Kevätaskareita tietosuojan parissa

Artikkelit
|
16.03.2018
Jouni Lounasmaa, Suomen Lääketieteen Säätiön ja Kaupallisten ja teknillisten tieteiden tukisäätiö KAUTEn asiamies

Takana ovat säätiöiden lokoisat ajat, jos niitä koskaan olikaan. Siitä pitää huolen kovin dynaamisesti kehittyvä regulaatioympäristö: lähipiirisäännökset, MAR-asetus, LEI-tunnus ja tietosuoja-asetus (General Data Protection Regulation, GDPR). Viimeisintä eli EU:n yleistä tietosuoja-asetusta (EU 2016/679) sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa, ja se koskee myös säätiöitä. Tässä kirjoituksessa kahden säätiön asiamies kertoo omakohtaisesti kokemuksistaan tietosuojan koukeroisessa viidakossa.

Olen osallistunut kahteen tietosuoja-asetusta koskevaan koulutukseen, käynyt useita keskusteluja kollegoiden kanssa ja yrittänyt kuumeisesti ymmärtää mistä asetuksessa on kyse ja mitä säätiön tulisi tehdä. Kuten asiaan kuuluu, asetus on pdf-muodossa 88 sivun mittainen ja varsin vaikeaselkoinen.

Tilintarkastajat, konsultit ja asianajotoimistot listaavat mielellään toimia, jotka ainakin tulee ehdottomasti ottaa huomioon. Asiaa ei myöskään varsinaisesti auta, että tietosuojavaltuutettu ei ota kantaa asetuksen yksityiskohtaiseen soveltamiseen ennen sen voimaantuloa. Säätiön tulisi siis varautua johonkin, josta ilmeisesti kukaan ei vielä tiedä, miten se tehokkaasti toteutetaan.

Saadakseni jotain tolkkua asiaan päätin omin neuvoineni kirjoittaa ohjeistuksen henkilötietojen käsittelystä johtamissani säätiöissä ja pyytää siihen kommentteja kollegoilta. Hieman yllättäen pääsinkin asiassa eteenpäin ja sain mielestäni kiteytettyä keskeiset kohdat parin sivun ohjeeseen. Kuvaan tässä lyhyesti laatimani ohjeen keskeiset kohdat.

Säätiön ohje kuvaa henkilötietojen käsittelyä ja tietosuojaa koskevat menettelyt, joiden mukaisesti säätiö toimii. Ohjeen alussa totean, että säätiö on sitoutunut noudattamaan toiminnassaan voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä. Säätiö toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä ja on nimennyt tietosuojasta vastaavan henkilön.

Seuraavaksi luettelen ja kuvaan säätiön henkilötietoja sisältävät rekisterit, niihin tallennetut tiedot ja niiden käytön sekä niitä koskevat rekisteriselosteet. Meidän tapauksessamme säätiön ylläpitämät rekisterit ovat apurahasovellus ja -tietokanta (apurahajärjestelmä), henkilökunta- ja luottamus-henkilörekisteri ja yhteystietorekisteri. Totean myös erikseen, että säätiö ei käsittele arkaluonteisia henkilötietoja.

Luettelen henkilötietojen käsittelyyn säätiön puolesta osallistuvat henkilöt ja toimielimet: hallitus, säätiön henkilökunta ja apurahojen arviointilautakunnat. Lisäksi tulevat ulkopuoliset toimijat eli apurahajärjestelmän toimittaja ja kirjanpitotoimisto. Oma väki noudattaa ohjetta, ja toimittajien velvollisuuksista henkilötietojen käsittelyssä sovitaan päivitetyissä sopimuksessa.

Apurahajärjestelmä on tärkein ja keskeisin henkilörekisteri, joten sen osuus ohjeessa on laajin: miten tiedot kerätään, mitä ne sisältävät, miten niitä käytetään, kauanko niitä säilytetään, jne. Lopuksi olen kuvannut rekisteröidyn oikeudet säätiön käsittelemiin henkilötietoihin (oikeus tietojen tarkistamiseen, oikeus tulla unohdetuksi ym.).

