Helsingin kaupungin tietosuojalinjaukset - Henkilötietojen käsittelyperiaatteet
Helsingin kaupungin tietosuojalinjaukset
Päätös
Kaupunginhallitus päätti panna asian pöydälle 29.4.2019 saakka.
Käsittely
Kaupunginhallitus päätti yksimielisesti panna asian pöydälle 29.4.2019 saakka Kaisa Hernbergin ehdotuksesta.
Kaupunginhallitus hyväksyy liitteenä 1 olevat Helsingin kaupungin tietosuojalinjaukset.
Samalla kaupunginhallitus kumoaa päätöksellä 7.8.2017, 732 § hyväksytyt tietosuojalinjaukset.
Tietosuojalinjausten päivittämisen perustelut
Kaupungin tietosuojalinjauksia on tarkennettu tietosuojalain (1050/2018) voimaantulon seurauksena.
EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on uusi. EU:n yleinen tietosuoja-asetus (EU 2016/679, jäljempänä asetus) ei edellytä rekisterinpitäjää linjaamaan periaatteita EU/ETA-alueen ulkopuolisessa käsittelyssä. Pääsääntöisesti henkilötietoja käsitellään kaupungin toiminnassa EU/ETA-alueella, mutta käytännössä on kuitenkin ilmennyt tarvetta henkilötietojen käsittelylle EU/ETA-alueen ulkopuolella. Tämän vuoksi tarvitaan kaupunkitasoiset periaatteet siitä, missä tilanteissa käsittely on sallittua.
Linjausten liitteenä olevaa tietosuoja- ja salassapitoliitettä on päivitetty käytännössä saadun kokemuksen pohjalta ja sen nimi on muutettu tietoturvallisuusliitteestä tietosuoja- ja salassapitoliitteeksi.
Vuoden 2017 linjauksiin sisältyi asetuksen sisältöä selostavia osuuksia ja käytännön ohjeistusta kaupungin henkilöstölle. Nämä osiot on poistettu linjauksista, koska kaupungille on sittemmin valittu tietosuojavastaava, jonka johdolla on luotu kaupungin sisäistä käytännön ohjeistusta tietosuojalainsäädännön sisällöstä ja soveltamisesta. Lainsäädännön vaatimuksia selostavaa tekstiä on säilytetty linjauksissa ainoastaan niistä asioista, joita linjaukset koskevat. Tekstiä on selkiytetty sijoittamalla kukin linjaus omaksi alakohdakseen, joka on erotettu muusta tekstistä harmaalla laatikolla.
Päätöksen valmistelu
Kaupunginhallituksen vahvistettavaksi esitettävät päivitetyt tietosuojalinjaukset on valmistellut kansliapäällikön 28.6.2018 asettama tietosuojatyöryhmä. EU/ETA-alueen ulkopuolista käsittelyä koskeva linjaus on käsitelty myös tietohallinnon ohjausryhmässä.
Helsingin kaupungin velvoitteet rekisterinpitäjänä
Asetuksella ja tietosuojalailla on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia siitä, että käsitellyt henkilötiedot ovat suojassa.
Asetus asettaa rekisterinpitäjälle tietyissä tilanteissa velvollisuuden viivytyksettä ilmoittaa henkilötietoihin kohdistuneista tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille. Rekisterinpitäjällä on velvollisuus tietyissä tilanteissa laatia tietosuojaa koskeva vaikutustenarviointi ja tarvittaessa kuulla etukäteen valvontaviranomaista.
Rekisterinpitäjän velvollisuuksiin kuuluu myös edistää rekisteröityjen mahdollisuuksia käyttää asetuksen heille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta.
Tietosuoja-asetuksen mukaiset velvoitteet tulee ottaa huomioon mm. hankittaessa uusia henkilötietojen käsittelyyn tarkoitettuja tietojärjestelmiä ja hankittaessa palveluita, joissa jokin muu taho käsittelee kaupungin rekisteriin kuuluvia tietoja kaupungin puolesta. Voimassa olevien sopimusten läpikäynti on vietävä loppuun ja arvioitava, ovatko sopimusten sisältämät henkilötietojen käsittelyä koskevat ehdot riittäviä takaamaan henkilötietojen käsittelyn lainmukaisuuden.
Kaupunginhallituksen vastuu
Hallintosäännön 8 luvun 1 §:n 1 momentin 5 kohdan mukaan kaupunginhallitus vastaa, että kaupunki täyttää tietosuojalainsäädännön mukaiset velvoitteet ja valvoo velvoitteiden toteutumista. Hyväksymällä liitteenä olevat tietosuojalinjaukset kaupunginhallitus ohjaa kaupungin tietosuoja-asetuksen mukaisten velvoitteiden täyttämistä.
Asian jatkokäsittely
Linjauksia tullaan tarpeen mukaan täydentämään, kun kansallisen tietosuojalainsäädännön uudistus on muiden lakien osalta edennyt ja kun asetuksen soveltamisesta on saatu tarkempia ohjeita tietosuojaviranomaisilta.
Kaupunginhallitus 07.08.2017 § 732
Päätös
Kaupunginhallitus päätti hyväksyä liitteenä 1 olevat Helsingin kaupungin tietosuojalinjaukset.
Samalla kaupunginhallitus kehottaa tietosuojalinjausten jatkovalmistelussa ja täytäntöönpanossa kehittämään mahdollisimman helppoja tapoja kaupunkilaisille saada itseään koskevat tiedot käyttöönsä tietosuoja-asetuksen tarkoittamalla tavalla (ns. my data periaate).
Käsittely
Vastaehdotus:
Otso Kivekäs:
Lisäys päätökseen:
Samalla kaupunginhallitus kehottaa tietosuojalinjausten jatkovalmistelussa ja täytäntöönpanossa kehittämään mahdollisimman helppoja tapoja kaupunkilaisille saada itseään koskevat tiedot käyttöönsä tietosuoja-asetuksen tarkoittamalla tavalla (ns. my data periaate).
Kaupunginhallitus hyväksyi yksimielisesti Otso Kivekkään vastaehdotuksen mukaan muutetun ehdotuksen.
26.06.2017 Pöydälle
Esittelijä
Lisätiedot
Sari-Anna Pennanen, johtava kaupunginasiamies, puhelin: 310 36179
Detta beslut publicerades 30.04.2019
MUUTOKSENHAKUKIELTO
Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.
Sovellettava lainkohta: Kuntalaki 136 §
Föredragande
Mer information fås av
Päivi Vilkki, tietosuojavastaava, puhelin: 09 310 36168
Pilvi Karhula, tietosuojalakimies, puhelin: 09 310 25237