Tietosuojapolitiikka

Johdanto

Kårkullan toimintaan kuuluu merkittävissä määrin erityyppisten henkilötietojen käsittelyä. Vastuullisena toimijana haluamme varmistaa, että henkilötietoja käsitellään aina asianmukaisella tavalla kaikkien osapuolten yksityisyyttä kunnioittaen. Kårkulla on sitoutunut täyttämään EU: n yleisen tietosuoja-asetuksen (679/2016) ja kansallisen tietosuojalainsäädännön mukaiset velvollisuutensa sekä rekisterinpitäjänä että henkilötietojen käsittelijänä, sekä suojelemaan yksilöiden oikeuksia ja vapauksia henkilötietojen käsittelyssä.

Henkilötiedoilla tarkoitetaan kaikkia tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevia tietoja. Henkilötietojen käsittely puolestaan tarkoittaa kaikkea henkilötietoihin kohdistuvaa toimintaa, kuten keräämistä, katselemista, tallentamista tai lähettämistä sähköpostitse. Nämä sekä muut tässä tietosuojapolitiikassa käytetyt keskeiset termit vastaavat EU:n yleisen tietosuoja-asetuksen mukaisia määritelmiä.

Tietosuojapolitiikan tarkoitus on määritellä ne pääperiaatteet, vastuut ja toimintatavat, joihin Kårkulla on sitoutunut, jotta yksilöiden (rekisteröity) oikeudet ja vapaudet toteutuvat henkilötietojen käsittelyssä. Politiikka toimii perustana Kårkullan tietosuojaa koskeville toimintaohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden soveltamista käytäntöön.

Tietosuojapolitiikkaa noudatetaan soveltuvin osin kaikessa henkilötietojen käsittelyssä riippumatta siitä, onko Kårkulla käsittelytilanteessa rekisterinpitäjä vai henkilötietojen käsittelijä, joka käsittelee henkilötietoja toisen puolesta. Tietosuojapolitiikka velvoittaa koko Kårkullan organisaatiota ja sen henkilöstöä mukaan lukien niitä sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät Kårkullan omistamaa tai hallinnoimaa tietoa.

Tietosuojan toteuttaminen

Sisäänrakennettu, oletusarvoinen ja riskilähtöinen tietosuoja

Kårkulla pyrkii toteuttamaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta ja sisällyttämään tietosuojaperiaatteet ja -vaatimukset jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Näin varmistetaan, että käsittely vastaa EU:n yleisen tietosuoja-asetuksen vaatimuksia koko käsiteltävien henkilötietojen elinkaaren ajan.

Tietosuoja otetaan huomioon monipuolisesti Kårkullan perustoiminnan yhteydessä mm. henkilöstöhallinnossa, hankinnoissa ja toimintaprosesseissa. Henkilötietojen käsittelyyn liittyviä riskit arvioidaan ensisijaisesti käsittelyn kohteena olevan henkilön näkökulmasta, ja aina tarvittaessa toteutetaan käsittelyä koskeva vaikutustenarviointi tietosuoja-asetuksen mukaisesti. Tarvittavat toimenpiteet ja hallintakeinot valitaan arviointien osoittaman riskitason mukaan, ja muutoinkin tietosuojan toteutuminen varmistetaan käyttämällä tilannekohtaisesti parhaita mahdollisia teknisiä ja organisatorisia riskiarvioon perustuvia ratkaisuja.

Henkilötietojen käsittelyssä noudatettavat periaatteet

Kårkullassa noudatetaan kaikessa henkilötietojen käsittelyssä seuraavia periaatteita:

  1. Henkilötiedon käsittelylle on lainmukainen käsittelyperuste (lainmukaisuus)
  2. Henkilölle, jonka tietoja käsitellään, on toimitettu riittävät tiedot käsittelystä (informointivelvoite)
  3. Henkilötietoja käsitellään vain ennalta määritellyn käyttötarkoituksen mukaisesti (käyttötarkoitussidonnaisuus)
  4. Rekisteröityjen oikeudet toteutetaan viivytyksettä
  5. Kerätään ja käsitellään vain käsittelyn tarkoituksen kannalta välttämättömiä henkilötietoja (tietojen minimointi)
  6. Huolehditaan tietojen oikeellisuudesta ja päivittämisestä (täsmällisyys)
  7. Henkilötietojen käsittelytoimet dokumentoidaan
  8. Henkilötietoja säilytetään ainoastaan käyttötarkoituksen edellyttämä aika (säilytyksen rajoittaminen)
  9. Henkilötiedot suojataan vahingossa tapahtuvalta tai lainvastaiselta tuhoamiselta, häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta taikka pääsyltä tietoihin
  10. Käsittelyssä noudatetaan annettuja tietosuoja- ja turvaohjeistuksia

Koulutus ja ohjeistukset

Kårkulla huolehtii siitä, että työntekijöille on tarjolla riittävästi koulutusta, ohjeistusta ja neuvontaa tietosuojasta ja henkilötietojen käsittelystä. Kårkulla pyrkii varmistamaan, että henkilökunta tuntee ja hallitsee oman vastuualueensa säännöt henkilötietojen käsittelylle.

