Suunnittelija Mikko Hirvonen ja IT-käyttöpäällikkö Katja Klemola 29.4.2024:

Tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA) tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Vaikutustenarvioinnista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjän tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä rekisteröidyille aiheutuu. Kun riskit on arvioitu, niihin tulee varautua sopivilla suojatoimilla. Vaikutustenarviointi perustuu kaupunginhallituksen päättämään tietoturvapolitiikan mukaisiin vaatimuksiin, kaupunginhallitus 25.4.2022 § 188, dnro 4609-2022.

Vaikutustenarvioinnissa on käyty läpi ja dokumentoitu Microsoftin 365-ympäristön henkilötietojen käsittelyn laajuus, perusteet ja keskeiset menettelyt. Henkilötietojen käsittelyn osalta on kartoitettu riskit sekä hallintakeinot, joilla riskien toteutumista voidaan vähentää tai hallita.

Riskikartoituksessa tunnistettiin 25 riskiä ja niille kirjattiin hallintakeinoja. Näitä riskejä hallitaan pääosin M365-palvelun tietoturvaratkaisuilla, jotka ovat Turussa laajasti käytössä, sekä käyttäjien ohjeistuksella ja koulutuksella. Jäännösriskitaso on matala.

M365-ympäristön toimittaja on yhdysvaltalainen Microsoft. Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä astui voimaan 10.7.2023. Komissio katsoo, että Yhdysvallat varmistaa riittävän suojan henkilötiedoille, jotka siirretään EU:sta yhdysvaltalaisille yrityksille riittävyyspäätöksen nojalla. Henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Yhdysvaltalaiset yritykset voivat liittyä tietosuojakehykseen sitoutumalla noudattamaan yksityiskohtaisia tietosuojavelvoitteita. Microsoft Corporation on liittynyt tietosuojakehykseen.

Mahdolliset jäännösriskit ovat epätodennäköisiä, mutta ne tulee hyväksyä, jos M365-palvua käytetään.

Vaikutustenarviointi on jatkuvasti Granite-ympäristössä ylläpidettävä dokumentti, johon päivitetään henkilötietojen käsittelyssä, tunnistetuissa riskeissä ja niiden hallintakeinoissa tapahtuvat muutokset.

Liite 1                                  Tietosuojaa koskeva vaikutustenarviointi (DPIA) (Salassa pidettävä: Julkisuuslaki 24 § 1 mom. 7. kohta)

Tietojärjestelmän omistajuudesta tehdyn päätöksen, dnro 7215-2021, mukaan järjestelmän omistaja vastaa sen tietoturvasta ja -suojasta sekä hyväksyy EU:n yleisen tietosuoja-asetuksen ja tietosuojalain edellyttämät tietosuojaa koskevat vaikutustenarvioinnit (DPIA) oman vastuualueensa osalta. Kasvatuksen ja opetuksen M365-ympäristön omistaja on kasvatus- ja opetusjohtaja.

Esitämme, että kasvatuksen ja opetuksen M365-ympäristön henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Kasvatus- ja opetusjohtaja Timo Jalonen:

Päätös          Päätin, että kasvatuksen ja opetuksen M365-ympäristön henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Timo Jalonen

kasvatus- ja opetusjohtaja

Lisätietoja päätöksestä antaa tarvittaessa suunnittelija Mikko Hirvonen, puh. 040 673 6058.