Kaupunginhallitus, kokous 30.9.2024

§ 252 Rovaniemen kaupungin tietoturva- ja tietosuojapolitiikka

ROIDno-2024-3639

Valmistelija

  • Hanna Haurinen, johtava kaupunginlakimies, hanna.haurinen@rovaniemi.fi

Perustelut

Tieto on keskeisessä roolissa Rovaniemen kaupungin toiminnassa ja palvelutuotannossa. Jotta tieto on tehokkaasti hyödynnettävissä, tiedonhallinta- ja käsittelykäytäntöjen tulee toimia asianmukaisesti kaikissa tilanteissa.

Lainsäädäntömuutokset, esimerkiksi EU:n yleinen tietosuoja-asetus, tietosuojalaki, EU:n saavutettavuusdirektiivi ja tiedonhallintalaki tähtäävät tietoturvan, tietosuojan, riskienarvioinnin, kokonaisarkkitehtuurin ja yhteentoimivuuden huomioimiseen suunnittelun aikaisessa vaiheessa. Suunnittelun kautta on mahdollisuus parantaa niin kustannustehokkuutta, tietojen käytettävyyttä kuin tietoturvallisuutta.

Tietoturvallisuuden toteutumiseksi organisaation tulee tunnistaa sen toiminnan kannalta elintärkeät palvelutehtävät sekä määritellä ja kuvata näiden turvaamiseksi riittävät tietoturvaperiaatteet. Tietoturvallisuuden toteutumista tukevat periaatteista johdetut käytännöt, joita ovat mm.:

  • hanke ja projektisuunnittelun tietoturvan ja tietosuojan tarkastuslistat
  • puite-, palvelu- ja toimitussopimukset sekä niihin liittyvät turvallisuus- tai tietoturvasopimukset
  • henkilötietojen käsittelyn ehdot, käsittelytoimien kuvaukset
  • dokumentit organisaation toimintaympäristön tietokriittisyydestä sekä keskeisistä palveluista, prosesseista ja toiminnoista sekä näiden jatkuvuuden ja toimintavarmuuden hallintamekanismeista.

Tietoturva- ja tietosuojapolitiikan tarkoitus on linjata tietoturva- ja tietosuojakäytäntöjä, sekä vahvistaa tietoturvan ja tietosuojan vaatimustenmukaisuus, organisointi ja vastuut sekä seurantamenetelmät. Politiikka toimii perustana kaupungin tietoturvallisuutta ja tietosuojaa koskeville ohjeille, joiden tehtävänä on tukea kaupungin toimintaan liittyvien tietojärjestelmien, palveluiden ja tietoverkkojen toiminta sekä henkilötietojen asianmukainen käsittely arjen työssä.

Politiikka koskee jokaista kaupungin työntekijää, viranhaltijaa, luottamushenkilöä ja yhteistyökumppania, joka työnsä tai toimeksiannon perusteella käsittelee Rovaniemen kaupungin omistamaa tai hallinnoimaa tietoa. Asiakirja on kaupunkia sitova ja sitä tarkennetaan kaupunkitason sekä toimialojen omilla ohjeistuksilla ja määräyksillä. Tietoturvallisuudesta- ja tietosuojasta ohjeistetaan myös sovellus- tai käyttötarkoituskohtaisilla ohjeilla.

Tätä politiikkaa sovelletaan kaikkeen tietoon riippumatta sen esitystavasta, muodosta, suojaustasosta, elinkaaren vaiheesta, esiintymisympäristöstä tai siirtotiestä.

Politiikassa kuvataan Rovaniemen kaupungin tietoturvan ja tietosuojan periaatteet, tavoitteet, vastuut, organisoinnin ja toteutuskeinot. Lisäksi kuvataan seurannan ja tiedottamisen yleisperiaatteet. Asiakirja korvaa kaupunginhallituksen KH 7.10.2019 326 §:n päätöksen mukaisen Rovaniemen kaupunkikonsernin tietoturva- ja tietosuojapolitiikan.

Asiaan liittyvät tehtävät ja vastuut on kuvattu asiakirjassa keskeisiltä osin muun muassa seuraavasti:

Kaupunginhallitus on tiedonhallintalain tarkoittama tiedonhallintayksikön johto kaupungissa. Kaupunginhallitus seuraa tietoturvallisuuden sekä tietosuojan toteutumista kaupungissa. Kaupunginhallitus hyväksyy tietoturva- ja tietosuojapolitiikan. Kaupunginhallitus vastaa rekisterinpitäjänä kaupunginhallituksen alaisten toimintojen henkilötietojen käsittelystä. Kaupunginhallitus vastaa siitä, että tiedonhallintalain 4.2 §:n vastuut, käytännöt ja valvonta on määritelty.

Lautakunta vastaa rekisterinpitäjänä toimialansa palvelujen henkilötietojen käsittelystä. Poikkeuksena jätehuoltojaosto, joka toimii rekisterinpitäjänä vastuualueensa henkilötietojen käsittelyssä.

Kaupunginjohtaja vastaa tietoturvallisuuden sekä tietosuojan toteuttamisesta kaupungin organisaatiossa ja kaupunginhallituksen esittelijänä näiden toteutumisen raportoinnista sekä edellä kaupunginhallituksen vastuulle määriteltyjen tehtävien valmistelun johtamisesta. Kaupunginjohtaja nimeää tietoturva- ja tietosuojatyöryhmän.

Henkilöstö- ja hallintojohtaja hyväksyy koko kaupunkia koskevat tietoturva- ja tietosuojaohjeet.

