Tietosuojaseloste
Tietosuojaseloste
Tietosuojainformointi ja tietosuojaselosteet VarsinaisSuomen hyvinvointialueella
9.1.2023
Informointivelvollisuus henkilötietojen käsittelystä
- EU:n yleinen tietosuoja-asetus (GDPR) edellyttää rekisterinpitäjää tiedottamaan henkilötietojen käsittelystä kaikille niille, joiden henkilötietoja käsitellään eli rekisteröidyille.
- Rekisterinpitäjän on annettava rekisteröidylle henkilötietojen käsittelyä koskevat tiedot tiiviissä, helposti ymmärrettävässä ja selkeässä muodossa.
- Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta, jotta tietojen käsittely olisi läpinäkyvää.
- Läpinäkyvyys henkilötietojen käsittelyssä on yksi keskeinen tietosuoja-asetuksessa säädetyistä tietosuojaperiaatteista.
Tietosuojaseloste informoinnin apuna
- Varsinais-Suomen hyvinvointialue toteuttaa informointivelvollisuutta tietosuojaselosteiden ja verkkosivuilla julkaistavien informointien avulla.
- Jos henkilötiedot kerätään suoraan rekisteröidyiltä itseltään, on huolehdittava, että tietosuojaseloste tai vastaavat tiedot ovat saatavilla ennen tietojen antamista.
- Tietosuojaselosteen laatimisesta ja ylläpitämisestä vastaa rekisterin tai käsittelytoimen vastuuhenkilö. Vastuuhenkilön tulee huolehtia, että tietosuojaseloste on saatavilla verkkosivuilla tai toimitettu rekisteröidylle.
- Valmiit tietosuojaselosteet toimitetaan myös tietosuojavastaavalle osoitteeseen tietosuoja@tyks.fi. Kun selosteeseen tulee muutoksia, siitä toimitetaan päivitetty versio.
- Keskeiset muutokset käsittelytoimissa on informoitava rekisteröidyille. Huom! Henkilötietojen käsittelyn tarkoitusta ei voi muuttaa yhteensopimattomaksi alkuperäisen tarkoituksen kanssa ilman lakiperustetta tai suostumusta.
- Lisäohjeita Tietosuojavaltuutetun verkkosivulla: https://tietosuoja.fi/rekisteroidyn-informointi
Nimeä henkilötietojen käsittelytoimi/ henkilörekisteri
- Anna henkilötietojen käsittelytoimelle tai henkilörekisterille nimi, joka ilmaisee sen tarkoituksen (esimerkiksi henkilöstörekisteri, asiakaspalautteiden käsittely) ja vaihda nimi selosteen otsikoksi.
- Käsittelytoimella tarkoitetaan kaikenlaisia toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti (esim. kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, luovuttaminen, levittäminen ja poistaminen).
- Tietosuojaseloste voi siis esim. kattaa toimintaprosessin, jossa käsitellään henkilötietoja tai tiettyyn tarkoitukseen kerätyt henkilötiedot eli henkilörekisterin.
- Rekisterinpitäjä
- Rekisterinpitäjällä tarkoitetaan henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä sen käytöstä.
- Varsinais-Suomen hyvinvointialue merkitään rekisterinpitäjäksi sen toimintaa koskevissa tietosuojaselosteissa.
- Käsittelytoimesta tai rekisteristä vastaava henkilö
- Nimeä rekisteristä tai käsittelytoimesta (toimintaprosessista) vastaavan henkilön tehtävänimike (esimerkiksi hyvinvointialuejohtaja). Nimi ei ole pakollinen tieto.
- Yhteyshenkilö
- Nimeä se taho, joka toimii yhteyshenkilönä kyseistä käsittelytoimea tai rekisteriä koskevissa asioissa.
- Yhteyshenkilö vastaa rekisteröityjen tiedusteluihin ja toimii myös käytännön yhteyshenkilönä rekisteriin liittyvissä asioissa hyvinvointialueen sisällä. Yhteyshenkilöitä voi tarvittaessa olla useita.
- Kirjaa tähän yhteyshenkilön tehtävänimike ja yhteystiedot, johon rekisteröidyt voivat ottaa yhteyttä (sähköpostiosoite ja puhelinnumero).
- Henkilötietojen käsittelyn tarkoitukset ja oikeusperuste
- Rekisterinpitäjän on määriteltävä laillinen käyttötarkoitus kaikille tiedoille, joita se ryhtyy toiminnassaan käsittelemään.
- Kirjaa tähän mihin tarkoitukseen henkilötietoja kerätään ja käytetään. Kerro esimerkiksi, minkä rekisterinpitäjälle kuuluvan tehtävän hoitamiseksi tietoja käsitellään (esimerkiksi asiakaspalautteiden käsittely tai henkilöstöhallinnolliset tehtävät) ja mihin tarkoituksiin henkilötietoja tässä tehtävässä käsitellään.
- Lisäksi kirjaa tähän, mihin tietosuoja-asetuksen mukaiseen käsittelyperusteeseen tietojen käsittely perustuu (esimerkiksi lakisääteinen velvollisuus tai suostumus).
