Kaupunginhallitus 4.12.2017 Liite 1 203 EU:n tietosuoja-asetus Vaikutukset ja toimeenpano Etelä-Savossa TF
EU:n yleinen tietosuoja-asetus EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 (14.4.2016 2016/679) ja sitä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen 25.5.2018. Asetuksen nojalla vastuu organisaation tietosuojasta on hallituksella, joka nimittää organisaatiolle tietosuojavastaavan valvomaan henkilötietojen käsittelyn lainmukaisuutta ja auttamaan lainsäädännön velvoitteiden täyttämisessä. Tietosuojavastaavan aseman organisaatiossa on oltava itsenäinen ja riippumaton.
Pääasiallinen sisältö Oikeus tulla unohdetuksi Kun käyttäjä ei enää halua, että hänen tietojaan käsitellään, tiedot poistetaan, paitsi jos on olemassa jokin laillinen peruste säilyttää ne. Tarkoitus on taata kansalaisten yksityisyydensuoja, ei hävittää menneitä tapahtumia tai rajoittaa lehdistönvapautta. Tiedonsaanti helpottuu Ihmiset saavat tietoa siitä, miten heidän tietojaan käsitellään, ja tämä tieto on annettava heille selkeällä ja ymmärrettävällä tavalla. Oikeus siirtää omat tietonsa tietojärjestelmästä toiseen helpottaa henkilön tietojen siirtämistä palveluntarjoajalta toiselle. Oikeus saada tieto tietoturvaloukkauksesta Yritysten ja organisaatioiden on raportoitava kansalliselle tietosuojaviranomaiselle tietoturvaloukkauksista. Käyttäjille on ilmoitettava vakavista loukkauksista 72 tunnin kuluessa havaitsemisesta, jotta he voivat ryhtyä tarvittaviin toimiin. Sisäänrakennettu ja oletusarvoinen tietosuoja Tietosuojatakeet otetaan huomioon tuotteissa ja palveluissa jo suunnitteluvaiheessa, ja yksityisyydensuojaa edistävät oletusarvot (asetukset) ovat automaattisesti käytössä esimerkiksi sosiaalisessa mediassa ja mobiilisovelluksissa. Tiukemmat seuraukset rikkomuksista Tietosuojaviranomaiset voivat antaa EU-sääntöjä rikkovalle yritykselle sakon, joka on jopa neljä prosenttia yhtiön maailmanlaajuisesta liikevaihdosta.
Roolit 1. Valvova viranomainen Tietosuojavaltuutetun toimisto 2. Kunnanhallitus Vastaa kuntakonsernin tietosuojasta kokonaisuutena 3. Tietosuojavastaava Ei voi olla henkilötietojen käsittelijä, jotta ei valvo itse itseään (tämä sulkee pois myös tietohallinnon henkilökunnan ainakin nykyisillä roolituksilla) Toimii organisaation tietosuoja-asiantuntijana, ohjeistajana ja kouluttajana Toimii kunnan yhteyshenkilönä valvojalle ja kuntalaisille Valvoo tietosuojan toteutumista tarkastamalla toimintatapoja ja lokitietoja 4. Rekisterinpitäjä Toimielin (lautakunta, hallitus), ei yksittäinen henkilö Vastaa oman alueensa toimintatavoista ja tietosuojasta 5. Henkilötietojen käsittelijä Oma työntekijä tai alihankkijayritys Henkilö, joka käsittelee tietoja 6. Rekisteröity Henkilö, jonka tietoja käsitellään
Organisaation velvollisuudet Organisoida toiminta Tietosuojavastaava Kertoa, mitä tietoja kerätään Rekisteriselosteet Tietotilinpäätös Osoittaa, että tiedot ovat turvassa Toimintatapojen dokumentointi o Tietoturvapolitiikka o Lokipolitiikka o Kokonaisarkkitehtuuriperiaatteet o Arkistonmuodostussuunnitelma IT-ympäristön dokumentointi o Henkilötietovirrat o Sopimustilanne o Käyttäjienhallinta ja käyttöoikeudet Havaita poikkeamat o Toimintatapojen valvonta o Lokitietojen valvonta
Seudullinen yhteistyö Etelä-Savossa Mikkelin, Pieksämäen ja Kangasniemen tietohallinnosta vastaavat valmistelivat esityksen yhteistyöstä tietosuoja-asetukseen valmistautumisessa. Seutuvaliokunta hyväksyi esityksen kokouksessaan 13.6.2017. Yhteistyössä ovat mukana Hirvensalmi, Juva, Kangasniemi, Mikkeli, Mäntyharju, Pertunmaa, Pieksämäki, ja Puumala. Mikkelin kaupunki palkkasi määräaikaisen projektityöntekijän (IT-arkkitehti Päivi Malinen) 7.8.2017 alkaen vetämään kuntien yhteistä valmistautumistyötä. Projektityöntekijän kustannukset jaetaan osallistuvien kuntien kesken asukasmäärien suhteessa. Valmisteluvaiheen aikana jokainen osallistuvista kunnista on ilmoittanut alustavan halukkuuden yhteistyön vakinaistamiseen.
Lisätietoja Virallinen suomennos http://eur-lex.europa.eu/legal-content/fi/txt/pdf/?uri=celex:32016r0679&from=fi Tietosuojavaltuutetun toimiston ohje http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuu tetuntoimisto/oppaat/1em8rt7if/miten_valmistautua_eun_tietosuojaasetukseen.pdf