Käytätkö työssäsi ihmisten henkilötietoja asianmukaisesti?

Millä mallilla työyhteisössäsi on ihmisten henkilötietojen käyttö?

Tunnetaanko gdpr, vai oliko se vain kirjainyhdistelmähirviö, joka onneksi tuli ja unohtui?

Tässä terveisinä Lopen seurakunnan työntekijäkokouksesta 21 kysymystä, joiden avulla jokainen seurakunnan työntekijä voi arvioida omaa toimintaansa henkilötietojen käyttämisessä. Ensin kertasimme peruskäsitteitä, sitten vilkaisimme henkilörekisterien käyttöselosteita (www.lopenseurakunta.fi/tietosuoja) ja sitten arvioimme toimintaa yhdessä kysymysten valossa.

Kaikenhan pitäisi olla kunnossa. Mutta luulen, että useimmat löytävät kehittämistä omassa työssään.

Saa hyödyntää vapaasti jos haluaa. Ja pienin muutoksin soveltunee myös muualle työelämään kuin seurakuntiin.

  1. Tunnenko oman työni hoitamista varten riittävästi henkilötietojen käsittelyn ohjeita ja säädöksiä?
  2. Onko työnantajan tarjoama henkilötietojen käsittelyn ohjeistus riittävä työtäni varten?
  3. Tunnistanko, mitkä työssäni käsittelemäni henkilötiedot ovat arkaluontoisia ja salassapidettäviä?
  4. Tukeeko työnantajani, esimieheni, työtoverini ja työpaikkamme työkulttuuri henkilötietojen asianmukaista käsittelyä?
  5. Onko minun kauttani joskus päätynyt salassapidettävää tai arkaluontoista työn kautta saamaani tietoa jollekin, jonka ei olisi pitänyt saada tällaista tietoa?
  6. Tiedänkö seurakunnan henkilötietojen käsittelyyn liittyvän puutteen, ongelman tai epäasiallisen toimintatavan?
  7. Tiedänkö, miten minun tulee toimia, jos havaitsen tai kuulen epäkohdista, vääristä toimintatavoista, tietomurroista, tietovuodoista tms.? Toiminko näin?
  8. Onko työtietokoneellani arkaluontoista tai salassapidettävää tietoa, jonka säilyttäminen ei ole perusteltua?
  9. Onko työsähköpostilaatikossani tai yksityisillä sähköpostitileilläni arkaluontoista tai salassapidettävää työhöni liittyvää tietoa, jonka säilyttäminen ei ole perusteltua?
  10. Onko käyttämässäni puhelimessa tai käytössä poistetussa puhelimessa henkilötietoja, joiden säilyttäminen ei enää ole perusteltua?
  11. Onko työpaikallani, kotona tai muualla levykkeitä, cd-levyjä, muistitikkuja, kovalevyjä, muistikortteja, suojaamaton vanha tietokone tai muu laite tai tallennusväline joihin on tallennettu salassapidettävää tai arkaluontoista tietoa? Osaanko huolehtia nämä asianmukaisesti tuhottaviksi
  12. Ymmärränkö riittävän hyvin, millaista tietoa voi säilyttää työtietokoneeni Työpöydällä, Omissa tiedostoissa ja yhteisellä T-asemalla? Onko tiedostoni tallennettu oikeisiin paikkoihin?
  13. Ymmärränkö riittävän hyvin, millaisia tietoja voi tallentaa Primeen, Kipaan ym.? Toiminko asianmukaisesti?
  14. Tiedänkö riittävän hyvin työtehtävieni hoitoa varten, millaista tietoa voi lähettää sähköpostitse tai turvasähköpostilla?
  15. Tiedänkö riittävän hyvin työtehtävieni hoitoa varten, millaista tietoa voin julkaista seurakunnan kotisivuilla, somessa, tiedotteissa, kirjeissä ym.? Onko minulla aina asianosaisen/huoltajan lupa, kun julkaisen seurakuntalaisten nimen, yhteystiedon, valokuvan tms.?
  16. Onko seurakunnan internet-sivuille, sosiaaliseen mediaan tai vastaaviin jäänyt sellaisia henkilötietoja, joiden säilyttäminen ei enää ole aiheellista?
  17. Säilytänkö arkaluontoisia ja salassapidettäviä tietoja sisältävät paperit asianmukaisesti lukittuna työpaikallani? Jos vien papereita kotiin, asiakkaiden luo tai muualle, ovatko paperit asianmukaisesti suojattuja?
  18. Huolehdinko asianmukaisesti työssäni tuottamien tai saamieni henkilötietoja sisältävien paperien hävittämisestä? Säilytänkö tietoa, joka olisi pitänyt jo hävittää?
  19. Huolehdinko salassapidettäviä tietoja sisältävät paperit asianmukaisesti ja viivytyksettä silppuriin tai tietoturvaroskikseen?
  20. Huolehdinko asianmukaisesti siitä, että yhteistyökumppanit, vapaaehtoiset avustajat, luottamushenkilöt, palkkiotoimiset sijaiset ym. saavat ainoastaan sellaisia henkilötietoja, joita he tehtävässään välttämättä tarvitsevat?
  21. Huolehdinko asianmukaisesti siitä, että vapaaehtoiset avustajat, luottamushenkilöt, palkkiotoimiset sijaiset ym. joille luovutan jotain henkilötietoja, osaavat käsitellä ja hävittää saamansa tiedot oikein?

