4.3. Luokittelu datan käsittelysääntöjen näkökulmasta

Kuva 7: Tiedon luokittelu käsittelysääntöjen näkökulmasta

Datastrategia_Kuva_7.jpg

Julkisuuslain nojalla kaupungin keräämä tieto on lähtökohtaisesti julkista, ja kaupungin strategian mukaista on julkaista tietoa avoimena datana muiden toimijoiden käyttöön silloin, kun se on mahdollista. Kaupungin datavarantojen käsittelyä säätelevät kuitenkin monet lait, jotka rajoittavat tietojen käsittelyä. Tiedon luokittelua tästä näkökulmasta on havainnollistettu kuvassa 7.

Seuraavien tietojoukkojen käsittely on aina rajoitettua:

Turvaluokiteltavat tiedot ja asiakirjat ovat julkisuuslain nojalla salassa pidettäviä asiakirjoja, joissa salassapidon perusteena on erityinen turvallisuuteen ja yleiseen etuun liittyvä syy. Tällaiset asiakirjat liittyvät muun muassa henkilöiden, rakennusten ja tietojärjestelmien turvallisuusjärjestelyihin, poikkeusoloihin varautumiseen sekä maanpuolustukseen. 1

Salassa pidettävät tiedot ja asiakirjat: Asiakirjat, jotka on määritetty julkisuuslaissa ja erityislaeissa salassa pidettäviksi. Julkisuuslain 24§ sisältää määrittelyn viranomaisten salassa pidettävistä asiakirjoista. Salassa pidettäviä tietoja voivat olla myös salattu puhelinnumero tai turvaosoite.

• Tietosuoja-asetuksessa (GDPR) on määritelty erityiset henkilötietoryhmät, joiden käsittelylle on asetettu tiukemmat perusteet. Erityiset henkilötietoryhmät vastaavat pitkälti aikaisemman henkilötietolain arkaluonteisia tietoja. Erityisiä henkilötietoja ovat rotu, etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset tai biometriset tiedot, joita käytetään henkilön tunnistamiseksi, terveyttä koskevat tiedot sekä seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot.

Henkilötiedon käsittely on myös rajoitettua ja sitä säätelee EU:n tietosuoja-asetus sekä tietosuojalaki:

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään henkilöä, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen tai henkilölle tunnusomaisten fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

• Henkilötietoja voivat olla muun muassa osoite, sähköpostiosoite, valokuva, ääni- tai videotallenne, auton rekisterinumero, sormenjälki tai muu biologinen näyte.

Lähtökohtaisesti kaupungin tuottama tieto on julkista ja saatavissa ulkoiseen tai sisäiseen käyttöön. Se voi tällöin olla:

Harkinnanvaraisesti julkista. Esimerkiksi valmistelussa olevat asiakirjat eivät välttämättä ole julkisia ennen valmistumistaan.

Julkista dataa, jonka saa pyydettäessä tai tekemällä sopimuksen datan käytöstä.

Julkista dataa, joka on julkaistavissa avoimena datana.

Kaupungilla on myös dataa, joka on avattu rajapintojen kautta tai tiedostomuodossa vapaaseen käyttöön koneluettavassa muodossa. Avoin data on julkaistu JHS189-suosituksen mukaisella avoimella Creative Commons Nimeä 4.0 -lisenssillä. Muuhun kaupungin julkaisemaan dataan voi liittyä lisenssiin perustuvia käyttörajoituksia, joista myös pyritään luomaan kaupunkiyhteiset linjaukset.

Ulkoisten tietolähteiden osalta sopimus voi rajoittaa datan käsittelyä silloinkin, kun data ei kuulu rajoitetun tiedon joukkoon. Julkisia tietolähteitä yhdistelemällä on mahdollista tuottaa datoja, jotka ovat salassa pidettävää tai muuten rajoitettua tietoa (esim. yhdistelemällä tilastoja tavalla, josta yksilö on arvattavissa).

Tiedon luokittelun käyttöönoton edistämiseksi tiedon luokittelu tulee validoida testaamalla luokittelua käytännössä valituilla esimerkkiaineistoilla ja -käyttötapauksilla sekä vertaamalla muihin käyttössä oleviin luokitteluihin (esim. tiedonohjaussuunnitelma, HRI:n ja kaupunkitutkimuksen datakatalogit, tietojärjestelmät ja niihin liittyvät dokumentit ja ohjeistukset, ulkoiset luokitukset). Tämän pohjalta varmistetaan luokittelun yhdenmukaisuus sekä tarkennetaan käsitteiden määrittelyjä. Lisäksi tulee huolehtia koulutusten ja ohjeistusten avulla luokittelun käyttöönotosta kaupungin toiminnoissa ja prosesseissa (tiedonohjaussuunnitelma, tietojärjestelmiin liittyvät luokitukset ja järjestelmäsuunnittelu, kaupungin datatoiminnot).

*^*^*^*^*^*

1 Turvallisuusluokittelua koskevat tiedonhallintalain säännökset (18 §) koskevat valtionhallintoa, mutta eivät kuntaa. Kaupunki selvittää parhaillaan mahdollisuuksia soveltaa turvallisuusluokittelua myös kaupungilla. Asiaa on tiedusteltu julkisen hallinnon tiedonhallintalautakunnan virkamiehiltä, mutta kanta on ollut kaupungille kielteinen ja kaupungille on todettu, että kunnilla ei ole toimivaltaa päättää turvallisuusluokittelusta. Salassapitomerkintöjen tekemisestä on säädetty erikseen julkisuuslaissa ja kaupunki voi tehdä julkisuuslain puitteissa salassapitomerkintöjä. Turvallisuusluokittelun käyttöönoton osalta on syytä odottaa selvitysprosessin tuloksia.

Luonnos