Tietosuojan alkukartoitus
- Alkukartoitus ja vaikutusten arviointi - Helsingin ulkoisella tietosuojasivulla
- Alkukartoitus ja vaikutustenarviointi - Helsingin sisäisellä tietosuojasivulla
Sisäänrakennettu ja oletusarvoinen tietosuoja
Tietosuoja tarkoittaa henkilötietojen suojaamista. Uudet järjestelmät, palvelut ja prosessit on rakennettava niin, että ne toteuttavat henkilötietojen suojaamista koskevat vaatimukset. Tietosuojavaatimukset ovat pakollisia ja ne on sisällytettävä uusiin palveluihin jo niiden suunnitteluvaiheesta alkaen. Uusissa palveluissa on huolehdittava, että niissä käsitellään henkilötietoja vain siinä määrin kuin on tarpeen ja tietosuojavaatimuksia toteuttavat toiminnot ovat oletuksena käytössä. Tätä tarkoittaa sisäänrakennettu ja oletusarvoinen tietosuoja.
Mikä on henkilötieto ja mitä on henkilötietojen käsittely?
Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai välillisesti yhdistämällä yksittäinen tieto johonkin toiseen tietoon. Henkilötietoja ovat esimerkiksi nimi, sähköpostiosoite, puhelinnumero, paikannustiedot, henkilötunnus, potilastiedot, IP-osoite ja auton rekisterinumero.
Henkilötietojen käsittelyllä tarkoitetaan kaikkia toimia, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Käsittelyä ovat tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhdistäminen, rajoittaminen, poistaminen ja tuhoaminen.
Myös pelkkä tietojen katselu on niiden käsittelyä.
Aloita tietosuojan sisällyttäminen alkukartoituksella
Tietosuojavaatimusten toteuttamiseksi on laadittu työkalut, joiden käyttö alkaa alkukartoituksen tekemisellä. Alkukartoitus tulee tehdä aina, kun ryhdytään suunnittelemaan uutta prosessia, järjestelmähankintaa tai järjestelmän rakentamista.
Alkukartoitus on tehtävä myös silloin, kun suunnitellaan merkittäviä muutoksia olemassa oleviin prosesseihin ja järjestelmiin.
Alkukartoituksen kysymyksiin vastaamalla selviää, käsitelläänkö uudessa palvelussa henkilötietoja ollenkaan ja jos käsitellään, tuleeko tehdä tietosuojan vaikutustenarviointi vai ottaa tietosuoja huomioon tietosuojan tarkistuslistan avulla.
Jos henkilötietoja ei käsitellä ollenkaan, voi seuraavissa vaiheissa tulevat tietosuojatoimenpiteet ohittaa.
Kokeiluissa huomioitavaa
Kokeiluissa lähtökohtana on, että kehittämistyössä ei käsitellä oikeita henkilötietoja, vaan ainoastaan synteettistä tai anonymisoitua dataa. Jos kehittämisessä kuitenkin käytetään oikeita henkilötietoja, on tietosuojatoimenpiteet alkaen alkukartoituksesta tehtävä myös kokeilussa tuotettavan prototyypin osalta.
Lisää aiheesta