- Esim. ”Henkilötietojen käsittelyn perusteena on rekisteröidyn suostumus (EU:n yleisen tietosuojaasetuksen artikla 6.1 a)”.
- EU:n tietosuoja-asetuksen mukaisia perusteita ovat joku tai jotkin alla olevista:
- rekisteröidyn suostumus
- sopimus
- rekisterinpitäjän lakisääteinen velvoite
- elintärkeiden etujen suojaaminen
- yleistä etua koskeva tehtävä tai julkinen valta
- rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
- Jos henkilötietojen käsittely perustuu lakisääteisen velvoitteen noudattamiseen, yksilöi laki tai keskeiset lait, joihin tietojen käsittely perustuu.
- Lisätietoa käsittelyperusteista Varhan tietosuojan yleisohjeessa ja tietosuojavaltuutetun toimiston verkkosivulla: https://tietosuoja.fi/kasittelyperusteet
- Kuvaus käsiteltävistä henkilötiedoista
- Kirjaa tähän kohtaan lyhyesti:
o keitä rekisteröidyt ovat (esim. työntekijät, asiakkaat),
o erittele henkilöiden yksilöintitiedot (esim. nimi, henkilötunnus, yhteystiedot) ja
o kuvaa rekisterin tietosisältö ryhmitellen tiedot tarvittaessa tietotyypeittäin.
- Säännönmukaiset henkilötietojen lähteet
- Kuvaa mistä rekisteriin talletettavat tiedot säännönmukaisesti saadaan.
- Tietoja voi kertyä rekisterinpitäjän omassa toiminnassa (esimerkiksi asiakkaasta laaditut asiakirjat), niitä voidaan saada rekisteröidyltä itseltään (esimerkiksi asiakkaan itse antamat tiedot) tai luovutuksina muista henkilörekistereistä (esimerkiksi väestörekisterikeskuksesta luovutettavat väestörekisteritiedot).
- Jos tietoja saadaan luovutuksena muualta, kirjaa millä perusteella luovutus tapahtuu (esimerkiksi rekisteröidyn suostumus tai lain säännös).
- Henkilötietojen säännönmukaiset luovutukset
- Kirjaa tieto siitä, luovutetaanko henkilötietoja säännönmukaisesti toisille rekisterinpitäjille. Jos tietoja luovutetaan, kirjaa seuraavat tiedot:
- kenelle tietoja luovutetaan,
- mitä tietoja luovutetaan,
- millä perusteella tietoja luovutetaan (esimerkiksi rekisteröidyn suostumus tai lain säännös)
- Esimerkiksi: Veroviranomaisille siirretään tiedot toimitetuista ennakonpidätyksistä ennakkoperintälain nojalla.
- Tietojen siirtäminen EU- tai ETA-maiden ulkopuolelle
- Kirjaa tieto siitä, siirretäänkö henkilötietoja EU- tai ETA-maiden ulkopuolelle esimerkiksi kolmanteen maahan tai kansainväliselle järjestölle.
- Jos tietoja siirretään edellä mainituille tahoille, kirjaa kohtaan seuraavat tiedot:
- kenelle tietoja siirretään,
- millä perusteella tietoja siirretään ja
- tiedot asianmukaisista suojatoimista, jos kyseessä on tietosuoja-asetuksen 49 artiklan toisessa kappaleessa tarkoitettu erityistilanne.
- Lisätietoa siirroista: https://tietosuoja.fi/henkilotietojen-siirrot-etan-ulkopuolelle
- Henkilötietojen säilytys
- Määrittele tähän kohtaan henkilötietojen säilytysajat. Säilytysaika voi perustua lakiin tai se määritellään käyttötarkoituksen perusteella.
- Henkilötietojen säilytysaika on pidettävä mahdollisimman lyhyenä, eikä henkilötietoja tule säilöä varmuuden vuoksi tai laki edellytä pidempää säilytysaikaa.
- Jos et ole varma tietojen säilytysajasta, ole yhteydessä hyvinvointialueen asiakirjahallintoon, joka ohjeistaa säilytysajoista.
- Henkilötietojen käsittely- ja suojausperiaatteet
- Lisää tähän kohtaan tiivis kuvaus siitä, miten henkilötiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla tietojen käyttöä valvotaan.
- Voit viitata kuvauksessa myös esimerkiksi tietosuoja- ja tietoturvapolitiikkaan tai muuhun julkiseen hyvinvointialueen dokumentaatioon.
- Rekisteröidyn oikeudet ja niiden toteuttaminen
- Tässä kohdassa voit viitata Varsinais-Suomen hyvinvointialueen verkkosivuilta löytyvään yleiseen informaatioon.
- Jos rekisteröityjen oikeuksien toteuttamiseen on erillisiä rekisteri- tai yksikkökohtaisia ohjeita, voit kuvata ne tässä.
- Tietosuojavastaavan yhteystiedot
- Kirjaa tähän tietosuojavastaavan sähköpostiosoite: tietosuoja@varha.fi .
Lopuksi päivää tietosuojaseloste. Lähetä valmis seloste tiedoksi tietosuojavastaavalle.
Lisätietoa ohjeesta antaa:
Varhan tietosuojavastaava: tietosuoja@varha.fi