Tämä muistilista on tarkoitettu niille palveluntuottajille, jotka käsittelevät henkilötietoja Rovaniemen kaupungin puolesta ja lukuun. Tyypillisiä henkilötietoja ovat asiakastiedot, henkilötunnus, pankkitilinumero ja valokuva, josta voidaan tunnistaa yksilö sekä yhteystiedot kuten sähköpostiosoitteet. Muistilistalla ohjeistetaan työntekijää huomioimaan tietosuojan vaatimukset omassa työssään.
Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä. Rovaniemen kaupungilla tämä tarkoittaa asiakkaiden, oman henkilöstön ja yhteistyökumppanien henkilötietojen suojaamista. Tietosuoja on osa toiminnan vaatimustenmukaisuutta, tietoturvallisuutta ja riskienhallintaa.
Tietosuojalainsäädäntöä sovelletaan aina, kun kaupungin toiminnassa käsitellään henkilötietoja. Rovaniemen kaupungin toimintaan liittyvät tietoturvan ja tietosuojan vastuut määritellään kaupungin tietoturva- ja tietosuojapolitiikassa. Jokaisella palveluntuottajalla on vastuu omaan tehtäväänsä liittyvän tietoturvan ja tietosuojan toteuttamisesta sekä tiedon ja tietojärjestelmien asianmukaisesta käytöstä.
Noudata lainsäädäntöä ja annettuja ohjeita henkilötietojen käsittelyssä
Salassapito ja vaitiolovelvollisuus
*Kukin palveluntuottaja (mukaan lukien harjoittelija, opiskelija jne.) vastaa roolissaan siitä, että noudattaa salassapitoa ja vaitiolovelvollisuutta koskevia säädöksiä
*Käsittele asiakastietoja asiakkaiden yksityisyydensuoja huomioiden
Huolellisuus
*Henkilötietojen käsittelyssä on noudatettava erityistä huolellisuutta. Tämä on otettava huomioon myös asioista keskusteltaessa, muistiinpanoja tehtäessä, asiakirjoja luettaessa, kuljetettaessa tai esillä pidettäessä
Puhtaan pöydän periaate
*Noudata puhtaan pöydän periaatetta. Käsinkirjoitetut asiakasmuistiinpanot ovat myös henkilötietojen käsittelyä ja niiden käyttöä ja säilyttämistä on vältettävä
*Kun luottamuksellista tai salassa pidettävää asiakirjaa käsitellään, tulostetaan, skannataan tai kopioidaan, on tärkeää ettei arka materiaali päädy vääriin käsiin. Tällaisen tiedon kopiointia tai muuta vastaavaa käsittelyä on ylipäänsä syytä välttää
*Hävitä luottamuksellista tai salassapidettävää tietoa sisältävät luonnokset ja kopiot tietoturvallisesti välittömästi tarpeen päättyessä
Riskilähtöisyys
*Arvioi henkilötietojen käsittelyn riskejä asiakkaan näkökulmasta. Millaisia riskejä asiakkaalle voi koitua, jos hänen henkilötietojaan esimerkiksi luovutetaan perusteettomasti
Tarkoituksenmukaisuus
*Saat käsitellä vain sellaisia henkilötietoja, jotka täyttävät sopimuksen mukaisen käyttötarkoituksen
*Ota huomioon kunkin rekisterin määrittelemä tarkoitus henkilötietojen käsittelylle ja se, mitä tietoja rekisterissä on määritelty käsiteltäviksi. Palveluntuottaja saa käsitellä vain sellaisia henkilötietoja, jotka ovat asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa sopimuksen mukaiseen käyttötarkoitukseen. Mitään niin sanotusti ylimääräisiä henkilötietoja ei saa siten käsitellä esimerkiksi kirjaamalla niitä rekisteriin
Huomioi myös, että sähköisestä tiedonkäsittelystä jää aina jäljet. Kaupungilla tehdään tarkistuksia vaatimustenmukaisen tietojenkäsittelyn varmistamiseksi.
Ole tietoinen siitä, että rekisteröidyllä eli asiakkaalla, jonka tietoja käsitellään, on oikeus pyytää omat tietonsa. Tietosuoja-asetuksen mukaiset tarkastuspyynnöt ohjataan Rovaniemen kaupungin kirjaamon kautta.
Huolehdi riittävästä tietoturvasta
*Huolehdi tuottamiesi palveluiden käyttövaltuushallinnan tietoturvasta niin, että henkilötietoihin on pääsy vain sopimuksessa mainituilla tahoilla
*Huolehdi, että käyttämiesi päätelaitteiden, tietoverkkojen sekä palvelinten suojaukset ja tietoturvaohjelmistot ovat ajan tasaisia
Reagoi tietosuoja- ja tietoturvapoikkeamiin välittömästi niiden ilmaannuttua
Mikäli havaitset tietosuojaan tai tietoturvaan liittyvän poikkeaman, ole yhteydessä Rovaniemen kaupungin tietosuojavastaaviin, palvelualueen tietosuojan yhdyshenkilöön tai Rovaniemen kaupungin tietohallintopalveluihin.
Kysy, ellet tiedä
Hyödynnä tarpeen vaatiessa kaupungin tietosuojavastaavien, palvelualueilla olevien tietosuojan yhdyshenkilöiden ja tietohallinnon osaamista. Kysy rohkeasti, ellet tiedä!