Päivi Vilkki ja Sari Lehtonen 7
Tietosuojatyöryhmän jaottelu tietosuoja-asetuksen edellyttämistä tehtävistä kaupungilla vuonna 20181. Kaupunki antaa rekisteröidyille ohjausta heidän oikeuksistaan ja
mahdollisuuden toteuttaa niitä
2. Sopimukset, jotka koskevat henkilötietoja käsitteleviä tietojärjestelmiä tai joissa
sovitaan henkilötietojen käsittelystä, saatetaan toteuttamaan tietosuoja-
asetuksen vaatimukset
3. Kaupungin henkilötietoja käsittelevälle henkilöstölle annetaan opetusta ja
ohjeistusta tietosuoja-asetuksen vaatimuksista
4. Kaupungilla toteutetaan sisäänrakennettu ja oletusarvoinen tietosuoja
5. Henkilörekisterien tietoturvasta huolehditaan
Päivi Vilkki ja Sari Lehtonen 8
Tehdyt työt vuonna 2018
1. Kaupunki antaa rekisteröidyille ohjausta heidän oikeuksistaan ja mahdollisuuden
toteuttaa niitä• Internet-sivut, rekisteriselosteet sekä sähköinen, vahvasti tunnistettu yhteys omien tietojensa
pyytämiseksi ja korjausvaatimuksen tekemiseksi, lisäksi paperinen prosessi.
2. Sopimukset, jotka koskevat henkilötietoja käsitteleviä tietojärjestelmiä tai joissa sovitaan
henkilötietojen käsittelystä, saatetaan toteuttamaan tietosuoja-asetuksen vaatimukset• Tietojärjestelmien ja henkilötietoja koskevien sopimusten osalta aloitetiin kaupungin
tietoturvallisuusliitteen (nykyään tietosuoja- ja salassapitoliite) lisääminen osaksi uusia sopimuksia ja
25.5.2018 jälkeen jatkuvia sopimuksia.
3. Kaupungin henkilötietoja käsittelevälle henkilöstölle annetaan opetusta ja ohjeistusta
tietosuoja-asetuksen vaatimuksista• Videokoulutus tietosuojan perusasioista, joka kaikkien henkilötietoja käsittelevien tulee katsoa ja johon
liittyy tietosuojatentti. Koulutuksia pidettiin.
4. Kaupungilla toteutetaan sisäänrakennettu ja oletusarvoinen tietosuoja• Tietosuojan sisällyttäminen osaksi kaikkea henkilötietojen käsittelyä (ohjeistus)
5. Henkilörekisterien tietoturvasta huolehditaan• Yhteistyö tietoturvan kanssa
Päivi Vilkki ja Sari Lehtonen 9
Vuoden 2019 satoa, yhteenveto
1. Tietopyyntöprosessiä on kehitetty, rekisteriselosteita on muokattu ja myös kaupungin Internet-
sivuja on muokattu.
2. Sopimusten osalta tietosuojatyöryhmän sopimuksia koskeva alatyöryhmä (pj.
tietosuojalakimies) teki mm. uuden version liitteestä (tietosuoja- ja salassapitoliite), suppean
version tietosuojaliitteestä, saatepohjan toimittajalle lähetettävästä viestistä ja tietosuojaliitteen
käsittelijäversion.
3. Tietosuojakäsikirjasta valmistui uusi versio, tietosuojatentin suorittaneiden kontrolloinnista
huolehdittiin ja koulutuksia pidettiin.
4. Tietotilinpäätökselle valmistui pohja, samoin tietosuoja-asetuksen 30 artiklan selosteille.
Tietosuojatiimillä oli hanke ”sisäänrakennettu ja oletusarvoinen tietosuoja sisällytetään osaksi
toiminnan kehittämisen prosesseja ja toimintamalleja.
5. Yhteistyötä tietoturvan kanssa jatkettiin.
6. Työlistalle ilmestyi kohta ”muuta”. Siihen kuuluu mm. tietosuojan vaikutustenarvioinnin työkalut,
tietoturvaloukkausten hallinta, yhteistyö toimialojen, virastojen ja liikelaitosten kanssa sekä
tietosuojaviestintä ja tutkimuslupa-asiat.
