Tietosuojavastaava

Tietosuojavastaava käsittelee omien työtehtäviensä yhteydessä Tuomioistuinviraston henkilöstön sekä muiden rekisteröityjen ja työtehtäviin liittyvien henkilöiden henkilötietoja (esimerkiksi henkilötietojen tietoturvaloukkaustilanteiden selvittämisessä tai tietosuojaan liittyvien prosessien yhteydessä). Käsittelyn tarkoituksena on tietosuojavastaavan tehtävien asianmukainen hoitaminen. Tietosuojavastaava voi tehtäviensä hoitamisen, kuten tietoturvaloukkaustapausten selvittämisen yhteydessä saada tietoonsa myös erityisiä henkilötietoja. Tietosuojavastaavalla tulee olla pääsy työtehtäviensä kannalta tarpeellisiin henkilötietoihin sekä käsittelytoimiin.

Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.

Mihin henkilötietojen käsittely perustuu?

Tuomioistuinvirasto käsittelee henkilötietoja tietosuojavastaavan tehtävien yhteydessä täyttääkseen lakisääteisen velvoitteensa (EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohta ja 37 artiklan 7 kohta, 38 artiklan 2 ja 4 kohdat, 39 artikla). Henkilötietojen käsittelyn tarkoitusta täydentää tämän lisäksi hallintolain (434/2003) palveluperiaatteen ja neuvontavelvollisuuden toteuttaminen (7-8 §:t). Henkilötietojen käsittelyn tarkoituksena on tarvittaessa tiedonvälityksen turvaaminen (tietosuojalaki (1050/2018) 27 §).

Erityisiä henkilötietoryhmiä käsitellään yleisen edun perusteella kansallisen lainsäädännön nojalla, kun käsittelystä säädetään laissa tai se johtuu välittömästi laissa säädetystä tehtävästä (EU:n yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta). Erityisiä henkilötietoja käsiteltäessä rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat esimerkiksi tietosuojavastaavan nimittäminen (tietosuojalain 6 § 2 mom. 3 kohta).

Rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja käsitellään vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä (EU:n yleisen tietosuoja-asetuksen 10 artikla ja tietosuojalain (1050/2018) 7 §).

Tietosuojavastaavan tehtävien yhteydessä muodostuvan materiaalin käsittelyssä huomioidaan julkisen hallinnon tiedonhallinnasta annettu laki (906/2019). Tuomioistuinvirasto noudattaa viranomaistoimintaan yleisesti sovellettavaa lainsäädäntöä, kuten hallintolakia (434/2003). Tietojen luovutusten yhteydessä noudatetaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999).

Mitä henkilötietoja kerätään?

Tuomioistuinviraston tietosuojavastaava sekä henkilöstö ja muut rekisteröidyt muodostavat rekisteröityjen ryhmän. Rekisteröityjen ryhmään kuuluvat myös muut tietosuojavastaavan työtehtäviin liittyvät henkilöt ja sidosryhmät, kuten henkilötietojen tietoturvaloukkauksen kohteena olevat henkilöt tai niiden ilmoittajat.

Tuomioistuinviraston on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Tuomioistuinvirasto käsittelee tavanomaisesti tietosuojavastaavan nimitietoja, puhelinnumeroa ja sähköpostiosoitetta.

Tietosuojavastaava käsittelee työtehtäviensä yhteydessä rekisteröidyn yhteydenottoihin, tietoturvaloukkauksiin ja henkilötietojen käsittelyn lainmukaisuuden valvontaan liittyviä henkilötietoja. Käsiteltäviä tietoja on esimerkiksi rekisteröidyn tai tietoturvaloukkauksen ilmoittajan nimitiedot ja yhteystiedot, kuten sähköpostiosoite, puhelinnumero ja muita asian käsittelyyn liittyvät henkilötiedot, kuten loukkauksen kohteena olleiden rekisteröityjen henkilötiedot. Lisäksi tietosuojavastaava käsittelee Tuomioistuinviraston työntekijöiden työntehtäviin liittyvien henkilötietoja.

Kuka käsittelee henkilötietoja ja kenelle henkilötietoja luovutetaan?

