HENKILÖTIETOJEN KÄSITTELYOHJE
HENKILÖTIETOJEN KÄSITTELYOHJE
Pääsopimuksen liite
TIETOSUOJASOPIMUKSEN LIITE: HENKILÖTIETOJEN KÄSITTELYOHJE
1. Ohjeen tarkoitus
Henkilötietojen käsittelyohje perustuu EU:n tietosuoja-asetukseen (EU 679/2016) ja Suomen tietosuojalakiin 1050/2018. Henkilötietojen käsittelyohjeen tarkoituksena on ohjeistaa palveluntuottajia, jotka käsittelevät henkilötietoja kuntayhtymän lukuun. Keski-Uudenmaan sote -kuntayhtymä toimii sopimuksen nojalla rekisterinpitäjänä ja palveluntuottaja toimii henkilötietojen käsittelijänä.
1.1. Keskeiset käsitteet
Käsitteet on määritelty tietosuoja-asetuksessa
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXXXXX%0X00000X0000 xxxxx://xxx.xxxxxxx-xxxxxxxxxx.xx/xx/0.xxx
PDF-muodossa: xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXX/?xxxxXXXXX:00000X0000- 20160504&from=FI
2. Henkilötietojen käsittelyn periaatteet
Henkilötietojen käsittelyssä henkilötietojen käsittelijän on noudatettava voimassa olevan kansallisen ja EU- tietosuojalainsäädännön vaatimuksia, mukaan lukien EU yleinen tietosuoja-asetuksen vaatimuksia.
Tällä ohjeella rekisterinpitäjä tarkentaa käsittelyn periaatteita ja menettelytapoja.
Käsittelijän on noudatettava tietosuoja-asetuksen 5 artiklan/1kohta mukaan seuraavia henkilötietojen käsittelyä koskevia vaatimuksia. Rekisterinpitäjä vastaa ja sen on pystyttävä osoittamaan, että artiklan mukaisia käsittelyn periaatteita noudatetaan palvelun tuottamisessa, jolloin palveluntuottajan (käsittelijän) on huolehdittava seuraavista velvoitteista:
1. Tietoja on käsiteltävä rekisterinpitäjän ohjeistuksen mukaisesti ja rekisteröidyn kannalta läpinäkyvästi
🡺 Käsittelijä käsittelee tietoja kirjallisten palvelupyyntöjen toteuttamiseen käyttäjien tukemiseksi, IT- palvelun ylläpitämiseksi ja palveluun liittyvien poikkeamatilanteiden selvittämiseen rekisterinpitäjän ohjeistuksen mukaisesti.
🡺 Rekisterinpitäjä ja käsittelijä sopivat henkilötietojen käsittelystä erillisellä Henkilötietojen käsittelysopimuksella (Tietosuojasopimuksella), joka on osa pääsopimusta.
HENKILÖTIETOJEN KÄSITTELYOHJE
Pääsopimuksen liite
2. Tiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla
🡺 Henkilötietojen käyttö on sallittu vain sopimuksessa määriteltyyn tarkoitukseen.
3. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään
🡺 Rekisterinpitäjä määrittelee käsiteltävät tiedot.
4. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä
🡺 Xxxxxxxxx määritellään palvelusopimuksen palvelutason mukaan.
🡺 Käsittelijä suorittaa edellä mainitut toimenpiteet vain rekisterinpitäjän pyynnöstä.
5. Tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
🡺 Käsittelystä ja sen kestosta on sovittu sopimuksessa.
🡺 Säilytysajat määrittelee rekisterinpitäjä.
6. Tietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia
🡺 käsittelijän tulee osoittaa tekniset ja organisatoriset turvatoimet joko erillisellä Tietoturvaliitteellä tai kuvaamalla toimenpiteet riittävästi Henkilötietojen käsittelyn kuvaus liitteessä.
