Helsingin kaupungin tietosuojalinjaukset - Henkilötietojen käsittelyperiaatteet

Päätös on ehdotuksen mukainen.

Tietosuojalinjausten päivittämisen perustelut

Kaupungin tietosuojalinjauksia on tarkennettu tietosuojalain (1050/2018) voimaantulon seurauksena.

EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on uusi. EU:n yleinen tietosuoja-asetus (EU 2016/679, jäljempänä asetus) ei edellytä rekisterinpitäjää linjaamaan periaatteita EU/ETA-alueen ulkopuolisessa käsittelyssä. Pääsääntöisesti henkilötietoja käsitellään kaupungin toiminnassa EU/ETA-alueella, mutta käytännössä on kuitenkin ilmennyt tarvetta henkilötietojen käsittelylle EU/ETA-alueen ulkopuolella. Tämän vuoksi tarvitaan kaupunkitasoiset periaatteet siitä, missä tilanteissa käsittely on sallittua.

Linjausten liitteenä olevaa tietosuoja- ja salassapitoliitettä on päivitetty käytännössä saadun kokemuksen pohjalta ja sen nimi on muutettu tietoturvallisuusliitteestä tietosuoja- ja salassapitoliitteeksi.

Vuoden 2017 linjauksiin sisältyi asetuksen sisältöä selostavia osuuksia ja käytännön ohjeistusta kaupungin henkilöstölle. Nämä osiot on poistettu linjauksista, koska kaupungille on sittemmin valittu tietosuojavastaava, jonka johdolla on luotu kaupungin sisäistä käytännön ohjeistusta tietosuojalainsäädännön sisällöstä ja soveltamisesta. Lainsäädännön vaatimuksia selostavaa tekstiä on säilytetty linjauksissa ainoastaan niistä asioista, joita linjaukset koskevat. Tekstiä on selkiytetty sijoittamalla kukin linjaus omaksi alakohdakseen, joka on erotettu muusta tekstistä harmaalla laatikolla.

Päätöksen valmistelu

Kaupunginhallituksen vahvistettavaksi esitettävät päivitetyt tietosuojalinjaukset on valmistellut kansliapäällikön 28.6.2018 asettama tietosuojatyöryhmä. EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on käsitelty myös tietohallinnon ohjausryhmässä.

Helsingin kaupungin velvoitteet rekisterinpitäjänä

Asetuksella ja tietosuojalailla on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia siitä, että käsitellyt henkilötiedot ovat suojassa.

Asetus asettaa rekisterinpitäjälle tietyissä tilanteissa velvollisuuden viivytyksettä ilmoittaa henkilötietoihin kohdistuneista tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille. Rekisterinpitäjällä on velvollisuus tietyissä tilanteissa laatia tietosuojaa koskeva vaikutustenarviointi ja tarvittaessa kuulla etukäteen valvontaviranomaista.

Rekisterinpitäjän velvollisuuksiin kuuluu myös edistää rekisteröityjen mahdollisuuksia käyttää asetuksen heille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta.

Tietosuoja-asetuksen mukaiset velvoitteet tulee ottaa huomioon mm. hankittaessa uusia henkilötietojen käsittelyyn tarkoitettuja tietojärjestelmiä ja hankittaessa palveluita, joissa jokin muu taho käsittelee kaupungin rekisteriin kuuluvia tietoja kaupungin puolesta. Voimassa olevien sopimusten läpikäynti on vietävä loppuun ja arvioitava, ovatko sopimusten sisältämät henkilötietojen käsittelyä koskevat ehdot riittäviä takaamaan henkilötietojen käsittelyn lainmukaisuuden.

Kaupunginhallituksen vastuu

Hallintosäännön 8 luvun 1 §:n 1 momentin 5 kohdan mukaan kaupunginhallitus vastaa, että kaupunki täyttää tietosuojalainsäädännön mukaiset velvoitteet ja valvoo velvoitteiden toteutumista. Hyväksymällä liitteenä olevat tietosuojalinjaukset kaupunginhallitus ohjaa kaupungin tietosuoja-asetuksen mukaisten velvoitteiden täyttämistä.

Asian jatkokäsittely

Linjauksia tullaan tarpeen mukaan täydentämään, kun kansallisen tietosuojalainsäädännön uudistus on muiden lakien osalta edennyt ja kun asetuksen soveltamisesta on saatu tarkempia ohjeita tietosuojaviranomaisilta.

Kaupunginhallitus 15.04.2019 § 252

Päätös

Käsittely

07.08.2017 Esittelijän ehdotuksesta poiketen

26.06.2017 Pöydälle

Esittelijä

Lisätiedot

Päivi Vilkki, tietosuojavastaava, puhelin: 310 36168

Pilvi Karhula, tietosuojalakimies, puhelin: 310 25237

Päätös tullut nähtäväksi 15.05.2019

OHJEET OIKAISUVAATIMUKSEN TEKEMISEKSI

Tähän päätökseen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Päätökseen ei saa hakea muutosta valittamalla tuomioistuimeen.

Oikaisuvaatimusoikeus

Oikaisuvaatimuksen saa tehdä

Oikaisuvaatimusaika

Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista.

Oikaisuvaatimuksen on saavuttava Helsingin kaupungin kirjaamoon määräajan viimeisenä päivänä ennen kirjaamon aukioloajan päättymistä.

Mikäli päätös on annettu tiedoksi postitse, asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Kunnan jäsenen katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa.

Mikäli päätös on annettu tiedoksi sähköisenä viestinä, asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, kolmen päivän kuluttua viestin lähettämisestä.

Tiedoksisaantipäivää ei lueta oikaisuvaatimusaikaan. Jos oikaisuvaatimusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa oikaisuvaatimuksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimusviranomainen

Viranomainen, jolle oikaisuvaatimus tehdään, on Helsingin kaupunginhallitus.

Oikaisuvaatimusviranomaisen asiointiosoite on seuraava:

Kirjaamon aukioloaika on maanantaista perjantaihin klo 08.15–16.00.

Oikaisuvaatimuksen muoto ja sisältö

Oikaisuvaatimus on tehtävä kirjallisena. Myös sähköinen asiakirja täyttää vaatimuksen kirjallisesta muodosta.

Oikaisuvaatimuksessa on ilmoitettava

Pöytäkirja

Päätöstä koskevia pöytäkirjan otteita ja liitteitä lähetetään pyynnöstä. Asiakirjoja voi tilata Helsingin kaupungin kirjaamosta.