Hekan tietotilinpäätöksen tiivistelmä 2024

Page 1

Tietotilinpäätös 2024 – tiivistelmä

Helsingin kaupungin asunnot Oy

Saate

Tämä on Hekan vuoden 2024 tietotilinpäätöksen tiivistelmä – jo toinen lajissaan, sillä julkaisimme viime vuonna ensimmäisen tietotilinpäätöksemme tiivistelmän. Tietotilinpäätöksessä kuvaamme tietosuojatyötä ja arvioimme henkilötietojen suojan eli tietosuojan toteutumista Hekassa vuonna 2024. Kerromme tässä tiivistelmässä keskeisistä onnistumisistamme ja kehityskohteistamme.

Haluamme viestiä tietosuojasta avoimesti ja läpinäkyvästi. Toivomme, että tämän tiivistelmän julkaiseminen lisää toimintamme läpinäkyvyyttä ja sinun luottamustasi meihin rekisterinpitäjänä.

Löydät verkkosivuiltamme tietosuojapolitiikkamme tiivistelmän ja tietosuojaselosteemme. Ne kertovat, miten Heka käsittelee henkilötietoja.

Jos sinulla on kysymyksiä Hekan tietosuojakäytännöistä, voit olla yhteydessä Hekan tietosuojavastaavaan sähköpostitse osoitteeseen tietosuoja@hekaoy.fi.

Tietosuoja­asioiden vastuunjako

Vastuutimme johtoryhmän hyväksymään kunkin järjestelmän tietosuoja- ja tietoturvavaatimukset, kun hankimme uusia järjestelmiä.

Siirsimme vastuuta tietosuojariskien arvioinnista aiempaa enemmän prosessien ja järjestelmien vastuuhenkilöille.

Uudessa tietosuojariskien arvioinnin prosessissa vastuu prosessin tai järjestelmän tietosuojariskien arvioinnista on ensisijaisesti prosessien ja järjestelmien vastuuhenkilöillä.

Onnistumiset

+ Uusi järjestelmähankkeiden tietosuoja­ ja tietoturvavaatimusten hyväksymiskäytäntö

Järjestelmähankkeissa johtoryhmä hyväksyy järjestelmän tietosuoja- ja tietoturvavaatimukset.

+ Tietosuojariskien arviointivastuun hajauttaminen

Uudessa tietosuojariskien arvioinnin prosessissa vastuu prosessin tai järjestelmän tietosuojariskien arvioinnista on ensisijaisesti prosessien ja järjestelmien vastuuhenkilöillä.

Haasteet ja kehityskohteet

− Tietosuojavastaavan resurssi

Tietosuojavastaava hoitaa tehtäväänsä muiden tehtäviensä ohella.

− Johdon ja esihenkilöiden tietoisuudesta ja sitoutumisesta huolehtiminen

Johdon ja esihenkilöiden sitoutuminen ja asennoituminen vaikuttavat olennaisesti tietosuojan toteutumiseen. On tärkeää, että he eivät näe tietosuojaa vain hallinnollisena ja teknisenä taakkana.

Rekisteröidyn oikeuksien toteuttaminen

Kerromme rekisteröidyille eli henkilöille, joita henkilötieto koskee, heidän henkilötietojensa käsittelystä tietosuojaselosteiden avulla.

Vuonna 2024 laadimme hallituksen jäsenille tarkoitetun tietosuojaselosteen. Vuoden 2024 lopussa tietosuojaselosteita oli viisi henkilöryhmäkohtaisesti. Lisäksi verkkosivujen evästeille on oma selosteensa.

• Asiakkaiden tietosuojaseloste (hekaoy.fi)

• Työntekijöiden tietosuojaseloste

• Työnhakijoiden tietosuojaseloste (hekaoy.fi)

• Sidosryhmien tietosuojaseloste (hekaoy.fi)

• Hallituksen jäsenten tietosuojaseloste

Vuonna 2024 tarkastuspyyntöjä oli enemmän kuin aiempina vuosina ja selvästi enemmän kuin edellisvuonna.

Henkilötietojen tarkastuspyynnöt, kpl

0 %*

tarkastuspyynnöistä kieltäytymisiä

Vuonna 2024 henkilötietojen poistopyyntöjä oli selvästi enemmän kuin edellisvuosina.

Henkilötietojen poistopyynnöt, kpl

Onnistumiset

+ Henkilötietojen tarkastuspyyntöjen käsittelyohjeet

Tarkastuspyyntöjen käsittely on yksityiskohtaisesti ohjeistettu. Ohjeet ovat koko henkilökunnan saatavilla.

+ Tarkastuspyyntöjen toteuttaminen määräajassa

Saamme vastattua tarkastuspyyntöihin pääsääntöisesti määräajassa.

Haasteet ja kehityskohteet

8 kpl**

määräajassa toteutettuja tarkastuspyyntöjä

*Varsinaisia tarkastuspyynnön toteuttamisesta kieltäytymisiä ei ollut. Poistamme tietyissä tilanteissa rekisteröidyille toimitettavista tiedoista muita henkilöitä, kuten työntekijöitä, koskevia tietoja. Ajoittain rekisteröidyt pyytävät tietoja, joita Heka ei voi toimittaa siitä syystä, että tietoja ei ole.

