Microsoftin M365-palvelujen käyttöönotto Helsingin kaupungilla

HEL 2022-012015
More recent handlings
§ 196

Microsoftin M365-palvelujen käyttöönotto Helsingin kaupungilla

Kansliapäällikkö

Päätös

Kansliapäällikkö päätti Microsoftin Azure-alustalla olevien M365-palvelujen käyttöönotosta Helsingin kaupungilla seuraavasti:

Käyttöönotettavat palvelut ovat:

· Sähköposti-, kalenteri- ja aikataulutussovellukset

· Kokous-, soitto- ja pikaviestisovellukset (esim. Teams)

· Intranet ja tallennussovellukset (esim. Sharepoint, Yammer, OneDri- ve)

· Microsoft 365 Apps -sovellukset (esim. Word, Excel, PowerPoint, OneNote, Outlook)

· Sisältö-, analyysi- ja projektinhallintasovellukset (esim. Forms, Lists, Power BI, To-Do, Project Online)

· Automatisointi, sovelluskehitys ja Chatbotit (esim. PowerApps, Power- Automate)

· Päätelaite- ja sovellushallinta (esim. Intune, Mobile Device Management, Windows AutoPilot)

· Identiteetin- ja pääsynhallinnan sovellukset (Azure Active Directory)

· Microsoft 365 tietoturvapalvelut

· Tiedon luokittelun ja suojauksen palvelut

Palveluja käytettäessä on noudatettava kansliapäällikön päätöstä HEL 2022-012014 12.10.2022 195 § henkilötietojen ja salassa pidettävien tietojen maantieteellistä sijaintia ja siirtoa koskevista edellytyksistä.

Poikkeuksena edellä mainittuun päätökseen saa Teams-kokoussovellusta käyttää salassa pidettäviä henkilötietoja ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskeviin reaaliaikaisiin keskusteluihin, jos keskusteluja ei tallenneta. Salassa pidettäviä henkilötietoja ja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja sisältäviä dokumentteja ei Teamsiin saa viedä eikä viestien vaihtoa edellä mainituista tiedoista saa Teamsissa käydä.

Päätöksen perustelut

O365-palveluista on kaupungilla tehty tietosuojan vaikutustenarviointi 1.10.2020 ja M365-palveluista Azure-alustalla 25.4.2022. O365-palvelut ja M365-palvelut vastaavat toisiaan.

M365-palvelussa käsitellään palvelun käyttäjien henkilötietoja sekä käyttäjien palveluun tuottamia tietoja, jotka ovat esimerkiksi tekstiä, ääntä, videota tai kuvatiedostoja. Palveluun tuotetut tiedot voivat koskea mitä tahansa aihetta ja kuulua mihin tahansa kaupungin noin 200 rekisteristä. Lisäksi palvelu kerää käyttäjistä telemetriatietoja, jotka jakautuvat diagnostiikkatietoihin, yhdistettyihin käyttökokemuksiin ja tärkeisiin palveluihin.

Palveluntarjoaja on Microsoft Corporation, mikä tarkoittaa sitä, että tietoja siirretään EU/ETA-alueen ulkopuolelle, vaikka tiedot sijaitsevatkin EU/ETA-alueella olevassa konesalissa.

Kaupungin Microsoftin kanssa tekemiin M365-palvelua ja Azure-alustaa koskeviin sopimuksiin on liitetty Euroopan komission hyväksymät vakiolausekkeet.

M365-palvelussa ei ole otettu käyttöön Euroopan tietosuojaneuvoston suositusten mukaisia täydentäviä suojatoimia, joten tietoja, joiden käsittely edellyttäisi tällaisia suojatoimia, ei saa käsitellä M365-palvelussa.

M365-palvelussa käsiteltävistä tiedoista syntyy Liikenne ja viestintäviraston Kyberturvallisuuskeskuksen laatiman Pilvipalveluiden turvallisuuden arviointikriteeristön (Traficomin julkaisuja 13/2020, PiTuKri) tarkoittama tietokasauma. Tietoja voidaan tästä huolimatta käsitellä M365-palvelussa.

Tietojen maantieteellistä sijaintia ja siirron edellytyksiä koskevaan kansliapäällikön päätökseen päätöstä HEL 2022-012014 12.10.2022 195 § sisältyy riskiarvioon perustuva ohjeistus siitä, milloin henkilötiedot ja muut tiedot on tarpeen suojata täydentävillä suojatoimilla ja milloin vakiolausekkeet riittävät.

This decision was published on 13.10.2022

MUUTOKSENHAKUKIELTO

Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.

Sovellettava lainkohta: Kuntalaki 136 §

Close

Ask for more info

Mikko Rusama, Digitalisaatiojohtaja, puhelin: 0505722229

mikko.rusama@hel.fi

Decisionmaker

Sami Sarvilinna
kansliapäällikkö
Markus Kühn
strategiajohtaja

Attachments

3. Confidential: JulkL (621/1999) 24.1 § 7 k
4. Confidential: JulkL (621/1999) 24.1 § 7 k
5. Confidential: JulkL (621/1999) 24.1 § 7 k
6. Confidential: JulkL (621/1999) 24.1 § 7 k
7. Confidential: JulkL (621/1999) 24.1 § 7 k
8. Confidential: JulkL (621/1999) 24.1 § 7 k
9. Confidential: JulkL (621/1999) 24.1 § 7 k
10. Confidential: JulkL (621/1999) 24.1 § 7 k
11. Confidential: JulkL (621/1999) 24.1 § 7 k

The decision documents refer to appendices that are not available online. The City of Helsinki does not publish any appendices that contain confidential information, information that could compromise the protection of privacy or documents that cannot be made available in an electronic format due to technical reasons. (Act on the Openness of Government Activities 621/1999, Information Society Code 917/2014, Data Protection Act 1050/2018, Act on the Processing of Personal Data in Social and Health Care 703/2023,  Act on Public Procurement and Concession Contracts 1397/2016). You can also request decision documents from the City of Helsinki Registrar's Office.