3. Tietojen suojaaminen
Henkilötietojen käsittelijän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelemiseltä. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. Rekisterinpitäjä kommunikoi riskitason käsittelijälle ja riskitasoa vastaavat minimitoimenpiteet. Minimivaatimukset ovat dokumentoitu tietoturvaliitteessä.
Tietojen suojaamiseksi on muun muassa huolehdittava siitä, että:
1. Henkilötietojen tekninen suojaaminen on hoidettu
2. Henkilötietojen käsittelijän palomuurit, virustorjunta, salausjärjestelmät, langattomat yhteydet ym. tekninen tietoturva on käyttöpalvelusopimuksessa määrittelyn mukaisessa kunnossa.
HENKILÖTIETOJEN KÄSITTELYOHJE
Pääsopimuksen liite
3. Henkilötietojen käsittelijällä on menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi
🡺 Käsittelijällä on suojaamista koskeva dokumentaatio, joka on rekisterinpitäjän saatavilla ja se on osa sopimusta (tietoturvaliite).
🡺 Käsittelijältä jää sormenjäljet tekniseen lokiin, joka tulee olla rekisterinpitäjällä saatavilla pyydettäessä.
4. Henkilötietojen käsittelijä pystyy takaamaan käsittelyjärjestelmien ja palveluiden jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden käyttöpalvelusopimuksen mukaisesti. Rekisterinpitäjän käyttöympäristössä on useita toimittajia ja jokainen toimittaja vastaa omasta osuudestaan sopimuksensa mukaisesti.
5. Henkilötietojen käsittelijä pystyy palauttamaan nopeasti tietojen saatavuuden sekä pääsyn tietoihin fyysisen tai teknisen vian sattuessa
🡺 Edellä mainituista (kohdat 4 ja 5) on sovittu sopimuksessa ja/tai ylläpitosopimuksessa
🡺 Tietoturvaliitteen muutoshallinta, tehdään vain kirjallisilla tilauksilla. Osapuoli, joka huomaa muutostarpeen ottaa asian esille sovitulla menettelyllä.
6. Henkilötietojen käsittelijä on määritelty ne työtehtävät ja henkilöt työpaikalla, jotka käsittelevät työtehtäviensä vuoksi henkilötietoja. Henkilökuntaa on koulutettu ja käytössä on vaitiolositoumus, velvoite jatkuu myös käsittelijän/työntekijän poistuessa työnantajan/ palveluntuottajan palveluksesta
🡺 Käsittelijän tulee osoittaa dokumentaatiolla, kenellä palveluntuottajan henkilöillä on oikeus rekisterinpitäjän henkilötietojen käsittelyyn ja millä tasolla
🡺 Rekisterinpitäjä määrittelee, keillä henkilötietojen käsittelijän henkilöillä on pääsy järjestelmään.
🡺 Rekisterinpitäjä määrittelee henkilöt, joilla on oikeus tehdä palvelupyyntöjä käsittelijälle.
🡺 Käsittelijä tarkistaa, mistä organisaatiosta palvelupyyntö tulee, jos se koskee HUS–alueen yhteisrekisteriä (huomioiden tässäkin rekisterinpitäjän oikeudet)
🡺 Vain rekisterinpitäjä voi antaa palvelupyynnön ja luvan henkilötietojen käsittelyyn.
4. Henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus
Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.
🡺 Tämä on kuvattu tietosuojasopimuksessa.
🡺 Ilmoitus tulee tehdä puhelimitse tai sähköpostilla alla oleviin osoitteisiin: Tietosuojavastaava Xxxx Xxxxxxxxx, 050 497 2638, xxxxxxxxxxxxxxxxxx@xxxxxxx.xx
Tietoturvapäällikkö Xxxx Xxxxxxx, 050 497 2496, xxxx.xxxxxxx@xxxxxxx.xx
Tietohallintojohtaja Xxxxx Xxx-Xxxxxx, 050 497 2514, xxxxx.xxx-xxxxxx@xxxxxxx.xx
HENKILÖTIETOJEN KÄSITTELYOHJE
Pääsopimuksen liite
5. Erityisten henkilötietoryhmienkäsittely
Tietosuoja-asetuksen 9 artiklan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittinen suuntautuminen, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
Henkilötietojen käsittelijän tulee käsitellä erityisiä henkilötietoryhmiä erityistä huolellisuutta noudattaen.