3 kommenttia

  • Juha Heinilä sanoo:

    Hyvä blogi, kiitos. Kuinka kauan säilytätte kuolleitten henkilöiden tietoja ja miksi? Miten gdpr muutti sitä mitä tietoja keräätte ja kuinka kauan niitä säilytätte? Kun henkilö eroaa kirkosta, niin saako omat tiedot pois kirkon rekistereistä vai poistuvatko ne automaattisesti?

    Ilmoita asiaton kommentti
    • Tuomas Hynynen sanoo:

      Kiitos Juha.

      Kuolleiden henkilötiedot eli syntymä, avioliitot, perhesuhteet ym. säilyvät jäsentietojärjestelmässä eli “kirkonkirjoissa”. Näitä käytetään sukuselvitysten antamiseen esimerkiksi perukirjoituksia varten.

      Myös kirkosta eronneiden tiedot säilyvät siinä määrin kuin on perusteltua. Esimerkiksi tieto kasteesta, rippikoulusta ja konfirmaatiosta säilyy, koska ne antavat kirkosta eronneelle mahdollisuuden liittyä takaisin kirkkoon ilman uutta kastetta ja rippikoulua.

      Tällaisten tietojen säilyttämiseen antaa kirkkolaki oikeuden ja velvollisuuden.

      Sitten toinen asia on vaikkapa tiedot henkilön aiemmasta työsuhteesta seurakunnassa eli palkkatiedot. Ne tiedot säilytetään muistaakseni 50 vuotta, riippumatta kirkon jäsenyydestä tai henkilön kuolemasta. Työtodistus pitää pystyä antamaan muistaakseni 5 vuotta arvioinnilla ja 10 vuotta ilman arviointia, eli tällaiset tiedot säilytetään sen aikaa.

      Sitten on tietoa, jonka säilyttäminen perustuu suostumukseen. Tietoa säilytetään kunnes suostumus perutaan tai on muuten ilmeistä, ettei tiedon säilyttämiseen ole enää perustetta. Tällaista on esimerkiksi tieto siitä, että henkilö x on halukas toimimaan vapaaehtoistehtävissä seurakunnassa, ja antanut sitä varten yhteystietonsa. Tällaisen tiedon säilyttämiseen ei tietenkään ole perustetta henkilön kuoleman jälkeen.

      Gdpr on pistänyt seurakunnan miettimään systeemit uudelleen, ja tekemään uudet selosteet henkilötietojen käytöstä. Toki aiempi lainsäädäntö velvoitti myös, mutta gdpr:n myötä tarkennetaan ja opetellaan uusia käytäntöjä ja yritetään havaita kohtia, joissa henkilötietojen käyttö ei ole asianmukaista.

      Esimerkiksi ilmoittautumisia leireille tai retkille on joskus kerätty listalle siten, että ilmoittautuja kirjoittaa itse tietonsa listan jatkoksi. Näin hän voi lukea listalta kaikkien edellisten ilmoittautujien yhteystiedot, allergiat ym. Näinhän homma ei voi toimia.

      Tällaisia käytäntöjä siis on vuosien mittaan perattu pois. Koskaanhan tuollainen listan täyttö ei ole ollut asiallinen tapa toimia, mutta hyvin yleinen käytäntö monessa paikassa.

      Ilmoita asiaton kommentti
  • Juuso Hämäläinen sanoo:

    Tavallisella ihmisrllä ei ole tiedoissaan mitään erityistä salattavaa. Keskustelu aiheesta toki saa itse kunkin tuntemaan itsensä hyvin tärkeäksi.

    Totuus tietojemme salauksesta on se, että kaikki tietoja tallentavat järjestelmät ja niitä käyttävät ihmiset vuotavat kuin seula. Näin tekevät viranomaiset ja yritykset.

    Kun otat käyttöön jonkin somesovelluksen, annat siinäkin luvan täysin tuntemattomien kopioida kaiken käyttämältäsi laitteelta, joka nykyään on älykänny. Ihan on turhaa näistä tietoturva-asioista huolehtia, jos näin olet tehnyt ja lapsenuskoisestiluvan olet antanut.

    Ilmoita asiaton kommentti
  • Kirjoittaja