Evästeet
EvästeetLinkki avautuu uudessa välilehdessä
TIETOSUOJAPOLITIIKKA
Hyväksytty Jyväskylän seurakunnan kirkkoneuvostossa 16.12.2020 (22 §). Voimassa 1.1.2021-31.12.2024.
TIETOSUOJAPOLITIIKAN LÄHTÖKOHTA
Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Henkilötietojen käsittelyn on oltava asianmukaista ja rekisterinpitäjällä on oltava käsittelemiseen lainmukaiset perusteet. Jyväskylän seurakunta noudattaa toiminnassaan EU:n tietosuoja-asetuksen (2016/679) ja kansallisen tietosuojalain perusperiaatteita, joilla turvataan yksilön oikeudet kaikissa käsittelyvaiheissa koko tiedon elinkaaren ajan.
Tietosuojapolitiikka on seurakunnan ylin tietosuojaa ohjaava dokumentti ja se määrittää periaatteet, toimintatavat, vastuut, valvonnan ja seuraamusjärjestelmän, joita noudatetaan tietosuojan toteuttamisessa ja kehittämisessä. Asiakirjaa sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa seurakunta toimii rekisterinpitäjänä.
Tietosuojapolitiikka koskee koko seurakuntaorganisaatiota (henkilöstö, vapaaehtoistyöntekijät ja luottamushenkilöt) mukaan lukien ne seurakunnan sidosryhmien edustajat, jotka toimeksiantojensa puitteissa käsittelevät Jyväskylän seurakunnan omistamaa tai hallinnoimaa tietoa riippumatta sen esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta. 10.6.2020 julkaistiin kirkon tietosuojavastaavien laatima Tietosuoja seurakunnassa -opas, jossa pureudutaan laajemmin seurakuntien tietosuojan kysymyksiin yleisellä tasolla. Kirjaa täydennetään myöhemmin käytännön esimerkeillä tietosuojan soveltamisesta. Oppaan mukaan tietosuojapolitiikan hyväksyy seurakunnan kirkkoneuvosto.
Seurakunnan palveluiden perustana ovat seurakuntalaisten tarpeet ja tietyt viranomaistoiminnot ja henkilötietojen käsittelyssä tietosuojan merkitys on korostetun suuri. Noudattamalla Suomen evankelis-luterilaisen kirkon tietoturvamääräyksiä ja tämän tietosuojapolitiikan periaatteita varmistetaan, että EU:n yleisen tietosuoja-asetuksen, kansallisen tietosuojalain sekä muiden henkilötietojen käsittelyä seurakunnissa ohjaavien lakien asettamat vaatimukset täyttyvät.
Jyväskylän seurakunnan tietosuojapolitiikka hyväksytään neljäksi vuodeksi kunkin valtuustokauden puolessa välissä, mutta sitä päivitetään tarpeen mukaan. Mahdollisista muutoksista ilmoitetaan aina sekä henkilökunnalle että sidosryhmille ja voimassa oleva versio on julkaistuna seurakunnan internetsivuilla.
TIETOSUOJAN TAVOITTEET JA PERIAATTEET
Tavoitteena on huolehtia tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet sekä huolehtimalla käyttäjäkoulutuksesta. Tietosuoja-asetuksen mukaista ohjeistusta ylläpidetään suunnitelmallisesti tietosuojavastaavan toimiessa asiantuntijana ja neuvonantajana.
Seurakunnan toiminnassa toteutetaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta ja se sisällytetään jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Tietosuoja otetaan huomioon monipuolisesti muun muassa johtamisessa, hankinnoissa, kehitystyössä sekä toimintaprosesseissa. Tietosuojan oikeanlainen toteutuminen varmistetaan käyttämällä tilannekohtaisesti parhaita mahdollisia teknisiä ja organisatorisia riskiarvioon perustuvia ratkaisuja.
Rekisterinpitäjänä seurakunta arvioi henkilötietojen käsittelyyn liittyvät riskit ja valitsee arvioidun riskitason mukaiset toimenpiteet, joilla riskejä pyritään minimoimaan.
HENKILÖTIETOJEN KÄSITTELYN PERIAATTEET
Perusperiaatteet Jyväskylän seurakunnan omistaman tai hallinnoiman henkilötiedon käsittelyssä:
henkilötietoja käsitellään lainmukaisesti, asianmukaisesti sekä läpinäkyvästi
henkilötietoja käsitellään suunnitellun käyttötarkoituksen mukaisesti
henkilötietoja kerätään käyttötarkoituksen mukainen määrä, ei enempää
henkilötietojen käsittely toteutetaan täsmällisesti
henkilötietoja säilytetään käyttötarkoituksen kannalta tarkoituksenmukainen aika
henkilötietojen käsittelyssä toteutetaan henkilötietojen eheyden ja luottamuksellisuuden periaatetta
henkilötietojen käsittelystä annetaan henkilöstölle kirjalliset ohjeet
Jyväskylän seurakunta huolehtii henkilöstönsä riittävästä tietosuojaosaamisesta koulutuksen ja muun viestinnän kautta. Henkilöstöön rinnastuvat myös seurakunnan luottamushenkilöt sekä henkilöt, jotka seurakunnan vapaaehtoisina käsittelevät henkilötietoja. Uudet toimijat perehdytetään tietosuoja-asioihin järjestelmällisesti.