🡺 Käsittelijällä tulee olla ohjeistus salassa pidettävän ja erityisiä henkilötietoryhmiä sisältäviä tiedon käsittelystä.
🡺 Keskeinen ohjeistus on kuvattu tarvittaessa erillisessä liitteessä.
Henkilötietojen käsittelijän tulee huolehtia kerättävien ja käsiteltävien henkilötietojen suojaamisesta ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä, sekä muulta laittomalta käsittelyltä tietosuoja -ja tietoturvanäkökohdat huomioiden.
Henkilötietojen käsittelijän tulee huomioida kaikessa käsittelyn vaiheessa, että henkilötiedot ovat suojattu samalla suojaustasolla kuin ne ovat järjestelmässä esim. siirrettävät potilastiedot ovat koko prosessin aikana salattuna.
🡺 Käsittelystä on sovittu pääsopimuksella ja tarkennettu käsiteltäviä henkilötietoja liitteenä olevassa Henkilötietojen käsittelyä koskevassa kuvauksessa ja siinä on mainittu, mihin henkilötietojen käsittely perustuu (esim. sopimus/rekisterinpitäjän velvoite palveluiden toteuttamiseksi) ja erikseen mainittu, jos tietojen käsittely sisältää artiklan 9 mukaisia erityisiä henkilötietoja, kuten terveyttä koskevia tietoja.
🡺 Käsittelijä ohjeistaa ja kouluttaa henkilökuntaansa riittävästi sopimuksen mukaiseen käsittelyyn.
6. Henkilötunnuksen käsittely
Henkilötunnusta saa käsitellä rekisteröidyn antamalla suostumuksella tai, jos käsittelystä säädetään laissa.
🡺 Rekisterinpitäjä määrittelee, mihin henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin on tarpeellista tulostaa henkilötunnus. Henkilötietojen käsittelijä noudattaa rekisterinpitäjän ohjeistusta.
7. Henkilötietojen asianmukainen hävittäminen
Tiedot tulee hävittää tietosuoja ja tietoturva varmistaen niin, että tiedot eivät joudu asiattomien käsiin. Lisäksi manuaaliset ja sähköiset asiakirjat tulee hävittää siten, että niitä ei enää voida yhdistää luonnolliseen henkilöön. Virheelliset ja vanhentuneet tiedot tulee hävittää välittömästi.
🡺 Rekisterinpitäjä indikoi mitkä tiedot ovat virheellisiä ja vanhentuneita.
🡺 Palvelupyynnön perusteella henkilötietojen käsittelijä tekee toimenpiteet, huomioiden myös asianmukaisen säilytysajan.
HENKILÖTIETOJEN KÄSITTELYOHJE
Pääsopimuksen liite
🡺 Henkilötietojen hävittämisestä on sovittu sopimuksessa ja/tai Henkilötietojen käsittelyä koskevassa kuvauksessa.
🡺 Pyynnöt tietojen korjaukseen tai poistamiseen tulevat aina rekisterinpitäjältä.
8. Salassapito ja vaitiolovelvollisuus
Henkilötietojen käsittelijä on velvollinen pitämään salassa sopimussuhteen aikana tietoonsa saamat asiat ja vaitiolovelvollisuus jatkuu sopimussuhteen päätyttyä.
🡺 Salassapidosta on sovittu osana sopimusta.
🡺 Käsittelijällä on käytössä vaitiolositoumukset (dokumentointi velvoite).