Pilvipalveluiden käyttö, Microsoftin Azure- pilvialustalla Sarastia365-järjestelmän yhteydessä

Digitalisaatiojohtaja päätti, että Microsoftin Azure-pilvialustalla voidaan tehdä Sarastia365-järjestelmän palkantarkistuksia ohjelmistorobotiikkaa hyväksikäyttäen sekä integraation avulla siirtää henkilötietoja Sarastia365-järjestelmästä kaupungin talousjärjestelmään.

Sarastia 365-tietojärjestelmä hyödyntää ohjelmistorobotiikkaa palkanlaskennan tarkastuksessa. Microsoftin Azure-pilvialustalla tehtävä tarkastus vähentää palkanlaskennan virheitä ja manuaalista työtä. Ohjelmistorobotin käsittelyyn viedään kaupungin henkilöstön tiedoista Helsinki ID (avain), suku- ja etunimi, kutsumanimi, palkkatekijät (palkkalaji ja määrä) sekä tilinumero.

Azure-pilvialustaa käytetään myös muuttuneiden henkilötietojen päivittämiseen kaupungin SAP-talousjärjestelmään. Talousjärjestelmässä ajantasaiset henkilötiedot tarvitaan toimittajarekisteriä sekä Staran käyttämiä SAP:n HR-toiminnallisuuksia varten. Toimittajarekisterissä ylläpidetään tietoa kaikista kaupungin työntekijöistä sekä palvelutoimittajista. Sarastian ja SAP-järjestelmän tiedonsiirrossa käsitellään kaupungin henkilöstön tietoja: nimi ja henkilönumero, yhteystiedot, palvelussuhteen tietoja sekä tilinumero.

Sarastia365-järjestelmän riskit on arvioitu tietosuojan vaikutustenarvioinnissa. Riskeiksi on tunnistettu:

• Henkilötietojen siirto EU/ETA-alueen ulkopuolelle

• Tilinumero on salassa pidettävää tietoa

• Tietokasauma

Kansliapäällikön päätöksen mukaan (HEL 2022-000782 T 00 01 01) kaikkia henkilötietoja, joiden osalta Helsingin kaupunki on rekisterinpitäjä, saa siirtää EU/ETA-alueen ja Euroopan komission hyväksymien maiden ulkopuolelle, jos siirto täyttää EU:n yleisen tietosuoja-asetuksen V luvussa määritellyt edellytykset.

Jos salassa pidettävät tiedot tai henkilötiedot muodostavat tietokasauman, arvioidaan, tuleeko tietojen sijaita Suomessa tai EU/ETA-alueella tai voidaanko niitä siirtää EU/ETA-alueen tai komission hyväksymän maan ulkopuolelle. Lisäksi tulee arvioida, onko kyse varautumisen näkökulmasta suojattavista tiedoista.

Microsoftin Azure-palvelun riskitaso alennetaan hyväksyttävälle tasolle liittämällä sopimukseen Euroopan komission vakiosopimuslausekkeet. Lisäksi otetaan käyttöön Euroopan tietosuojaneuvoston suosittelemat tekniset suojatoimet kansliapäällikön päätöksen mukaisesti.

Toimittajien luotettavuutta on varmistettu sopimusteknisesti. Sarastia sopimus sisältää tietosuoja- ja salassapitoliitteet sekä riittävät vaatimukset tietojen käsittelylle ja toimittajan luotettavuudelle. Microsoftin tietosuojaa koskeviin ehtoihin on liitetty Euroopan komission vakiosopimuslausekkeet.

Sarastia365 ja siihen liittyvän pilviympäristön riskiarviot päivitetään säännöllisin väliajoin, viimeistään 24 kuukauden kuluessa järjestelmän käyttöönotosta. Riskiarvioinnit dokumentoidaan kaupungin ohjeiden mukaisesti.

Vaikkakin pilvipalveluissa käsitellään suurta määrää henkilötietoa digitalisaatiojohtaja arvioi, että Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen laatiman Pilvipalveluiden turvallisuuden arviointikriteeristön (Traficomin julkaisuja 13/2020, PiTuKri) mukaista haitallista kasaumaa ei synny. Samoin ei myöskään ole digitalisaatiojohtajan mukaan kyse varautumisen näkökulmasta suojattavista tiedoista.