160 päivää

 

Ai mihin? Kuulostaako GDPR tutulta? Lyhenteitähän maailmaan mahtuu, mutta termin ”EU:n yleinen tietosuoja-asetus” (General Data Protection Regulation) pitäisi kuulostaa tutulta, se nimittäin koskettaa meitä kaikkia ja sen siirtymäaika päättyy 25.5.2018, jonka jälkeen se on osa voimassa olevaa lainsäädäntöä.

Tietosuoja-asetus koskee henkilötietojen käsittelyä EU:n (tarkemmin EU+ETA) alueella ja EU-kansalaisille tarjottavissa palveluissa. Se yhtenäistää lainsäädäntöä EU-alueella täydentäen ja osittain korvaten paikallista lainsäädäntöä, mm. Suomessa henkilötietolaki kumotaan. Sen tavoitteena on turvata eräs yksilöiden perusoikeuksista, oikeus yksityisyydensuojaan. Yksilötasolla se siis mahdollistaa sen, että me kaikki voimme tehdä verkko-ostoksia, käyttää sosiaalista mediaa, asioida sähköisissä palveluissa ja muutenkin hyödyntää digitaalisia palveluja säilyttäen silti oikeuden yksityisyyteemme ja luottamuksen henkilötietojemme asianmukaiseen käsittelyyn.

Henkilötietojahan ovat kaikki tiedot, joiden perusteella henkilö voidaan yksilöidä (esim. hetu, nimi, osoite, sähköpostiosoite, puhelinnumero, valokuva), mutta myös monet muut vähemmän itsestään selvät tiedot, joko yhdistettynä edellisiin tai yksittäin. Esimerkkeinä vaikkapa auton rekisterinumero, päätelaitteen ip-osoite tai sydänkäyrä. Lisäksi on erityisten henkilötietojen ryhmiä (henkilötietolaissa arkaluonteiset henkilötiedot), kuten potilastiedot tai uskontoa, poliittista sitoutumista tai ammattiliiton jäsenyyttä koskevat tiedot.

Henkilötietoja käsittelevän organisaation kannalta asetusta voi lukea kahvikuppi puoliksi täynnä tai puoliksi tyhjänä. Asetus ei sinällään tuo kovinkaan paljon uusia velvoitteita tai estä tekemästä asioita, päinvastoin. Asetuksen yhtenä tavoitteen on edistää ”uuden öljyn”, eli tiedon hyödyntämistä, ei vaikeuttaa sitä. Esimerkiksi henkilötietolakia on Suomessa usein käytettynä perusteluna sille, miksi julkishallinto ei voi tehostaa toimintaansa palvelujaan digitalisoimalla. GDPR selkiyttää vaatimuksia ja ehtoja tietojen käsittelylle, jolloin palvelut ovat digitalisoitavissa helpommin. Toki on syytä huomioida, että GDPR:n lisäksi on olemassa paikallisia erityislakeja, jotka säätelevät esimerkiksi potilastiedon käsittelyä. Nähtäväksi jää, miltä osin erityislainsäädäntö muuttuu asetuksen myötä, työ on edelleen kesken.

 

KuntaPro ja henkilötiedot

KuntaPro käsittelee kolmea henkilötietokokonaisuutta. Työnantajana KuntaPro käsittelee oman henkilöstönsä tietoja, yrityksenä asiakkaiden ja toimittajien tietoja ja palveluntuottajana asiakkaiden käsiteltäväksemme uskomia henkilötietoja palvelusopimusten puitteissa. Kahden ensimmäisen kokonaisuuden osalta KuntaProlla on rekisterinpitäjän rooli, viimeisimmän osalta KuntaPro on käsittelijä ja asiakas rekisterinpitäjä (käsiteltävät tiedot koostuvat pääosin asiakkaidemme henkilöstön työsuhdetiedoista).

KuntaPron tietosuoja-asetushanke käynnistettiin KuntaProlla kesällä 2016. Tuolloin aloitustoimiin kuuluivat mm. tiedon hankkiminen ja avainhenkilöiden koulutukset. Hankkeessa kartoitetaan ne GDPR:n velvoitteet, jotka edellyttävät KuntaPron toimia ja tarvittavat muutokset projektoidaan. Hankkeesta vastaa ICT-johtaja Matti Aho ja projektipäällikkönä toimii Anu Lehti. Hankkeen puitteissa ollaan luomassa tietosuoja-organisaatiota, joka vastaa jatkossa tietosuoja-asioiden huomioimisesta KuntaPron toiminnassa.

Hanke sisältää useita sisäisiä aliprojekteja, mm henkilöstön kouluttaminen eri tavoin, mutta myös asiakkaidemme kanssa yhdessä toteutettavia projekteja.

