EU:n tietosuoja-asetus astuu Suomessa voimaan 25.5.2018.

Tietosuojauudistus tietää lisätöitä erityisesti kunnille. Ensi toukokuussa voimaan astuva EU:n tietosuoja-asetus vahvistaa henkilön tietosuojaa ja koventaa henkilörekisterin pitäjien vastuuta ja sen laiminlyönnistä koituvia sanktioita.

Jatkossa kuntien ja muiden rekisterinpitäjien tulee varmistaa ja osoittaa aktiivisesti, että henkilötietoja käsitellään lainmukaisesti. Käytännössä se tarkoittaa esimerkiksi tietosuojavastaavan nimittämistä, riskiarvioiden laatimista erilaisista rekistereistä ja yhteisen tietosuojaohjeistuksen kehittämistä.

– Kunnilla on aivan hillitön määrä lakisääteisiin velvollisuuksiin liittyviä rekistereitä, joissa on myös hyvin arkaluontoisia tietoja. Siinä mielessä julkinen sektori joutuu tekemään tietosuojaohjeistuksen kanssa enemmän työtä kuin yksityinen sektori, sanoo asianajaja Marita Iskala Suomen Hankintajuristeista.

Uusi tietosuoja-asetus vaikuttaa myös kuntien hankintoihin. Jos kunta ulkoistaa esimerkiksi työterveyshuollon, uusi palveluntuottaja saa käyttöönsä kunnan työntekijöiden terveys- ja henkilötiedot. Kunnan on huolehdittava siitä, että sen valitseman yrityksen tietosuoja on uuden asetuksen tasalla. Jos rekisterin tiedot leviävät, seurauksista vastaa rekisterin kerääjä, eli kunta.

Tietosuojan merkitystä hankinnoissa käsiteltiin myös Kuntamarkkinoilla tällä viikolla.

Inhimillinen virhe ei riitä perusteeksi

Kunnan on muistettava tietosuojan tiukennus aina, kun se kilpailuttaa palvelua, jonka tuottamiseen tarvitaan kunnan kokoamaa henkilötietojärjestelmää. Ongelmia voi seurata esimerkiksi siitä, jos rekisteriä käyttävä yritys säilyttää tietojaan EU- tai ETA-maiden ulkopuolella toimivassa pilvipalvelussa, jossa tietosuoja on heikompi kuin unionin alueella. Kunnan on siis huolehdittava myös siitä, ettei esimerkiksi Aasiassa toimiva pilvipalvelu myy henkilötietoja.

Tiukentuneiden suojausvaatimusten lisäksi tietosuoja-asetus parantaa rekisteriin kuuluvien henkilöiden oikeuksia. Jatkossa jokaisella on oikeus päästä käsiksi tietoihinsa kuukaudessa. Tietojen suojaamisen lisäksi kilpailutuksessa pitäisi siis varmistaa, että rekisteriä käyttävä yritys pystyy toimittamaan pyydetyt tiedot määräajassa.

– Kun kunta ulkoistaa palvelun, jonka tuottamiseen tarvitaan henkilötietoja, sen täytyy olla entistä tarkempi siitä, minkälaiselle toimijalle henkilötiedot luovutetaan, Iskala sanoo.

Hänen mukaansa kaikki rekisterinpitäjät eivät kuitenkaan edelleenkään täysin ymmärrä, mitä tietosuoja ja sen sääntely oikeastaan tarkoittavat.

– Esimerkiksi henkilötietojen löytymistä sairaaloiden roskalavoilta on perusteltu tietosuojavaltuutetulle inhimillisellä vahingolla, Iskala sanoo.

Enää inhimillinen virhe ei riitä huonosti hoidetun tietosuojan perusteluksi. Jatkossa vakavasta tietosuojarikkomuksesta voi saada jopa 20 miljoonan euron sanktiot.

Suojaus hankinnan mukaan

Kunnilla ja muilla rekisterinpitäjillä on reilut puoli vuotta aikaa saattaa tietosuojakäytäntönsä ajan tasalle.

Iskala neuvoo kuntia neuvottelemaan rekisterien suojauksesta yritysten kanssa jo ennen kilpailutuksia. Pelkkiä sähköpostiosotteita sisältävää rekisteriä käyttävältä yritykseltä ei ole mieltä vaatia yhtä tiukkaa suojausta kuin potilastietoja käsitteleviltä terveyspalveluilta.

Tietosuojaa koskevat vaatimukset ja sopimusehdot pitää suhteuttaa sen mukaan, mitä hankitaan.

– Jos vaatimukset ovat kohtuuttoman raskaat, osa yrityksistä voi jäädä sen vuoksi pois tarjouskilpailusta, Iskala sanoo.

Jatka keskustelua #kuntalehti @kuntalehti Twitterissä tai Facebookissa.

Keskustele

Sähköpostiosoitettasi ei julkaista.

*