Päivi Vilkki ja Sari Lehtonen 10
Tietosuojan vaikutustenarviointi
Päivi Vilkki ja Sari Lehtonen 11
Helsingin kaupungin työkalut vaikutustenarviointien tekemiseen
• Helsingin kaupungilla on omat työkalut vaikutustenarviointiin. Niillä selvitetään tietosuoja-
asetuksen edellytysten mukaisesti mm. mitä henkilötietoja käsitellään, millä perusteella
niitä käsitellään, missä niitä käsitellään, miten tiedot suojataan ja miten rekisteröityjen
oikeudet toteutetaan.
• Työkalut perustuvat EU:n yleisen tietosuoja-asetuksen 35 artiklan lisäksi
Tietosuojavaltuutetun ja EU:n Tietosuojatyöryhmä WP 248 ohjeisiin.
• Työkaluja ovat alkukartoitus, tietosuojan tarkistuslista, vaikutustenarvioinnin työkalu ja
riskianalyysilomake.
• Työkalut ja ohjeet löytyvät Helsingin kaupungin nettisivuilta:
https://www.hel.fi/helsinki/fi/kaupunki-ja-hallinto/tietoa-helsingista/tietosuoja/tietosuojan-
vaikutustenarviointi.
Päivi Vilkki ja Sari Lehtonen 12
Tietosuojan vaikutustenarvioinnin työkalut
Päivi Vilkki ja Sari Lehtonen 13
Alkukartoitus
• Vaikutustenarvioinnin tekemisen tarve tunnistetaan Helsingin kaupungilla
tekemällä siihen liittyvä alkukartoitus aina, kun ryhdytään suunnittelemaan
uutta prosessia, järjestelmähankintaa tai järjestelmän rakentamista
kaupungin omin voimin.
• Alkukartoitus on tehtävä myös silloin, kun suunnitellaan merkittäviä
muutoksia olemassa oleviin prosesseihin ja järjestelmiin.
• Alkukartoituksessa selvitetään ensin, käsitelläänkö henkilötietoja.
• Jos henkilötietoja käsitellään, alkukartoituksen kysymyksiin vastaamalla
selviää, tuleeko tehdä vaikutustenarviointi vai ottaa tietosuoja
kehittämisessä huomioon tietosuojan tarkistuslistan avulla.
Päivi Vilkki ja Sari Lehtonen 14
Vaikutustenarvioinnin työkalu
• Työkalussa oleva arviointitaulukko on jaettu kolmeen erilliseen osa-
alueeseen. Nämä ovat: Järjestelmällinen kuvaus suunnitelluista käsittelytoimista
Henkilötietojen käsittelyn tarpeellisuuden ja oikeellisuuden arviointi
Rekisteröidyn oikeuksille aiheutuvien riskien arviointi
• Kussakin osa-alueessa on tietosuojavaatimuksia, joiden toteutumista
arvioidaan.
Päivi Vilkki ja Sari Lehtonen15
Riskianalyysilomakkeen käyttäminen• Kun tehdään vaikutustenarviointi, riskianalyysilomaketta käytetään riskien vaikuttavuuden
ja todennäköisyyden arvioimiseen sekä riskien hallintatoimenpiteiden dokumentoimiseen ja
seuraamiseen.
• Vaikutustenarvioinnin työkalun Tunnistetut-riskit sarakkeeseen kirjataan riskit otsikkotasolla.
Riskien tarkempi käsittely tehdään riskianalyysilomakkeella.
Päivi Vilkki ja Sari Lehtonen 16
Vaikutustenarvioinnin tekeminen käytännössä
Päivi Vilkki ja Sari Lehtonen 17
Vaikutustenarvioinnin tekeminen
• Vaikutustenarvioinnin tekemisessä on havaittu hyväksi ns.
työpajamenetelmä, jossa pidetään ensin alkukokous, johon kutsutaan
tarvittavat asiantuntijat. Alkukokouksessa sovitaan vastuunjaosta.
• Alkukokouksen jälkeen olevassa vaikutustenarvioinnin työpajassa (tai
työpajoissa) asiantuntijat ovat jo ennakkoon selvittäneet vastuualueillaan
olevia asioita, jolloin tietojen dokumentointi työkaluun voidaan tehdä
yhteisesti. Vaihtoehtoisesti kukin vastuullinen voi täyttää tiedot jo
etukäteen työkaluun.
