Tietosuojalainsäädäntö

Henkilötietojen käsittely seurakunnassa

Seurakunta kerää henkilötietoja seurakuntalaisilta, yhteistyökumppaneiltaan ja toimintaan osallistujilta. Henkilötiedoilla tarkoitetaan kaikkia henkilöön liitettävissä olevia tietoja kuten nimeä, puhelinnumeroa tai osoitetta. Henkilötietoja pyydettäessä tulee ottaa huomioon osallistujien yksityiselämän suoja ja tietosuojalain (HE 9/2018 vp) sekä EU:n tietosuoja-asetuksen (2016/679) vaatimukset.

Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Tämä tarkoittaa, että henkilötietojen käsittelyn on yhtäältä oltava asianmukaista ja toisaalta sen on aina tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Alle 16vuotiaiden henkilötietojen tallennus vaatii aina huoltajan suostumuksen.

Seurakunnan lähtökohtana tietosuojassa on riskilähtöisyys. Seurakunta rekisterinpitäjänä arvioi henkilötietojen käsittelyyn liittyvät riskit ja valitsee arvioidun riskitason mukaan tarvittavat hallintatoimenpiteet. Riskilähtöisyys ohjaa seurakunnan henkilötietojen käsittelyä ja on tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista. Seurakunta toteuttaa riskilähtöisen toimintaperiaatteen varmistamiseksi tietosuojan vaikutusten arviointeja, jos on todennäköistä, että käsittelytoimiin liittyy yksilöiden oikeuksien ja vapauksien kannalta merkittäviä riskejä. Vaikutusten arvioinnin tuloksia käytetään niiden hallintakeinojen määrittelemisessä, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa. Samalla varmistetaan tietosuoja-asetuksentietosuoja-asetuksen vaatimusten toteutuminen.

Seurakunnan tavoitteena on huolehtia tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet sekä huolehtimalla koulutuksesta toteuttaakseen laadukasta ja lainmukaista henkilötietojen käsittelyä.

Henkilötietojen käsittely toteutetaan noudattamalla alla lueteltuja periaatteita:

henkilötietoja käsitellään lainmukaisesti, asianmukaisesti sekä läpinäkyvästi
henkilötietoja käsitellään suunnitellun käyttötarkoituksen mukaisesti
henkilötietoja kerätään käyttötarkoituksen mukainen määrä, ei enempää
henkilötietojen käsittely toteutetaan täsmällisesti
henkilötietoja säilytetään käyttötarkoituksen kannalta tarkoituksenmukainen aika
henkilötietojen käsittelyssä toteutetaan henkilötietojen eheyden ja luottamuksellisuuden periaatetta

Seurakunnan tulee toteuttaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta ja sisällyttää tietosuojaperiaatteet ja vaatimukset jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Näin varmistetaan, että käsittely vastaa tietosuoja-asetuksen vaatimuksia. Seurakunta toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt tietosuojan varmistamiseksi. Edellä mainittujen toimenpiteiden avulla varmistetaan mm, että:

oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä käsittelytarkoituksen kannalta
tietoja ei kerätä eikä säilytetä suurempia määriä eikä kauemmin kuin on välttämätöntä kyseiseen käsittelytarkoitukseen
henkilötietoja ei oletusarvoisesti saateta rajoittamattomasti saataville
taataan rekisteröityjen oikeuksien toteutuminen
taataan henkilötietojen suoja tarvittavin tietoturvakeinoin

Oikeus pyytää omat tiedot

Henkilötietojen suojalla tarkoitetaan myös rekisteröidyn henkilön oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada hänestä kerätyt tiedot muutetuiksi tai poistetuiksi, mikäli tietojen oikaisu on tarpeen. Seurakunnassa tulee määritellä toimintaprosessi rekisteröityjen käyttäessä oikeuttaan saada pääsy henkilötietoihinsa. Tämän prosessin mukaista toimintatapaa noudatetaan niissä tapauksissa, joissa rekisteröidyt haluavat saada nähtäväkseen omia rekistereissä olevia henkilötietojaan.

Henkilöstön tietosuojaosaaminen

Seurakunnan on tärkeää huolehtia henkilöstön riittävästä tietosuojaosaamisesta henkilöstökoulutuksilla ja informoinnilla. Myös organisaatioon tulevat uudet työn tekijät perehdytetään – järjestelmällisesti.

Seurakunnan työntekijä sitoutuu henkilötietojen käsittelyssä voimassa olevien lakien ja ohjeistusten noudattamiseen. Työntekijän vastuulla on hallussaan olevien henkilötietojen asianmukainen käsittely, säilyttäminen ja hävitys. Henkilötietoja säilytetään lukollisessa kaapissa, johon vain luvan saaneilla työntekijöillä on pääsy. Mikäli kyseessä ovat henkilötiedot, joihin vain yhdellä työntekijällä on oikeus, säilytetään kyseisiä henkilötietoja asianosaisen työntekijän henkilökohtaisessa lukollisessa kaapissa. Henkilötietoja ei tallenneta muistitikuille. Paperiset henkilö tiedot säilytetään asianmukaisesti ja tuhotaan säilytysajan päätyttyä ristiinleikkaavalla paperisilppurilla. Työhuoneissa näytöt on sijoitettu niin, että arkaluontoiset tiedot eivät näy ulkopuolisille. Työhuoneesta poistuttaessa näyttö ja huoneen ovi lukitaan. Työpuhelin ja muut sähköiset työvälineet ovat henkilökohtaisia ja suojattu salasanoilla. Salasanoja ei tallenneta palvelimelle.

Tietoturvaloukkaus

Seurakunnassa määritetään toimintaprosessi tietoturvaloukkausten tapahtuessa. Tämän prosessin mukaista toimintatapaa noudatetaan tietosuojapoikkeamien sattuessa. Henkilötietojen tietoturvaloukkauksen sattuessa seurakunnalla on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Mikäli tietoturvaloukkauksen vakavuus sitä vaatii, tehdään valvontaviranomaiselle ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi ja rekisteröidylle henkilötietojen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä. Tietosuojarikkomukset käsitellään tapauskohtaisesti.

Lisätietoja kirkon työntekijöille tietosuojalainsäädännöstä