Tietosuojaseloste

Tietosuojaseloste

                                                                                              

Tietosuojainformointi ja tietosuojaselosteet VarsinaisSuomen hyvinvointialueella

 

9.1.2023

Informointivelvollisuus henkilötietojen käsittelystä 

  • EU:n yleinen tietosuoja-asetus (GDPR) edellyttää rekisterinpitäjää tiedottamaan henkilötietojen käsittelystä kaikille niille, joiden henkilötietoja käsitellään eli rekisteröidyille. 
  • Rekisterinpitäjän on annettava rekisteröidylle henkilötietojen käsittelyä koskevat tiedot tiiviissä, helposti ymmärrettävässä ja selkeässä muodossa. 
  • Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta, jotta tietojen käsittely olisi läpinäkyvää.  
  • Läpinäkyvyys henkilötietojen käsittelyssä on yksi keskeinen tietosuoja-asetuksessa säädetyistä tietosuojaperiaatteista.  

Tietosuojaseloste informoinnin apuna 

  • Varsinais-Suomen hyvinvointialue toteuttaa informointivelvollisuutta tietosuojaselosteiden ja verkkosivuilla julkaistavien informointien avulla.  
  • Jos henkilötiedot kerätään suoraan rekisteröidyiltä itseltään, on huolehdittava, että tietosuojaseloste tai vastaavat tiedot ovat saatavilla ennen tietojen antamista. 
  • Tietosuojaselosteen laatimisesta ja ylläpitämisestä vastaa rekisterin tai käsittelytoimen vastuuhenkilö. Vastuuhenkilön tulee huolehtia, että tietosuojaseloste on saatavilla verkkosivuilla tai toimitettu rekisteröidylle. 
  • Valmiit tietosuojaselosteet toimitetaan myös tietosuojavastaavalle osoitteeseen tietosuoja@tyks.fi. Kun selosteeseen tulee muutoksia, siitä toimitetaan päivitetty versio. 
  • Keskeiset muutokset käsittelytoimissa on informoitava rekisteröidyille. Huom! Henkilötietojen käsittelyn tarkoitusta ei voi muuttaa yhteensopimattomaksi alkuperäisen tarkoituksen kanssa ilman lakiperustetta tai suostumusta. 
  • Lisäohjeita Tietosuojavaltuutetun verkkosivulla: https://tietosuoja.fi/rekisteroidyn-informointi    

Nimeä henkilötietojen käsittelytoimi/ henkilörekisteri 

  • Anna henkilötietojen käsittelytoimelle tai henkilörekisterille nimi, joka ilmaisee sen tarkoituksen (esimerkiksi henkilöstörekisteri, asiakaspalautteiden käsittely) ja vaihda nimi selosteen otsikoksi. 
  • Käsittelytoimella tarkoitetaan kaikenlaisia toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti (esim. kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, luovuttaminen, levittäminen ja poistaminen).  
  • Tietosuojaseloste voi siis esim. kattaa toimintaprosessin, jossa käsitellään henkilötietoja tai tiettyyn tarkoitukseen kerätyt henkilötiedot eli henkilörekisterin. 
  1. Rekisterinpitäjä 
  • Rekisterinpitäjällä tarkoitetaan henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä sen käytöstä.  
  • Varsinais-Suomen hyvinvointialue merkitään rekisterinpitäjäksi sen toimintaa koskevissa tietosuojaselosteissa.
  1. Käsittelytoimesta tai rekisteristä vastaava henkilö 

-     Nimeä rekisteristä tai käsittelytoimesta (toimintaprosessista) vastaavan henkilön tehtävänimike (esimerkiksi hyvinvointialuejohtaja). Nimi ei ole pakollinen tieto. 

  1. Yhteyshenkilö 
  • Nimeä se taho, joka toimii yhteyshenkilönä kyseistä käsittelytoimea tai rekisteriä koskevissa asioissa.  
  • Yhteyshenkilö vastaa rekisteröityjen tiedusteluihin ja toimii myös käytännön yhteyshenkilönä rekisteriin liittyvissä asioissa hyvinvointialueen sisällä. Yhteyshenkilöitä voi tarvittaessa olla useita. 
  • Kirjaa tähän yhteyshenkilön tehtävänimike ja yhteystiedot, johon rekisteröidyt voivat ottaa yhteyttä (sähköpostiosoite ja puhelinnumero). 
  1. Henkilötietojen käsittelyn tarkoitukset ja oikeusperuste 
  • Rekisterinpitäjän on määriteltävä laillinen käyttötarkoitus kaikille tiedoille, joita se ryhtyy toiminnassaan käsittelemään.  
  • Kirjaa tähän mihin tarkoitukseen henkilötietoja kerätään ja käytetään. Kerro esimerkiksi, minkä rekisterinpitäjälle kuuluvan tehtävän hoitamiseksi tietoja käsitellään (esimerkiksi asiakaspalautteiden käsittely tai henkilöstöhallinnolliset tehtävät) ja mihin tarkoituksiin henkilötietoja tässä tehtävässä käsitellään. 
  • Lisäksi kirjaa tähän, mihin tietosuoja-asetuksen mukaiseen käsittelyperusteeseen tietojen käsittely perustuu (esimerkiksi lakisääteinen velvollisuus tai suostumus).  
  • Esim. ”Henkilötietojen käsittelyn perusteena on rekisteröidyn suostumus (EU:n yleisen tietosuojaasetuksen artikla 6.1 a)”.  
  • EU:n tietosuoja-asetuksen mukaisia perusteita ovat joku tai jotkin alla olevista: 
    • rekisteröidyn suostumus 
    • sopimus  
    • rekisterinpitäjän lakisääteinen velvoite 
    • elintärkeiden etujen suojaaminen 
    • yleistä etua koskeva tehtävä tai julkinen valta 
    • rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu 
  • Jos henkilötietojen käsittely perustuu lakisääteisen velvoitteen noudattamiseen, yksilöi laki tai keskeiset lait, joihin tietojen käsittely perustuu.
  • Lisätietoa käsittelyperusteista Varhan tietosuojan yleisohjeessa ja tietosuojavaltuutetun toimiston verkkosivulla: https://tietosuoja.fi/kasittelyperusteet    
  1. Kuvaus käsiteltävistä henkilötiedoista 

