Henkilötietojen käsittely
Tietosuoja Keiteleen kunnan palveluissa

Henkilötietojen suoja on osa yksityisyydensuojaa, joka on kansalaisen perusoikeus. Digitaalisten palvelujen yleistyessä tietosuoja on myös asiakkaan luottamuksen perusedellytys ja palvelun laadun tae.

Henkilötietojen käsittelystä säädetään mm. EU:n yleisessä tietosuoja-asetuksessa (sovelletaan 25.5.2018 alkaen), asetusta täsmentävässä Tietosuojalaissa (tulee voimaan myöhemmin), Julkisuuslaissa sekä useissa viranomaisen toimintaa säätelevässä erityislaeissa. Käsittelyn perusteena oleva lainsäädäntö määrittää myös sen, mitä oikeuksia rekisteröidyllä on suhteessa henkilötietojensa käsittelyyn.

 

Määritelmät
EU:n yleisen tietosuoja-asetuksen mukaan "henkilötiedoilla" tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä "rekisteröity", liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

"Käsittelyllä" tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Henkilötietojen käsittelyn periaatteet
Kunnan tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään.

Keiteleen kunnan palveluissa kerättävät henkilötiedot
Yksilöintitietoja (nimi ja henkilötunnus) tarvitaan palveluiden, laskujen ja viestinnän kohdentamiseksi juuri oikealle henkilölle. Eri palveluissa voidaan tarvita lisäksi myös muita yksilöintitietoja, kuten kiinteistötunnus tai auton rekisteritunnus.

Yhteystietoja (kotiosoite, puhelinnumero, sähköposti) tarvitaan asiakkaan tavoittamiseen kaikissa palveluissa.

Joissain lakisääteisissä palveluissa käsitellään myös asiakkaan taloudellisia tietoja. Esimerkiksi varhaiskasvatuksen asiakasmaksut määräytyvät tulojen mukaan. Tulotiedot ovat edellytys myös harkinnanvaraisen tai täydentävän toimeentulotuen myöntämiselle.

Terveystietoja käsitellään kunnan varhaiskasvatuksessa, opetustoimessa ja ruokapalveluissa. Terveystietojen käsittely on vahvasti erityislainsäädännöllä säädeltyä ja niitä suojataan erityisen tarkasti.

Moniammatillisissa verkostoissa, kuten esim. oppilashuolto, eri asiantuntijat käsittelevät oman alansa mukaisia henkilötietoja asiakkaan kannalta parhaan palvelun toteuttamiseksi (mm. psykologit, kuraattorit, nuorisotyöntekijät). Tällaisissa verkostoissa käsiteltävät tiedot ovat ehdottoman luottamuksellisia.

Kunnan verkkosivustolla käytetään yleisesti evästeitä palvelun käytön helpottamiseksi. Sen lisäksi joillain sivustoilla ja sivuston osilla evästeitä käytetään käyttäjätilastointiin. Käyttäjä voi valita selaimen asetuksista, hyväksyykö evästeiden käytön.

Henkilötietojen täsmällisyys ja tarkastusoikeus
Lainmukaista käsittelyä on se, että kutakin palvelua varten kerätään vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi (tietojen minimointi).

Asiakkaalla on aina oikeus selvittää, käsitelläänkö hänen tietojaan ja mitä tietoja hänestä on kunnan rekistereihin tallennettu. Käsiteltävät henkilötiedot ja käsittelyn perusteet selviävät palvelukohtaisesta selosteesta. Tietosuojaselosteita tullaan lisäämään kunnan verkkosivuille.

Useissa asiointijärjestelmissä omien tietojen tarkastuksen voi suorittaa kirjautumalla itse asiointijärjestelmään, esimerkiksi Daisy, Wilma ja muut asiointisovellukset. Mikäli omien tietojen tarkastaminen ei ole mahdollista suoraan asiointijärjestelmän kautta, voi omat tietonsa pyytää nähtäväksi tietopyyntölomakkeella. Tietopyynnön tekeminen

Henkilötietojen käsittelyssä pyritään myös varmistamaan säännöllisesti, että käsiteltävät henkilötiedot ovat täsmällisiä ja ajantasaisia. Epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viivytyksettä, mikäli käsittelyn perusteena oleva lainsäädäntö tai asetus sen sallii. Käytännössä esimerkiksi yhteystiedot saa oikaista aina. Monissa keskeisissä palveluissa yhteystietojen oikeellisuus pystytään varmistamaan Väestötietojärjestelmästä, jolloin käytössä on aina varmasti ajantasainen tieto.

Asiakkaalla on aina oikeus pyytää tietojensa oikaisua.

Henkilötietojen säilytys
Kunnan palveluissa henkilötietoja käsitellään niin pitkään, kuin asiakkuus, palveluntarve tai laskutusperuste on olemassa. Käsittelyn perusteena oleva lainsäädäntö, kirjanpitosäännökset tai mahdolliset oikaisupyyntöprosessit saattavat edellyttää tietojen säilyttämistä pidempään kuin palvelun tarve edellyttäisi. Lisäksi julkisella viranomaisella on oikeus ja velvollisuus joidenkin asiakirjojen pysyvään tai pitkäaikaissäilytykseen yleiseen etuun perustuvan arkistointi- ja tilastointitarkoituksen nojalla (tietosuoja-asetus art.89 kohta1).

