Tietosuoja ja henkilötietojen tarkastus

Tietosuoja Pieksämäen kaupungin palveluissa

 

Henkilötietojen suoja on osa yksityisyydensuojaa, joka on kansalaisen perusoikeus. Digitaalisten palvelujen yleistyessä tietosuoja on myös asiakkaan luottamuksen perusedellytys ja palvelun laadun tae.

 

Henkilötietojen käsittelystä säädetään mm. EU:n yleisessä tietosuoja-asetuksessa, asetusta täsmentävässä Tietosuojalaissa, Julkisuuslaissa sekä useissa viranomaisen toimintaa säätelevässä erityislaeissa. Käsittelyn perusteena oleva lainsäädäntö määrittää myös sen, mitä oikeuksia rekisteröidyllä on suhteessa henkilötietojensa käsittelyyn.

 

Määritelmät

EU:n yleisen tietosuoja-asetuksen mukaan ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

 

Henkilötietojen käsittelyn periaatteet

Kaupungin tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään.

 

Mitä henkilötietoja kaupungin palveluissa kerätään?

Yksilöintitietoja (nimi ja henkilötunnus) tarvitaan palvelun, laskujen ja viestinnän kohdentamiseksi juuri oikealle henkilölle. Eri palveluissa voidaan tarvita lisäksi myös muita yksilöintitietoja, kuten kiinteistötunnus.

Yhteystietoja (kotiosoite, puhelinnumero, sähköposti) tarvitaan asiakkaan tavoittamiseen kaikissa palveluissa.

Joissain lakisääteisissä palveluissa käsitellään myös asiakkaan taloudellisia tietoja. Esimerkiksi varhaiskasvatuksen asiakasmaksut määräytyvät tulojen mukaan. Tulotiedot ovat edellytys myös harkinnanvaraisen tai täydentävän toimeentulotuen myöntämiselle ja velkaneuvontapalveluille.

Terveystietoja käsitellään kaupungin perusturvapalveluissa terveys- ja hoivapalveluissa. Terveystietojen käsittely on vahvasti erityislainsäädännöllä säädeltyä ja niitä suojataan erityisen tarkasti.

Moniammatillisissa verkostoissa, kuten esim. oppilashuolto ja kuntouttava työtoiminta, eri asiantuntijat käsittelevät oman alansa mukaisia henkilötietoja asiakkaan kannalta parhaan palvelun toteuttamiseksi (mm. psykologit, sosiaalityöntekijät, kuraattorit, lääkärit, nuorisotyöntekijät). Tällaisissa verkostoissa käsiteltävät tiedot ovat ehdottoman luottamuksellisia.

 

Henkilötietojen täsmällisyys ja tarkastusoikeus

Lainmukaista käsittelyä on se, että kutakin palvelua varten kerätään vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi (tietojen minimointi).

Asiakkaalla on aina oikeus selvittää, käsitelläänkö hänen tietojaan ja mitä tietoja hänestä on kaupungin rekistereihin tallennettu. Käsiteltävät henkilötiedot ja käsittelyn perusteet selviävät palvelukohtaisesta selosteesta.- ks https://www.pieksamaki.fi/asiointi/tietosuojaselosteet/

Useissa asiointijärjestelmissä omien tietojen tarkastuksen voi suorittaa kirjautumalla itse asiointijärjestelmään, esimerkiksi Hyvis, Wilma ja muut asiointisovellukset. Mikäli omien tietojen tarkastaminen ei ole mahdollista suoraan asiointijärjestelmän kautta, voi omat tietonsa pyytää nähtäväksi tietopyyntölomakkeella Rekisteritietojen tarkastuspyyntölomake  Täytetyn lomakkeen voi lähettää sähköisesti tunnistautumalla Suomi.fi palvelussa ja lähettämällä sen sieltä Pieksämäen kaupungin kirjaamoon, josta se ohjataan rekisteritietojen käsittelijälle toimenpiteitä varten. Tai lomakkeen voi täyttää, tulostaa ja allekirjoitettuna lähettää tai toimittaa Pieksämäen kaupungin kirjaamoon, Pieksämäen kaupunki, Kirjaamo, Kauppakatu 1, 76100 Pieksämäki. Valmistaudu todistamaan henkilöllisyytesi pyynnön käsittelyä varten.

Henkilötietojen käsittelyssä pyritään myös varmistamaan säännöllisesti, että käsiteltävät henkilötiedot ovat täsmällisiä ja ajantasaisia. Epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viivytyksettä, mikäli käsittelyn perusteena oleva lainsäädäntö tai asetus sen sallii. Käytännössä esimerkiksi yhteystiedot saa oikaista aina. Monissa keskeisissä palveluissa yhteystietojen oikeellisuus pystytään varmistamaan Väestötietojärjestelmästä, jolloin käytössä on aina varmasti ajantasainen tieto. Asiakkaalla on aina oikeus pyytää tietojensa oikaisua.

 

Henkilötietojen säilytys

Kaupungin palveluissa henkilötietoja käsitellään niin pitkään, kuin asiakkuus, palveluntarve tai laskutusperuste on olemassa. Käsittelyn perusteena oleva lainsäädäntö, kirjanpitosäännökset tai mahdolliset oikaisupyyntöprosessit saattavat edellyttää tietojen säilyttämistä pidempään kuin palvelun tarve edellyttäisi. Lisäksi julkisella viranomaisella on oikeus ja velvollisuus joidenkin asiakirjojen pysyvään tai pitkäaikaissäilytykseen yleiseen etuun perustuvan arkistointi- ja tilastointitarkoituksen nojalla (tietosuoja-asetus art.89 kohta1). Mikäli säilytettävän tiedon ei tarvitse palvelun päättymisen jälkeen olla tunnistettavaa henkilötietoa, voidaan asiakastiedoista joissain tapauksissa poistaa tunnistetiedot, jolloin tieto säilytetään anonyymissä muodossa. Käytännössä viranomaisen toteuttama henkilötiedon pitkäaikaissäilytys palvelee lopulta usein myös asiakkaiden myöhempiä tarpeita, kuten lapsuuden rokotustiedot, koulutodistukset tai isyyden selvittäminen.

