Kommenttikierroksella saapuneet palautteet ja niihin laaditut, Tiedonhallinnan ohjausryhmässä 28.11.2018 esiteltävät vastaukset löytyvät tältä sivulta. Kommenttien pohjalta muutettu liitedokumentti on toistaiseksi vain Tiedonhallinnan ohjausryhmän asialistalla (linkki).
Julkaisuarkistojen tietosuojaliitettä koskevat kommentit ja vastaukset
| Kommentti | Kommentoijan sektori | Vastaus | Muutos sopimusasiakirjaan |
|---|---|---|---|
Yleiset kommentit: On hieman epäselvää miksi tällainen tietosuojaliite on tarpeen, kun kyse on julkaisujen jakamisesta. Olisi hyvä saada perustelut sille, miksi tällainen tietosuojaliite on tarpeen, kun kyse kuitenkin on julkaisujen jakamisesta. | Erikoiskirjasto | Tietosuoja-asetuksen mukaan henkilötietojen käsittelystä on sovittava sopimuksella tai muulla oikeudellisella asiakirjalla. Asetuksessa määritellään lisäksi, mistä asioista tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on sovittava. Nämä asiat on huomioitu tässä tietosuojaliitteessä. | Ei muutosta liitteeseen. |
| Suomalaiseen lainsäädännön traditioon ei kuulu kirjoittaa lähes kaikkia sanoja isolla kirjaimella. Haittaa luettavuutta ja tekee tekstistä suoraan englanninkielestä käännetyn näköisen. Sinänsä sisältö on ok ja voimme allekirjoittaa sen. | Erikoiskirjasto | Kirjoitusasun tarkoituksena on erottaa määritellyt termit sopimuksessa mahdollisesti käytetyistä yleissanoista. Vaikka julkaisuarkistojen pääsopimuksissa noudatetaan toista käytäntöä, tässä liitteessä on sellaisia määrittelyjä, joiden ymmärtäminen määritellyllä tavalla ilman poikkeavaa kirjoitustapaa olisi vaikeaa ellei mahdotonta, esim. "Laki". | Ei muutosta liitteeseen. |
1: Henkilötietojen rekisterinpitäjän ja henkilötietojen käsittelijän roolit olisi hyvä avata tarkemmin. Milloin kyseessä on "sekä että" -rooli? Sekä-että roolin sijaan on informatiivisempaa puhua yhteisrekisterinpitäjistä ja rekisterinpitäjistä. Kun kyseessä on yhteisrekisteri, se tulisi avata tekstiin selvästi. | Erikoiskirjasto | Julkaisuarkistoissa ei ole Julkaria lukuunottamatta kyse yhteisrekisteristä. Yhteisrekisteri on kahden tai useamman rekisterinpitäjän yhteinen rekisteri. Rekisterinpitäjät määrittävät ja päättävät yhdessä tietojen keräämisen tarkoituksen ja tavat, ja toimivat molemmat rekisterinpitäjinä. Kahden tai useamman rekisterin tapauksessa kukin rekisterinpitäjä määrittää ja päättää itse rekisterinsä tietojen keräämisen tarkoituksen ja tavat. Pelkkä tietojen vaihto kahden tai useamman eri rekisterinpitäjän välillä ei tee rekistereistä yhteisrekisteriä. Poikkeuksena edellä mainitusta on Julkari, joka on organisaatioiden välinen yhteisrekisteri. Tietosuojalainsäädännön kannalta olennaista on, että Julkaria hallinnoivat organisaatiot ilmoittavat rekisteröidyille, että kyseessä on yhteisrekisteri. Tällä seikalla ei kuitenkaan ole vaikutusta Kansalliskirjaston ja organisaatioiden välisiin palvelusopimuksiin ja nyt laadittavaan tietosuojaliitteeseen. | Tehdyt muutokset: Kullekin neljälle julkaisuarkstotyypille tehty oma tietosuojaliite, jossa roolit määritellään mahdollisimman selkeästi. |