Päivi Vilkki ja Sari Lehtonen 18
Alkukokous / agenda• Hankkeen yhteenveto, mitä ollaan
tekemässä (puheenjohtaja)
• Henkilötietojen käsittelytoimen kuvaus, jos
halutaan tehdä (ohje tähän löytyy
vaikutustenarvioinnin ohjeesta)
• Vaikutustenarviointi:• Tarkoitus (tietosuojan vastuuhenkilö)
• Työkalun esittely (tietosuojan
vastuuhenkilö)• Käydään vaatimukset läpi (työkalun 2.
sarake, ”Vaatimus”)
• Riskianalyysityökalun esittely
• Vastuunjako:• Työkaluun tai kokousmuistioon kirjataan
vastuut (kuka täyttää minkäkin rivin
vaikutustenarvioinnin työkalusta)
• Aikataulu:• Ajankäytön varmistaminen,
vaikutustenarvioinnin tekeminen vie aikaa
• Työkalun täytön ja työpajojen aikataulusta
sopiminen
Päivi Vilkki ja Sari Lehtonen 19
Vaikutustenarvioinnin työpaja / agenda• Ennen työpajaa:
• Kukin vastuuhenkilö täyttää työkaluun omat
rivinsä, myös tunnistetut riskit
• Kukin vie riskit riskianalyysityökaluun
alustavalla tasolla
• Työpajassa:
• Käydään vaikutustenarvioinnin työkalu läpi
• Kukin esittelee omat rivinsä
• Päätetään, mitkä riskit viedään
riskianalyysityökaluun
• Ryhmä luokittelee riskit
• Ryhmä täyttää riskianalyysityökaluun
riskienhallinnan toimenpiteet
• Aikataulu:
• Seuraavasta työpajasta sopiminen
Riskienhallinnan työkalun käyttö vaikutustenarvioinneissa
Päivi Vilkki ja Sari Lehtonen 20
Päivi Vilkki ja Sari Lehtonen 21
Vaikutustenarviointi osana kehittämisen prosesseja
Päivi Vilkki ja Sari Lehtonen 22
Kehmet – Helsingin kaupungin kehittämismenetelmät
Päivi Vilkki ja Sari Lehtonen
https://kehmet.hel.fi/
23
Päivi Vilkki ja Sari Lehtonen
Tietosuojastepit on lisätty Kehmetiin
24
Tietosuojakäsikirja
Päivi Vilkki ja Sari Lehtonen 25
Tietosuojakäsikirja
• Tietosuojakäsikirja on kaikille kaupungin palveluksessa henkilötietoja
käsitteleville tarkoitettu kattava yleisohjeistus siitä, miten henkilötietoja
käsitellessä tulee toimia. Käsikirjassa kerrotaan perustietoa
tietosuojalainsäädännöstä sekä ohjeistetaan siitä, miten
tietosuojalainsäädännön velvoittamia toimenpiteitä toteutetaan Helsingin
kaupungilla.
• Tietosuojakäsikirjasta valmistui uusi versio, joka on julkaistu kaupungin
ulkoisilla Internet-sivuilla.
Päivi Vilkki ja Sari Lehtonen 26
Rekisteröityjen ohjeistus kaupungin Internet-sivuilla
Päivi Vilkki ja Sari Lehtonen 27
Kaupungin Internet-sivut
• Kaupungin Internet-sivuja, joilla rekisteröidyille annetaan
ohjeistus tietosuojasta Helsingin kaupungin palveluissa, on
muokattu luettavimmiksi linkki
• Kerrotaan rekisteröidyille, että kaupunki kerää tarvittavia
henkilötietoja palveluissa
• Sivuilta rekisteröity pääsee tekemään henkilötietojen
tarkastuspyynnön ja korjausvaatimuksen
• Sivuilla kerrotaan myös kaikista rekisteröityjen oikeuksista
Päivi Vilkki ja Sari Lehtonen 28
Tietotilinpäätös
Päivi Vilkki ja Sari Lehtonen 29
Tietotilinpäätös
• Tietotilinpäätöksellä Helsingin kaupunki osoittaa, että se noudattaa
tietosuoja-asetuksen vaatimuksia.
• Kaikki toimialat, virastot ja liikelaitokset vastaavat
tietotilinpäätöspohjan kysymyspatteristoon 31.1.2020 mennessä
omalta osaltaan.
• Tietosuojan ja tietoturvan vastuuhenkilöt (tai toimialan
tietosuojalakimiehet) koordinoivat tietojen keräämistä ja jokaisella
työntekijällä on velvollisuus antaa häneltä pyydetyt tiedot.
• Tietotilinpäätös menee kaupunginhallitukselle yhtä aikaa kaupungin
tilinpäätöksen kanssa.