 

Henkilötietojen suojaaminen

Kaupungin palveluissa henkilötietoja saavat käsitellä vain ne työntekijät tai viranhaltijat, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisilla henkilökohtaisilla käyttöoikeuksilla, millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi pääsynhallinta, lokitiedot, varmuuskopiointi, palomuurit ja kulunvalvonta. Lisäksi kaikilta kaupungin työntekijöiltä edellytetään vaitiolovelvollisuutta, perehtymistä tietosuoja- ja turvaohjeisiin. Henkilöstöä koulutetaan säännöllisesti ja ohjeiden noudattamista valvotaan osana sisäistä valvontaa.

Kaupungilla on useita sopimusperusteisia palveluntarjoajia, joilla on tekninen pääsy henkilötietoihin taikka jotka käsittelevät henkilötietoja kaupungin lukuun. Tällaisia sopimuskumppaneita ovat esimerkiksi IT-palvelujen tarjoajat, ohjelmistojen ylläpitäjät ja yksityiset terveydenhuollon tai varhaiskasvatuksen palveluntuottajat. Palveluntuottajat ovat sopimuksessa sitoutuneet kaupungin edellyttämään tietosuojatasoon ja vaitioloon kaikessa henkilötietojen käsittelyssä.

Erityisiä henkilötietoja käsitellään vain kaupungin omilla palvelimilla sijaitsevissa järjestelmissä, joihin on pääsy suojatussa sisäverkossa taikka suojatulla etäyhteydellä.

Tietosuojavaatimusten vuoksi arkaluontoisia asiakas- ja potilastietoja ei käsitellä sähköpostilla.

 

Minne henkilötietoja voidaan luovuttaa?

Kaupungin palveluyksiköistä tietoja voidaan luovuttaa toisille viranomaisille, mikäli näillä on lain mukaan oikeus käsitellä kyseisiä tietoja. Kaupunkikonsernin sisällä tietoja luovutetaan säännönmukaisesti laskutusta tai palkanmaksua varten Kuntalaskenta Oy:lle.

Kaupunki ei luovuta henkilötietoja suoramarkkinointitarkoituksiin.

Kaupunki ei lähtökohtaisesti luovuta henkilötietoja kolmansiin maihin taikka EU:n ulkopuolelle.

 

Evästeet

Käytämme verkkopalvelussamme evästeitä (Cookie) käyttäjäkokemuksen parantamiseen ja käytön mittaamiseen.

 

Suostumus käsittelyperusteena

Suostumuksen perusteella henkilötietoja käsitellään silloin, kun käsittely ei perustu mihinkään lakisääteiseen tehtävään, yleiseen etuun, oikeutettuun etuun taikka sopimukseen. Esimerkiksi markkinointi ja viestintä hyödyntävät yhteystietoja mm. uutiskirjeissä. Tällainen yhteydenpito edellyttää vastaanottajan suostumusta, jonka tulee olla yksiselitteinen ja mahdollista peruuttaa. Suostumusta käytetään käsittelyperusteena myös kuvapankissa, lasten valokuvaamisessa kouluissa ja päiväkodeissa ja erilaisten kutsuvieraslistojen käsittelyssä. Suostumuksen perusteella käsiteltävä henkilötieto on poistettava, jos asiakas peruuttaa suostumuksensa (oikeus tulla unohdetuksi).

 

Oikeus vastustaa tai rajoittaa käsittelyä

Rekisteröidyllä voi olla käsittelyperusteesta ja -tavasta riippuen myös muita oikeuksia suhteessa henkilötietojen käsittelyyn. Mikäli henkilötietoa käsitellään vaikkapa tekoälyn avulla siten, että asiakasta koskevan päätöksen perusteena on automatisoitu valintaprosessi, on asiakkaalla oikeus vastustaa automaattista päätöksentekoa. Tällöin asiakkaan asia tulee käsitellä ihmisen toimesta. Kaupungilla ei tällä hetkellä ole käytössään järjestelmiä tai prosesseja, joissa päätöksenteko olisi automatisoitu.

Rekisteröidyllä on oikeus vaatia käsittelyn rajoittamista vain tietojen säilyttämiseen, mikäli rekisteröity on vastustanut käsittelyä, rajoittaminen on tarpeen oikeusvaateen esittämiseksi taikka rekisteröidyllä ja rekisterinpitäjällä on erimielisyys tietojen oikeellisuudesta. Tällöin rekisterinpitäjä ei saa poistaa tai muuttaa kyseistä henkilötietoa, vaikka ei sitä enää tarvitsisikaan, kunnes tietojen oikeellisuus on varmistettu tai on voitu varmistaa käsittelyn laillinen oikeutus.

 

Oikeus valittaa tietosuojaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta tai kansallisia tietosuojaa ohjaavia lakeja ja asetuksia.

Valvontaviranomaisen yhteystiedot:
Tietosuojavaltuutetun toimisto
PL 800
00521 HELSINKI
Käyntiosoite: Ratapihantie 9, 6 krs 00520 HELSINKI
Puh. 029 56 66700
tietosuoja(at)om.fi

 

Pieksämäen ja Mikkelin seudun kuntien yhteinen tietosuojavastaava
Päivi Malinen
puh. 044 794 2228
tietosuojavastaava(at)mikkeli.fi

Pieksämäen kaupungin tietoturva- ja tietosuojapolitiikka