| 2: Määritelmät on esitetty turhan kimurantisti ja niitä voisi yksinkertaistaa. Esim. (a)Tietosuojalainsäädäntö tarkoittaa Suomessa ja Euroopan Unionissa kulloinkin voimassa olevaa ja sovellettavaa tietosuojalainsäädäntöä sekä tietosuojaviranomaisten sitovia ohjeita ja määräyksiä. | Erikoiskirjasto | Juridinen terminologia on toisinaan yleiskieltä monimutkaisempaa. Tarkan määrittelyn tarkoituksena on varmistaa sen riittävä laajuus, mistä syystä ”mukaan lukien muttei rajoittuen yleiseen tietosuoja-asetukseen” on tarpeellista pitää määritelmässä. Lisäksi tietosuojaa koskevaan lainsäädäntöön on tulossa muutoksia. Muotoilu vastaa sopimuksissa tavanomaisesti käytettävää muotoilua, ja sen sopimusoikeudellinen tulkinta on näin ollen selvä. | Ei muutosta liitteeseen. |
| 2: Tietosuojailmoitus tulisi lisätä määritelmiin ja avata sen sisältöä. | Erikoiskirjasto | Kaikki, mikä selkeyttää asioista sopimista, on kannatettavaa. Lisätään Tietosuojailmoitus määritelmiin. | Muutos kohtaan 2: “Tietosuojailmoitus” on julkaisuarkiston käyttöliittymään linkitetty tietoalue, jossa on kuvattu julkaisuarkistossa käsiteltävien henkilötietojen tyyppi ja rekisteröityjen ryhmät Tietosuojalainsäädännön edellyttämällä tavalla. Vastaavasti liitteen kohdassa 12 käytetään termiä Tietosuojailmoitus. |
| 4.1: Onko kyse tietosuoja-asetuksen artiklan 30 mukainen seloste käsittelytoimista? | Yliopistokirjasto | Kyllä. Kohtaa 4.1 on kuitenkin yksinkertaistettu vastaavissa Kansalliskirjaston ja organisaatioiden välisissä tietosuojasopimuksissa. Perusteluna on se, että äsittelytoimia ei ole odotettavissa sellaista määrää, että niitä olisi tarkoituksenmukaista ryhmitellä. Siksi muutos myös julkaisuarkistojen tietosuojaliitteeseen. | Muutos kohtaan 4.1: Henkilötietojen Käsittelijä pitää kirjaa kaikista Rekisterinpitäjän puolesta suoritetuista käsittelytoimista. |
| 5: Tarkka kustannusten vastuunjako jää tässä vähän hämäräksi. | Yliopistokirjasto | Kansalliskirjasto ei laskuta asiakasorganisaatioita vuosina 2018-2019 tekemästään tietosuojalainsäädännön edellyttämästä perustyöstä. Mahdollisista myöhemmistä kustannuksista neuvotellaan tapauskohtaisesti, tavoitteena rekisteröityjen henkilöiden mahdollisimman sujuva palvelu ja molemmille sopijapuolille kohtuullinen ratkaisu. Kohtaa voidaan tarkentaa. | Muutos kohtaan 5:
|
| 7: Koskee varmaankin vain tähän sopimukseen liittyviä alihankkijoita? | Yliopistokirjasto | Kyllä. | Ei muutosta liitteeseen. |
7: Sopijapuolien sijaan voisi mieluummin puhua rekisterinpitäjästä tai käsittelijästä sen mukaan ketä kussakin kohdassa tarkoitetaan. Esim. velvoite ilmoittaa käyttämistään alihankkijoista ei varmaankaan koske rekisterinpitäjää vaan käsittelijää. Nyt hassusti ottaa kantaa myös rekisterinpitäjän oikeuteen käyttää henkilötietojen käsittelijöitä (?); muutenkin rajaus ”tähän Sopimukseen” – ”..oikeus käyttää tämän sopimuksen kattamaan/yllä kohdassa 1. yksilöityyn..” Alihankkijoista pitää ilmoittaa etukäteen, jotta rekisterinpitäjällä on mahdollisuus vastustaa niiden käyttöä. Samoin vastustamisen edellytykset (mikäli myös me toimimme käsittelijänä) | Yliopistokirjasto | Vastaavaa kohtaa on tarkennettu myös muihin palvelusopimuksiin liittyvissä tietosuojaliitteissä, jotta syntyisi yhtenäinen käytäntö. Uuden ehdotuksen mukainen menettely on kevyin lainmukainen prosessi molemmille osapuolille (Kansalliskirjasto ja asiakasorganisaatiot). Kansalliskirjasto Rekisterinpitäjänä toimiessaan ei halua tarkastaa/kontrolloida/selvittää kaikkien asiakasorganisaatioiden alihankkijoita vaan se haluaa luottaa. että Käsittelijä toimii sopimuksen mukaisesti. Poikkeuksena tarkennettu EU:n tai ETA:n ulkopuolella olevien alihankkijoiden käyttöä. Kansalliskirjasto listaa henkilötietojen käsittelijän roolissa käyttämänsä alihankkijat julkaisuarkistojen asiakaswikiin. Tällä hetkellä tällaisia alihankkijoita ei käytetä. | Kohta 7.2 muutettu. |