• Tietotilinpäätös on julkinen dokumentti.
Päivi Vilkki ja Sari Lehtonen 30
Tietotilinpäätöksen pohjassa kysytään mm.
• Miten tietosuojaa ja tietoturvaa koskevat vastuut on toteutettu kullakin toimialalla,
virastossa ja liikelaitoksessa
• Käyttöoikeuksien hallinnan prosessien kuvaus
• Onko tehty auditointeja ja sertifiointeja
• Tehdyt vaikutustenarvioinnit
• Tietojen luovutukset, mm. keskeisimmät vastaanottajatahot ja miten
dokumentoidaan
• Onko sopimuksiin lisätty tietosuojaliite
• Millaista ohjeistusta henkilötietojen käsittelystä on annettu, onko pidetty
koulutuksia
• Paljonko on tullut rekisteröityjen oikeuksiin liittyviä pyyntöjä
• Paljonko on tapahtunut tietoturvaloukkauksia
• Onko tullut valvontaviranomaisen selvitys- ja tietopyyntöjä
• Millaisia tietosuojan kehittämistarpeita on havaittuPäivi Vilkki ja Sari Lehtonen 31
Ohjeistus tietoturvaloukkaus-tapauksissa
Päivi Vilkki ja Sari Lehtonen 32
Tietoturvaloukkaus
• Henkilöstöä ohjeistetaan, että henkilötietojen tietoturvaloukkauksella tarkoitetaan
tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu tai
niihin pääsee käsiksi ulkopuolinen taho, jolla ei ole oikeutta käsitellä tietoja.
Tietoturvaloukkaus voi tapahtua vahingossa tai tahallisesti.
• Henkilötietojen tietoturvaloukkauksia ovat esimerkiksi tietojen lähettäminen
väärälle henkilölle, kadonnut henkilötietoja sisältävä paperi, omaan työhön
kuulumattomien henkilötietojen katselu, kadonnut muistitikku, varastettu
tietokone, murtautuminen henkilötietoja sisältävään järjestelmään tai
tietojärjestelmän haavoittuvuus, joka aiheuttaa sen, että tietoja on mahdollista
nähdä sellaisen henkilön, jolle ne eivät kuulu.
Päivi Vilkki ja Sari Lehtonen 33
Tietoturvaloukkauksen toimintaohje• Työntekijän tulee ilmoittaa havaitsemastaan tietoturvaloukkauksesta välittömästi esimiehelleen ja oman
organisaationsa tietosuojan vastuuhenkilölle.
• Esimiehen tulee ilmoittaa saamastaan tiedosta välittömästi oman organisaationsa tietosuojan
vastuuhenkilölle.
• Tietosuojan vastuuhenkilön tulee ilmoittaa saamastaan tiedosta välittömästi tietosuojavastaavalle ja
tietosuojalakimiehelle. Jos kyseessä on järjestelmähaavoittuvuus, tulee hänen lisäksi olla yhteydessä oman
organisaationsa tietoturvasta vastaavaan henkilöön. Jos tietosuojavastaava tai tietosuojalakimies pyytää,
tulee hänen ilmoittaa tapahtuneesta loukkauksesta myös rekisteröidylle.
• Tietosuojavastaava tai tietosuojalakimies ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle, jos
loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitus tehdään ilman
aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut ilmi. Jos
ilmoitusta ei tehdä 72 tunnin kuluessa, on tietosuojavaltuutetun toimistolle toimitettava perusteltu selitys.
Päivi Vilkki ja Sari Lehtonen 34
Yhteenveto
Päivi Vilkki ja Sari Lehtonen 35
Yhteenveto Helsingin kaupungin tietosuojatyön tilanteesta
• Kaupungin tietosuojatyössä on nyt olemassa kaikille
tietosuojalainsäädännön edellyttämille prosesseille ohjeistus.
• Ohjeistus tulee nyt saada osaksi kaikkia toiminnan
prosesseja, jotta voidaan puhua sisäänrakennetusta ja
oletusarvoisesta tietosuojasta. Tämä työ on hyvässä
vauhdissa.
Päivi Vilkki ja Sari Lehtonen 36
Infoa kaupungin julkaisuista
• Helsingin kaupungin nettisivuilla on julkaistu
• Vaikutustenarvioinnin työkalut >>
• Tietosuojakäsikirja >>
Päivi Vilkki ja Sari Lehtonen 37
“The processing of personal data should be designed to serve mankind.”
(Recital 4 GDPR)