Tietosuoja
1. Yleistä
Henkilötiedon ja muun tiedon asianmukainen suojaaminen kaikissa tilanteissa on kunnan oikeus ja velvollisuus. Asian tärkeys näkyy kunnan toiminnassa. Tietosuoja- ja tietoturvaperiaatteet kuvataan kunnanhallituksen vahvistamassa tietoturvapolitiikassa.
Kivijärven kunta määrittelee tietoturvapolitiikassaan tietosuojan ”velvoittavien tietosuojasäädösten mukaisiksi toimenpiteiksi, joilla varmistetaan henkilön riittävä yksityisyyden suoja ja muut sitä turvaavat oikeudet henkilötietoja käsiteltäessä”.
Kunnan tietosuoja- ja tietoturvatyö perustuu riskien tunnistamiseen, arviointiin sekä toimenpiteisiin riskien pitämiseksi siedettävällä tasolla. Tätä kokonaisuutta, joka kattaa niin yksityisyyden suojaan, toimitiloihin kuin teknisiin järjestelmiin liittyvät riskit, nimitetään riskienhallinnaksi. Riskienhallinnan tulosten perusteella kunta toteuttaa sopivaksi katsomansa hallinnolliset ja tekniset turvallisuustoimenpiteet. Esimerkkejä näistä ovat henkilökunnan säännöllinen ohjeistus ja koulutus, tietojärjestelmien ja -verkkojen ylläpitotoimet sekä kunnan kiinteistöjen valvonta- ja hälytysjärjestelmät.
Tietoturvallisuus ja tietosuoja, sekä niihin liittyvät kunnan määrittelemät vaatimukset, otetaan huomioon mahdollisimman varhaisessa vaiheessa toiminnan, hankintojen ja teknisten järjestelmien suunnittelussa.
2. Informointi
EU:n tietosuoja-asetuksen mukaisesti rekisteröidylle (kuten kuntalaiset ja asiakkaat) on annettava tieto, jos hänen henkilötietojaan, kuten nimi- ja osoitetiedot, kirjataan johonkin henkilörekisteriin. Lisäksi rekisteröidylle on kerrottava mm. henkilötietojen käsittelyn tarkoituksesta, mihin tietoja säännönmukaisesti luovutetaan ja millaisia oikeuksia hänellä on henkilötietoihinsa.
Kivijärven kunnassa rekisteröityjen tietoja kerätään käyttötarkoituksen mukaan eri henkilörekistereihin. Rekistereissä olevia tietoja käytetään vain määriteltyyn toimintaan ja vain siinä laajuudessa kuin asian hoitaminen, työtehtävät ja vastuut edellyttävät. Rekisterinpitäjä huolehtii sekä oma-aloitteisesti että rekisteröidyn pyynnöstä rekisterissä olevan virheellisen, puutteellisen tai tarpeettoman tiedon korjaamisesta, täydentämisestä tai poistamisesta ilman aiheetonta viivytystä.
Kunta laatii näistä rekistereistä kuvaukset niihin kuuluvista henkilötietojen käsittelytoimista. Ne kuvaukset, joissa rekisteröitynä ovat muut kuin kunnan henkilöstö (kuten kuntalaiset tai asiakkaat) ovat nähtävissä kohdassa 4 sekä kunnanviraston infopisteessä osoitteessa Virastotie 5A, 43800 KIVIJÄRVI. Kuvauksia täydennetään jatkuvasti.
Näillä verkkosivuilla tarjotun tiedon lisäksi kunta:
- tarjoaa lisätietoa muissa viestintäkanavissa ja erillisissä dokumenteissa tarpeen mukaan,
- tiedottaa rekisteröityjä viipymättä niissä tapauksissa, joissa rekisterin luottamuksellisuus, eheys tai saatavuus on vaarantunut (tietoturvaloukkaus) sekä
- tiedottaa tarvittavia viranomaisia 72 tunnin kuluessa tietoturvaloukkauksen ilmitulosta.
3. Mitä henkilötietoja kunta kerää ja mihin niitä käytetään?
Kattavat ja ajantasaiset henkilötiedot ovat olennainen osa kunnan palvelutuotannon laatua. Toteuttaessaan kunnalle määrättyjä tehtäviä ja tuottaessaan palveluja kunta kerää ja käsittelee erilaisia henkilötietoja. Tyypillisesti näitä tietoja ovat nimi ja yhteystiedot sekä muut palvelun tuottamisen kannalta olennaiset tiedot. Täsmällinen käsittelyn syy (oikeusperuste) sekä kerättävät henkilötiedot löydät rekisterikohtaisesti kohdasta 4.
