25. toukokuuta 2018 voimaan tuleva EU:n tietosuoja-asetus (General Data Protection Regulation, GDPR) asettaa uusia vaatimuksia henkilötietojen käsittelyssä, jotka tulee ottaa huomioon yritysten toiminnassa. Uusi tietosuoja-asetus koskee kaikkia toimijoita Euroopassa ja yhtenäistää näin tietosuojasääntelyä. Hyvin hoidettu tietosuoja tukee myös yrityksen liiketoimintaa vahvistamalla kuluttajien luottamusta. Muutokset antavat ihmisille paremmat edellytykset kontrolloida omia tietojaan ja helpottavat tiedonsaantia.
Tietosuojavaltuutettu Reijo Aarnio on blogissaan todennut ”tietosuoja on iloinen asia. Älä luule, opi”. Tätä iskulausetta olemme mekin Evoltalla pyrkineet toteuttamaan. Olemme työskennelleet aktiivisesti oppiaksemme ymmärtämään tietosuoja-asetuksen vaatimuksia ja niiden soveltamista Lupapiste-palveluun. Olemme koonneet työryhmän, jonka tehtävänä on huolehtia tietosuoja-asetuksen mukanaan tuomien muutosten toteuttamisesta ja tietoturvan varmistamisesta kaikkien toimintojen ja palveluiden osalta. Vaikka tietosuoja-asetuksen sovellettavaksi tuleminen usein voikin tuntua työläältä ja aikaa vievältä asialta, on se kuitenkin myös erinomainen paikka oppia ymmärtämään paremmin omaa liiketoimintaamme sekä asiakkaitamme
Henkilötietoinventaarin laatiminen
Loppukesästä 2017 aloitimme henkilötietoinventaariksi kutsutun dokumentin laatimisen. Henkilötietoinventaarin tarkoituksena on tunnistaa ja kartoittaa Evolta Oy:n tietopääoma sekä kuvata tietojenkäsittelyn ja –hallinnon nykytilaa. Tietovirtakuvauksen avulla kuvataan tietojen vastaanottoa ja luovuttamista järjestelmistä. Tätä on pyritty dokumentissa havainnollistamaan tietovirtakaavioin. Inventaarissa kuvataan mm.
Evolta Oy on rekisterinpitäjänä omissa rekistereissään (esimerkiksi Lupapistepalvelun käyttäjärekisteri). Lisäksi toimimme käsittelijänä muun muassa Lupapiste palvelua käyttävien kuntien rekistereissä.
Kyseessä ei ole yksittäinen projekti vaan asia, joka muuttaa toimintatapoja pysyvästi. Tästä syystä tulemme pitämään henkilötietoinventaaria jatkuvasti ajan tasalla ja päivitämme sitä tarpeen mukaan mm. uusien palveluidemme osalta. Näin voimme varmistua siitä, että henkilötietojemme käsittely on lainmukaista.
Sopimukset
Tietosuoja-asetuksen myötä sopimukset tulevat aiempaa tärkeämmiksi, koska GDPR edellyttää hankintasopimuksissa sopimista myös henkilötietojen käsittelystä. Me Evoltalla ymmärrämme roolimme henkilötietojen käsittelijänä sekä rekisterinpitäjänä ja suhtaudumme vakavasti vastuuseen, jonka asiakkaat meille antavat.
Keväällä 2017 päivitimme puitesopimuksen Kuntien Tieran ja Kuntahankintojen kanssa, jolloin puitesopimukseen lisättiin liite henkilötietosuojasta. Viime kuukausien aikana olemme kehittäneet edelleen tietosuoja-asetuksen mukaista tietosuojaliitettä yhdessä asiantuntijoiden ja lakimiesten kanssa. Edellytämme tämän sopimusosan allekirjoittamista kaikilta asiakkailtamme kevään 2018 aikana varmistuaksemme lainmukaisesta henkilötietojen käsittelystä ja siitä, että roolit henkilötietojen käsittelyssä ovat kaikille sopimusosapuolille selvät Suosittelemme tutustumaan myös 27.2.2018 julkaistuihin IT2018-sopimusehtoihin.
Henkilökunnan koulutus ja tiedonjako
Meillä Evoltalla lähes jokainen työntekijä on tavalla tai toisella yhteydessä asiakkaisiimme tai asiakkaan henkilötietojen käsittelijänä. Siksi on tärkeää, että koko henkilöstöllä on ymmärrys tietoturvakäytännöistä sekä lainsäädännöstä. Olemme jakaneet tietoisuutta tietosuoja-asetuksesta sisäisillä infotilaisuuksilla ja koulutusmateriaalilla. Myös jatkossa tulemme huolehtimaan siitä, että pysymme ajan tasalla tietosuoja-asetuksen tuomista kansallisista lainsäädännöllisistä muutoksista.
GDPR-palvelut yrityksille ja kunnille
Tietosuoja-asetus antaa rekisteröidylle oikeuden saada rekisterinpitäjältä vahvistuksen siitä, että häntä koskevia tietoja käsitellään tai ei käsitellä. Jos henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy tietoihin ja tietoja mm. käsittelyn tarkoituksista. Lupapiste-palvelussa pyrimme jatkossa asiakkaillemme apua tämän velvollisuuden toteuttamiseen tarjoamalla Lupapiste-palvelua käyttäville kunnille ja yrityksille erilaisia GDPR-palveluita.
GDPR- itsepalvelu on rakennettu Lupapiste-palvelu kokonaisuuteen. Palvelussa pääkäyttäjä voi tehdä henkilön tunnisteen perusteella kyselyn rekisterissä olevan henkilön tiedoista. Mikäli kunta/yritysasiakkaallamme ei ole käytössään em. itsepalvelua, voi asiakas pyytää loppuasiakkaan tietojen hakua ja poistoa tehtäväksi myös Evoltan asiantuntijatyönä. Näiden palveluiden lisäksi tarjoamme perehdytystä, koulutusta ja ohjeistusta tietosuojaan ja erityisesti tietosuoja-asetukseen liittyvissä asioissa.
Lopuksi
Toukokuuhun ei ole enää pitkä aika ja siksi olemme aloittaneet asiaan valmistautumisen hyvissä ajoin. Tärkeimmät toimenpiteet eli nykytilan kartoitus ja sopimusten päivittäminen on hoidettu, mutta tekemistä asian kanssa riittää edelleen.
Tulemme tiedottamaan lisää tietosuoja-asetuksen mukanaan tuomista muutoksista palveluissamme kevään mittaan. Jos asia herättää kysymyksiä ja haluat keskustella siitä lisää, niin ota yhteyttä.
Kirjoittaja Niina Syrjärinne on EU:n tietosuoja-asetukseen suurella sydämellä perehtynyt evoltalainen.