Kumppaniblogi: GDPR tulee – julkishallinto, oletko valmis?

EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation, GDPR) aletaan soveltaa 25.5.2018. Kaikkien yritysten ja pääsääntöisesti myös julkishallinnon toimijoiden on rekisterinpitäjinä saatettava tietojenkäsittelynsä ja prosessinsa asetuksen vaatimusten mukaiseksi. Asetus parantaa rekisteröidyn suojaa ja säätää rekisterinpitäjille uusia velvoitteita tiukentaen lisäksi olemassa olevia. EU:n tietosuojasääntöjen valvontaa ja seurauksia yhtenäistetään. Toisaalta asetus helpottaa henkilötietojen liikkumista EU:ssa, koska samat perustietosuojasäännöt pätevät lähtökohtaisesti koko EU:n alueella.

Miten muutos vaikuttaa Suomessa?

Myös EU-maiden kansallisia tietosuojasäädöksiä tarkistetaan ja uusitaan. Suomeen säädetään uusi tietosuojalaki, joka uutena tietosuojan yleislakina korvaa nykyisen henkilötietolain.

Erityisesti julkishallinnon toimijoiden on uuden tietosuojalain lisäksi seurattava oman hallinnonalansa erityislakien muutoksia – tietosuojan erityissäännöksiä on Suomessa nykyään sadoissa alakohtaisissa erityislaeissa.

Tietosuojaa on asetuksen vaatimusten toteuttamiseksi tarkasteltava kokonaisvaltaisena kysymyksenä. Tietosuojavaatimusten toteuttamisen vaikuttavuuden varmistamiseksi, maineriskin hallitsemiseksi ja ääriseurauksena hallinnollisten sakkojen välttämiseksi tietosuojalle on osoitettava omistaja rekisterinpitäjän ylimmästä johdosta. Tietosuojatyön tulee kattaa koko organisaatio vastuuttamalla selkeästi, resursoimalla riittävästi, ohjaamalla työtä aktiivisesti ja jatkuvasti sekä kehittämällä tietosuojaosaamista systemaattisesti.

Mitä rekisterinpitäjiltä vaaditaan?

Rekisterinpitäjiltä edellytetään riskilähtöistä ja ennakoivaa toimintaa: rekisteröidyille aiheutuvien tietosuojariskien ennakoiva tunnistaminen, arvioiminen ja ratkaiseminen on asetuksessa keskeistä. Lisäksi rekisterinpitäjän on dokumentoimalla kyettävä näyttämään toteen tietojenkäsittelyn suunnittelu ja asetuksenmukainen toiminta – pelkkä toiminnan tosiasiallinen lainmukaisuus ei enää riitä.

Esimerkkinä konkreettisesta uudesta asetuksen vaatimuksesta on tietosuojavastaavan nimittäminen – erityisesti tämä velvoite tulee koskemaan kaikkia julkishallinnon toimijoita.

Tietosuojavastaavan osaamisesta, tehtävistä, oikeuksista ja velvollisuuksista määrätään asetuksessa. Sopivien tietosuojavastaavien löytäminen ei välttämättä ole aivan helppoa – ainakin julkishallinnossa on kuitenkin mahdollisuus harkita virastoille ja muille organisaatioille yhteisten tietosuojavastaavien nimittämistä. Toiminto voidaan myös ulkoistaa asetuksen sallimin tavoin.

Parhaat käytännöt yhteistyöllä

Myös muissa tietosuojakysymyksissä julkishallinnon toimijoiden kannattanee hakea aktiivisesti tukea ja koordinaatiota hallinnonalansa ylemmiltä tasoilta ja etsiytyä yhteistyöhön rinnakkaisorganisaatioiden kanssa: parhaita käytäntöjä ei kannata keksiä moneen kertaan.

Kirjoittaja Erkka Pälä (OTK, DI) on tietosuojaan ja tietotekniikkaoikeuteen erikoistunut lakimies ja konsultti. Hän on avustanut yrityksensä Legentum Oy:n asiakkaita vaativissa tietosuojahankkeissa jo vuodesta 2007.