EU:n uuden tietosuoja-asetuksen voimaantulosta on kohistu jo pitkään. Mistä asetuksessa on kyse? Ja miten se vaikuttaa eri organisaatioiden toimintaan? SPEKissä vastaamme mm. tulitöitä ja tieturvaa koskevien pätevyystietojen hallinnoinnista. Vaikka uusi asetus tuokin lisätyötä, on tilanteemme asetuksen soveltamisen kynnyksellä hyvä. Olemme jo vuosia noudattaneet henkilötietolakia toiminnassamme.
Yleinen tietosuoja-asetus on tullut voimaan 24. toukokuuta 2016. Tietosuoja-asetusta ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen. Henkilötietojen käsittelyn on oltava tällöin tietosuoja-asetuksen mukaista.
Asetuksen tavoitteena on parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia. Käytännössä asetus tarkoittaa henkilötietojen käsittelyn tekemistä läpinäkyvämmäksi rekisterinpitäjälle asetetuilla velvoitteilla ja rekisteröityjen uusilla oikeuksilla. Henkilötietojen käsittelyn valvontaa tullaan myös tiukentamaan viranomaisten toimesta. Suomessa henkilötietolaki on pääperiaatteiltaan melko yhdenmukainen tietosuoja-asetuksen kanssa, mutta muissa jäsenmaissa tilanne voi olla erilainen. Asetuksen tavoitteena on myös yhdenmukaista EU:n jäsenvaltioiden tietosuojaa koskevat säännökset ja näin ajantasaistaa tietosuojaa koskevaa sääntelyä ja tukea digitaalitalouden kehitystä.
Turvallisuuspätevyyskoulutuksiin, kuten tulityökorttiin liittyen SPEK käsittelee henkilötietoja. Käsittely on keskeistä toimintaa niin SPEKin kuin pätevyyskoulutuksen suorittaneiden henkilöiden kannalta. Rekisterinpitäjänä SPEKin on pystyttävä varmistumaan esimerkiksi siitä, onko kurssilaisella ollut asianmukainen pätevyys voimassa tietyissä tilanteissa. Pätevyyksien tarkistaminen on myös kurssilaiselle tärkeää. Joillekin työmaille ei ole asiaa, elleivät pätevyydet ole voimassa.
Tilanteemme asetuksen soveltamisen alkamisen kynnyksellä on melko suotuisa, koska olemme noudattaneet henkilötietolakia toiminnassamme jo ennestään. Asetuksen myötä olemme kuitenkin tarkastelleet toimintaamme myös muihin kuin turvallisuuspätevyyksiin liittyvien henkilötietojen käsittelyn osalta ja havainneet toiminnassamme parannettavaa. Tämä tarkastelu on ollut ilman muuta positiivinen asia.
Pätevyyskoulutusten osalta asetuksen soveltamiseen valmistautuminen on tarkoittanut muun muassa henkilötietojen käsittelyyn liittyvien prosessiemme kartoittamista sekä dokumentointia, sopimuksien päivittämistä ja uusien ohjeiden laatimista. Ohjeet ovat tarpeen sekä omalle henkilöstöllemme että sopimuskumppaneillemme, jotka toimivat henkilötietojen käsittelijöinä. Oma henkilökuntamme on myös perehdytetty tietosuoja-asetukseen, joten jokaisella on ainakin perustiedot asiasta, vaikka henkilötietojen käsittely ei olisikaan yleistä omassa työssä.
Tietosuoja-asetuksessa puhutaan osoitusvelvollisuudesta. Tämä tarkoittaa sitä, että organisaation täytyy pystyä osoittamaan noudattavansa asetusta henkilötietoja käsiteltäessä. Asian voi ajatuksen tasolla rinnastaa käännettyyn todistustaakkaan. Enää ei riitä, että organisaatio noudattaa asetusta, vaan sen on pystyttävä sen lisäksi myös todistamaan asia. Käytännössä tämä tarkoittaa monien asioiden huolellista dokumentointia.
Pidän asetusta positiivisena asiana, vaikka se aiheuttaa paljon työtä. Pienille yrityksille asetuksen vaatimukset voivat tuntua joltain osin jopa kohtuuttomilta, varsinkin kun asetuksen soveltaminen ei ole aivan yksinkertaista. Vaikeaselkoisen lakitekstin takana on kuitenkin melko yksinkertaisia asioita, kuten sen selvittäminen minkälaisia henkilötietoja organisaatio kerää ja millä perusteella. Mikäli tiedät edes sen, olet jo pidemmällä asetuksen soveltamisessa kuin moni.
Suosittelen kaikkia tutustumaan esimerkiksi tähän julkaisuun, jotta saat viimeistään nyt käyntiin oman organisaatiosi valmistautumisen tietosuoja-asetukseen:
Miten valmistautua EU:n tietosuoja-asetukseen, Oikeusministeriö 2017
Aleksi Helin
turvallisuusasiantuntija
Suomen Pelastusalan Keskusjärjestö