Tiedon sijainti ja siirron edellytykset
Tiedon sijainti ja tiedon siirron edellytykset
Päätös
Kansliapäällikkö päätti hyväksyä seuraavat henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskevat vaatimukset.
A.Henkilötiedot
Henkilötietoja, joiden osalta Helsingin kaupunki on rekisterinpitäjä, saa käsitellä EU/ETA –alueella tai Euroopan komission hyväksymässä maassa.
Henkilötietoja, joiden osalta Helsingin kaupunki on rekisterinpitäjä, saa siirtää EU/ETA-alueen ja Euroopan komission hyväksymien maiden ulkopuolelle, jos siirto täyttää EU:n yleisen tietosuoja-asetuksen V luvussa määritellyt edellytykset.
B. Salassa pidettävät muut kuin henkilötiedot
Salassa pidettävien muiden kuin henkilötietojen osalta tietojen maantieteellistä sijaintia ei rajoiteta, kun tiedot on suojattu niin, että ne eivät oikeudettomasti tule sivullisen tietoon.
C. Turvallisuusluokiteltavat asiakirjat
Valtion viranomaisen Helsingin kaupungille luovuttamia asiakirjoja, jotka luovuttavan viranomaisen toimesta on turvallisuusluokiteltu, tulee käsitellä viranomaiselta saatujen ohjeiden mukaisesti.
D. Kasautumisvaikutus
Jos salassa pidettävät tiedot tai henkilötiedot muodostavat tietokasauman, arvioidaan, tuleeko tietojen sijaita Suomessa tai EU/ETA-alueella tai voidaanko niitä siirtää EU/ETA-alueen tai komission hyväksymän maan ulkopuolelle.
E. Varautumisen näkökulmasta suojattavat tiedot
Jos salassa pidettävien tietojen, salassa pidettävien henkilötietojen, erityisiin henkilötietoryhmiin kuuluvien henkilötietojen ja henkilötunnusten käsittely muualla kuin Suomessa voi vaarantaa Helsingin kaupungin valmiuslain mukaisen varautumisvelvollisuuden noudattamisen, tietojen tulee sijaita Suomessa.
F. Tiedon maantieteellistä sijaintia ja siirtoa koskevan ratkaisun tekeminen
Tiedon maantieteellistä sijaintia tai siirtoa koskeva ratkaisu tulee tehdä sen perusteella, millaisesta tiedosta on kysymys tämän päätöksen kohtien A.-D. mukaisesti. Ratkaisun tekee se viranhaltija, jonka toimivaltaan se kuuluu. Viranhaltijan ratkaisu dokumentoidaan tarpeellisessa laajuudessa.
HL 51 §:n perusteella korjattu päätöksen kohtien A.-E. mukaisesti. TKL 8.2.2022
Tiedon maantieteellistä sijaintia tai siirtoa koskeva ratkaisu tulee tehdä sen perusteella, millaisesta tiedosta on kysymys tämän päätöksen kohtien A.-E. mukaisesti. Ratkaisun tekee se viranhaltija, jonka toimivaltaan se kuuluu. Viranhaltijan ratkaisu dokumentoidaan tarpeellisessa laajuudessa.
Kun kysymys on henkilötiedoista, ratkaisu perustuu tietosuojan vaikutustenarviointiin tai tietosuojan tarkistuslistaan, jotka tehdään kaupungin ohjeiden mukaisesti. Muiden kuin henkilötietojen kohdalla tehdään vastaava riskien arviointi.
Jos tiedot kokonaisuutena muodostavat kasauman tai kyse on varautumisen näkökulmasta suojattavista tiedoista, on se otettava huomioon riskiarvioinnissa ja ratkaisua tehtäessä.
Riskiarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä, jos riskit tai riskien hallintatoimet muuttuvat.
Päätöksen perustelut
Kansliapäällikkö on 26.7.2021 § 160 hyväksynyt Helsingin kaupungin pilvipalvelustrategian. Päätöksen 2. kohdan mukaan salassa pidettävien tietojen ja henkilötietojen tallentamisesta pilvipalveluihin annetaan määräykset erikseen. Tämä päätös täsmentää pilvipalvelustrategiasta tehtyä päätöstä salassa pidettävien tietojen ja henkilötietojen maantieteellisen sijainnin osalta.
Tällä päätöksellä kumotaan kansliapäällikön 30.4.2020 § 105 tekemä päätös tietoturvan tavoitearkkitehtuurista ja sähköpostin siirrosta pilvipalveluun.
A. Henkilötiedot
EU:n yleistä tietosuoja-asetusta (2016/679) sovelletaan Euroopan talousalueella, johon kuuluvat EU-maiden lisäksi Islanti, Liechtenstein ja Norja.
