Suunnittelija Mikko Hirvonen ja toiminnanjohtaja Jouni Paakkinen 18.2.2025:

Tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA) tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Vaikutustenarvioinnista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjän tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä rekisteröidyille aiheutuu. Kun riskit on arvioitu, niihin tulee varautua sopivilla suojatoimilla. Vaikutustenarviointi perustuu kaupunginhallituksen päättämään tietoturvapolitiikan mukaisiin vaatimuksiin, kaupunginhallitus 25.4.2022 § 188, dnro 4609-2022.

Vaikutustenarvioinnissa on käyty läpi ja dokumentoitu Adobe Cloud Edu -palveluiden henkilötietojen käsittelyn laajuus, perusteet ja keskeiset menettelyt. Henkilötietojen käsittelyn osalta on kartoitettu riskit sekä hallintakeinot, joilla riskien toteutumista voidaan vähentää tai hallita.

Riskikartoituksessa tunnistettiin 12 riskiä ja niille kirjattiin hallintakeinoja. Näitä riskejä hallitaan pääosin Adobe Cloud Edu -palvelun ja kaupungin IT-palveluiden tietoturvaratkaisuilla, sekä käyttäjien ohjeistuksella ja koulutuksella. Jäännösriskitaso on matala.

Adobe Cloud Edu -palveluiden toimittaja on Adobe Systems Software Ireland Limited (Adobe Ireland), jonka emoyhtiö on Yhdysvalloissa. Euroopan komission päätös Yhdysvaltojen tietosuojan tason riittävyydestä astui voimaan 10.7.2023. Komissio katsoo, että Yhdysvallat varmistaa riittävän suojan henkilötiedoille, jotka siirretään EU:sta yhdysvaltalaisille yrityksille riittävyyspäätöksen nojalla. Henkilötietoja voidaan siirtää sertifioituneille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä sovittuihin suojatoimiin. Yhdysvaltalaiset yritykset voivat liittyä tietosuojakehykseen sitoutumalla noudattamaan yksityiskohtaisia tietosuojavelvoitteita. Adobe Ireland on liittynyt tietosuojakehykseen. Mahdolliset jäännösriskit ovat epätodennäköisiä, mutta ne tulee hyväksyä, jos Adobe Cloud Edu -palveluita käytetään.

Vaikutustenarviointi on jatkuvasti Granite-ympäristössä ylläpidettävä dokumentti, johon päivitetään henkilötietojen käsittelyssä, tunnistetuissa riskeissä ja niiden hallintakeinoissa tapahtuvat muutokset.

Liite 1                                  Tietosuojaa koskeva vaikutustenarviointi (DPIA) (Salassa pidettävä: Julkisuuslaki 24 § 1 mom. 7. kohta)

Tietojärjestelmän omistajuudesta tehdyn päätöksen, dnro 7215-2021, mukaan järjestelmän omistaja vastaa sen tietoturvasta ja -suojasta sekä hyväksyy EU:n yleisen tietosuoja-asetuksen ja tietosuojalain edellyttämät tietosuojaa koskevat vaikutustenarvioinnit (DPIA) oman vastuualueensa osalta. Kasvatuksen ja opetuksen Adobe Cloud Edu -palveluiden omistaja on kasvatus- ja opetusjohtaja.

Esitys        Esitämme, että kasvatuksen ja opetuksen Adobe Cloud Edu -palveluiden henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Kasvatus- ja opetusjohtaja Timo Jalonen:

Päätös          Päätin, että kasvatuksen ja opetuksen Adobe Cloud Edu -palveluiden henkilötietojen tietosuojaa koskeva vaikutustenarviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään. Tämän jälkeen dokumenttia päivitetään säännöllisesti ja tiedotetaan järjestelmän omistajaa keskeisistä muutoksista.

Timo Jalonen

kasvatus- ja opetusjohtaja

Lisätietoja päätöksestä tarvittaessa antaa toiminnanjohtaja Jouni Paakkinen, puh. 050 590 7474.

Päätöksestä ei saa valittaa kuntalain 136 §:n mukaan.