Mikäli säilytettävän tiedon ei tarvitse palvelun päättymisen jälkeen olla tunnistettavaa henkilötietoa, voidaan asiakastiedoista joissain tapauksissa poistaa tunnistetiedot, jolloin tieto säilytetään anonyymissä muodossa. Käytännössä viranomaisen toteuttama henkilötiedon pitkäaikaissäilytys palvelee lopulta usein myös asiakkaiden myöhempiä tarpeita, kuten lapsuuden rokotustiedot, koulutodistukset tai isyyden selvittäminen.

Henkilötietojen suojaaminen
Kunnan palveluissa henkilötietoja saavat käsitellä vain ne työntekijät tai viranhaltijat, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisilla henkilökohtaisilla käyttöoikeuksilla, millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi pääsynhallinta, lokitiedot, varmuuskopiointi, palomuurit ja kulunvalvonta. Lisäksi kaikilta kunnan työntekijöiltä edellytetään vaitiolovelvollisuutta, perehtymistä tietosuoja- ja tietoturvaohjeisiin. Henkilöstöä koulutetaan säännöllisesti ja ohjeiden noudattamista valvotaan osana sisäistä valvontaa.

Kunnalla on useita sopimusperusteisia palveluntarjoajia, joilla on tekninen pääsy henkilötietoihin taikka jotka käsittelevät henkilötietoja kunnan lukuun. Tällaisia sopimuskumppaneita ovat esimerkiksi ICT-palvelujen tarjoajat, ohjelmistojen ylläpitäjät ja muut yksityiset palveluntuottajat. Palveluntuottajat ovat sopimuksessa sitoutuneet kunnan edellyttämään tietosuojatasoon ja vaitioloon kaikessa henkilötietojen käsittelyssä.

Tietosuojavaatimusten vuoksi erityisten henkilötietoryhmien (arkaluontoiset tiedot) asiakastietoja ei käsitellä normaalilla sähköpostilla.

Minne henkilötietoja voidaan luovuttaa?
Kunnan palveluyksiköistä tietoja voidaan luovuttaa toisille viranomaisille, mikäli näillä on lain mukaan oikeus käsitellä kyseisiä tietoja. Kuntakonsernin sisällä tietoja luovutetaan säännönmukaisesti laskutusta tai palkanmaksua varten.

Kunta ei luovuta henkilötietoja suoramarkkinointitarkoituksiin.

Kunta ei lähtökohtaisesti luovuta henkilötietoja kolmansiin maihin taikka EU:n ulkopuolelle.

Suostumus käsittelyperusteena
Suostumuksen perusteella henkilötietoja käsitellään silloin, kun käsittely ei perustu mihinkään lakisääteiseen tehtävään, yleiseen etuun, oikeutettuun etuun taikka sopimukseen. Esimerkiksi markkinointi ja viestintä hyödyntävät yhteystietoja mm. uutiskirjeissä. Tällainen yhteydenpito edellyttää vastaanottajan suostumusta, jonka tulee olla yksiselitteinen ja mahdollista peruuttaa. Suostumusta käytetään käsittelyperusteena myös kuvapankissa, lasten valokuvaamisessa kouluissa ja päiväkodeissa ja erilaisten kutsuvieraslistojen käsittelyssä. Suostumuksen perusteella käsiteltävä henkilötieto on poistettava, jos asiakas peruuttaa suostumuksensa (oikeus tulla unohdetuksi).

Oikeus vastustaa tai rajoittaa käsittelyä
Rekisteröidyllä voi olla käsittelyperusteesta ja -tavasta riippuen myös muita oikeuksia suhteessa henkilötietojen käsittelyyn. Mikäli henkilötietoa käsitellään vaikkapa tekoälyn avulla siten, että asiakasta koskevan päätöksen perusteena on automatisoitu valintaprosessi, on asiakkaalla oikeus vastustaa automaattista päätöksentekoa. Tällöin asiakkaan asia tulee käsitellä ihmisen toimesta.

Kunnalla ei tällä hetkellä ole käytössään järjestelmiä tai prosesseja, joissa päätöksenteko olisi automatisoitu.

Rekisteröidyllä on oikeus vaatia käsittelyn rajoittamista vain henkilötietojen säilyttämiseen, mikäli rekisteröity on vastustanut käsittelyä, rajoittaminen on tarpeen oikeusvaateen esittämiseksi taikka rekisteröidyllä ja rekisterinpitäjällä on erimielisyys tietojen oikeellisuudesta. Tällöin rekisterinpitäjä ei saa poistaa tai muuttaa kyseistä henkilötietoa, vaikka ei sitä enää tarvitsisikaan, kunnes tietojen oikeellisuus on varmistettu tai on voitu varmistaa käsittelyn laillinen oikeutus.

Keiteleen kunnan tietosuojavastaava
Keiteleen kunnan tietosuojavastaava on hallintosihteeri Eerika Korhonen-Pellikka.
Tietosuojavastaavan tehtävänä on mm. edistää ja valvoa henkilötietojen lainmukaista käsittelyä. Tietosuojavastaava on myös asiakkaiden (rekisteröityjen) käytettävissä, mikäli oma tietosuoja herättää lisäkysymyksiä.

Oikeus valittaa tietosuojaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta tai kansallisia tietosuojaa ohjaavia lakeja ja asetuksia.

Valvontaviranomaisen yhteystiedot:

Tietosuojavaltuutetun toimisto
PL 800
00521 HELSINKI
Käyntiosoite: Ratapihantie 9, 6 krs 00520 HELSINKI
p. 029 56 66700
tietosuoja(at)om.fi