Digitalisaatio järjestöissä

26.4.2017 11:55

Onko järjestösi kartalla EU:n tietosuoja-asetuksesta?

Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 tullaan soveltamaan suomalaisessa lainsäädännössä 25.5.2018 alkaen. Asetus koskee luonnollisten henkilöiden tietojen käsittelyä. Asetuksen tavoitteena on parantaa EU-kansalaisten oikeusturvaa sekä vahvistaa EU:n sisämarkkinaa yhtenäistämällä henkilötietojen käsittelyyn liittyvä lainsäädäntö ja varmistamalla henkilötietojen liikkuvuus alueella. Samalla asetus vahvistaa viranomaisvaltuuksia lisäten rekisterien pitäjien ja henkilötietojen käsittelijöiden vastuita.

Keväällä 2016 alkaneesta siirtymä-ajasta on jäljellä enää reilu vuosi. Asetukseen valmistautuminen edellyttää kouluttautumista, henkilötietojen käsittelyn prosessien kehittämistä sekä joissakin tapauksissa käytössä olevien työkalujen uudistamista. Kokonaisuus on laaja, joten valmistautuminen pitää aloittaa viimeistään nyt.

Mikä muuttuu?

Asetus tuo mukanaan useita uudistuksia, joista järjestöjen kannalta erityisen tärkeitä ovat esimerkiksi osoitusvelvollisuus, ilmoitusvelvollisuus tietoturvaloukkauksista ja henkilön oikeus tulla unohdetuksi.

Osoitusvelvollisuus tarkoittaa, että jatkossa ei riitä, että lainsäädännössä määriteltyjä henkilötietojen käsittelyn periaatteita on noudatettu, vaan tämä pitää myös pystyä osoittamaan. Käytännössä tämä tarkoittaa henkilötietojen käsittelyn prosessien kuvaamista ja näihin liittyvien avainkohtien dokumentointia. Toimittajavalintojen näkökulmasta järjestöjen on edellytettävä, että toimittajat pystyvät vastaavasti kuvaamaan oman prosessinsa.

Jatkossa rekisterinpitäjien on tehtävä viranomaisilmoitus tietoturvaloukkauksesta 72 tunnin kuluessa havaittuaan loukkauksen tai saatuaan tiedon loukkauksesta henkilötietojen käsittelijältä (esim. rekisteriohjelmiston toimittajalta). Viranomaistahoa tai ilmoitusprosessin yksityiskohtia ei ole vielä määritelty. Aikaraja on erittäin lyhyt ja edellyttää toimintamallin suunnittelua ja vastuuhenkilöiden nimeämistä ennakkoon.

Luonnollisilla henkilöillä on jatkossa oikeus pyytää rekisterinpitäjää poistamaan rekisteröidyn henkilötiedot, mikäli tietojen käsittelyyn ei ole perusteita. Käytännössä tämä tarkoittaa, että järjestön on hallittava aiempaa paremmin tietovarastot, joissa henkilötietoa käsitellään.

Muita järjestöjen toiminnan kannalta olennaisia muutoksia ovat esimerkiksi lasten tietojen erityisasema, erityisesti suojattavien henkilötietojen käsittelyn erityispiirteet sekä henkilötietojen siirtämistä EU-alueen ulkopuolelle koskevat rajoitteet.

Miten Avoinella on toimittu?

Avoinella muutosta koordinoi Mikko Kauttu (tietohallintopäällikkö). Työlle on nimetty ohjausryhmä, jossa ovat mukana Mikon lisäksi allekirjoittanut ja Kari Kanarva (talousjohtaja). Olemme hyödyntäneet Lakimiesliiton koulutuksia, osallistumme tietosuojavastaavan koulutusohjelmaan ja olemme selvittäneet asioita tietosuojavastaavan toimiston kanssa. Teemme yhteistyötä myös laki- ja tietoturvakumppaniemme kanssa.

EU:n tietosuoja-asetukseen valmistautuminen näkyy meillä esimerkiksi henkilötietojen käsittelyyn liittyvien prosessien tarkentamisena, sisäisenä koulutuksena, tiedonvaihtona ja tuotekehityksen suunnittelussa. Olemme tehneet muutoksia myös tietohallintoon sekä tietoturvan johtamiseen. Lisäksi tulemme syksyn aikana myös ajantasaistamaan asiakassopimukset siten, että pystymme vastaamaan asetuksen vaatimuksiin myös tällä tasolla.

Miten valmistautua?

Järjestön johdon on perehdyttävä huolellisesti asetukseen, sillä kokonaisuuden haltuunotto tulee edellyttämään aikaa ja rahaa koko organisaatiolta - paikallisyhdistyksiä ja alue-organisaatiota unohtamatta. Järjestöön kannattaa nimetä henkilö, jonka vastuulla on perehtyä asetukseen ja edistää tietosuoja-asetukseen valmistautumista järjestössä.

Kokonaisuus on laaja ja varautumiseen ei riitä pinnallinen perehtyminen: kyse on kokonaisvaltaisesta toiminnan kehittämisestä. Valmistautuminen on muutosjohtamisen projekti, joka koskee koko järjestöä. 

Lopuksi käytännön vinkki: asetukseen kannattaa perehtyä ryhmässä. Huolellisen yksinlukemisen jälkeen asetus kannattaa käydä kohta kohdalta läpi pienellä porukalla ja miettiä mitä asetus tarkoittaa oman toiminnan kannalta käytännössä. Huolellinen perehtyminen helpottaa myös keskusteluja asiantuntijakumppanien kanssa.