-           Kirjaa tähän kohtaan lyhyesti: 

o   keitä rekisteröidyt ovat (esim. työntekijät, asiakkaat), 

o   erittele henkilöiden yksilöintitiedot (esim. nimi, henkilötunnus, yhteystiedot) ja 

o   kuvaa rekisterin tietosisältö ryhmitellen tiedot tarvittaessa tietotyypeittäin. 

  1. Säännönmukaiset henkilötietojen lähteet 
  • Kuvaa mistä rekisteriin talletettavat tiedot säännönmukaisesti saadaan.  
  • Tietoja voi kertyä rekisterinpitäjän omassa toiminnassa (esimerkiksi asiakkaasta laaditut asiakirjat), niitä voidaan saada rekisteröidyltä itseltään (esimerkiksi asiakkaan itse antamat tiedot) tai luovutuksina muista henkilörekistereistä (esimerkiksi väestörekisterikeskuksesta luovutettavat väestörekisteritiedot).  
  • Jos tietoja saadaan luovutuksena muualta, kirjaa millä perusteella luovutus tapahtuu (esimerkiksi rekisteröidyn suostumus tai lain säännös).  
  1. Henkilötietojen säännönmukaiset luovutukset 
  • Kirjaa tieto siitä, luovutetaanko henkilötietoja säännönmukaisesti toisille rekisterinpitäjille. Jos tietoja luovutetaan, kirjaa seuraavat tiedot:
  •  kenelle tietoja luovutetaan, 
  •   mitä tietoja luovutetaan,  
  • millä perusteella tietoja luovutetaan (esimerkiksi rekisteröidyn suostumus tai lain säännös) 
  • Esimerkiksi: Veroviranomaisille siirretään tiedot toimitetuista ennakonpidätyksistä ennakkoperintälain nojalla. 
  1. Tietojen siirtäminen EU- tai ETA-maiden ulkopuolelle 
  • Kirjaa tieto siitä, siirretäänkö henkilötietoja EU- tai ETA-maiden ulkopuolelle esimerkiksi kolmanteen maahan tai kansainväliselle järjestölle.  
  • Jos tietoja siirretään edellä mainituille tahoille, kirjaa kohtaan seuraavat tiedot: 
  •  kenelle tietoja siirretään, 
  •  millä perusteella tietoja siirretään ja 
  •  tiedot asianmukaisista suojatoimista, jos kyseessä on tietosuoja-asetuksen 49 artiklan toisessa kappaleessa tarkoitettu erityistilanne. 
  1. Henkilötietojen säilytys 
  • Määrittele tähän kohtaan henkilötietojen säilytysajat. Säilytysaika voi perustua lakiin tai se määritellään käyttötarkoituksen perusteella.  
  • Henkilötietojen säilytysaika on pidettävä mahdollisimman lyhyenä, eikä henkilötietoja tule säilöä varmuuden vuoksi tai laki edellytä pidempää säilytysaikaa. 
  • Jos et ole varma tietojen säilytysajasta, ole yhteydessä hyvinvointialueen asiakirjahallintoon, joka ohjeistaa säilytysajoista. 
  1. Henkilötietojen käsittely- ja suojausperiaatteet 
  • Lisää tähän kohtaan tiivis kuvaus siitä, miten henkilötiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla tietojen käyttöä valvotaan.  
  • Voit viitata kuvauksessa myös esimerkiksi tietosuoja- ja tietoturvapolitiikkaan tai muuhun julkiseen hyvinvointialueen dokumentaatioon. 
  1. Rekisteröidyn oikeudet ja niiden toteuttaminen 
  • Tässä kohdassa voit viitata Varsinais-Suomen hyvinvointialueen verkkosivuilta löytyvään yleiseen informaatioon. 
  • Jos rekisteröityjen oikeuksien toteuttamiseen on erillisiä rekisteri- tai yksikkökohtaisia ohjeita, voit kuvata ne tässä. 
  1. Tietosuojavastaavan yhteystiedot 

        -     Kirjaa tähän tietosuojavastaavan sähköpostiosoite: tietosuoja@varha.fi . 

Lopuksi päivää tietosuojaseloste. Lähetä valmis seloste tiedoksi tietosuojavastaavalle. 

Lisätietoa ohjeesta antaa:

Varhan tietosuojavastaava: tietosuoja@varha.fi 

 

Tulosta tämä sivu