Suomen Kulttuurirahaston tietosuojapolitiikka

Suomen Kulttuurirahasto (”Kulttuurirahasto”) on sitoutunut noudattamaan toiminnassaan tietosuoja-asetuksen, tietosuojalain ja muun soveltuvan tietosuoja- ja tietoturvasäätelyn vaatimuksia.

Tietosuoja on osa Kulttuurirahaston sisäistä valvontaa, riskienhallintaa ja olennainen osa vastuullista, eettistä ja luottamusta rakentavaa toimintakulttuuria. Kulttuurirahasto noudattaa toiminnassaan Privacy by Design -periaatetta, joka tarkoittaa sitä, että yksityisyyden suoja ja henkilötietojen turvaaminen otetaan huomioon jo järjestelmien, palveluiden ja prosessien suunnitteluvaiheessa.

Kulttuurirahasto määrittelee tietosuojapolitiikassaan ne periaatteet ja toimintatavat, joilla varmistamme henkilötietojen käsittelyn lainmukaisuuden ja tietosuojan korkean tason.

Tietosuojalla on kiinteä yhteys tietoturvaan. Kulttuurirahaston tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja riskienhallinnalla sekä kuinka sitä ylläpidetään.

Tietosuojapolitiikkaa täydentävät tietoturvapolitiikka ja muut yksityiskohtaiset määräykset ja ohjeet.

Henkilötietoja kerätään ja käsitellään vain perustellun käyttötarkoituksen mukaisesti ja niiden säilytysajat arvioidaan aina erikseen sen mukaan, mikä on kunkin käyttötarkoituksen kannalta tarpeellista.  Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille.

Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti tai arkistoidaan Kulttuurirahaston toimesta tai luovutetaan arkistoitavaksi Kansallisarkistoon mahdolliseen valvottuun tutkimuskäyttöön.

Suomen Kulttuurirahaston tietojärjestelmät ja niiden sisältämät henkilötiedot säilytetään pääasiassa Euroopan unionin tai Euroopan talousalueen sisällä.

Henkilötietojen käsittelyssä käytetään myös ulkoisia palveluntarjoajia. Henkilötietoja voidaan siirtää näiden palveluntarjoajien osalta myös EU:n/ETA:n ulkopuolisille palvelimille. Kaikkien alikäsittelijöiden kanssa sitoudutaan asianmukaisiin tietojenkäsittelysopimuksiin.

Mikäli henkilötietoja siirtyy EU:n/ETA:n ulkopuolelle, varmistetaan, että henkilötietojen käsittely suojataan riittävällä tavalla ja käsitellään tämän sopimuksen mukaisesti. Suoja voi sisältää esimerkiksi Euroopan komission riittävyyspäätöksen tai asianmukaiset sopimuslausekkeet, kuten Euroopan komission hyväksymät mallilausekkeet ja muut asianmukaiset turvatoimet.

Kulttuurirahasto on laatinut toimintakohtaiset tietosuojaselosteet, joita päivitetään aina käsittelytoimien muuttuessa tai mikäli uusia käsittelytoimia ollaan aloittamassa. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilötietojen käsittelystä tietoja kerättäessä sekä käsittelytoimien joltain osin muuttuessa tilanteen mukaan sähköisesti tai rekisterinpitäjien verkkosivuilla.

Vastuu tietosuojan toteuttamisesta on johtoryhmän jäsenillä omissa yksiköissään. Johtoryhmä ja tietohallinto muodostavat yhdessä tietosuojatyöryhmän, joka huolehtii tietosuojan toteutumiseen liittyvien tietojen ja työkalujen ajantasaisuudesta.

Henkilötietojen käsittelyyn osallistuvaa henkilöstöä ohjeistetaan henkilötietojen oikeasta käsittelystä ja niiden luottamuksellisuudesta. Henkilökunnan riittävästä asiantuntemuksesta huolehditaan sekä osaamista ylläpidetään. Tietosuojan riittävästä resursoinnista vastaa Kulttuurirahaston toimitusjohtaja.

Taho, joka päättää ulkoistaa tietojen käsittelyn, vastaa myös tietosuojasta. Se huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa ja tietosuoja-asetuksen vaatimuksia. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen. Työntekijöitä koulutetaan tietosuoja- ja tietoturva-asioista. Tietosuojan tulee olla osa toimintoja ja prosesseja tulee arvioida jo etukäteen tietosuojanäkökulmasta.

Mikäli henkilötietoja halutaan käsitellä uudessa tarkoituksessa tai käyttöön tulee uusi käsittelytoimi, arvioidaan tapauskohtaisesti tietosuoja-asetuksen ja muun lainsäädännön vaatimukset ja esimerkiksi vaikutustenarviointien tai tasapainotestien tarpeellisuus, ennen kuin käsittelytoimiin ryhdytään.

Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus. Jokainen Kulttuurirahaston työntekijä sitoutunut pitämään Suomen kulttuurirahastoa ja sen sidosryhmiä koskevat tiedot luottamuksellisina.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan käyttöoikeuksilla. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekistereistä. Henkilötietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä puolesta on oikeus käsitellä tietoja. Kullakin käyttäjällä on oma käyttäjätunnus ja salasana hänelle sallittuihin järjestelmiin.

Tiedot kerätään tietokantoihin, jotka ovat palomuurein, salasanoin ja muilla teknisillä keinoilla suojattuja. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Henkilötietoja säilytetään niin kauan kuin henkilötiedon käyttötarkoituksen vuoksi on tarpeellista.

Kulttuurirahasto on laatinut toimintaohjeen tietoturvaloukkaustilanteita varten.  Tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Kaikki tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet dokumentoidaan, riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa. Tietoturvaloukkauksesta ilmoitetaan riskiarvion laatimisen jälkeen Tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Tietoturvaloukkauksesta ilmoitetaan rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille. Kukin osasto arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan.

Mikäli arvioimme tietoturvaloukkauksen voivan täyttää lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, voimme antaa asian viranomaisten tutkittavaksi. Tietoturvaloukkauksesta voi tapauskohtaisen harkinnan perusteella seurata myös huomautus, varoitus tai työsuhteen päättäminen.

Tämä tietosuojapolitiikka on saatavilla rekisteröidyille Kulttuurirahaston kotisivuilla sekä henkilökunnalle myös Kulttuurirahaston intranetissä. Tietosuojapolitiikka päivitetään tarpeen mukaan.