Tietosuojavastaavalle tulevat yhteydenotot kirjataan tarvittaessa Tuomioistuinviraston asianhallintajärjestelmään . Asianhallinnan tietojärjestelmäpalvelun tuottaa Valtori ja teknisestä ylläpidosta vastaa Oikeusrekisterikeskus.

Tietoturvaloukkausilmoitukset lähetetään Valtorin Valtion yhteinen viestintäratkaisun (VYVI) avulla (Microsoft Outlook). Tarvittaessa Tuomioistuinvirastolle tulleita yhteydenottoja voidaan myös siirtää toimivaltaiselle viranomaiselle hallintolain nojalla (21 §).

Tietosuojavastaavan tehtäviin liittyviä henkilötietoja on tarvittaessa luovutettava myös tiedon välittämisen tarkoituksessa (tietosuojalaki 27 §), esimerkiksi silloin tietosuojaan liittyvistä toimintaprosesseista tiedotetaan laajemmin.

Tietoja voidaan luovuttaa niitä pyytävälle viranomaisten toiminnan julkisuudesta annetun lain mukaisesti.

Tietosuojavastaavan yhteystiedot on julkaistava. Julkaisu tapahtuu Tuomioistuinviraston julkisilla verkkosivuilla, joten tiedot siirtyvät kolmansiin maihin.

Kun kyseessä on tavanomainen tietosuojavastaavan tehtävä vailla kansainvälisiä kytkentöjä, henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle eikä kansainvälisille järjestöille. Jos tehtävä edellyttää henkilötietojen luovuttamista 3. maahan, arvioidaan henkilötietojen siirron peruste tietosuoja-asetuksen 5 luvun mukaisesti.

Kuinka kauan tietoja säilytetään?

Tietosuojavastaava käsittelee henkilötietoja työtehtävien vaatiman ajan, jonka jälkeen ne hävitetään asianmukaisesti.

Asianhallintaan kirjattavia tietoja säilytetään viraston tiedonohjaussuunnitelman mukaisesti. Asian käsittelyn kannalta tarpeellisia tietoja säilytetään vähintään käsittelyn keston ajan. Asian käsittelyn päättymisen jälkeen säilytysaika riippuu tiedoista ja käyttötarkoituksesta.

Tiedot hävitetään tietoturvallisella tavalla niiden säilytysajan päätyttyä tai ne siirretään Kansallisarkistoon arkistoitavaksi, mikäli Kansallisarkisto on seulontapäätöksessään määrännyt tietoaineiston arkistoitavaksi.

Miten tietoja suojataan?

Henkilötietoja suojataan kaikissa niihin kohdistuvissa käsittelytoiminnoissa sekä koko henkilötietojen käsittelyn elinkaaren ajan käyttämällä asianmukaisia teknisiä ja organisatorisia suojakeinoja. Henkilötietoihin pääsy- ja käsittelyoikeus myönnetään työtehtävien perusteella. Tuomioistuinvirasto varmistaa henkilötietojen käsittelyyn osallistuvan henkilöstön osaamisen säännönmukaisilla koulutuksilla ja ohjeilla.

Käsiteltävät tiedot kerätään järjestelmiin ja tietokantoihin, jotka ovat palomuurein, salasanoin ja muilla teknisillä keinoilla suojattuja. Paperinen aineisto säilytetään suojattuna ja hävitetään tietoturvallisesti, kun sen käsittely ei enää ole tarpeen lakisääteisten tehtävien toteuttamiseksi.

Millaisia tietosuojaoikeuksia rekisteröidyllä on?

Tietosuojaoikeudet riippuvat siitä, millä perusteella henkilötietoja käsitellään. Tuomioistuinvirasto käsittelee henkilötietoja tietosuojavastaavan tehtävien yhteydessä täyttääkseen lakisääteisen velvoitteensa (EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c-alakohta).

Tarkempia tietoja rekisteröidyn oikeuksista löytyy Tietosuojaoikeutesi -sivulta.

Omat tiedot on oikeus saada maksutta. Jos henkilö kuitenkin pyytää useampia jäljennöksiä, Tuomioistuinvirasto voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun. (EU:n yleisen tietosuoja-asetuksen 15. artiklan 3 kohta)