Tervetuloa digisumpeille!
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.
EU:n tietosuojalainsäädäntö uudistuu lähivuosina merkittävästi, kun uusi tietosuoja-asetus astuu voimaan. Asetuksen sisällöstä päästiin yhteisymmärrykseen ennen joulua Euroopan komission, parlamentin ja neuvoston kesken.
Kyseessä on laaja uudistus, joka asettaa huomattavia uusia vaatimuksia henkilötietojen käsittelylle kunnissa, yrityksissä ja muissa organisaatioissa. Asetuksella luodaan kansalaisille uusia oikeuksia ja rekisterinpitäjille sekä henkilötietoja käsitteleville uusia velvollisuuksia.
Tarkoituksena on vastata teknologian nopean kehityksen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.
Asetuksen säännöksiä sovelletaan sekä viranomaisten että elinkeinoelämän henkilötietojen käsittelyyn. Tietosuoja-asetuksella on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Asetuksen lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia tietosuojasta ja siitä, että käsitellyt henkilötiedot ovat suojassa. Asetus vahvistaa siten rekisteröidyn oikeuksia suhteessa rekisterinpitäjään.
Asetus sisältää yleisiä periaatteita henkilötietojen käsittelystä sekä säännöksiä siitä, milloin henkilötietojen käsittely ylipäänsä on sallittu. Lisäksi arkaluonteisten tietojen käsittelystä on omia säännöksiä. Viranomaisnäkökulmasta henkilötietojen käsittely on sallittu mm. rekisteröidyn suostumuksella, laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkista valtaa käytettäessä.
Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti. Asetuksen mukaan tietosuojavaatimukset on oletusarvoisesti huomioitava kaikissa organisaatio- että järjestelmäratkaisuissa.
Rekisterinpitäjän velvollisuuksiin kuuluu myös helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidyille antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidyille sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista.
Asetus sisältää säännöksiä rekisterinpitäjän ja henkilötietojen käsittelijän välisestä vastuunjaosta ja vastuunjaon mekanismeista, sekä erikseen säännöksiä myös henkilötietojen käsittelijän itsenäisistä vastuista.
Viranomaisille asetuksessa on asetettu pakollinen vaatimus tietosuojavastaavan nimittämisestä. Jokaisella viranomaisella tulee tulevaisuudessa olla nimitetty tietosuojavastaava, joka voi olla oma työntekijä tai usean viranomaisen yhteisesti nimittämä henkilö tai ostopalveluna hankittu.
Asetukseen sisältyy rekisterinpitäjälle velvoitteet viivytyksettä ilmoittaa ongelmatilanteista sekä rekisteröidyille että viranomaisille. Rekisterinpitäjille säädetään myös tietyissä tilanteissa velvollisuus dokumentoida henkilötietojen käsittelyyn liittyvät toimet, laatia tietosuojan vaikutustenarviointeja tai pyytää ennakkolupaa henkilötietojen käsittelylle.
Asetukseen on otettu säännöksiä tuntuvista hallinnollisista sanktioista, jos asetuksen vaatimuksia ei noudateta.
Tietosuoja-asetus sisältää mm. seuraavia uusia oikeuksia yksilöille hallita henkilötietojaan:
Lisäksi asetus sisältää Suomen henkilötietolaista tuttuja oikeuksia, kuten rekisteröidyin tarkastus- ja korjausoikeuden. Asetukseen on myös otettu säännös rekisteröidyn oikeudesta vastustaa tietojen käsittelyä tietyissä tilanteissa, jolloin rekisterinpitäjän tulee erikseen arvioida jatketaanko käsittelyä.
Kaiken kaikkiaan asetus edellyttää, että tietosuojan tasoa nostetaan ja tietosuojaan kiinnitetään entistä enemmän huomiota johtamisessa, resursoinnissa ja organisaatiotason ratkaisuissa.