Toimialajohtaja vastaa toimialansa tietoturvallisuuden ja tietosuojan toteutumisesta. Toimialajohtajan tehtäviin kuuluu lisäksi varmistaa tietoturvaan ja tietosuojaan liittyvän lainsäädännön, linjausten, periaatteiden ja ohjeistusten noudattaminen toimialallaan.

Tytäryhtiöiden ja -säätiöiden hallitukset ja toimitusjohtajat vastaavat tietoturvallisuuden ja tietosuojan toteutumisesta omissa organisaatioissaan.

Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn elinkaaren ajan. Rekisterinpitäjä hyväksyy kaupunginhallituksen päättämien tietoturvan ja tietosuojan keskeisten periaatteiden pohjalta omaa sektoriaan koskevat tietosuojan ja tietoturvan keskeiset periaatteet sekä täydentävät erityismääräykset (Rekisterinpitäjän vastuut liitteessä 1).

Päätösehdotus

Esittelijä

  • Ulla-Kirsikka Vainio, kaupunginjohtaja, ulla-kirsikka.vainio@rovaniemi.fi

Kaupunginhallitus päättää hyväksyä liitteenä olevan tietoturva- ja tietosuojapolitiikan liitteineen esittelytekstissä todetuilla perusteilla.

Päätös

Kaupunginhallitus päätti yksimielisesti kaupunginjohtajan esityksen mukaisesti.

Tiedoksi

Tietohallintojohtaja, toimialajohtajat, henkilöstö- ja hallintojohtaja, palvelualuepäälliköt, vastuualuepäälliköt, sisäinen tarkastaja, kaupungin henkilöstö, kaupungin luottamushenkilöt

Liitteet

Rovaniemen_kaupungin_tietoturva_ja_tietosuojapolitiikka.pdf.pdf (pdf, 1011 kt)
LIITE 1. Henkilötietojen käsittelyn vastuut ja roolit Rovaniemen kaupungissa (1) (1).pdf.pdf (pdf, 621 kt)

Muutoksenhaku

OIKAISUVAATIMUSOHJEET

Tähän päätöksen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Päätökseen ei saa hakea muutosta valittamalla tuomioistuimeen.

Oikaisuvaatimusoikeus

Oikaisuvaatimuksen saa kuntalain 137 §:n mukaan tehdä:

  • se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen), sekä

  • kunnan jäsen.

Oikaisuvaatimusaika

Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista. 

Oikaisuvaatimus on toimitettava Rovaniemen kaupungin kirjaamoon määräajan viimeisenä päivänä ennen kirjaamon aukioloajan päättymistä.

Asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Käytettäessä tavallista sähköistä tiedoksiantoa asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, kolmantena päivänä viestin lähettämisestä. 

Kunnan jäsenen katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa. 

Tiedoksisaantipäivää ei lueta oikaisuvaatimusaikaan. Jos oikaisuvaatimusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa oikaisuvaatimuksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimusviranomainen

Viranomainen, jolle oikaisuvaatimus tehdään, on Rovaniemen kaupunginhallitus

Kirjaamon yhteystiedot:

Postiosoite: PL 8216, 96101 Rovaniemi

Käyntiosoite: Osviitta asiointipiste, Koskikatu 19, Rovaniemi

Sähköpostiosoite: kirjaamo(at)rovaniemi.fi, 

henkilö- ja arkaluonteisia tietoja sisältävät sähköpostit osoitteesta: https://turvaposti.rovaniemi.fi osoitteeseen kirjaamo(at)rovaniemi.fi

Faksinumero: 016 322 6450

Puhelinnumero: 016 3221

Kaupunginkirjaamon aukioloaika: ma - pe kello 9 - 15

 

Paperisten asiakirjojen on oltava toimitettuna Osviitta asiointipisteeseen viimeistään määräajan viimeisenä päivänä kello 15:een mennessä.

Osviitta asiointipiste: ma - to kello 9.00 - 16.30, pe kello 9.00 - 15.30

Osviitan kesäaukiolo (kesä-heinäkuu): ma - to 9.00 - 16.00; pe 9.00 - 15.00

 

Oikaisuvaatimuksen muoto ja sisältö

Oikaisuvaatimus on tehtävä kirjallisesti. Myös sähköinen asiakirja täyttää vaatimuksen kirjallisesta muodosta.

Oikaisuvaatimuksessa on ilmoitettava:

  • päätös, johon haetaan oikaisua

  • miten päätös halutaan oikaistavaksi 

  • millä perusteella oikaisua vaaditaan.

Oikaisuvaatimuksessa on lisäksi ilmoitettava tekijän nimi, kotikunta, postiosoite ja puhelinnumero.

Jos oikaisuvaatimuspäätös voidaan antaa tiedoksi sähköisenä viestinä, yhteystietona pyydetään ilmoittamaan myös sähköpostiosoite.

Oikaisuvaatimuksen maksu

Oikaisuvaatimuskäsittely on maksutonta.

Pöytäkirja

Päätöstä koskevia pöytäkirjan otteita ja liitteitä voi pyytää Rovaniemen kaupungin kirjaamosta.

Pöytäkirjan allekirjoitus- ja tarkastuspäivä sekä pöytäkirjan yleiseen tietoverkkoon nähtäväksi vientipäivämäärä on esitetty kunkin pöytäkirjan allekirjoitussivulla.

Asianosaiselle lähetettyyn otteeseen on merkitty päätöksen lähettämispäivä ja -tapa.