Menu
Asiakasportaali

Uutiset

08.10.2018

Kunnat ja tietosuoja

EU:n yleinen tietosuoja-asetus (GDPR) tuli sovellettavaksi toukokuussa. Ei liene liioiteltua todeta, että monilla organisaatioilla kaikki tietosuojavelvoitteet eivät olleet valmiina ja toteutettuina 25.5.2018. Valtaosalla kuntaorganisaatioista tietosuojatyö jatkuu edelleen. Valmistumista seuraa varsinainen tietosuoja-ajattelun jalkauttaminen, mikä toteutuu jatkuvan valvonnan, seurannan ja täydentävien toimenpiteiden muodossa. Henkilöstön tietosuojamyönteistä asennetta ja tietämystä on parannettava säännöllisillä koulutuksilla.

Kuntien tietosuojavelvoitteista keskeisimpiä ovat seuraavat:

1.       Kuntien on selvitettävä henkilötietojen osalta mm. se mitä ja missä rekistereissä tietoja on. Koko tiedonkulun virta kannattaa selventää (mistä tiedot saadaan, mitä tietoja saadaan, miksi niitä käsitellään, luovutetaanko tai siirretäänkö tietoja jonnekin, miten tiedot hävitetään), sillä se auttaa kuntaa muodostamaan kuvaa käsittelemistään henkilötiedoista.

2.       Kuntien on toteutettava informointivelvoitteensa tietosuojaselosteiden avulla. Niistä rekisteröidyt henkilöt näkevät, mitä tietoja ja mihin käyttötarkoitukseen heidän tietojaan käsitellään.

3.       Toteuttaakseen rekisteröityjen tiedonsaantioikeudet kuntien on suunniteltava rekisteröityjen tietopyyntöjen käsittelemistä koskeva prosessi. Prosessia on hyvä myös testata, jotta kunta voi varmistua kykenevänsä vastaamaan rekisteröityjen tietopyyntöihin asetuksen antamassa aikarajassa, joka on yksi kuukausi.

4.       Kuntien on varmistettava ja tarvittaessa saatettava tietoturvaa ja tietosuojaa koskevat tekniset ja organisatoriset toimensa (mm. käyttöoikeuksien rajoitukset, valvonta, järjestelmien varmistukset, tietojen poistaminen, jne.) GDPR:n vaatimalle tasolle.

5.       Kuntien on päivitettävä tietoturvaa ja tietosuojaa koskeva ohjeistuksensa, sekä varmistettava että jokainen kunnan työntekijä sekä johto tietävät ohjeistuksen sisällön ja tallennuspaikan.

6.       Kuntien on huolehdittava johtonsa ja henkilöstönsä tietosuojaosaamisen ja –asenteen kasvattamisesta koulutuksin.

7.       Kuntien on varmistettava, että sekä uusissa että olemassa olevissa sopimuksissa on tietosuojasta ja tietoturvasta huolehdittu tarvittavin sopimusliittein. Tämä koskee niitä toimittajan tarjoamia toimintoja ja palveluita, joihin sisältyy henkilötietojen käsittelyä. Tämä koskee myös niitä toimintoja, joita kunta on siirtänyt ulkoistamalla henkilötietojen käsittelijän tehtäväksi.

8.       Kuntien on suunniteltava prosessi henkilötietojen tietoturvaloukkausten havaitsemiseen ja ilmoittamiseen valvontaviranomaiselle ja rekisteröidylle.

9.       Riskilähtöisyyden nimissä kuntien on suunniteltava ja toteutettava henkilötietojen käsittelyä koskeva vaikutustenarviointi (DPIA) sellaisia toimintoja ja hankintoja varten, joissa voi aiheutua rekisteröidylle korkeita riskejä käsiteltäessä rekisteröidyn henkilötietoja. Vaikutustenarviointi on käytännöllistä toteuttaa kunnan muun riskinarvioinnin yhteydessä.

10.   Täyttääkö kunta tietosuojavelvoitteensa antamalla tietosuojavastaavalle riittävästi aikaa hoitaa tietosuojatehtäviään sekä kasvattaa osaamistaan?

Tietosuoja-asetus on laajamittainen ponnistus, jonka tavoite on tietoturvallisempi yhteiskunta ja yksilön kannalta tärkeiden etujen valvonta. Ei ole yhdentekevää kuka, miten ja missä käsittelee meistä jokaisen henkilötietoja. LapIT Oy on määrätietoisesti työskennellyt kohti asiakkaidemme parempaa tietoturvaa, ja tietosuojaa. Tämä on ollut opettavainen ja laajamittainen prosessi, joka ei suinkaan ole vielä päättynyt. Haluamme tuoda osaamisemme käyttöön myös asiakkaillemme, ja näin varmistaa tietosuojan toteutumisen laadukkaalla, turvallisella ja asetuksen vaatimukset täyttävällä tavalla. Annamme tarvittaessa mielellämme lisätietoja.

Tietosuojaterveisin

LapIT Oy

Siru Siivola

Tietosuojapäällikkö, OTM

 ​​​​​

X