Ohjeet henkilötietojen käsittelijälle Pepissä
Käsittele henkilötietoja tämän ohjeen mukaisesti. Noudata ohjeita myös, kun siirrät, säilytät ja arkistoit henkilötietoja. Näiden käsittelyohjeiden lisäksi noudata voimassa olevaa lainsäädäntöä koskien henkilötietoja. Siltä osin kuin nämä ohjeet ovat ristiriidassa lainsäädännön kanssa, noudatetaan lainsäädännön vaatimuksia.
Henkilötietojen käsittelijän on noudatettava seuraavia ohjeita:
- Noudata salassapitovelvollisuutta.
- Noudata tietoturvallisuutta.
- Poista tai palauta henkilötiedot rekisterin pitäjälle käsittelyn päättyessä. Sinun tulee poistaa myös niistä hallussasi olevat kopiot.
- Ilmoita mahdollisesta tietoturvaloukkauksen havainnosta välittömästi.
- Älä ulkoista henkilötietojen käsittelyn tehtäviä ilman rekisterinpitäjän kirjallista ennakkosuostumusta.
Tietosuoja-asetuksessa on määritelty erityiset henkilötietoryhmät, joiden käsittelylle on asetetut tiukemmat perusteet. Tietosuoja-asetuksen myötä erityisiin henkilötietoihin luetaan esimerkiksi alaikäisiä koskevat tiedot. Mikäli erityisiin henkilötietoryhmiin kuuluvia tietoja aiotaan käsitellä, on huolellisesti selvitettävä, että tietojen käsittely on tietosuoja-asetuksen yhdeksännen artiklan nojalla sallittua.
Rikosrekisteriotteiden käsittelystä on säädetty erityislainsäädännössä, esimerkiksi laki lasten kanssa työskentelevien rikostaustan selvittämisestä, laki julkisista hankinnoista ja käyttöoikeussopimuksista. Lisäksi rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä on tietosuoja- asetuksessa oma artiklansa.
Huomioitavaa henkilötietojen käsittelijälle
Sinun on aina huolehdittava, etteivät henkilötiedot joudu asiattomien saataville riippumatta siitä, käsitelläänkö tietoja tietojärjestelmissä, paperilla, kuvina, keskustelemalla puhelimessa tai kasvokkain. Varmista myös, että paikka soveltuu henkilötietojen käsittelyyn. Ulkopuoliset eivät saa kuulla, mitä puhutaan tai katsella mitä tietoja käytetään.
Henkilötietojen käsittely tehdään aina työtehtävään perustuen ja omalla henkilökohtaisella käyttäjätunnuksella. Toisten henkilöiden tunnuksia ei saa käyttää. Jokainen vastaa omilla käyttöoikeuksillaan tehdyistä henkilötietojen käsittelyistä eikä käyttötunnuksia saa antaa muiden käyttöön.
Lokitietoja kerätään, jotta voidaan tarvittaessa tarkastaa tai seurata henkilötietojen käsittelyä, kuten sitä, kuka on lisännyt, poistanut, muuttanut tai käynyt katsomassa henkilötietoja. Lokitiedoilla voidaan osoittaa, että henkilötietoja ovat käsitelleet vain ne henkilöt, joilla on ollut heidän työtehtäviinsä liittyvä peruste.
Henkilötietoja ei saa kopioida tietojärjestelmästä sen ulkopuolelle. Henkilötietoja saa siirtää vain sellaisiin tallennuspaikkoihin, joissa ne säilyvät rekisteriselosteen mukaisesti.
Turvasähköpostia voidaan käyttää henkilötietojen lähettämiseen osapuolten välillä. Henkilötietoja sisältävät viestit tulee hävittää.
Paperitulosteiden käyttöä kannattaa mahdollisuuksien mukaan välttää. Jos tulosteita tarvitaan, henkilötietoja sisältävät aineisto on säilytettävä siten, että se ei voi joutua asiattomien ulottuville. Erityistä huomiota tulee kiinnittää postittaessa asiakirjoja. Myös tietojen siirtämisessä tilasta toiseen tulee kiinnittää erityistä huolellisuutta. Henkilötietoja sisältävät paperit tuhotaan tietosuojamateriaalina.
Sinun tulee ilmoittaa henkilötietoja koskevasta loukkauksesta välittömästi, kun sen havaitset. Loukkaus voi olla esimerkiksi tietojen muuttuminen, tietojen tuhoutuminen tai tietojen vuotaminen sivullisille. Tiedot voivat olla esimerkiksi sähköisessä tai paperisessa muodossa.