Tietosuojapolitiikka Forssan seurakunta

 

Johdanto

Tietosuojapolitiikka määrittää ne periaatteet, toimintatavat ja vastuut, joita noudatetaan Forssan seurakunnan tietosuojan toteuttamisessa ja kehittämisessä. Tämä tietosuojapolitiikka koskee henkilötietojen käsittelyä, jossa seurakunta toimii rekisterinpitäjänä. Kirkkoneuvoston hyväksymä tietosuojapolitiikka on tietosuojan ylin asiakirja seurakunnassa.

Seurakunnan johto tietosuojatoiminnan omistajana määrittelee tässä politiikassa johtamiseen ja toimintaan liittyvät tietosuojaperiaatteet, vastuut ja tavoitteet. Tietosuojapolitiikka toimii perustana seurakunnan tietosuojaohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja ohjeistaa niiden soveltamista käytäntöön.

Tietosuojapolitiikka koskee seurakunnan henkilöstöä ja niitä seurakunnan sidosryhmien edustajia (mm. luottamushenkilöt ja vapaaehtoiset), jotka käsittelevät seurakunnan omistamaa tai hallinnoimaa tietoa. Tietosuojaselosteissa määritellään tarkemmin tiedon omistaja. Politiikka kattaa seurakunnan omistaman tiedon riippumatta sen esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta.

Tämä politiikka on saatavissa Forssan seurakunnan Yhteiset-levyalueella.

Tietosuojan määritelmä

Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Tämä tarkoittaa, että henkilötietojen käsittelyn tulee olla asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten joko asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla (kts. kappale Tietosuojan toteuttaminen). Henkilötietojen suojalla tarkoitetaan myös jokaiselle turvattua oikeutta tutustua tietoihin, joita hänestä on kerätty ja muutostarpeissa saada nämä tiedot oikaistuksi tai poistetuiksi. 140

Tietosuojan tavoitteet ja periaatteet

Seurakunta rekisterinpitäjänä arvioi henkilötietojen käsittelyyn liittyvät riskit ja mahdollisesti toteutuvan riskin vaikutukset (riskilähtöisyys). Rekisterinpitäjä valitsee arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet. Vaikutustenarvioinnin tuloksia käytetään niiden hallintakeinojen määrittelemisessä, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa. Samalla varmistetaan tietosuoja-asetuksen vaatimusten toteutuminen.

Tietosuojariskien hallinta on osa seurakunnan riskienhallintaprosessia, jossa erityisesti merkittävän tason riskit tulee tunnistaa ja johdon tulee olla niistä tietoinen. Riskilähtöisyys ohjaa organisaation henkilötietojen käsittelyä ja on tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista.

Seurakunnan toiminnassa toteutetaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta. Tietosuoja otetaan huomioon monipuolisesti perustoiminnan yhteydessä (eri toiminnoissa, johtamisessa, hankinnoissa ja kehitystyössä) huomioimalla tietosuojaperiaatteet ja -vaatimukset jo varhaisessa suunnitteluvaiheessa. Tietosuojan toteutuminen varmistetaan käyttämällä tilannekohtaisesti parhaita mahdollisia ja tarkoituksenmukaisia teknisiä ja organisatorisia riskiarvioon perustuvia ratkaisuja.

Seurakunnan tulee huolehtia tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet sekä huolehtimalla käyttäjäkoulutuksesta.

 

Tietosuojan toteuttaminen

Henkilötietojen käsittely toteutetaan noudattamalla alla lueteltuja periaatteita:

· henkilötietoja käsitellään lainmukaisesti, asianmukaisesti sekä läpinäkyvästi

· henkilötietoja käsitellään suunnitellun käyttötarkoituksen mukaisesti

· henkilötietoja kerätään käyttötarkoituksen mukainen määrä, ei enempää

· henkilötietojen käsittely toteutetaan täsmällisesti

· henkilötietoja säilytetään käyttötarkoituksen kannalta tarkoituksenmukainen aika

· henkilötietojen käsittelyssä toteutetaan henkilötietojen eheyden ja luottamuksellisuuden periaatetta

Seurakunta toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt tietosuojan varmistamiseksi. Edellä mainittujen toimenpiteiden avulla varmistetaan muun muassa, että:

· oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä käsittelytarkoituksen kannalta

· tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseiseen käsittelytarkoitukseen

· henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville

· taataan rekisteröityjen oikeuksien toteutuminen

· taataan henkilötietojen suoja tarvittavin tietoturvakeinoin

Tietosuojan toteuttamisessa seurakunta varmistaa tietosuojalainsäädännön vaatimusten toteutumisen koko käsiteltävien henkilötietojen elinkaaren ajan.

