Helsingin kaupungin tietosuojalinjaukset - Henkilötietojen käsittelyperiaatteet

HEL 2017-007001
Asialla on uudempia käsittelyjä
5. / 252 §

Helsingin kaupungin tietosuojalinjaukset

Helsingin kaupunginhallitus

Päätös

Kaupunginhallitus päätti panna asian pöydälle 29.4.2019 saakka.

Käsittely

Kaupunginhallitus päätti yksimielisesti panna asian pöydälle 29.4.2019 saakka Kaisa Hernbergin ehdotuksesta.

Kaupunginhallitus hyväksyy liitteenä 1 olevat Helsingin kaupungin tietosuojalinjaukset.

Samalla kaupunginhallitus kumoaa päätöksellä 7.8.2017, 732 § hyväksytyt tietosuojalinjaukset.

Sulje

Tietosuojalinjausten päivittämisen perustelut

Kaupungin tietosuojalinjauksia on tarkennettu tietosuojalain (1050/2018) voimaantulon seurauksena.

EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on uusi. EU:n yleinen tietosuoja-asetus (EU 2016/679, jäljempänä asetus) ei edellytä rekisterinpitäjää linjaamaan periaatteita EU/ETA-alueen ulkopuolisessa käsittelyssä. Pääsääntöisesti henkilötietoja käsitellään kaupungin toiminnassa EU/ETA-alueella, mutta käytännössä on kuitenkin ilmennyt tarvetta henkilötietojen käsittelylle EU/ETA-alueen ulkopuolella. Tämän vuoksi tarvitaan kaupunkitasoiset periaatteet siitä, missä tilanteissa käsittely on sallittua.

Linjausten liitteenä olevaa tietosuoja- ja salassapitoliitettä on päivitetty käytännössä saadun kokemuksen pohjalta ja sen nimi on muutettu tietoturvallisuusliitteestä tietosuoja- ja salassapitoliitteeksi.

Vuoden 2017 linjauksiin sisältyi asetuksen sisältöä selostavia osuuksia ja käytännön ohjeistusta kaupungin henkilöstölle. Nämä osiot on poistettu linjauksista, koska kaupungille on sittemmin valittu tietosuojavastaava, jonka johdolla on luotu kaupungin sisäistä käytännön ohjeistusta tietosuojalainsäädännön sisällöstä ja soveltamisesta. Lainsäädännön vaatimuksia selostavaa tekstiä on säilytetty linjauksissa ainoastaan niistä asioista, joita linjaukset koskevat. Tekstiä on selkiytetty sijoittamalla kukin linjaus omaksi alakohdakseen, joka on erotettu muusta tekstistä harmaalla laatikolla.

Päätöksen valmistelu

Kaupunginhallituksen vahvistettavaksi esitettävät päivitetyt tietosuojalinjaukset on valmistellut kansliapäällikön 28.6.2018 asettama tietosuojatyöryhmä. EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on käsitelty myös tietohallinnon ohjausryhmässä.

Helsingin kaupungin velvoitteet rekisterinpitäjänä

Asetuksella ja tietosuojalailla on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia siitä, että käsitellyt henkilötiedot ovat suojassa.

Asetus asettaa rekisterinpitäjälle tietyissä tilanteissa velvollisuuden viivytyksettä ilmoittaa henkilötietoihin kohdistuneista tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille. Rekisterinpitäjällä on velvollisuus tietyissä tilanteissa laatia tietosuojaa koskeva vaikutustenarviointi ja tarvittaessa kuulla etukäteen valvontaviranomaista.

Rekisterinpitäjän velvollisuuksiin kuuluu myös edistää rekisteröityjen mahdollisuuksia käyttää asetuksen heille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta.

Tietosuoja-asetuksen mukaiset velvoitteet tulee ottaa huomioon mm. hankittaessa uusia henkilötietojen käsittelyyn tarkoitettuja tietojärjestelmiä ja hankittaessa palveluita, joissa jokin muu taho käsittelee kaupungin rekisteriin kuuluvia tietoja kaupungin puolesta. Voimassa olevien sopimusten läpikäynti on vietävä loppuun ja arvioitava, ovatko sopimusten sisältämät henkilötietojen käsittelyä koskevat ehdot riittäviä takaamaan henkilötietojen käsittelyn lainmukaisuuden.

Kaupunginhallituksen vastuu

Hallintosäännön 8 luvun 1 §:n 1 momentin 5 kohdan mukaan kaupunginhallitus vastaa, että kaupunki täyttää tietosuojalainsäädännön mukaiset velvoitteet ja valvoo velvoitteiden toteutumista. Hyväksymällä liitteenä olevat tietosuojalinjaukset kaupunginhallitus ohjaa kaupungin tietosuoja-asetuksen mukaisten velvoitteiden täyttämistä.

Asian jatkokäsittely

Linjauksia tullaan tarpeen mukaan täydentämään, kun kansallisen tietosuojalainsäädännön uudistus on muiden lakien osalta edennyt ja kun asetuksen soveltamisesta on saatu tarkempia ohjeita tietosuojaviranomaisilta.

Sulje

Kaupunginhallitus 07.08.2017 § 732

Päätös

Kaupunginhallitus päätti hyväksyä liitteenä 1 olevat Helsingin kaupungin tietosuojalinjaukset.

Samalla kaupunginhallitus kehottaa tietosuojalinjausten jatkovalmistelussa ja täytäntöönpanossa kehittämään mahdollisimman helppoja tapoja kaupunkilaisille saada itseään koskevat tiedot käyttöönsä tietosuoja-asetuksen tarkoittamalla tavalla (ns. my data periaate).

Käsittely

Vastaehdotus:
Otso Kivekäs:

Lisäys päätökseen:

Samalla kaupunginhallitus kehottaa tietosuojalinjausten jatkovalmistelussa ja täytäntöönpanossa kehittämään mahdollisimman helppoja tapoja kaupunkilaisille saada itseään koskevat tiedot käyttöönsä tietosuoja-asetuksen tarkoittamalla tavalla (ns. my data periaate).

Kaupunginhallitus hyväksyi yksimielisesti Otso Kivekkään vastaehdotuksen mukaan muutetun ehdotuksen.

26.06.2017 Pöydälle

Esittelijä
kansliapäällikkö
Sami Sarvilinna
Lisätiedot

Sari-Anna Pennanen, johtava kaupunginasiamies, puhelin: 310 36179

sari-anna.pennanen@hel.fi
Sulje

Päätös tullut nähtäväksi 30.04.2019

MUUTOKSENHAKUKIELTO

Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.

Sovellettava lainkohta: Kuntalaki 136 §

Sulje

Esittelijä

kansliapäällikkö
Sami Sarvilinna

Lisätietojen antaja

Päivi Vilkki, tietosuojavastaava, puhelin: 09 310 36168

paivi.vilkki@hel.fi

Pilvi Karhula, tietosuojalakimies, puhelin: 09 310 25237

pilvi.karhula@hel.fi