Kårkullan henkilöstön tulee tuntea ja hallita oman vastuualueensa säännöt henkilötietojen käsittelylle. Jokaisen henkilökunnan jäsenen tulee tutustua Kårkullan henkilötietojen käsittelyä koskeviin ohjeistuksiin, ja kaikkien uusien työntekijöiden perehdytykseen kuuluu osuus, jossa kerrotaan tietosuojasta ja sen toteuttamisesta Kårkullassa. Erillisen verkko- tai muun koulutuksen suorittaminen ennen henkilötietojen käsittelemistä vaaditaan, jos työtehtävät sitä edellyttävät. Esimiehen tulee huolehtia siitä, että tarvittavat koulutukset ja perehdytykset tulevat suoritetuiksi.

Kaikkia henkilötietoja käsitteleviä työntekijöitä koskee joko lakisääteinen tai erikseen sovittu ja dokumentoitu salassapitovelvollisuus.

Kårkullan tietosuojailmoitukset, käytännesäännöt- ja ohjeet, koulutusmateriaalit ja muu tietosuojainformaatio julkaistaan Kårkullan intranetissä tai verkkosivuilla.

Organisointi ja vastuut

Kårkullan johto on vastuussa siitä, että henkilötietoja käsitellään laillisesti ja oikein, ja että kuntayhtymän tietosuojatyö on organisoitu ja resursoitu asianmukaisella tavalla.

Yksikönjohtajien on varmistettava, että yksiköissä noudatetaan tietosuojalainsäädäntöä, tietosuojapolitiikkaa ja annettuja ohjeita. Yksikönjohtajien ja esimiesten tulee määritellä työtehtävät niin, että jokaiselle työntekijälle on selvää, mitä henkilötietoja hän voi käsitellä ja mitä velvollisuuksia ja vastuita henkilötietojen käsittelyyn liittyy. Esimiesten tulee myös huolehtia siitä, että työntekijät voivat perehtyä tietoturvasta ja tietosuojasta annettuihin ohjeisiin.

Jokaisen Kårkullan työntekijän ja virkamiehen tulisi olla tietoinen säännöistä ja riskeistä, jotka liittyvät henkilötietojen käsittelyyn hänen omalla vastuualueellaan, sekä pystyä käsittelemään henkilötietoja oikealla ja lainmukaisella tavalla. Kukin heistä on vastuussa omilla käyttäjätunnuksillaan tehdystä henkilötietojen käsittelystä ja muutoin velvollinen osallistumaan omalta osaltaan tietosuojan toteuttamiseen, ylläpitämiseen ja valvontaan mm. noudattamalla tietosuoja- ja tietoturvamääräyksiä, sekä ilmoittamalla havaitsemistaan tietoturvan tai tietosuojan vaarantavista tilanteista.

Kaikille henkilörekistereille tulee olla määriteltynä vastuu/yhteyshenkilö, joka koordinoi henkilötietojen käsittelyä ja huolehtii siitä, että tietosuojaselosteet on laadittu ja ne pysyvät ajantasaisina.

Kårkullan tietosuojavastaava seuraa ja kehittää tietosuojan toteutusta koko organisaatiossa, tukee johtoa ja henkilöstöä tietosuojalainsäädännön asettamien vaatimusten täyttämisessä ja raportoi johdolle säännöllisesti. Tietosuojavastaava kouluttaa henkilöstöä ja antaa neuvoja tietosuojakysymyksissä. Vastaava toimii myös rekisteröityjen ja valvontaviranomaisen yhteyshenkilönä. Tietosuojavastaava vastaa tämän politiikan toimeenpanon ja noudattamisen valvonnasta.

Tietoturvapoikkeamat ja -loukkaukset

Tietoturvapoikkeama on tapahtuma, jonka seurauksena Kårkullan vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai käytettävyys vaarantuu. Henkilötietojen tietoturvaloukkaus taas on tapahtuma, joka johtaa henkilötietojen tuhoutumiseen, muuttumiseen, laittomaan siirtoon tai joutumiseen sellaisen toimijan käsiin, jolla ei ole oikeutta käsitellä niitä. Jokaisella Kårkullalaisella on velvollisuus ilmoittaa välittömästi havaitsemistaan tietoturvaan tai tietosuojaan liittyvistä puutteista, virheistä ja tunkeutumisista.

Kårkullalla on kirjallinen suunnitelma henkilötietojen tietoturvaloukkausten käsittelyyn. Suunnitelma pitää sisällään vastuut ja toimenpiteet, joita noudatetaan tietoturvaloukkauksen tapahtuessa. Tietosuojavastaava ilmoittaa tietoturvaloukkauksista valvontaviranomaiselle aina lakisääteisissä määräajoissa. Jos tapahtumasta aiheutuu suuri riski rekisteröidyn oikeuksille ja vapauksille, siitä ilmoitetaan myös rekisteröidyille.

Tietosuojapolitiikan voimaantulo ja ylläpito

Tietosuojapolitiikka tulee voimaan, kun Kårkullan hallitus on hyväksynyt sen. Kårkullan tietosuojavastaava vastaa siitä, että tietosuojapolitiikka pysyy ajantasaisena ja sitä päivitetään aina muutostarpeita vastaavaksi.