EU:n tietosuoja-asetus muuttaa yhteiskuntaa ja pistää kuntiin vipinää
Tietosuojaan panostus kuitenkin kannattaa, sillä rekisterinpitäjälle määrättävä hallinnollinen sanktio tietosuoja-asetuksen velvoitteiden laiminlyönnistä voi olla enimmillään 20 miljoonaa euroa. (Kuva Markku Ojala)
Vantaan projektissa arvioidaan toimialoittain, minkä tyyppisiä henkilötietoja niissä käsitellään asetuksen edellyttämän riskitason määrittelyn pohjalta, kertoo Mikko Näreaho. (Kuva: Ville Miettinen)
Vuoden ja kolmen päivän päästä kunnan tietosuoja-asioiden pitää olla EU:n määrittämällä tasolla.
EU:n tietosuoja-asetuksen soveltaminen alkaa 25.5.2018. Asetus mullistaa aiemman ajattelun tietojen käsittelystä ja muuttaa merkittävästi niin henkilötietoja käsittelevien organisaatioiden kuin niiden yksittäisten työntekijöiden toimintaa.
Käytännössä mikä tahansa tieto tai tietojen yhdistelmä, joka viittaa henkilöön, on henkilötietoa – tällaista voi olla siis myös esimerkiksi IP-osoite tai karttatieto.
– On kyse koko yhteiskunnallisen ajattelutavan muuttamisesta, kuvailee tietosuoja-asetuksen vaikutusta Kuntaliiton lakimies Ida Sulin.
Asiantuntijat suosittavat, että organisaatioissa käynnistetään projekti, jossa nimetään asetuksen organisaatioilta edellyttämä tietosuojavastaava ja käydään kohta kohdalta asetuksen vaatimukset läpi.
Vantaan kaupunki käynnisti oman projektinsa tämän vuoden alussa.
– Projektissa käydään läpi tietosuoja-asetuksesta tulevat velvoitteet rekisterinpitäjänä toimivalle kaupungille, eli mihin kaikkiin toimintoihin asetus vaikuttaa ja miten sen edellyttämät toimintatapojen muutostarpeet toteutetaan organisatorisesti ja teknisesti, kertoo Vantaan kaupungin tietosuojalakimies Mikko Näreaho.
Yksi merkittävä haaste on voimassaolevien ICT-hankintasopimusten läpikäynti järjestelmätoimittajien kanssa. Jos sopimuskausi ylittää toukokuun 2018, jolloin tietosuoja-asetusta aletaan soveltaa, on selvitettävä mahdollisuudet päivittää sopimus järjestelmätoimittajan kanssa.
Vaikka Vantaa on päässyt valmistautumisessaan hyvään vauhtiin, työtä on vielä paljon. Kunnille pakollisen tietosuojavastaavan rekrytoinnin Vantaa aloittaa pian.
– Tietosuojavastaavan avuksi on pohdittu mahdollisuutta perustaa tietosuojapalvelut, jonka tehtävänä olisi muun muassa vastata kaupungin asiakkaiden ja kuntalaisten tietopyyntöihin, Näreaho kertoo.
Tietosuoja-asetus aiheuttaa kunnille mittavia kustannuksia. Panostus kuitenkin kannattaa. Rekisterinpitäjälle määrättävä hallinnollinen sanktio tietosuoja-asetuksen velvoitteiden laiminlyönnistä voi olla enimmillään 20 miljoonaa euroa.
– Se antaa perspektiiviä asetuksen edellyttämien toimenpiteiden budjetoinnin ja resurssien määrittelyyn, Mikko Näreaho sanoo.
Rekisterinpitäjän muistilista
1. Määrää tietosuojan isäntä (tietosuojavastaava)
2. Analysoi henkilötietovarastosi, ota tietosuoja osaksi suunnittelua ja mallinnusta.
3. Tee riskiarvio, mukaan lukien sopimukset ja sanktiot.
4. Laadi toimintaohjeet eri tilanteita varten.
5. Huolehti tietoturvasta, koko elinkaari huomioon.
6. Huolehdi henkilöstön osaamisesta.
7. Valvo henkilötietojen käyttöä (lokitiedot ja tehtävät).
8. Toimi ennakoivasti.
9. Rakenna luottamus huolehtimalla läpinäkyvyydestä ja avoimuudesta.
10. Seuraa oikeusministeriön, tietosuojavaltuutetun ja Kuntaliiton tiedotusta.
Tietosuojavaltuutetun laatimasta listasta muokannut Ida Sulin.
VILLE MIETTINEN