Kuntaliitto on seurannut tietosuoja-asetuksen valmistelua siitä lähtien, kun komission esitys julkaistiin tammikuussa 2012. Komission alkuperäinen esitys ei juuri huomioinut julkisen sektorin erityispiirteitä, vaan kunnat ja muu viranomaistoiminta asetettiin samalle viivalle kaupallisten tahojen kanssa.
Julkinen sektori olisi joutunut toimimaan samoilla ehdoilla kuin Facebook ja Google, mikä olisi aiheuttanut merkittävästi hallinnollisia kustannuksia.
Kuntaliitto ja liiton eurooppalainen kattojärjestö CEMR (Council of European Municipalities and Regions) vaikuttivat tiiviisti Euroopan parlamentin ja neuvoston jatkovalmisteluihin. Tavoitteena on ollut, että laadukkaat julkiset palvelut ja kansalaisten korkea tietosuoja voidaan turva ilman massiivista hallinnollista taakkaa.
Neuvoston ja parlamentin valmistelussa asetusehdotus kehittyi myönteisesti. Lopullinen asetusteksti sisältää enemmän joustavuutta, tiettyjä poikkeuksia julkisen sektorin toimijoille sekä jättää jonkin verran kansallista liikkumavaraa. Lisäksi lopullinen teksti on monin paikoin selkeämpi kuin komission esitys.
Lopputulosta voidaan pitää tyydyttävänä, vaikka asetus edellyttää kunnilta uudenlaisia menettelyjä verrattuna nykytilaan.
Tietosuoja-asetus on muodoltaan suoraan sovellettavaa EU-oikeutta, eikä sinänsä vaadi erillistä implementointia kansallisesti. Asetus sisältää kuitenkin erityisesti julkisen sektorin osalta paljon kansallista liikkumavaraa, mikä mahdollistaa Suomelle tietyiltä osin kansallisten ratkaisujen löytämistä asetuksen soveltamisen sijaan.
Asetustekstiin sisältyy yleinen valtuutus kansallisesti tarkemmin määritellä asetuksen vaatimusten sovellettavuus silloin, kun henkilötietoja käsitellään laissa säädetyn velvoitteen täyttämiseksi, yleisen edun perusteella tai julkisen vallan käyttöä varten. Kuntasektorin osalta asetuksen lopulliset vaikutukset selviävät siten vasta kansallisen täytäntöönpanoon yhteydessä.
Kansallisessa valmistelussa on nyt tärkeää tunnistaa asetuksen sallimat rajoitukset ja mahdollisuudet. Kansallinen liikkumavara on hyödynnettävä täysimääräisesti siten, että asetus ei aiheuta kunnilla ylimääräistä hallinnollista taakka tai tarpeettomia kustannuksia.
Asetuksen sisältö ja käsitteet ovat vielä monin paikoin epäselviä ja tulkinnanvaraisia, joten lopullinen asetusteksti vaati vielä selvennystä. Asetusta ei tule kansallisesti ylitulkita, eikä itse luoda uusia velvollisuuksia kunnille.
Kansallinen täytäntöönpano ja asetuksen vaatimusten tarkempi määrittely julkisen sektorin osalta kuuluu oikeusministeriön toimialaan.
EU:n tasolla neuvoston ja parlamentin pitää vielä virallisesti hyväksyä lopullinen asetusteksti, jonka jälkeen asetuksen uusia sääntöjä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen. Asetusta aletaan näin ollen todennäköisesti soveltaa alkuvuodesta 2018, mutta jo tätä ennen on tarve muuttaa kansallista lainsäädäntöä.
Tämä tarkoittaa, että kahden vuoden kuluttua Suomessa henkilötietojen käsittelyyn sovelletaan asetustekstiä, uudistettua henkilötietolakia ja julkisuuslakia. Lisäksi erityissääntelyn tietosuojapykäliin on tehtävä laajasti muutoksia.
Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten.