Suunnittelija Mikko Hirvonen ja toiminnanjohtaja Jouni Paakkinen 12.9.2024:

Tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA) tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Vaikutustenarvioinnista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjän tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä rekisteröidyille aiheutuu. Kun riskit on arvioitu, niihin tulee varautua sopivilla suojatoimilla. Vaikutustenarviointi perustuu kaupunginhallituksen päättämään tietoturvapolitiikan mukaisiin vaatimuksiin, kaupunginhallitus 25.4.2022 § 188, dnro 4609-2022.

Vaikutustenarvioinnissa on käyty läpi ja dokumentoitu Google Workspace for Education (GWE) -ympäristön henkilötietojen käsittelyn laajuus, perusteet ja keskeiset menettelyt. Henkilötietojen käsittelyn osalta on kartoitettu riskit sekä hallintakeinot, joilla riskien toteutumista voidaan vähentää tai hallita.

Riskikartoituksessa tunnistettiin 12 riskiä ja niille kirjattiin hallintakeinoja. Näitä riskejä hallitaan pääosin GWE-palvelun ja kaupungin IT-palveluiden tietoturvaratkaisuilla, sekä käyttäjien ohjeistuksella ja koulutuksella. Jäännösriskitaso on matala. Tunnistettujen riskien edelleen minimoimiseksi on käynnistetty selvitys tietoturvaa ja -suojaa parantavien ominaisuuksien hankkimisesta (lisenssitason korotus).

GWE-ympäristön toimittaja on yhdysvaltalainen Google LLC. Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä astui voimaan 10.7.2023. Komissio katsoo, että Yhdysvallat varmistaa riittävän suojan henkilötiedoille, jotka siirretään EU:sta yhdysvaltalaisille yrityksille riittävyyspäätöksen nojalla. Henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Yhdysvaltalaiset yritykset voivat liittyä tietosuojakehykseen sitoutumalla noudattamaan yksityiskohtaisia tietosuojavelvoitteita. Google LLC on liittynyt tietosuojakehykseen. Mahdolliset jäännösriskit ovat epätodennäköisiä, mutta ne tulee hyväksyä, jos GWE-palvelua käytetään.

Vaikutustenarviointi on jatkuvasti Granite-ympäristössä ylläpidettävä dokumentti, johon päivitetään henkilötietojen käsittelyssä, tunnistetuissa riskeissä ja niiden hallintakeinoissa tapahtuvat muutokset.

Liite 1                                  Tietosuojaa koskeva vaikutustenarviointi (DPIA) (Salassa pidettävä: Julkisuuslaki 24 § 1 mom. 7. kohta)

Tietojärjestelmän omistajuudesta tehdyn päätöksen, dnro 7215-2021, mukaan järjestelmän omistaja vastaa sen tietoturvasta ja -suojasta sekä hyväksyy EU:n yleisen tietosuoja-asetuksen ja tietosuojalain edellyttämät tietosuojaa koskevat vaikutustenarvioinnit (DPIA) oman vastuualueensa osalta. Kasvatuksen ja opetuksen GWE-ympäristön omistaja on kasvatus- ja opetusjohtaja.

Esitämme, että kasvatuksen ja opetuksen GWE-ympäristön henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Kasvatus- ja opetusjohtaja Timo Jalonen:

Päätös          Päätin, että kasvatuksen ja opetuksen GWE-ympäristön henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan sekä tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen ko. dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Timo Jalonen

kasvatus- ja opetusjohtaja

Lisätietoja päätöksestä tarvittaessa antaa toiminnanjohtaja Jouni Paakkinen, puh. 050 590 7474.

Päätöksestä ei saa valittaa kuntalain 136 §:n mukaan.