EU/ETA-alueen ulkopuolisissa maissa tietosuojalainsäädäntö voi poiketa paljon tietosuoja- asetuksesta. Henkilötietojen tosiasiallinen käsittelypaikka ei saisi vaarantaa tietosuoja-asetuksen antamaa henkilötietojen suojan tasoa, vaikka henkilötietoja käsiteltäisiin alueen ulkopuolisissa maissa tai kansainvälisissä järjestöissä.
Henkilötietoja siirrettäessä rekisterinpitäjän ja käsittelijän on aina varmistettava, että tietosuoja-asetuksessa mainittuja siirron edellytyksiä noudatetaan täysimääräisesti. Henkilötietojen siirroille on oltava tietosuoja-asetuksen V luvussa määritelty siirtoperuste. Siirtoperusteen tehokkuus ja täydentävien suojatoimien tarve on arvioitava tapauskohtaisesti.
Henkilötietojen siirrolla EU/ETA-alueen ulkopuolelle tarkoitetaan esimerkiksi tilanteita, jolloin tietoja tallennetaan EU/ETA-alueen ulkopuolella sijaitsevaan pilvipalveluun tai EU/ETA-alueella sijaitsevia tietoja on mahdollista käsitellä etäyhteyden välityksellä alueen ulkopuolelta tai muuten on mahdollista saada pääsy tietoihin alueen ulkopuolelta tai palveluntuottaja on EU/ETA -alueen maan ulkopuolelta.
Henkilötietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle, jos Euroopan komissio on antanut päätöksen henkilötietojen suojan riittävyydestä kyseissä maassa. Komission tähän mennessä antamat vastaavuuspäätökset löytyvät EUR-Lexin verkkopalvelusta.
Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle voidaan tehdä myös käyttäen komission hyväksymiä vakiolausekkeita (standard contractual clauses, SCC). Vakiolausekkeet voivat olla siirtoperuste, jos siirron kumpikin osapuoli on sitoutunut vakiolausekkeiden noudattamiseen sopimusjärjestelyssä.
Vakiolausekkeita käytettäessä on tarkistettava tapauskohtaisesti, taataanko henkilötietojen siirrolle EU:n vaatimuksia vastaava tietosuojan taso sekä arvioitava tarve täydentävien suojatoimien käytölle. Jos käytettävä siirtoperuste ei takaa sellaisenaan riittävää suojaa, sitä voidaan tietyissä tilanteissa täydentää erilaisilla teknisillä, organisatorisilla tai sopimuspohjaisilla lisäsuojatoimilla. Euroopan tietosuojaneuvosto (EDPB) on 18.6.2021 antanut suositukset, jotka auttavat rekisterinpitäjiä ja henkilötietojen käsittelijöitä arvioimaan asianmukaisten täydentävien suojatoimien tarvetta ja valitsemaan tilanteeseen soveltuvat suojatoimet.
Helsingin kaupungin tietosuojavastaava on antanut tietosuoja-asetuksen mukaisesta tiedon siirrosta ja siihen liittyvistä Euroopan tietosuojaneuvoston suosituksista ohjeet. Jokaisessa yksittäisessä tapauksessa tulee arvioida, voidaanko EDPB:n suosittelemat lisäsuojatoimenpiteet toteuttaa sellaisina, että kolmannen maan viranomaisen pääsy tietoihin estyy.
B. Salassa pidettävät muut kuin henkilötiedot
Salassa pidettävillä tiedoilla tarkoitetaan laissa erikseen salassa pidettäväksi säädettyjä tietoja. Salassapidosta on säädetty viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999, 24 §) ja erityislaeissa.
Julkisuuslain 22.2 § :n mukaan salassa pidettävää viranomaisen asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sitä teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi. Sivullisia ovat kaikki ulkopuoliset, joilla ei ole lakiin perustuvaa tiedonsaantioikeutta, myös muut viranomaiset ja esimerkiksi muiden valtioiden viranomaiset ja tiedusteluorganisaatiot.
Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 4 luvussa säädetään tietoturvallisuudesta. Lain 13 §:n mukaan tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti. Viranomaisella on myös velvollisuus varmistaa tietoaineistojen turvallisuus tarpeellisin tietoturvallisuustoimenpitein.
Kaupungilla käsitellään myös muita salassa pidettäviä tietoja kuin henkilötietoja. Esimerkiksi liikesalaisuuksia tai henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat tiedot ovat salassa pidettäviä. Jos tiedot on suojattu niin, että ne eivät oikeudettomasti tule sivullisen tietoon ja tietoaineistojen turvallisuus voidaan varmistaa tarpeellisin tietoturvallisuustoimenpitein, ei tietojen maantieteelliselle sijainnille ole tarpeen asettaa ehdottomia vaatimuksia.