Rekisterinpitäjänä Jyväskylän seurakunta voi ulkoistaa valitsemansa osan henkilötietojen käsittelystä ulkopuoliselle käsittelijälle. Sopimuskumppaneiksi valitaan tällöin vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa, täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Hankintojen kohdalla tietosuojaan liittyvät näkökohdat huomioidaan jo hankinnan suunnitteluvaiheessa ja ne saatetaan osaksi tarjouspyyntöjä sekä myöhemmin laadittavaa kirjallista sopimusta. Tietosuoja-asetuksen mukaisesti sopimuksessa tulee määritellä tarkasti henkilötietojen käsittelyn kohde, tarkoitus ja kesto sekä käsiteltävät henkilötiedot. Rekisterinpitäjä vastaa henkilötietojen käsittelijälle annettavista ohjeista.
Jyväskylän seurakunnassa on määritelty miten toimitaan silloin, kun rekisteröity ilmaisee halunsa käyttää EU:n yleisessä tietosuoja-aseuksessa kuvattuja oikeuksiaan. Seurakunta huolehtii siitä, että tieto ohjeistuksesta sekä sen sisällöstä on kaikkien työntekijöiden helposti saavutettavissa. Rekisteröidylle informoidaan hänen oikeuksistaan sekä tavasta, jolla oikeutta seurakunnassa toteutetaan ennen tietojen kirjaamista järjestelmiin.
TOIMINTA TIETOSUOJAPOIKKEAMATILANTEISSA SEKÄ ILMOITUSVELVOLLISUUS
Jyväskylän seurakunta noudattaa Suomen evankelis-luterilaisen kirkon tietoturvapolitiikkaa, jossa on määritelty ja ohjeistettu toimintaprosessi tietoturvaloukkausten varalta. Samaa toimintatapaa noudatetaan myös tietosuojapoikkeamien yhteydessä.
TIETOSUOJAVASTUUT ORGANISAATIOSSA
Tietosuojan toteutumisen valvontaan ja ylläpitämiseen osallistuu jokainen seurakunnan henkilöstöön ja järjestelmien ja palveluiden käyttäjiin kuuluva osana omaa yleistä toimintavastuutaan. Tietosuojan ohjaustehtävissä ja kehittämisessä tarvitaan sen lisäksi erityisasiantuntemusta ja nimettyjä vastuuhenkilöitä.
Johdon vastuu
Rekisterinpitäjän ylin johto on aina viimekädessä vastuussa kaikessa alaisuudessaan tapahtuvasta henkilötietojen käsittelystä. Johdon tehtävänä on määrittää, miten henkilötietoja käsitellään ja ohjeistaa kaikkia käsittelyn osapuolia, sekä valvoa käsittelyn asianmukaisuutta.
Tietosuojan vastuujärjestelyiden tulee seurata seurakunnan toiminnan mahdollisia muutoksia ja sisältää myös varahenkilöjärjestelyt.
Tietosuojavastaavan rooli
Kirkkoneuvosto nimeää seurakunnalle tietosuojavastaavan tai -vastaavat määräaikaisesti tai toistaiseksi. Nimitys voi olla myös osa-aikainen tai jaettu. Mikäli tietosuojavastaavan tehtävät on järjestetty IT-aluekohtaisena palveluna pysyvästi, sisällytetään tietosuojavastaavan tehtävät kyseessä olevien seurakuntien IT-alueen yhteistyösopimukseen.
Tietosuojavastaavan tehtävänkuva ja esimiessuhteet määritellään tarvittaessa erikseen kuitenkin siten, ettei vaaranneta tietosuojavastaavan riippumattomuutta tietosuojatehtäviä hoitaessaan. Vastaava raportoi toiminnastaan ja seurakunnan tietosuojan tilasta ylimmälle johdolle. Kirjallinen tietotilinpäätös laaditaan ja esitetään kirkkoneuvoston toimikauden 1. neljänneksellä ja viedään sen jälkeen kirkkovaltuustolle tiedoksi. Tarvittaessa tietotilinpäätös viedään tiedoksi myös IT-yhteisjohtokunnalle.
Tietosuojaryhmän tai tietosuojahenkilön rooli
Suomen evankelis-luterilaisen kirkon ohjeistuksen mukaisesti tietosuojavastaavan lisäksi seurakuntiin on nimettävä tietosuojaryhmä tai tietosuojahenkilö. Jyväskylän seurakunnassa toimii tietosuojaryhmä, joka nimetään kahden vuoden määräajaksi. Päätöksen tietosuojaryhmän kokoonpanosta tekee hallintojohtaja.
Seurakunnan vastuunjako tietosuojan asiakirjojen laadinnassa on esitetty tämän asiakirjan liitteessä.