[ Yrittäjyys ja digi ]

[ Miksi? ]

Miksi kunnan kaikki henkilötiedot

on käytävä läpi juuri nyt?

Ville Miettinen

Toukokuussa 2018 voimaan tuleva EU:n tietosuoja-asetus vaatii, että rekisterinpitäjä kantaa kokonaisvastuun henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan.

Rekisterinpitäjän asema määräytyy kunnassa yleensä lautakuntatasolla. Rekisterinpitäjä on taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tapauskohtaisesti lainsäädännössä saattaa olla tarkempia säännöksiä rekisterinpitäjästä.

Mitä rekisterinpitäjän tulee tehdä, Kuntaliiton johtava lakimies Ida Sulin?

- Rekisterinpitäjän täytyy varmistaa, että toiminnassa ei käsitellä turhia ja ylimääräisiä tietoja ihmisistä, että käsittely on teknisesti asetuksen mukaisella tasolla ja että omalla vastuulla olevat ulkoistussopimukset ja -kumppanit ovat sopusoinnissa uusien vaatimusten kanssa.

- Täytyy esimerkiksi käydä läpi miten kauan henkilötietoja säilytetään rekistereissä, miten tietoa turvallisesti voi lähettää sähköisesti ja selvittää omat alihankkijaketjut.

Mikä tieto on henkilötietoa?

- Mikä tahansa tieto, josta suoraan tai välillisesti voi tunnistaa luonnollisen henkilön, esimerkiksi nimi, osoite, puhelinnumero, pankkitilinumero, luottokorttinumero, kuva, kiinteistötunnus, IP-osoite, paikkatieto. Jos kuntaan kuuluva taho toimii rekisterinpitäjän asemassa suhteessa tietojoukkoon, johon kuuluu henkilötietoja, kyseinen henkilötietorekisteri on kunnan vastuulla.

Miten henkilötietoinventaario tehdään?

- Käydään sektoreittain läpi kaikki kunnan vastuulla olevat henkilötietovarannot. Inventaariossa kaikki rekisterit luetellaan ja selvitetään kuka toimii rekisterinpitäjänä, mistä tiedot tulevat ja minne lähtevät, mitä tietoa rekisterissä on, ovatko tiedot ajan tasalla tai vanhentuneita. Lisäksi on elinkaarikysymyksiä ja tietojärjestelmiin liittyviä kysymyksiä.

- Henkilötiedot voi inventoida tehokkaasti vaikkapa excel-taulukkoon, jossa listataan kaikki kunnan henkilörekisterit ja muutkin epämääräiset tietovarannot, joissa on henkilötietoja. Taulukossa käydään sektoreittain läpi rekisterit, sisällöt, mistä tiedot tulevat ja minne lähetetään, tekniset puitteet ja tehdään arvio asetuksen vaatimusten toteuttamisesta rekisterissä.

Mitä seuraamuksia tietosuoja-asetus sisältää?

- Rekisterinpitäjä on luonnollisesti vastuussa omien velvollisuuksiensa täyttämisestä. Tietosuoja-asetus sisältää seuraamuksia rekisterinpitäjille siltä varalta, ettei asetuksen vaatimuksia noudateta. Suomeen perustetaan uusi tietosuojan valvontaviranomainen, joka ensisijaisesti päättää seuraamuksista rekisterinpitäjille.

- Lievimmillään kyse voi olla kehotuksesta muuttaa toimintaansa, ja ankarimmasta päästä löytyy taas kovat taloudelliset sanktiot. Hallinnollisten sakkojen soveltamisesta julkissektoriin Suomessa ei ole vielä päätetty. Hallinnollisten seurausten lisäksi asetuksessa säädetään melko ankarasta vahingonkorvausvastuusta.