**Yksi tarkastuspyyntö raukesi.

Tarkastus- ja poistopyyntöjen määrä oli kasvusta huolimatta maltillinen. Emme saaneet yhtään tietosuoja-asetukseen perustuvaa oikaisupyyntöä. Käytännössä vanhentuneita tai muuten virheellisiä henkilötietoja oikaistaan osana tavanomaista asiakaspalvelua.

Heka ei saanut muita tietosuojaoikeuksia koskevia pyyntöjä vuonna 2024.

− Tietosuojaselosteiden päivittäminen

Kartoitamme tietosuojaselosteidemme päivitystarpeet ja toteutamme päivitykset.

Tietoturva

Teimme tietoturvan kehittämiseksi monia toimenpiteitä, kuten

→ Osallistuimme toista kertaa Digi- ja väestötietoviraston Digiturvaviikko-teemaviikkoon. Viikon aikana teimme muun muassa tietoturvakävelyn toimitilassamme ja henkilökuntamme sai tietoturvavinkkejä ja tietosuojakoulutusta.

→ Olimme mukana myös toista kertaa Digi- ja väestötietoviraston TAISTO-harjoituksessa. Harjoituksessa pääsimme testaamaan ja harjoittelemaan toimintamallejamme tietosuojan ja tietoturvan häiriötilanteissa kuvitteellisten tilanteiden kautta. Harjoituksen tuloksena tunnistimme erilaisia kehityskohteita.

→ Paransimme käyttöoikeuksien hallintaa ottamalla käyttöön uuden käyttöoikeuksien hallintajärjestelmän ja estämällä yhteiskäyttötunnusten käytön.

→ IT-ympäristömme tietoturvan tila auditoitiin vuonna 2024. Laadimme auditoinnin tulosten pohjalta kehityssuunnitelman ja tiekartan tulevia kehitystoimenpiteitä varten.

→ Saimme valmiiksi projektin, jossa paransimme kiinteistöjen tietoturvaa.

Tietosuojariskien arviointi

Arvioimme henkilötietojen käsittelystä asiakkaille, työntekijöille ja muille rekisteröidyille aiheutuvia riskejä kynnysarvioiden ja vaikutustenarviointien avulla.

Teimme vuonna 2024 kaksi tietosuojan vaikutustenarviointia. Vuonna 2024 teimme 10 tietosuojariskien kynnysarviota.

Vuonna 2024 teimme:

2 kpl

tietosuojan  vaikutustenarviointia.

10 kpl

tietosuojariskien kynnysarviota.

Onnistumiset

+ 10 tietosuojariskien kynnysarviota

Otimme vuonna 2023 käyttöön tietosuojariskien kynnysarvion. Vuonna 2024 teimme 10 kynnysarviota.

+ Tietosuojariskien arvioinnin uusi prosessi, mallipohjat ja ohjeet

Prosessikuvaus selkeyttää tietosuojariskien arviointia ja eri toimijoiden rooleja. Mallipohjat ja ohjeet tukevat riskien arviointia. Tavoitteena on, että uusi prosessi tuottaa aiempaa enemmän ja oikea-aikaisemmin tietosuojan vaikutustenarviointeja.

Haasteet ja kehityskohteet

− Tietosuojariskien arvioinnin uuden prosessin jalkauttaminen

Uusi prosessi edellyttää prosessien ja järjestelmien vastuuhenkilöiltä aloitteellisuutta ja vastuunottoa.

Henkilötietojen elinkaaren hallinta

Alla on kuvattu henkilötietojen elinkaaren hallinnan keskeisimmät onnistumiset ja kehityskohteet.

Onnistumiset

+ Päävuokralaisen yhteystietojen päivittäminen

Vuokrasopimusten yhtenäistämisen yhteydessä päivitämme päävuokralaisten sähköpostiosoitteet ja puhelinnumerot.

Haasteet ja kehityskohteet

− Henkilötietojen säilytyksen rajoittaminen ja poistot

Meidän on kehitettävä tietojen poistamista järjestelmistä, jotta järjestelmät tukevat henkilötietojen säilytyksen rajoittamisen käytännön toteuttamista.

− Kansainvälisten tiedonsiirtojen tunnistaminen

Kansainvälisten tiedonsiirtojen tunnistamista on tarpeen kehittää.

− Henkilötietojen luovutukset

Henkilötietojen luovutusten dokumentoinnissa sekä tietosuojavaatimusten huomioimisessa on kehitettävää.

Yhteistyö

Henkilötietojen käsittelijät, yhteisrekisterinpitäjät ja sopimukset

Monet Hekan hankinnat ja yhteistyöt edellyttävät, että sopimuskumppanimme käsittelevät henkilötietoja meidän lukuumme. Sovimme tällöin henkilötietojen käsittelystä ensisijaisesti Hekan omien, vakiomuotoisten tietosuojaliitteiden avulla. Lisäksi sopimuksissa voidaan käyttää Hekan yleisiä tietoturvaohjeita. Sopimukset tallennetaan keskitetysti dokumentinhallintajärjestelmään.