C. Turvallisuusluokiteltavat asiakirjat
Julkisen hallinnon tiedonhallinnasta annetun lain 18 §:n mukaan valtion virastoissa ja laitoksissa toimivien viranomaisten, tuomioistuimien ja valitusasioita käsittelemään perustettujen lautakuntien on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan.
Viranomaisen Helsingin kaupungille luovuttamaa tietoa, joka luovuttavan viranomaisen toimesta on turvallisuusluokiteltu, tulee käsitellä viranomaiselta saatujen ohjeiden mukaisesti.
D. Kasautumisvaikutus
Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen laatiman Pilvipalveluiden turvallisuuden arviointikriteeristön (Traficomin julkaisuja 13/2020, PiTuKri) mukaan, jos pilvipalveluissa käsitellään suurta määrää salassa pidettävää tai/ja henkilötietoa (ns. TL IV –kasauma) tulisi tietojen sijaita Suomessa. Vaatimuksissa todetaan edelleen, että tietoon ei saa olla suoraa tai epäsuoraa pääsyä muiden valtioiden viranomaisilla.
PiTuKri on luonteeltaan suositus ja ohje ja se on laadittu tietojen turvallisuusluokittelun näkökulmasta, jota koskevaa sääntelyä ei sovelleta kunnissa, mutta se on tärkeää huomioida soveltuvin osin Helsingin kaupungin tietojen käsittelyssä, koska jo tiedonhallintalain 13 § edellyttää viranomaisilta riskien tunnistamista ja suojausten mitoittamista riskiarvioinnin mukaisesti.
E. Varautumisen näkökulmasta suojattavat tiedot
Varautumisesta poikkeusoloihin sekä viranomaisen toimivaltuuksista poikkeusolojen aikana säädetään valmiuslaissa (1552/2011). Valmiuslain 12 §:n yleisen varautumisvelvollisuuden mukaisesti kuntien tulee valmiussuunnitelmin ja poikkeusoloissa tapahtuvan toiminnan etukäteisvalmisteluin sekä muilla toimenpiteillä varmistaa tehtäviensä mahdollisimman hyvä hoitaminen myös poikkeusoloissa. Julkisuuslain 24 §:n 1 momentin 8 kohdan mukaan asiakirjat, jotka koskevat onnettomuuksiin tai poikkeusoloihin varautumista tai väestönsuojelua, ovat salassa pidettäviä. Varautumisen kannalta merkityksellisiä lainsäädännöllisiä velvollisuuksia asettavat myös erityisesti tiedonhallintalain 4 luku ja erityisesti 13 § ja 15 §, joissa on vaatimukset tietoaineistojen ja tietojärjestelmien tietoturvallisuudesta.
Salassa pidettävän varautumista koskevan tiedon tallentaminen EU/ETA -alueen tai komission hyväksymien maiden ulkopuolelle, joissain tapauksissa myös Suomen ulkopuolelle, vaarantaa kunnan varautumisvelvollisuuden noudattamisen.
Salassa pidettävien muiden kuin henkilötietojen säilytyksen ja tiedonsiirron osalta on huomioitava, että valtionhallinnon asiakirjojen turvallisuusluokittelusta annetun valtioneuvoston asetuksen (1101/2019) mukaiseen turvallisuusluokka IV:ään rinnastettavien tietojen osalta suosituksena on käyttää turvallisuusvaatimusten mukaisiksi todettuja, Suomesta tuotettuja pilvipalveluita aina, kun se on mahdollista, jotta kansainvälisiin pilvipalveluihin liittyvien riskien hallitseminen olisi mahdollista turvallisuusluokiteltavien asiakirjojen koko elinkaaren ajan.
Salassa pidettävien turvallisuusluokka III:een tai sitä korkeampiin turvallisuusluokkiin rinnastettavien tietojen tulee sijaita dedikoidulla palvelimella, joka sijaitsee hyväksytyssä ja turvallisessa ympäristössä.
Asiakirjan turvallisuusluokan arviointi perustuu asiakirjan oikeudettoman paljastumisen aiheuttaman vahingon arviointiin. Arvioinnin tulee käsittää hallinnollisen, fyysisen ja tietoteknisen turvallisuus.
ICT-varautumisen erillisessä ohjeistuksessa annetaan tarkempia linjauksia varautumiseen.
Päätös on valmisteltu yhteistyössä kaupunginkanslian strategiaosaston ja hallinto-osaston kanssa.
This decision was published on 09.02.2022
MUUTOKSENHAKUKIELTO
Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.
Sovellettava lainkohta: Kuntalaki 136 §
Ask for more info
Riitta Laanala, ohjelmapäällikkö, puhelin: