Tietosuojatyöryhmän loppuraportti

Kaupunginjohtaja päätti johtajistokäsittelyssä merkitä tiedoksi Tietosuojatyöryhmän tekemän loppuraportin.

Kaupunginjohtaja päätti johtajistokäsittelyssä 4.1.2017 § 1 asettaa tietosuojatyöryhmän valmistelemaan EU:n tietosuoja-asetuksen voimaantuloon liittyviä toimenpiteitä.

Työryhmän tehtävänä oli valmistella niitä toimenpiteitä, joihin Helsingin kaupungin on ryhdyttävä, jotta henkilötietojen käsittely saatetaan tietosuoja-asetuksen edellyttämälle tasolle.

Työryhmän tehtävänä oli suunnitella kaupungin tietosuojan hallinnointi ja eri toimijoiden roolit ja vastuut, laatia ehdotus kaupungin tietosuojalinjauksiksi, kartoittaa henkilötietoja koskevat järjestelmät ja niihin liittyvät sopimukset, laatia ohjeet rekisteriselosteiden ajantasaisuuden varmistamiseksi, suunnitella tietoturvallisuuden toteuttaminen sekä suunnitella toimintamallit rekisteröityjen tietopyyntöjen käsittelyyn.

Työryhmän tuli raportoida toiminnastaan johtajistolle 31.5.2017 mennessä.

Taustaa

EU:n yleinen tietosuoja-asetus (EU 2016/679) tulee voimaan siirtymäkauden jälkeen 25.5.2018. Kyseessä on laaja uudistus, joka asettaa huomattavia uusia vaatimuksia henkilötietojen käsittelylle kunnissa, yrityksissä ja muissa organisaatioissa. Asetuksella luodaan kansalaisille uusia oikeuksia sekä henkilötietoja käsitteleville uusia velvollisuuksia. Tarkoituksena on vastata teknologian nopeaan kehitykseen ja digitalisoitumisen haasteisiin sekä parantaa henkilötietojen suojaa verkkoympäristössä.

Tietosuoja-asetuksella on merkittäviä vaikutuksia kuntiin rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Asetuksen lähtökohtana on rekisterinpitäjän vahva velvollisuus huolehtia siitä, että käsitellyt henkilötiedot ovat suojassa. Rekisterinpitäjän uusiin velvollisuuksiin kuuluu turvata, että henkilötietojen suojaus niin pitkälle kuin mahdollista tapahtuu automaattisesti.

Rekisterinpitäjän velvollisuuksiin kuuluu myös helpottaa rekisteröityjen mahdollisuuksia olla yhteydessä rekisterinpitäjään ja käyttää asetuksen rekisteröidylle antamia oikeuksia. Rekisterinpitäjän on annettava laajasti tietoa rekisteröidylle sekä rekisterien sisällöistä että rekisterinpitäjän toiminnasta ja teoista.

Viranomaiselle on asetuksessa asetettu pakollinen vaatimus tietosuojavastaavan nimittämisestä.

Asetukseen on otettu säännöksiä tuntuvista hallinnollisista sanktioista, jos asetuksen vaatimuksia ei noudateta. Lisäksi rekisterinpitäjä voidaan velvoittaa suorittamaan vahingonkorvausta rekisteröidylle.

Tietosuojatyöryhmän työ

Tietosuojatyöryhmä on saanut työnsä päätökseen. Liitteenä on työryhmän loppuraportti sekä työryhmän laatima ehdotus Helsingin kaupungin tietosuojalinjauksiksi.

Uuden hallintosäännön 8 luvun 1 §:n 1 momentin 5 kohdan mukaan kaupunginhallitus vastaa, että kaupunki täyttää tietosuojalainsäädännön mukaiset velvoitteet ja valvoo velvoitteiden toteutumista. Työryhmä katsoo, että sen laatima ehdotus Helsingin kaupungin tietosuojalinjauksiksi pitäisi viedä kaupunginhallituksen päätettäväksi.

Työtä tietosuoja-asetuksen voimaantuloon valmistautumiseksi on jatkettava tietosuojatyöryhmän työn päättyessä. Seuraavan vuoden aikana on muun muassa laadittava uuden lainsäädännön mukaiset rekisteriselosteet kaikista henkilörekistereistä, selvitettävä käytössä olevien tietojärjestelmien muutostarpeet ja tehtävä niitä koskevat hankinnat, selvitettävä voimassa olevien hankintasopimusten muutostarpeet, suunniteltava tietosuojavaikutusten arviointiprosessi sekä tietoturvaloukkausten ilmoitusmenettely ja koulutettava henkilökunta.

Tietosuojavastaavan virka pyritään täyttämään alkusyksystä 2017. Tietosuojavastaava tulee johtamaan kaupungin valmistautumistoimenpiteitä sekä antamaan tietosuoja-asioissa tarkempia ohjeita.

Työryhmä esittää, että tietosuojatyöryhmän työtä jatkamaan perustettaisiin uusi työryhmä, joka avustaa tietosuojavastaavaa ja yhteen sovittaa toimialojen, virastojen ja liikelaitosten valmistelutoimenpiteitä.