Laadimme vuonna 2024 sopimuspohjan liitteineen tilanteisiin, joissa toimimme yhteisrekisterinpitäjänä toisen rekisterinpitäjän kanssa.

Lainsäädäntö, koulutukset ja ohjeet

EU:n tekoälysäädös tuli voimaan vuonna 2024. Hekan ensimmäinen tekoälypolitiikka vahvistettiin 9.10.2024.

Tunnistamme, että tekoälyjärjestelmien käyttämisessä on huolehdittava tietosuojasta ja tietoturvasta.

Jokaisen uuden työntekijän on suoritettava Hekan oma Tietosuojakortti-kurssi osana perehdytystään.

Tietosuojakortin lisäksi Hekassa järjestettiin kaksi tietosuojakoulutusta vuonna 2024.

Julkaisimme vuonna 2024 henkilökunnallemme

Tietosuojaoppaan, joka on tarkoitettu kaikkien työntekijöiden tueksi, kun he käsittelevät henkilötietoja työtehtävissään. Tietosuojaoppaaseen on koottu sekä jo aikaisemmin käytössä olleita ohjeita että uusia ohjeita.

Julkaisimme henkilökunnalle

Tietosuojaoppaan, joka on tarkoitettu kaikkien työntekijöiden tueksi henkilötietojen käsittelyssä.

Onnistumiset

+ Tietosuojaopas

Julkaisimme henkilökunnalle

Tietosuojaoppaan, joka on tarkoitettu kaikkien työntekijöiden tueksi henkilötietojen käsittelyssä.

+ Säännöllinen viestintä tietosuojasta henkilökunnalle

Viestimme henkilökunnalle tietosuojasta vähintään kerran kvartaalissa muun muassa erilaisin muistutuksin.

+ Tekoälypolitiikka

Hekan ensimmäinen tekoälypolitiikka vahvistettiin syksyllä 2024.

Haasteet ja

kehityskohteet

− Tekoälyn tietosuoja

Jotta tekoälyä voidaan hyödyntää, tekoälysäädös sekä tietosuoja ja tietoturva on otettava huomioon tekoälyjärjestelmissä.

− Tietosuojakortin ja tietoturvan kertauskurssi

Koko henkilöstölle on tarpeen järjestää säännöllistä kertauskoulutusta tietosuojasta ja tietoturvasta.

Henkilötietojen tietoturvaloukkaukset

Vuonna 2024 Hekassa tapahtui kaksi tietoturvaloukkausta vähemmän kuin edellisvuonna. Tietoturvaloukkausten määrä on ollut laskussa viimeisen kahden vuoden ajan.

Noin 41 prosentissa loukkauksista oli kyse

henkilötietoja sisältävän viestin lähettämisestä väärälle vastaanottajalle. Tämä on tyypillisin tietoturvaloukkauksemme.

Noin 16 prosentissa loukkauksista oli kyse siitä, että henkilötietoja oli Hekan sisäisesti yhden tai useamman sellaisen henkilön saatavilla, jolla ei olisi kuulunut olla pääsyä tietoihin.

Arvioimme, että seitsemässä tietoturvaloukkauksessa rekisteröidylle aiheutuvan riskin taso oli korkeintaan kohtalainen. Muissa tapauksissa arvioimme riskin vähäiseksi. Korkean tai hyvin korkean riskin loukkauksia ei sattunut.

Onnistumiset

+ Tietoturvaloukkausten määrä väheni

Henkilötietojen tietoturvaloukkausten määrä väheni hieman vuoteen 2023 verrattuna.

+ TAISTO ­harjoitus

Osallistuimme toista kertaa Digi- ja väestötietoviraston TAISTO-harjoitukseen, joka auttoi meitä tunnistamaan kehittämiskohteita erilaisten tietosuoja- ja tietoturvapoikkeamien hallinnassa.

Haasteet ja kehityskohteet

− Tietoturvaloukkauksista ilmoittaminen Loukkausten tunnistaminen ja ilmoittaminen edellyttävät jatkuvaa kouluttamista.

− Tietoturvaloukkausten riskiarviointi ja ilmoitusvelvollisuus

Jos emme arvioi tietoturvaloukkauksista aiheutuvia riskejä oikein, loukkaus voi tahattomasti jäädä ilmoittamatta tietosuojavaltuutetun toimistolle.

Viranomaisvalvonta ja vahingonkorvausvastuu

Hekalla on ollut valvontaviranomaisella eli tietosuojavaltuutetun toimistossa vireillä kaksi asiaa vuonna 2024. Asiat ovat koskeneet henkilötietojen tietoturvaloukkausilmoitusta ja toimenpidepyyntöä. Asioiden käsittely on päätetty, eivätkä ne johtaneet toimenpiteisiin.

Hekalle ei ole osoitettu tietosuoja-asetuksen rikkomiseen perustuvia vahingonkorvausvaatimuksia vuonna 2024.

Helsingin kaupungin asunnot Oy

Viipurinkatu 2, 00510 Helsinki

hekaoy@hekaoy.fi

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.