Turun kaupunki§Päätöspöytäkirja1
Konsernihallinto 
Kansliapäällikkö20321.06.2023 

4856-2023 (07 01 01, 07 01 00)

Hallinnon Microsoft 365 -palvelujen tietosuojaa koskevien vaikutusten arviointi

Strategia- ja kehittämisjohtaja Rami Savila ja IT-käyttöpäällikkö Katja Klemola 23.5.2023:

Tietosuojaa koskevan vaikutusten arvioinnin (Data Protection Impact Assessment, DPIA) tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Vaikutusten arvioinnista säädetään EU:n yleisessä tietosuoja-asetuksessa. Rekisterinpitäjän tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä ihmisille aiheutuu. Kun riskit on arvioitu, niihin tulee varautua sopivilla suojatoimilla. Vaikutusten arviointi perustuu kaupunginhallituksen päättämään tietoturvapolitiikan mukaisiin vaatimuksiin, kaupunginhallitus 25.4.2022 § 188, dnro 4609-2022.

Vaikutusten arvioinnissa on käyty läpi ja dokumentoitu Microsoftin 365-ympäristön henkilötietojen käsittelyn laajuus, perusteet ja keskeiset menettelyt. Henkilötietojen käsittelyn osalta on kartoitettu riskit sekä hallintakeinot, joilla riskien toteutumista voidaan vähentää tai hallita.

Riskikartoituksessa tunnistettiin 24 riskiä ja niille 47 hallintakeinoa. Kartoituksen keskeisenä havaintona voitiin todeta, että todennäköisyydeltään korkeimmat riskit liittyvät käyttäjien tekemiin toimiin kuten tunnusten antamiseen ulkopuolisille tai tietojen hävittämiseen. Näiden riskien hallintakeinot ovat hyvin katettavissa M365-palvelun tietoturvaratkaisuilla, jotka ovat Turussa laajasti käytössä, joten jäännösriski näiden osalta on pieni.

Arvioinnissa on otettu huomioon EU-tuomioistuimen antama Schrems II -päätös, jossa on todettu riski siitä, että tiedonsiirto EU-alueen ulkopuolelle on joissakin tapauksissa mahdollinen, koska M365-palvelun toimittaja on yhdysvaltalainen Microsoft. Riskiä pidetään äärimmäisen epätodennäköisenä, joten se tulee hyväksyä niin kauan kuin käytämme M365-palvelua. Vaihtoehtoista täysin EU-valtion omistamaa palvelua ei ole tarjolla.

Vaikutusten arviointi on jatkuvasti ylläpidettävä dokumentti, johon päivitetään henkilötietojen käsittelyssä, tunnistetuissa riskeissä ja niiden hallintakeinoissa tapahtuvat muutokset.

Liite 1​Tietosuojaa koskeva vaikutustenarviointi (DPIA) (Salassa pidettävä: Julkisuuslaki 24 § 1 mom. 7. kohta)

Hallintosäännön 42 §:n mukaan kansliapäällikkö tehtävänä on huolehtia kaupungin tietoturvasta ja -suojasta.

Ehdotus​Esitämme, että hallinnon M365-ympäristön henkilötietojen tietosuojaa koskeva vaikutusten arviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään.

Kansliapäällikkö Tuomas Heikkinen:

Päätös​Päätin, että​ hallinnon M365-ympäristön henkilötietojen tietosuojaa koskeva vaikutusten arviointi vahvistetaan ja tunnistetut riskit ja niiden hallintakeinot hyväksytään.​

Tuomas Heikkinen

kansliapäällikkö

Muutoksenhakukielto

​Edellä mainitusta päätöksestä, joka koskee vain asian valmistelua tai täytäntöönpanoa, ei saa kuntalain 136 §:n mukaan hakea muutosta.

Jakelu

tiedKaupunginhallitus
tiedXXXXX
tiedXXXXX
tpvXXXXX
tiedXXXXX
tiedXXXXX
tiedXXXXX
tiedXXXXX
tpvXXXXX
tiedXXXXX


Liitteet:

Konha § 203
Liite 1:Tietosuojaa koskeva vaikutustenarviointi DPIA