EU:n tietosuoja-asetuksella merkittäviä vaikutuksia kuntiin
EU:n tietosuojalainsäädäntö uudistuu lähivuosina merkittävästi, kun uusi tietosuoja-asetus astuu voimaan. Asetuksen sisällöstä päästiin yhteisymmärrykseen ennen joulua Euroopan komission, parlamentin ja neuvoston kesken.
Kyseessä on laaja uudistus, joka asettaa huomattavia uusia vaatimuksia henkilötietojen käsittelylle kunnissa, yrityksissä ja muissa organisaatioissa. Asetuksella luodaan kansalaisille uusia oikeuksia ja rekisterinpitäjille sekä henkilötietoja käsitteleville uusia velvollisuuksia.
Tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.
Asetuksen säännöksiä sovelletaan sekä viranomaisten että elinkeinoelämän henkilötietojen käsittelyyn. Tietosuoja-asetuksella on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä.
Rekisterinpitäjällä
vahva vastuu tietosuojasta
Asetuksen lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia tietosuojasta ja siitä, että käsitellyt henkilötiedot ovat suojassa. Asetus vahvistaa siten rekisteröidyn oikeuksia suhteessa rekisterinpitäjään.
Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti. Asetuksen mukaan tietosuojavaatimukset on oletusarvoisesti huomioitava kaikissa organisaatio- että järjestelmäratkaisuissa.
Rekisterinpitäjän velvollisuuksiin kuuluu myös helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidyille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista.
Viranomaisille asetuksessa on asetettu pakollinen vaatimus tietosuojavastaavan nimittämisestä. Jokaisella viranomaisella tulee tulevaisuudessa olla nimitetty tietosuojavastaava, joka voi olla oma työntekijä tai usean viranomaisen yhteisesti nimittämä henkilö tai ostopalveluna hankittu.
Asetukseen sisältyy rekisterinpitäjälle velvoitteet viivytyksettä ilmoittaa ongelmatilanteista sekä rekisteröidyille että viranomaisille. Rekisterinpitäjille säädetään myös tietyissä tilanteissa velvollisuus dokumentoida henkilötietojen käsittelyyn liittyvät toimet, laatia tietosuojan vaikutustenarviointeja tai pyytää ennakkolupaa henkilötietojen käsittelylle.
Asetukseen on otettu säännöksiä tuntuvista hallinnollisista sanktioista, jos asetuksen vaatimuksia ei noudateta.
Kuntaliitto pitää
tyydyttävänä
Komission alkuperäinen esitys tietosuoja-asetuksesta vuonna 2012 ei juuri huomioinut julkisen sektorin erityispiirteitä, vaan kunnat ja muu viranomaistoiminta asetettiin samalle viivalle kaupallisten tahojen kanssa.
Kuntaliitto ja liiton eurooppalainen kattojärjestö CEMR (Council of European Municipalities and Regions) vaikuttivat tiiviisti Euroopan parlamentin ja neuvoston jatkovalmisteluihin. Tavoitteena on ollut, että laadukkaat julkiset palvelut ja kansalaisten korkea tietosuoja voidaan turva ilman massiivista hallinnollista taakkaa.
– Lopputulosta voidaan pitää tyydyttävänä, vaikka asetus edellyttää kunnilta uudenlaisia menettelyjä verrattuna nykytilaan, Kuntaliitto katsoo.
Uutinen Kuntaliiton verkkosivuilla