Seurakunta voi rekisterinpitäjänä ulkoistaa valitsemansa osan henkilötietojen käsittelystä henkilötietojen käsittelijälle. Seurakunta valitsee sopimuskumppanikseen vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa sekä täyttävät EU:n tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Seurakunnan ja erikseen valitun henkilötietojen käsittelijä –roolissa toimijan välille laaditaan kirjallinen sopimus. EU:n tietosuoja-asetuksen mukaan sopimuksessa tulee määritellä mahdollisimman tarkasti henkilötietojen käsittelyn kohde, tarkoitus ja kesto sekä sopia käsiteltävät henkilötiedot ja sopimus voi sisältää vaatimuksia.

Rekisteröityjen tietopyyntöprosessi

Seurakunnassa on määritelty toimintaprosessi ja -ohje liittyen toimintaan rekisteröityjen käyttäessä oikeuttaan saada pääsy henkilötietoihinsa. Tätä toimintatapaa noudatetaan rekisteröidyn pyytäessä saada nähtäväkseen rekistereissä olevia henkilötietojaan.

Henkilöstön tietosuojakoulutus

Seurakunta huolehtii henkilöstön riittävästä tietosuojaosaamisesta henkilöstökoulutuksien ja informaation välittämisen kautta. Myös organisaatioon tulevat uudet työntekijät perehdytetään tietosuoja-asioihin järjestelmällisesti uusien työntekijöiden perehdyttämisen yhteydessä.

Tietosuojaan liittyvät keskeiset periaatteet ja käsitteet löytyvät kirkon tietosuojavastaavien julkaisemasta Kirkon tietosuojakäsikirjasta. Kirkon tietosuojakäsikirja toimii tietopohjana sekä luottamushenkilöille että seurakuntien ylimmille viranhaltijoille ja johtavissa tehtävissä toimiville. Kirkon tietosuojakäsikirjaan tulee johtavissa tehtävissä toimivien tutustua riittävällä tasolla, kirja on nähtävillä mm. kirkon Sakasti -intranetissa.

Toiminta tietoturva- ja tietosuojapoikkeamatilanteissa sekä ilmoitusvelvollisuus

Seurakunnassa on määritelty toimintaprosessi, miten toimitaan, kun tapahtuu tietoturvaloukkaus. Tämän prosessin mukaista toimintatapaa noudatetaan tietoturvapoikkeamien sattuessa.

Henkilötietojen tietoturvaloukkauksen sattuessa seurakunnalla on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Valvontaviranomaiselle tehdään ilmoitus EU:n tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi. Rekisteröidylle henkilötietojen korkeariskinen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä. Tietosuojarikkomukset käsitellään tapauskohtaisesti Forssan seurakunnan tietoturvatyöryhmässä.

Kirkkoneuvosto hyväksyy seurakuntaa koskevat sisäisen valvonnan ja riskienhallinnan periaatteet. Periaatteissa on kuvattu eri toimijoiden tehtävät ja vastuut sisäisen valvonnan ja riskienhallinnan jatkuvassa prosessissa.

Liitteet:              Tietosuojavastuut (Liite 1)

                             Kirkon tietosuojakäsikirja (Keskeiset käsitteet)

Tämä tietosuojapolitiikka korvaa kirkkoneuvosto 13.06.2019 –hyväksytyn politiikan

 

Liite 1. Tietosuojapolitiikka - Tietosuojavastuut

Tietosuojavastuut Forssan seurakunnassa

Tämä dokumentti kuvaa tietosuojan vastuut ja velvollisuudet Forssan seurakunnassa. Tietosuojan vastuujärjestelyn tulee seurata seurakunnan toiminnan mahdollisia muutoksia. Monet alla mainituista vastuista voivat kuulua samankin henkilön tehtäviin ja vastuisiin. Olennaista on, että näiden tehtävien hoito on järjestetty, myös varahenkilöiden osalta.

Yleinen vastuu tietosuojan valvonnasta ja ylläpitämisestä

Tietosuojan toteutumisen valvontaan ja ylläpitämiseen osallistuu jokainen seurakunnan henkilöstöön ja järjestelmien ja palveluiden käyttäjiin kuuluva osana omaa yleistä toimintavastuutaan.