| 8: Henkilötietojen tietoturvaloukkaukset · ”…toimitettava sille tiedot … loukkauksesta” => ”…toimitettava sille tiedot … loukkauksesta ja toimenpiteistä, joihin sen johdosta on ryhdytty tai ryhdytään” Selvyyden vuoksi kirjaisimme myös muut tietosuoja-asetuksessa mainitut tiedot, joskaan asialla ei ole juridisesti merkitystä. | Yliopistokirjasto | Kommentti on sinänsä hyvä. Ehdotettu muotoilu täyttää kuitenkin asetuksen vaatimukset ja asetuksessa mainitut ilmoitettavat tiedot on ilmoitettava vaikkei niitä sopimuksessa luetella. Liitettä ei haluta pidentää tarpeettomasti, mistä syystä kommentti ei johda muutokseen. | Ei muutosta liitteeseen. |
| 9: Henkilötietojen luottamuksellisuus yksi koko sopimuksen olennaisimmista elementeistä; pääsopimusta näkemättä hankala ottaa kantaa siihen, missä muodossa luottamuksellisuudesta on sovittu ko. sopimuksen 10. kohdassa. | Yliopistokirjasto | Tietosuojaliite on osa julkaisuarkistojen palvelusopimusta. Kansalliskirjaston palvelusopimuksissa noudatetaan käytäntöä, jonka mukaan pääsopimuksen asioita ei tarpeettomasti toisteta liitteissä. Tällä varmistetaan myös se, että mahdolliset muutokset eivät aiheuta ristiiriitaa sopimusdokumenttien välille. | Ei muutosta liitteeseen. |
9: Paljastaminen/luovuttaminen? Miten pitäisi suhtautua --> _luovuttamisen_ yhteydessä emme varsinaisesti voi velvoittaa ”luovutuksensaajaa” sitoutumaan tähän sopimukseen/liitteeseen, vaan vastaamme oikeudestamme luovuttaa luovutuksen kohteena olevat tiedot. ”Paljastaa” rinnastuu asiallisesti lähinnä käsittelysuhteisiin (ulkoisiin tai ”sisäisiin”), jossa kuvio selvempi. (Muutosehdotukset:) ”..työntekijänsä ja neuvonantajansa, jotka käsittelevät tämän liitteen 1. kohdassa tarkoitettuja tietoja..” tai yleinen Henkilötietojen Käsittelijä (HK) vakuuttaa ja sitoutuu varmistamaan, että kaikki HK:n tai HK:n käyttämän alikäsittelijän alaisuudessa olevat henkilöt, joilla on oikeus käsitellä tässä tarkoitettuja henkilötietoja, ovat sitoutuneet noudattamaan vastaavaa salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus. | Yliopistokirjasto | Liitteen kohdan 7 mukaisesti käsittelijä vastaa alihankkijoistaan ja on velvollinen sitouttamaan alihankkijat Liitteen ehtoihin - ei vaadi toistoa tässä kohdassa. Kommentoijan ehdottama ”jotka käsittelevät” on liian suppea. On mahdollista. että tietoja luovutetaan neuvonantajalle, jolla on sitä koskevan lainsäädännön tain muulla perusteella oikeus/velvollisuus muodostaa tiedoista rekisteri. Tällöin kysymys ei ole käsittelijän käsittelystä. Ehdotettu muutos on sinänsä hyvä, mutta katsomme, että luonnos sisältää kommentoijan ajatuksen. | Ei muutosta liitteeseen. |
| 12: Kansalliskirjaston tulisi vastata tietosuojailmoituksen ylläpidosta ja päivittämisestä. | Erikoiskirjasto | Kansalliskirjasto voi laatia tietosuojailmoituksen pohjan, mutta kumpikin sopijapuoli on vastuussa niiltä osin sen ylläpidosta, kun toimii rekisterinpitäjänä. Vastaava tietosuojailmoitusta koskeva muotoilu on lisätty myös Kansalliskirjaston muiden vastaavien palvelujen tietosuojaliitteeseen. | Muutos kohtaan 12: Sopijapuolet toteavat, että kumpikin sopijapuoli vastaa oman henkilötietorekisterinsä Tietosuojailmoituksen ylläpidosta ja päivittämisestä. |
