Henkilötietojen tietosuoja viranomaistoiminnassa - case Oulun Käräjäoikeus
Karhunen, Heli (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021113022771
https://urn.fi/URN:NBN:fi:amk-2021113022771
Tiivistelmä
Henkilötietojen käsittely muuttui, kun voimaan astui Euroopan yleinen tietosuoja-asetus (GDPR) vuonna 2016, täysimääräisenä sitä alettiin soveltaa vuonna 2018. Tämän jälkeen henkilötietojen tietosuojaa on tarkennettu tietosuojalailla vuoden 2019 alusta. Viranomaisen toiminnan julkisuutta ohjaa julkisuuslaki sekä tuomioistuimen julkisuusasioissa noudatetaan lakia oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa. Opinnäytetyössä on jäsennelty tietosuojaan liittyvää lainsäädäntöä.
Opinnäytetyö käsittelee viranomaistoiminnan ja asiakirjojen julkisuutta, ja toiminnassa tapahtuvaa henkilötietojen käsittelyä. Opinnäytetyössä tutkittiin tuomioistuimen, Oulun käräjäoikeuden toimintaa, kuinka tietoisia henkilöstö on käsittelemistään henkilötietoihin liittyvistä asioista sekä mahdollisista henkilötietojen tietoturvaloukkauksista. Tuomioistuin on riippumaton viranomainen. Opinnäytetyössä otetaan kantaa myös siihen, kenelle valvontaviranomaiselle käräjäoikeuden ilmoitusvelvollisuus kuuluu tietoturvaloukkausasiassa.
Opinnäytetyön viitekehys eli tietoperusta muodostuu viranomaistoiminnan ja asiakirjan julkisuudesta, henkilötiedosta, henkilötietojen käsittelystä, henkilötietojen tietoturvaloukkauksesta sekä riskinhallinnasta. Opinnäytetyö on kvalitatiivinen eli laadullinen konstruktiivinen tutkimus, josta on muodostuneet ohjeet henkilöstölle sekä johdon toimintaprosessi henkilötietojen tietoturvaloukkausasiassa.
Aihetta lähestyttiin fenomenologisesta näkökulmasta, jossa otetaan huomioon tutkittavan ajatukset ja kokemukset tutkittavasta aiheesta. Tutkimusmenetelmänä käytettiin teemahaastattelua, joka kohdistettiin käräjäoikeuden kansliahenkilökuntaan. Teemahaastattelulla haluttiin selvittää henkilöstön kokemuksia: kuinka henkilötietoja käsitellään, minkälaisia riskejä käsittelyssä on havaittu sekä ilmeneekö koulutustarvetta asiaan liittyen. Aineiston analyysi toteutettiin dialogisen tematisoinnin keinoin, joka toteutuu raportoinnissa vuoropuheluna teorian ja havaintojen kanssa. Raportoinnissa on huomioitu tutkittavien anonyymiteettisuoja.
Kehittämistehtävänä muodostettiin teorian ja tutkimustulosten perusteella henkilötietojen tietoturvaloukkausten käsittelyprosessi sekä ohjeet, että ilmoituslomake, jolla henkilöstö voi ilmoittaa henkilötietojen tietoturvaloukkauksesta käräjäoikeuden hallintoon. Käsittelyprosessissa ilmennetään henkilötietojen tietoturvaloukkaukseen liittyvää toimintaa riskinhallinta huomioiden. Processing of personal data changed as the General European Data Protection Regulation (GDPR) came into force in 2018. From the beginning of the year 2019, protection of personal data was specified with the Data Protection Act. Publicity of the authorities' activities is governed by the Publicity Act, and regarding the publicity of the Court, the law on publicity of proceedings in general courts is applied. This thesis analyzes the legislation related to data protection.
The thesis discusses the publicity of activities and documents and the processing of personal data in the Public Sector. The thesis examined the operation of the District Court of Oulu, with the focus being on how well the personnel are aware of the issues related to the personal data they handle, as well as possible security breaches concerning personal data. The Court is an independent authority, and the thesis also considers which supervising authority the District Court has the obligation to report concerning security breach cases.
The theoretical background of the thesis consists of the publicity of Public Sector activities and documents, personal data, the processing of and security breachers related to personal data, and risk management. The thesis is qualitative research, and from the findings of the study instructions for the personnel as well as managemental operational process concerning security breach cases related to personal data are constructed.