Tietosuoja on osa työtehtäviä

Suurin osa tietosuojan toteuttamiseksi tehdystä työstä sisältyy seurakunnassa työskentelevien normaaleihin tehtäviin.

Tietosuojan vastuutaulukko

Rooli

Vastuu

Kirkkoneuvosto

· Hyväksyy seurakunnan tietosuojapolitiikan.

· Vastaa siitä, että seurakunta täyttää tietosuojalainsäädännön velvoitteet ja valvoo niiden toteutumista

· Huolehtii siitä, että seurakunnalle on nimetty Tietosuojavastaava.

Ylin johto

· Vastaa henkilötietojen käsittelyn lainmukaisuudesta

· Huolehtii kirkkoneuvoston tietosuojaa koskevien päätösten valmistelusta

· Huolehtii riittävistä tietosuojan toteutumista koskevista työntekijäresursseista

· Vastaa tietosuojapoikkeamien viestinnästä tietosuojan yhdyshenkilön ja tietosuojavastaavan kanssa

· Huolehtii esihenkilöiden ja muun henkilöstön riittävästä tietosuojakoulutuksesta

· Huolehtii siitä, että seurakunnalle on nimetty yksi tai useampia tietosuojayhteyshenkilöitä tai tietosuojaryhmän jäsen siten, että kunkin seurakunnan työntekijä tuntee oman yhteyshenkilönsä.

Tietosuojavastaava

· Valvoo, että henkilötietojen käsittelyssä noudatetaan tietosuojasäännöksiä

· Antaa rekisterinpitäjälle ja sen työntekijöille tietoja ja neuvoja tietosuojasäännösten mukaisista velvollisuuksista.

· Tiedottaa tietosuojaan liittyviä ohjeita, suosituksia ja määräyksiä.

· Ottaa vastaan havaintoja tietosuojaan liittyvistä tapahtumista tai poikkeamista ja raportoi ne asianmukaisesti eteenpäin tietosuojavaltuutetulle.

· Raportoi rekisterinpitäjän ylimmälle johdolle (Kirkkoneuvosto, kirkkoherra, talousjohto).

· Tietosuojavastaava ei ole vastuussa rekisterinpitäjän henkilötietojen käsittelyn lainmukaisuudesta. Tämä vastuu kuuluu edelleenkin rekisterinpitäjälle ja sen organisaation johdolle.

 · Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tietosuoja-asetukseen perustuvien oikeuksiensa käyttöön.

Tietosuojaryhmä/Tietosuojan yhteyshenkilö

· Huolehtii saamiensa tietosuojaan liittyvien ohjeiden, suositusten ja määräysten tiedottamisesta kaikille työntekijöille.

· Osallistuu esihenkilöiden tukena uusien työntekijöiden perehdyttämiseen tietosuojaa koskevissa kysymyksissä.

· Ottaa vastaan ilmoituksia seurakunnassaan havaituista tietosuojaan liittyvistä tapahtumista ja poikkeamista ja raportoi niistä tietosuojavastaavalle sekä oman seurakuntansa esihenkilöille.

Esihenkilö

· Välittää tietoa tietosuojaan liittyvistä määräyksistä omille työntekijöilleen.

· Järjestää uusien työntekijöiden tietosuojaperehdytyksen ja on velvollinen huolehtimaan siitä, että työntekijät ovat oppineet kyseiset asiat.

· Huolehtii omalta osaltaan siitä, että työntekijät noudattavat annettuja ohjeita.

· Vastaa omien työntekijöidensä osalta siitä, että tietojärjestelmien käyttöoikeudet vastaavat työtehtävien tarpeita.

· Puuttuu tietosuojaa koskeviin havaittuihin epäkohtiin.

Työntekijä

· Perehtyy häntä koskeviin tietosuojaohjeisiin ja noudattamaan niitä työssään.

· Ottaa toiminnassaan huomioon tietosuoja-asetuksen ja tietosuojalain mukaisen huolellisuusvelvoitteen ja julkisuuslain mukaisen hyvän tiedonhallintatavan.

· Raportoi esihenkilölleen ja seurakunnan tietosuojayhdyshenkilölle havaitsemansa tietosuojaan liittyvät epäkohdat ja poikkeamat