EU:n yleinen tietosuoja-asetus (GDPR) ja sen toimeenpano Tampereen kaupungilla ISTEKKI, asiakaspäivät, Tampere-talo 16.1.2018 1
Kuka? Ari Andreasson Sote-palvelujen tietosuojavastaavana 2008-2017 10/2017- Tampereen kaupungin konsernihallinnon johtoryhmä nimitti Arin koko peruskunnan tietosuojavastaavaksi Asemoituu Konsernihallinnon Strategia- ja kehittämisyksikköön Esimies tietohallintojohtaja Tehtävänimike on tietosuojavastaava ja 100% työajasta käytetään ko. tehtävän hoitamiseen Sivutoiminen tietokirjailija (mm. Osaava tietosuojavastaava, Tietosanoma 2017) 2
GDPR on minusta Henkilötietojen oikeaoppista käsittelyä Digitalisaation mahdollistaja Riskienhallintaa Sopimusmallintaa Rekisteröityjen oikeuksien toteuttamista Organisaation oikeusturvaa 3
Lainattua Tuure Kilpeläinen, Ajatuksen voima Jos kaunis mielesi on, niin kauniimmaksi tuut Millainen mielesi on, niin sellaiseksi muutut eikä yksikään mutteri, kivikirkko tai linkkari ole syntynyt itsestään, vaan ensin sisällä jonkun pään Jos kaunis mielesi on, niin sellaiseksi muutut Se on ajatuksen voimaa ajatuksen voimaa 4
Tietosuojavastaavat ovat tietosuoja-asetuksen keskiössä eli avainroolissa myötävaikuttamassa asetuksen säännösten toteutumiseen. 5
GDPR-projektimme keskeiset asiat Projektin tavoitteena on tukea, ohjata ja johtaa EU:n yleisen tietosuoja-asetuksen toimeenpano Tampereella Projektin tuotoksilla pystytään vastaamaan myös tietosuoja-asetuksen yhdestä keskeisestä vaatimuksesta eli osoittamisvelvollisuudesta, joka organisaatioille tulee henkilötietojen käsittelyprosessien suhteen olla olemassa. 6
Tärkeintä on vuoropuhelu palvelualueiden johdon kanssa GDPR-projektiin sitoutuminen = yhteinen päämäärä/hyöty Johdon velvoitteiden ja vastuiden läpikäynti Varmistettava alusta lähtien miten prosessit saadaan pysymään kunnossa projektin päättymisen jälkeen Ajanmukaiset ohjeet ja niiden pitäminen ajan tasalla Henkilöstön osaamisen varmistaminen 7
Miten näkyy Tampereella? Tietosuojavastaavan tehtävästä, roolista ja asemasta päätetty GDPR-projekti aloitettu ja budjetoitu 12/2017 GDPR-sopimusliite (Kuntaliiton malli) otettu uusissa toimeksiannoissa käyttöön Käyttövaltuushallintoa viilattu kuntoon isojen järjestelmien (kuten Pegasos) osalta Tietosuojariskejä analysoitu tarkasti isojen projektien yhteydessä (kuten Hasa-PSHP) Tiivis yhteistyö mm. PSHP:n, Espoon, Kuopion ja Oulun kanssa Laajan kehittämissuunnitelman laatiminen tietosuojan pysyvään hallintaan DPIA-prosessin mallintaminen Tietojärjestelmien vastuuhenkilöiden kanssa järjestelmien systemaattinen läpikäynti järjestelmän roolista ja sisällöstä liittyen henkilötietojen käsittelyyn Vanhojen toimeksianto- sekä ICT-sopimuksien tarvittavat muutokset Selosteet käsittelytoimista (artikla 30) Tietoturvan kehittynyt tilannekuva ja lokien hallinta 8
Riskejä Miten keskittyä oleelliseen? Avainhenkilöriskit, väkeä vaihtuu onko dokumentoitu tehty työ hyvin? Kansallinen ohjaus ontuu, EU-tasoiset soveltamisohjeet osin puuttuu Uutta lainsäädäntöä tulossa Suomeen (mm. Tietosuojalaki, Tiedonhallintalaki?, soteuudistus/maakuntaa koskeva lainsäädäntö) Uutta terminologiaa vs. olemassa oleva henkilötietolaki Kansalaiset voivat esittää enemmän tiedusteluja Kuka tietojani käsittelee ja miksi? Kuinka paljon lokien hallintaan ja käytönvalvontaan pitää resursoida? Miksi en saa nopeammin omia henkilötietojani eri rekistereistä? Asioita voidaan viedä ratkaistavaksi myös EU-tuomioistuimiin Vakavista tietosuojalaiminlyönneistä tai tietovuodoista voi seurata tuntuvia seuraamuksia ja imagotappioita Mikä on seuraamuslautakunta/sen rooli? Sovelluksien muutoskustannukset Kuka maksaa ja vastaa miltäkin osin välttämättömistä muutoksista? 9
Lisätietoa Tietosuojavaltuutetun toimiston kotisivuilta: www.tietosuoja.fi VAHTI/JUHTA-työpajamateriaali (todella hyvää aineistoa) http://vm.fi/juhta-vahtiyhteishankkeiden-materiaalit Article 29 Data Protection Working Party: DPIA Guidelines IAPP artikkeli Yksi linkki EU:n yleiseen tietosuoja-asetukseen: http://www.privacy-regulation.eu/fi/ Tietosuojavastaavien kohtauspaikka https://www.opitietosuojaa.fi Väitöskirja, Kari Nykänen, Oulun yliopisto 2011, Tietoturvakoulutuksen vaikuttavuuden arviointi yksilön ja organisaation tietoturvakäyttäytymiseen 10