Olet täällä

Asiaa tietosuojasta - blogi

Lähettänyt 26.02.2018 käyttäjä anita.rattya

Rekisteriseloste vai tietojärjestelmäseloste?

Suomen henkilötietolaki on korkeatasoinen ja joiltakin osin jopa tiukempi kuin EU:n tietosuoja-asetus (679/2016). Kunnissa asioita on hoidettu hyvin, mutta tietosuoja-asetus edellyttää joidenkin asioiden tarkistamista. Yksi näistä käytännön asioista on rekisteriselosteiden tarkistaminen ja mahdollinen päivittäminen. Kansallinen henkilötietolaki (523/1999) edellyttää rekisterinpitäjää laatimaan henkilörekisteristä rekisteriselosteen ja henkilötietolain 10§ mukainen rekisteriseloste löytyykin vähintään kunnan ilmoitustaululta ja yhä useammin myös kunnan tai kaupungin verkkosivuilta. EU:n tietosuoja-asetuksen 30 artikla edellyttää, että rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta
-    vastuullaan olevista käsittelytoimista
-    kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista
EU:n yleisen tietosuoja-asetuksen 4. artiklassa määritellään rekisteri-sana siten, että se tarkoittaa ”mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu”.

Kunnissa vieraillessani törmäsin toiseen rekisteriselosteeseen – tietojärjestelmäselosteeseen, joka on julkisuuslainsäädännön (621/1999) edellyttämä asiakirja.  Tietojärjestelmäseloste helpottaa julkisuuslainsäädännön toteuttamista käytännössä; kun tietojärjestelmistä on selkeä kuvaus se helpottaa tietojen luovutuksen oikeusperusteen arviointia.   
Henkilörekisteriseloste ja tietojärjestelmäseloste sisältävät osittain samoja asioita ja osittain eri asioita.  Tietojärjestelmä on laajempi käsite kuin henkilötietorekisteri ja henkilörekisteri voi olla osa tietojärjestelmää.

Vaikka tietojärjestelmässä on jokin henkilöä koskeva tieto, se ei välttämättä tarkoita sitä, että tieto on osa henkilörekisteriä tai se kuuluisi henkilötietolain soveltamisalaan.  Asioita tulee tarkastella aina tapauskohtaisesti, mikä voi olla joskus hyvinkin haasteellista.
Tietojärjestelmästä tarvitaan tietoja myös arkistonmuodostussuunnitelmaan ja arkistotoimeen tarvittavat tiedot ovat osittain samoja, mitä tietojärjestelmäselosteessa. Samoin arkistonmuodostussuunnitelmassa tarvitaan tietoa siitä, sisältääkö asiakirja henkilötietoja. Miksi erilaisia rekistereitä ja selosteita sitten on? Yksinkertaisesti siksi, että ne palvelevat eri tarkoitusperiä.
-    Henkilörekisteri ja rekisteriseloste toteuttavat yksityiselämän suojaa henkilötietoja käsiteltäessä.
-    Tietojärjestelmärekisteri ja -seloste toteuttavat yksiöiden mahdollisuutta valvoa julkisen vallan ja julkisten varojen käyttöä ja valvoa oikeuksiaan ja etujaan.
-    Arkistonmuodostussuunnitelma helpottaa arkistotoimen tehtävää, kun se huolehtii asiakirjojen käytettävyydestä, säilymistä ja tietopalvelusta siten, että yksityisten ja yhteisöjen oikeusturva ja tietosuoja otetaan asianmukaisesti huomioon.

Laissa ja ohjeistuksissa määritellään, mitä tietoja rekisteriselosteissa tulisi olla, mutta ei sitä minkälainen ulkomuoto rekisterillä pitäisi olla. Jos dokumentaatiota on vähän, verkkosivuille ladattava pdf-dokumentti selosteista on ihan käypä ratkaisu. Erilaisia mallidokumentteja on olemassa ja pyrin toimittamaan niitä saataville piakkoin.  Kehitteillä on rekisteriselosteiden verkkosivurunkoja rekistereistä ja selosteista, joita voi helposti ja nopeasti päivittää. Jos selosteita on suurempi joukko, olisi ehkä mielekästä tehdä selosteiden integrointia.  Verkkosivujen erilaisilla ratkaisuilla tämä onnistuukin helpommin.  
 

Asiaa tietosuojasta -blogi

Tietosuoja-asiat ovat tänä keväänä kaikkien organisaatioiden asialistalla - tai ainakin pitäisi olla. EU:n tietosuojauudistuksen (EU 679/2016) siirtymäkausi päättyy 25.5.2018 ja siihen on enää 87 päivää aikaa. Toukokuussa tietosuoja-asetusta aletaan soveltamaan täysimääräisenä. Myös Suomen kansallista henkilötietolakia ollaan uudistamassa ja tavoitteena on, että tämä työ saataisiin päätökseen myös 25.5.2018 mennessä.

Aloitin Joki ICT Oy:ssä tietosuoja-asiantuntijana 2.1.2018. Olen vieraillut tammi-helmikuun aikana 17 paikkakunnalla ja kertonut tietosuoja-asiantuntijan palvelukonseptista ja tietosuojavastaavan toimista. Olen samalla pyrkinyt muodostamaan yleiskuvaa alueemme kuntien ja kaupunkien tietosuojan tilasta ja tutustunut tietosuoja-asioiden kanssa työskenteleviin ihmisiin. Yhdessä on hyvä tehdä töitä ja jakaa parhaita käytäntöjä. Olen iloinen siitä, että Joki ICT Oy:n tietosuoja-asiantuntijapalvelu on otettu kunnissa hyvin vastaan.

Joki ICT Oy:n omistajakunnat ja -kaupungit, jotka ovat sitoutuneet palveluun, saavat peruspalveluna tietosuojaan liittyvää asiantuntija-apua ja tarvittaessa voivat tilata meiltä myös lisäpalveluja. Joki ICT järjesti yhteistyökumppaneidensa kanssa 14.2. tietosuojaseminaarin kuntatoimijoille. Oli hienoa, että saimme tilaisuuteen niin runsaasti osanottajia. Tilaisuudessa tuotiin esiin EU-lainsäädännön muutosten lisäksi myös tietoturva-asioita. Tietoturva sisältää niitä hallinnollisia, teknisiä ja fyysisiä menetelmiä ja toimintapoja, joilla tietoa - myös henkilötietoja - suojataan. Palaute tilaisuudesta oli kannustavaa. Pyrimme lähiaikoina järjestämään kuntien toimintoimialakohtaisia tilaisuuksia, joissa tavoitteena on kerätä toimialakohtaisia käytännesääntöjä siitä, kuinka muuttuvaa tietosuojalainsäädäntöä käytännössä toteutetaan.

EU:n tietosuoja-asetus on laaja-alainen. Se koskee kaikkia rekisteröityneitä organisaatioita, niiden prosesseja, henkilöstöä, tietojärjestelmiä ja sopimuksia. Saamme tietosuojavaltuutetun toimistosta koko ajan uusia soveltamisohjeita. Vaikka lain soveltaminen ei ole kaikilta osin selkeää, voimme kuitenkin päivittää organisaatioiden tietosuojaa esimerkiksi päivittämällä rekisteriselosteet ja liittää verkkopalveluihin tietosuojaselosteet.

Reisteriselosteista ja tietosuojaselosteista lisää lähipäivinä.

Aurinkoista talvipäivää kaikille toivottelee

Anita Rättyä
Tietosuoja-asiantuntija

Liitetiedostot: