Kaupunginhallitus, kokous 8.6.2021

Pöytäkirja on tarkastettu

§ 121 Kajaanin kaupungin tietoturva- ja tietosuojapolitiikka 2021

KAJDno-2018-707

Aikaisempi käsittely

Valmistelija

Tuija Aarnio, Hallintojohtaja, tuija.aarnio@kajaani.fi

Perustelut

Tieto on keskeisessä roolissa Kajaanin kaupungin toiminnassa ja palvelutuotannossa. Jotta tieto on tehokkaasti hyödynnettävissä, tiedon hallinta- ja käsittelykäytäntöjen tulee toimia asianmukaisesti kaikissa tilanteissa.

Tietoturva- ja tietosuojapolitiikan tarkoituksena on Kajaanin kaupungin vastuulla olevien palveluiden jatkuvuuden turvaaminen. Politiikka-asiakirja on sisäinen määräys, joka määrittää noudatettavat periaatteet, vastuut, tomintatavat sekä seurannan ja valvonnan. Tietoturva- ja tietosuojapolitiikalla tuetaan toiminnalle asetettuja vaatimuksia ja varmistetaan tietojen ja tietojärjestelmien huolellinen käsittely sekä yksityisyyden suoja, jota ohjaa voimaan tullut EU:n yleinen toetosuoja-asetus (2016/679).

Tietoturvapolitiikassa kaupungin johto määrittelee tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kaupungin tietoturvallisuutta koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden täytäntöönpanossa. Tietoturvapolitiikka ja sen soveltamisohjeet pidetään käyttäjien saatavilla kaupugnin intranetissä.

Tietoturvapolitiikka koskee kaupungin koko organisaatiota - niin työntekijöitä kuin luottamushenkilöitäkin - sekä niitä kaupungin sidosryhmien edustajia, jotka toimeksiantojensa perusteella käsittelevät kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kaupungin käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta.

Kajaanin kaupungissa tietoturvallisuudella tarkoitetaan hallinnollisia, teknisiä ja muita keinoja, joilla suojataan kaupungin omistamaa tai hallinnoimaa tietoa sekä normaalitilanteissa, normaaliolojen häiriötilanteissa että poikkeusoloissa. Tietoturvallisuus tulee huomioida mahdollisimman varhaisessa vaiheessa toiminnan suunnittelua.

Tietosuoja on oleellinen osa tietoturvallisuutta. Tietosuojalla tarkoitetaan henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista yksityisten ihmisten yksityisyyden, oikeuksien ja oikeusturvan varmistamiseksi. Kajaanin kaupungilla henkilötietojen käsittely perustuu pääsääntöisesti lakisääteiseen toimintaan, jonkin verran myös suostumukseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen vuoksi ja vain siinä määrin ja niin kauan, kuin se on käyttötarkoituksen kannalta tarpeellista. Tietosuojaa ohjaavina periaatteina ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tietojen minimointi, täsmällisyys, säilytyksen rajoittaminen sekä tietojen eheys ja luottamuksellisuus.

Kaupunkia sitoo myös Kainuun Soten tietoturvaohjeet silloin, kun käytetään Soten hallinnassa olevia tietojärjestelmiä.

Päätösehdotus

Esittelijä

Jari Tolonen, Kaupunginjohtaja, jari.tolonen@kajaani.fi

Kaupunginhallitus hyväksyy liitteenä olevan tietoturva- ja tietosuojapolitiikan. 

Päätös

Hyväksyi.

Valmistelija

  • Tuulia Miettinen, Tietoturvapäällikkö, tuulia.miettinen@kajaani.fi
  • Tuija Aarnio, Hallintojohtaja, tuija.aarnio@kajaani.fi

Perustelut

Tietoturva- ja tietosuojapolitiikan päivitys

Tietoturva- ja tietosuojapolitiikassa kaupungin johto määrittelee tietoturvallisuutta koskevat periaatteet, vastuut ja tavoitteet. Politiikka toimii perustana kaupungin tietoturvallisuutta ja tietosuojaa koskeville ohjeille, joiden tehtävänä on tarkentaa politiikassa annettuja määräyksiä ja auttaa niiden käytäntöön soveltamisessa. 

Tietoturva- ja tietosuojapolitiikka koskee kaupungin koko organisaatiota – niin työntekijöitä kuin luottamushenkilöitäkin – sekä niitä kaupungin sidosryhmien edustajia, jotka toimeksiantojensa puitteissa käsittelevät kaupungin omistamaa tai hallinnoimaa tietoa. Politiikka kattaa kaupungin käyttämän, omistaman ja hallinnoiman tiedon riippumatta tiedon esitystavasta, muodosta, suojaustasosta tai elinkaaren vaiheesta.

Kajaanin kaupungin tietoturva- ja tietosuojapolitiikka on luotu 2018. Tiedonhallintaa koskevan lainsäädännön muutoksista sekä organisaatiossa tapahtuneista muutoksista johtuen tietoturva- ja tietosuojapolitiikka on päivitetty ja sen on tarkastanut Kajaanin kaupungin tietoturva- ja tietosuojatyöryhmä. Päivitetty vuoden 2021 tietoturva- ja tietosuojapolitiikka esitetään hyväksyttäväksi kaupunginhallitukselle. 

Keskeiset muutokset:

•    Tietosuoja nostettu omaksi luvukseen, luku 3 
•    Tietosuojan vaikutustenarviointiprosessi lisätty (dpia, EU:n yleinen tietosuoja-asetus) 
•    Tietoturvallisuustavoitteet muokattu vastaamaan uudistuvaa lainsäädäntöä 
•    Tietoturvan vastuut päivitetty vastaamaan organisaatiossa tapahtuneita muutoksia 
•    Tarkennettu lukua 6 Tiedon ja tietojärjestelmien käyttö (Tiedonhallintalain 13§) 
•    Lisätty luku 7 Riskiperusteinen lähestymistapa (TiHL 13§) 
•    Lisätty luku 9 Tietoturva hankinnoissa ja sopimuksissa (TiHL 13) 
•    Lisätty luku 10 Lokitietojen kerääminen (TiHL 17§)
 

Päätösehdotus

Esittelijä

  • Jari Tolonen, Kaupunginjohtaja, jari.tolonen@kajaani.fi

Kaupunginhallitus hyväksyy liitteenä olevan tietoturva- ja tietosuojapolitiikan. 

Päätös

Hyväksyi.


Muutoksenhaku

Tähän päätökseen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Päätökseen ei saa hakea muutosta valittamalla tuomioistuimeen.

Oikaisuvaatimusoikeus

Oikaisuvaatimuksen saa tehdä:

– se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen), sekä
– kunnan jäsen.

Oikaisuvaatimusaika

Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista.

Oikaisuvaatimus on toimitettava Kajaanin kaupungin kirjaamoon määräajan viimeisenä päivänä ennen kirjaamon aukioloajan päättymistä.

Asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Käytettäessä tavallista sähköistä tiedoksiantoa katsotaan asianosaisen saaneen tiedon päätöksestä kolmantena päivänä viestin lähettämisestä, jollei muuta näytetä.

Kunnan jäsenen katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluessa siitä, kun pöytäkirja on julkaistu tietoverkossa.

Tiedoksisaantipäivää ei lueta oikaisuvaatimusaikaan. Jos oikaisuvaatimusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa oikaisuvaatimuksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimusviranomainen

Viranomainen, jolle oikaisuvaatimus tehdään, on Kajaanin kaupunginhallitus

Postiosoite:  PL 133, 87101 Kajaani

Käyntiosoite: Pohjolankatu 13, 87100 Kajaani

Sähköpostiosoite: kajaani@kajaani.fi

Faksinumero: 08 6155 2510

Puhelinnumero:  08 61551 (vaihde)

Kirjaamon aukioloaika: klo 8.00-16.00

 

Oikaisuvaatimuksen muoto ja sisältö

Oikaisuvaatimus on tehtävä kirjallisesti. Myös sähköinen asiakirja täyttää vaatimuksen kirjallisesta muodosta.

Oikaisuvaatimuksessa on ilmoitettava:

– päätös, johon haetaan oikaisua
– se, millaista oikaisua vaaditaan
– millä perusteella oikaisua vaaditaan.

Oikaisuvaatimuksessa on lisäksi ilmoitettava tekijän nimi, kotikunta, postiosoite ja puhelinnumero. Jos oikaisuvaatimuspäätös voidaan antaa tiedoksi sähköisenä viestinä, yhteystietona pyydetään ilmoittamaan myös sähköpostiosoite.

Pöytäkirja

Päätöstä koskevia pöytäkirjan otteita ja liitteitä voi pyytää Kajaanin kaupungin  kirjaamosta. Yhteystiedot; ks. edellä.