Tietosuoja Juvan kunnan palveluissa
Henkilötietojen suoja on osa yksityisyydensuojaa, joka on kansalaisen perusoikeus. Digitaalisten palvelujen yleistyessä tietosuoja on myös asiakkaan luottamuksen perusedellytys ja palvelun laadun tae.
Henkilötietojen käsittelystä säädetään mm. EU:n yleisessä tietosuoja-asetuksessa, asetusta täsmentävässä Tietosuojalaissa, Julkisuuslaissa sekä useissa viranomaisen toimintaa säätelevässä erityislaeissa. Käsittelyn perusteena oleva lainsäädäntö määrittää myös sen, mitä oikeuksia rekisteröidyllä on suhteessa henkilötietojensa käsittelyyn.
Määritelmät
EU:n yleisen tietosuoja-asetuksen mukaan ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
’Käsittelyllä’ tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Henkilötietojen käsittelyn periaatteet
Kunnan tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään.
Mitä henkilötietoja kunnan palveluissa kerätään?
Yksilöintitietoja (nimi ja henkilötunnus) tarvitaan palvelun, laskujen ja viestinnän kohdentamiseksi juuri oikealle henkilölle. Eri palveluissa voidaan tarvita lisäksi myös muita yksilöintitietoja, kuten kiinteistötunnus tai auton rekisteritunnus.
Yhteystietoja (kotiosoite, puhelinnumero, sähköposti) tarvitaan asiakkaan tavoittamiseen kaikissa palveluissa.
Joissain lakisääteisissä palveluissa käsitellään myös asiakkaan taloudellisia tietoja, esim. varhaiskasvatuksen asiakasmaksujen määrittämisessä.
Moniammatillisissa verkostoissa, kuten oppilashuolto ja kuntouttava työtoiminta, eri asiantuntijat käsittelevät oman alansa mukaisia henkilötietoja asiakkaan kannalta parhaan palvelun toteuttamiseksi (mm. psykologit, sosiaalityöntekijät, kuraattorit, lääkärit, nuorisotyöntekijät). Tällaisissa verkostoissa käsiteltävät tiedot ovat ehdottoman luottamuksellisia.
Kunnan verkkosivustolla käytetään yleisesti evästeitä palvelun käytön helpottamiseksi. Sen lisäksi joillain sivustoilla ja sivuston osilla evästeitä käytetään käyttäjätilastointiin. Käyttäjä voi valita selaimen asetuksista, hyväksyykö evästeiden käytön.
Henkilötietojen täsmällisyys ja tarkastusoikeus
Lainmukaista käsittelyä on se, että kutakin palvelua varten kerätään vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi (tietojen minimointi).
Asiakkaalla on aina oikeus selvittää, käsitelläänkö hänen tietojaan ja mitä tietoja hänestä on kunnan rekistereihin tallennettu. Käsiteltävät henkilötiedot ja käsittelyn perusteet selviävät palvelukohtaisesta selosteesta.
Useissa asiointijärjestelmissä omien tietojen tarkastuksen voi suorittaa kirjautumalla itse asiointijärjestelmään, esim. Wilma ja Lupapiste. Mikäli omien tietojen tarkastaminen ei ole mahdollista suoraan asiointijärjestelmän kautta, voi omat tietonsa pyytää nähtäväksi tekemällä henkilötietopyynnön sähköpostitse osoitteeseen tietosuojavastaava(at)juva.fi tai Juvan asiointipisteessä. Valmistaudu todistamaan henkilöllisyytesi pyynnön käsittelyä varten.
Henkilötietojen käsittelyssä pyritään myös varmistamaan säännöllisesti, että käsiteltävät henkilötiedot ovat täsmällisiä ja ajantasaisia. Epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viivytyksettä, mikäli käsittelyn perusteena oleva lainsäädäntö tai asetus sen sallii. Käytännössä esimerkiksi yhteystiedot saa oikaista aina. Monissa keskeisissä palveluissa yhteystietojen oikeellisuus pystytään varmistamaan Väestötietojärjestelmästä, jolloin käytössä on aina varmasti ajantasainen tieto. Asiakkaalla on aina oikeus pyytää tietojensa oikaisua.
Henkilötietojen säilytys
Kunnan palveluissa henkilötietoja käsitellään niin pitkään, kuin asiakkuus, palveluntarve tai laskutusperuste on olemassa. Käsittelyn perusteena oleva lainsäädäntö, kirjanpitosäännökset tai mahdolliset oikaisupyyntöprosessit saattavat edellyttää tietojen säilyttämistä pidempään kuin palvelun tarve edellyttäisi. Lisäksi julkisella viranomaisella on oikeus ja velvollisuus joidenkin asiakirjojen pysyvään tai pitkäaikaissäilytykseen yleiseen etuun perustuvan arkistointi- ja tilastointitarkoituksen nojalla (tietosuoja-asetus art.89 kohta1). Mikäli säilytettävän tiedon ei tarvitse palvelun päättymisen jälkeen olla tunnistettavaa henkilötietoa, voidaan asiakastiedoista joissain tapauksissa poistaa tunnistetiedot, jolloin tieto säilytetään anonyymissä muodossa. Käytännössä viranomaisen toteuttama henkilötiedon pitkäaikaissäilytys palvelee lopulta usein myös asiakkaiden myöhempiä tarpeita, esim. koulutodistukset.