 

Mikä sitten oikeastaan muuttuu?

Nyt kannattaa hakea lisää kahvia, niin että kuppi on vähintään puoliksi täynnä. Mikäli muutoksista muodostaisi kuvan erilaisten markkinointipuhelujen perusteella, voisi kuvitella, että pitää hankkia sen seitsemäntoista erilaista työkalua ja järjestelmää, että olisi edes pieni mahdollisuus välttyä miljoonasakoilta. Totuus kuitenkin on, että henkilötietojen käsittely tai rekisterinpito ei juurikaan muutu, mikäli voimassaolevaa lainsäädäntöä on noudatettu. GDPR ei sinällään edellytä lisäjärjestelmiä tai työkaluja, eikä missään nimessä esimerkiksi lisätiedon keräämistä rekisteröityjen oikeuksien toteuttamiseksi.

Tietosuoja-asetuksessa on kuitenkin joitakin kohtia, jotka saattavat edellyttää muutoksia järjestelmiin tai toimintatapoihin. Esimerkiksi rekisteröityjen oikeudet; hänellä on oikeus tietää, mitä tietoja rekisterinpitäjällä hänestä on ja hänellä on oikeus tulla unohdetuksi, ts. poistua rekisteristä. Rekisteröityjen oikeudet eivät kuitenkaan ole absoluuttisia, ne eivät mene viranomaisia koskevan säätelyn tai erityslakien vaatimuksien yli. Esimerkiksi verottaja ei taatusti anna oikeutta tulla unohdetuksi tai työsopimusten osalta työnantajilla on arkistointivaatimuksia, joita pitää edelleen noudattaa ensisijaisesti. Toinen lisätöitä aiheuttava kohta on osoitusvelvollisuus, rekisterinpitäjän pitää pystyä selvästi osoittamaan rekisterinpidon laillisuus ja se, että tietoja käsitellään asetuksen mukaisesti.

Useimmat GDPR:n tuomat uudet vaatimukset tarkoittavat käytännössä asioiden tarkempaa ja laajempaa dokumentointia. Periaatteessa dokumentaatio olisi pitänyt olla olemassa aiemminkin, mutta voi toki olla, ettei se ole olemassa aivan GDPR:n edellyttämässä muodossa tai laajuudessa.

 

Mitä KuntaPron ja asiakkaidemme pitäisi yhdessä tehdä?

Ylempänä mainitsin, että meillä olisi yhdessä toteuttavia projekteja tietosuojan osalta. Tässä niistä muutama täky mietittäväksi.

Henkilötietolain myötä vanhat rekisteriselosteet menevät romukoppaan. Dokumentaatio ja rekisteröitävien informointi toki edellytetään edelleen, mutta formaattia ei ole, ainakaan vielä, tarkasti määritelty. Rekisteröitävien informoimiseksi vakiintunut ”tietosuojaseloste”, sisäisen kuvauksen osalta vaihtoehtoja termiksi voi olla useampia. Informointi ja dokumentointi ovat rekisterinpitäjän vastuulla, mutta oletettavaa on, että asiakkaamme tarvitsevat apuamme selosteiden laatimisessa.

GDPR edellyttää käsittelyn ulkoistamistapauksissa rekisterinpitäjää ohjeistamaan käsittelyn. Nykyisissä sopimuksissa ei luonnollisestikaan ole huomioitu GDPR:n vaatimuksia, joten sen osalta vaaditaan päivityksiä asiakkaidemme ja KuntaPron välisiin palvelusopimuksiin.

Yksi GDPR:n konkreettisista vaatimuksista on tietoturvaloukkauksista ilmoittaminen, jotta se voidaan hoitaa vaaditussa aikarajassa (72h) täytyy prosessi suunnitella ja sopia etukäteen. Ilmoitus on rekisterinpitäjän vastuulla, mutta käsittelijä on velvollinen ilmoittamaan siitä viipymättä rekisterinpitäjälle.

 

Kuppi puoliksi täynnä

Jyrääkö GDPR meitin? Ei jyrää. Nimittäkää tietosuojavastaava, tarkistakaa henkilötietojen käsittelyn dokumentaatio, valmistelkaa prosessit tietoturvaloukkauksista ilmoittamiseen ja rekisteröityjen oikeuksien toteuttamiseen. Sillä voidaan jo melko pitkälle osoittaa GDPR:n noudattamispyrkimys ja pyrkimystähän voi aina parantaa. Se on tään GDPR-sovan ratekia.

 

Matti Aho
ICT-johtaja
KuntaPro Oy