The topic was approached from a phenomenological perspective, in which the interviewees’ thoughts and experiences on the topic are considered. The research method used was a thematic interview directed at the clerical workers of the District Court. The purpose of the thematic interview was to find out the workers’ experiences on how personal data is processed, what kind of risks are identified with the processing, and whether there is a need for further training concerning the topic. The analysis of the material was conducted using dialogical thematization. In reporting, the protection of the anonymity of the interviewees has been considered.
Based on the theoretical background and research results, a process for handling personal data breaches was developed, as well as instructions and notification form for personnel for reporting personal data breaches to the District Court administration. The handling process embodies activities related to a personal data breach, with risk management considered.
Opinnäytetyö käsittelee viranomaistoiminnan ja asiakirjojen julkisuutta, ja toiminnassa tapahtuvaa henkilötietojen käsittelyä. Opinnäytetyössä tutkittiin tuomioistuimen, Oulun käräjäoikeuden toimintaa, kuinka tietoisia henkilöstö on käsittelemistään henkilötietoihin liittyvistä asioista sekä mahdollisista henkilötietojen tietoturvaloukkauksista. Tuomioistuin on riippumaton viranomainen. Opinnäytetyössä otetaan kantaa myös siihen, kenelle valvontaviranomaiselle käräjäoikeuden ilmoitusvelvollisuus kuuluu tietoturvaloukkausasiassa.
Opinnäytetyön viitekehys eli tietoperusta muodostuu viranomaistoiminnan ja asiakirjan julkisuudesta, henkilötiedosta, henkilötietojen käsittelystä, henkilötietojen tietoturvaloukkauksesta sekä riskinhallinnasta. Opinnäytetyö on kvalitatiivinen eli laadullinen konstruktiivinen tutkimus, josta on muodostuneet ohjeet henkilöstölle sekä johdon toimintaprosessi henkilötietojen tietoturvaloukkausasiassa.
Aihetta lähestyttiin fenomenologisesta näkökulmasta, jossa otetaan huomioon tutkittavan ajatukset ja kokemukset tutkittavasta aiheesta. Tutkimusmenetelmänä käytettiin teemahaastattelua, joka kohdistettiin käräjäoikeuden kansliahenkilökuntaan. Teemahaastattelulla haluttiin selvittää henkilöstön kokemuksia: kuinka henkilötietoja käsitellään, minkälaisia riskejä käsittelyssä on havaittu sekä ilmeneekö koulutustarvetta asiaan liittyen. Aineiston analyysi toteutettiin dialogisen tematisoinnin keinoin, joka toteutuu raportoinnissa vuoropuheluna teorian ja havaintojen kanssa. Raportoinnissa on huomioitu tutkittavien anonyymiteettisuoja.
Kehittämistehtävänä muodostettiin teorian ja tutkimustulosten perusteella henkilötietojen tietoturvaloukkausten käsittelyprosessi sekä ohjeet, että ilmoituslomake, jolla henkilöstö voi ilmoittaa henkilötietojen tietoturvaloukkauksesta käräjäoikeuden hallintoon. Käsittelyprosessissa ilmennetään henkilötietojen tietoturvaloukkaukseen liittyvää toimintaa riskinhallinta huomioiden.
The thesis discusses the publicity of activities and documents and the processing of personal data in the Public Sector. The thesis examined the operation of the District Court of Oulu, with the focus being on how well the personnel are aware of the issues related to the personal data they handle, as well as possible security breaches concerning personal data. The Court is an independent authority, and the thesis also considers which supervising authority the District Court has the obligation to report concerning security breach cases.
The theoretical background of the thesis consists of the publicity of Public Sector activities and documents, personal data, the processing of and security breachers related to personal data, and risk management. The thesis is qualitative research, and from the findings of the study instructions for the personnel as well as managemental operational process concerning security breach cases related to personal data are constructed.
The topic was approached from a phenomenological perspective, in which the interviewees’ thoughts and experiences on the topic are considered. The research method used was a thematic interview directed at the clerical workers of the District Court. The purpose of the thematic interview was to find out the workers’ experiences on how personal data is processed, what kind of risks are identified with the processing, and whether there is a need for further training concerning the topic. The analysis of the material was conducted using dialogical thematization. In reporting, the protection of the anonymity of the interviewees has been considered.
Based on the theoretical background and research results, a process for handling personal data breaches was developed, as well as instructions and notification form for personnel for reporting personal data breaches to the District Court administration. The handling process embodies activities related to a personal data breach, with risk management considered.