Henkilötietojen suojaaminen
Kunnan palveluissa henkilötietoja saavat käsitellä vain ne työntekijät tai viranhaltijat, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisilla henkilökohtaisilla käyttöoikeuksilla, millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi pääsynhallinta, lokitiedot, varmuuskopiointi, palomuurit ja kulunvalvonta. Lisäksi kaikilta kunnan työntekijöiltä edellytetään vaitiolovelvollisuutta, perehtymistä tietoturva- ja tietosuojaohjeisiin. Henkilöstöä koulutetaan säännöllisesti ja ohjeiden noudattamista valvotaan.
Kunnalla on useita sopimusperusteisia palveluntarjoajia, joilla on tekninen pääsy henkilötietoihin taikka jotka käsittelevät henkilötietoja kunnan lukuun. Tällaisia sopimuskumppaneita ovat esimerkiksi IT-palvelujen tarjoajat, ohjelmistojen ylläpitäjät ja yksityiset varhaiskasvatuksen palveluntuottajat. Palveluntuottajat ovat sopimuksessa sitoutuneet kunnan edellyttämään tietosuojatasoon ja vaitioloon kaikessa henkilötietojen käsittelyssä.
Tietosuojavaatimusten vuoksi arkaluontoisia asiakastietoja ei käsitellä suojaamattomalla sähköpostilla.
Minne henkilötietoja voidaan luovuttaa?
Kunnan palveluyksiköistä tietoja voidaan luovuttaa toisille viranomaisille, mikäli näillä on lain mukaan oikeus käsitellä kyseisiä tietoja. Laskutusta tai palkanmaksua varten tarvittavat tiedot luovutetaan sopimusperusteisesti palvelun toimittajalle.
Kunta ei luovuta henkilötietoja suoramarkkinointitarkoituksiin.
Kunta ei lähtökohtaisesti luovuta henkilötietoja kolmansiin maihin taikka EU:n ulkopuolelle.
Suostumus käsittelyperusteena
Suostumuksen perusteella henkilötietoja käsitellään silloin, kun käsittely ei perustu mihinkään lakisääteiseen tehtävään, yleiseen etuun, oikeutettuun etuun taikka sopimukseen. Esimerkiksi markkinointi ja viestintä hyödyntävät yhteystietoja mm. uutiskirjeissä. Tällainen yhteydenpito edellyttää vastaanottajan suostumusta, jonka tulee olla yksiselitteinen ja mahdollista peruuttaa. Suostumusta käytetään käsittelyperusteena lasten valokuvaamisessa kouluissa ja päiväkodeissa sekä erilaisten kutsuvieraslistojen käsittelyssä. Suostumuksen perusteella käsiteltävä henkilötieto on poistettava, jos asiakas peruuttaa suostumuksensa (oikeus tulla unohdetuksi).
Oikeus vastustaa tai rajoittaa käsittelyä
Rekisteröidyllä voi olla käsittelyperusteesta ja -tavasta riippuen myös muita oikeuksia suhteessa henkilötietojen käsittelyyn. Mikäli henkilötietoa käsitellään vaikkapa tekoälyn avulla siten, että asiakasta koskevan päätöksen perusteena on automatisoitu valintaprosessi, on asiakkaalla oikeus vastustaa automaattista päätöksentekoa. Tällöin asiakkaan asia tulee käsitellä ihmisen toimesta. Kunnalla ei tällä hetkellä ole käytössään järjestelmiä tai prosesseja, joissa päätöksenteko olisi automatisoitu.
Rekisteröidyllä on oikeus vaatia käsittelyn rajoittamista vain tietojen säilyttämiseen, mikäli rekisteröity on vastustanut käsittelyä, rajoittaminen on tarpeen oikeusvaateen esittämiseksi taikka rekisteröidyllä ja rekisterinpitäjällä on erimielisyys tietojen oikeellisuudesta. Tällöin rekisterinpitäjä ei saa poistaa tai muuttaa kyseistä henkilötietoa, vaikka ei sitä enää tarvitsisikaan, kunnes tietojen oikeellisuus on varmistettu tai on voitu varmistaa käsittelyn laillinen oikeutus.
Oikeus valittaa tietosuojaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta tai kansallisia tietosuojaa ohjaavia lakeja ja asetuksia.
Juvan tietosuojavastaavan yhteystiedot
Päivi Malinen
PL 33, 50101 Mikkeli
puh. 044 794 2228
tietosuojavastaava(at)juva.fi
Valvontaviranomaisen yhteystiedot
Tietosuojavaltuutetun toimisto
PL 800
00521 HELSINKI
Käyntiosoite: Ratapihantie 9, 6 krs 00520 HELSINKI
Puh. 029 56 66700
tietosuoja(at)om.fi