Kunta saa henkilötiedot tavallisesti palveluihin hakeutumisen tai etuuden hakemisen yhteydessä rekisteröidyltä itseltään. Lisäksi kunta saa henkilötietoja viranomaisilta, kuten Väestörekisterikeskuksesta ja Kelasta. Varsinaisen palvelutuotannon lisäksi kunta voi käsitellä henkilötietoja niihin käyttötarkoituksiin, joihin rekisteröity on antanut suostumuksena.
4. Kuvaukset henkilötietojen käsittelystä palveluittain
Kuvaukset henkilötietojen käsittelystä sekä kunkin rekisterin yhteyshenkilön löydät vasemman valikon kohdasta Rekisterit.
Lisätietoja kunnan tietoturva- ja tietosuojakäytännöistä saa tietosuojavastaavalta:
Joki ICT Oy / Tietosuoja-asiantuntija Anita Rättyä, 040 6460 213 anita.rattya [at] jict.fi
5. Kuinka rekisteröity voi käyttää oikeuksiaan?
Rekisteröidyllä on joukko EU:n tietosuoja-asetuksen säätämiä oikeuksia henkilötietoihinsa. Kunta tarjoaa tämän sivuston kautta sen osuuden näistä oikeuksista, jotka liittyvät rekisterinpitäjän tuottamaan viestintään. Tämän lisäksi rekisteröidyllä on soveltuvin osin oikeus:
- tarkistaa, oikaista tai täydentää tai poistaa rekisteriin merkittyjä tietoja
- rajoittaa ja vastustaa käsittelyä
- siirtää tiedot järjestelmästä toiseen sekä
- tehdä valitus valvontaviranomaiselle.
Huomaa kuitenkin, että tietoja ei voi vaatia poistettavaksi rekistereistä, joita ylläpidetään lakisääteisten tehtävien täyttämiseksi tai julkisen vallan käyttämiseksi.
Kun haluat toteuttaa oikeuksiasi tiettyä rekisteriä kohtaan, toimi seuraavasti:
- Täytä oheinen tietopyyntölomake ja toimita se omakätisesti allekirjoitettuna henkilökohtaisesti kunnan infopisteeseen kunnanvirastolle (Virastotie 5A). Vastaavat paperiset lomakkeet löydät myös kunnan infopisteestä. Tarkastuksen voi tehdä kerran vuodessa maksutta.
- Kunnan infopisteessä sinut tunnistetaan ajokortista, passista tai muusta hyväksyttävästä henkilöllisyystodistuksesta ja pyyntösi otetaan käsiteltäväksi.
- Kunta pyrkii vastaamaan kuukauden kuluessa pyyntösi saapumisesta. Vastaus toimitetaan joko kirjeitse kotiosoitteeseesi tai tiedot esitellään sinulle kunnan toimitiloissa.
Lomakkeet rekisteröidyn oikeuksien toteuttamiseksi sivun alalaidassa omina liitetiedostoina
6. Hyödyllisiä verkkosivustoja
Ohjeita tietosuojavaltuutetun toimistosta www.tietosuoja.fi
Koulutusmateriaalia tietosuojasta www.arjentietosuoja.fi
Tieto- ja kyberturvaohjeita ym. www.vahtiohje.fi
Kuntien ja kuntalaisten tuki ja turva www.kuntaliitto.fi
Tilannekuvan yms. tarjoaja www.viestintavirasto.fi
Kunnan evästekäytännöt
Kunnan verkkosivut eivät toistaiseksi käytä evästeitä.
7. Keskeisiä tietosuojatermejä ja -toimijoita
Rekisteröity: Henkilö, jonka tietoja kerätään ja käsitellään.
Rekisterinpitäjä: Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Henkilötietojen käsittelijä: Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.
Henkilötieto: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Henkilötietorekisteri (henkilörekisteri, rekisteri): Käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuva henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.
Kuvaus henkilötietojen käsittelystä: Dokumentti, jonka rekisterinpitäjä laatii ja pitää rekisteröityjen saatavilla. Kuvaus on osa informointikäytäntöjä ja siinä kuvataan henkilötietojen käsittely tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa. Tästä kuvauksesta käytettiin aiemmin nimitystä tietosuojaseloste tai rekisteriseloste.