Kuten muissakin hyvän hallinnon kysymyksissä, tärkeintä on, että säätiö ottaa kantaa tietosuoja-asetuksen soveltamiseen ja luo dokumentoidun käytännön, jota päättää itse noudattaa. Käytäntöä voi sitten vähitellen hioa ja kehittää tarpeen mukaan. Aloituskynnystä ei kannata nostaa tarpeettoman korkealle.

Hauskoja kevätaskareita on siis tiedossa itse kullakin!

Kommentit ja kysymykset ovat oikein tervetulleita ja oma ohjeluonnokseni on kaikkien halukkaiden vapaasti käytettävissä. Tiedustelut: jouni.lounasmaa@kaute.fi

Kirjoittaja toimii Suomen Lääketieteen Säätiön ja Kaupallisten ja teknillisten tieteiden tukisäätiö KAUTEn asiamiehenä ja joutuu usein ajattelemaan asiat kahteen kertaan.

Takana ovat säätiöiden lokoisat ajat, jos niitä koskaan olikaan. Siitä pitää huolen kovin dynaamisesti kehittyvä regulaatioympäristö: lähipiirisäännökset, MAR-asetus, LEI-tunnus ja tietosuoja-asetus (General Data Protection Regulation, GDPR). Viimeisintä eli EU:n yleistä tietosuoja-asetusta (EU 2016/679) sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa, ja se koskee myös säätiöitä. Tässä kirjoituksessa kahden säätiön asiamies kertoo omakohtaisesti kokemuksistaan tietosuojan koukeroisessa viidakossa.

Olen osallistunut kahteen tietosuoja-asetusta koskevaan koulutukseen, käynyt useita keskusteluja kollegoiden kanssa ja yrittänyt kuumeisesti ymmärtää mistä asetuksessa on kyse ja mitä säätiön tulisi tehdä. Kuten asiaan kuuluu, asetus on pdf-muodossa 88 sivun mittainen ja varsin vaikeaselkoinen.

Tilintarkastajat, konsultit ja asianajotoimistot listaavat mielellään toimia, jotka ainakin tulee ehdottomasti ottaa huomioon. Asiaa ei myöskään varsinaisesti auta, että tietosuojavaltuutettu ei ota kantaa asetuksen yksityiskohtaiseen soveltamiseen ennen sen voimaantuloa. Säätiön tulisi siis varautua johonkin, josta ilmeisesti kukaan ei vielä tiedä, miten se tehokkaasti toteutetaan.

Saadakseni jotain tolkkua asiaan päätin omin neuvoineni kirjoittaa ohjeistuksen henkilötietojen käsittelystä johtamissani säätiöissä ja pyytää siihen kommentteja kollegoilta. Hieman yllättäen pääsinkin asiassa eteenpäin ja sain mielestäni kiteytettyä keskeiset kohdat parin sivun ohjeeseen. Kuvaan tässä lyhyesti laatimani ohjeen keskeiset kohdat.

Säätiön ohje kuvaa henkilötietojen käsittelyä ja tietosuojaa koskevat menettelyt, joiden mukaisesti säätiö toimii. Ohjeen alussa totean, että säätiö on sitoutunut noudattamaan toiminnassaan voimassaolevaa henkilötietojen käsittelyyn ja tietosuojaan liittyvää lainsäädäntöä. Säätiö toimii henkilötietojen käsittelyä ja tietosuojaa koskevan lainsäädännön tarkoittamana rekisterinpitäjänä ja on nimennyt tietosuojasta vastaavan henkilön.

Seuraavaksi luettelen ja kuvaan säätiön henkilötietoja sisältävät rekisterit, niihin tallennetut tiedot ja niiden käytön sekä niitä koskevat rekisteriselosteet. Meidän tapauksessamme säätiön ylläpitämät rekisterit ovat apurahasovellus ja -tietokanta (apurahajärjestelmä), henkilökunta- ja luottamus-henkilörekisteri ja yhteystietorekisteri. Totean myös erikseen, että säätiö ei käsittele arkaluonteisia henkilötietoja.

Luettelen henkilötietojen käsittelyyn säätiön puolesta osallistuvat henkilöt ja toimielimet: hallitus, säätiön henkilökunta ja apurahojen arviointilautakunnat. Lisäksi tulevat ulkopuoliset toimijat eli apurahajärjestelmän toimittaja ja kirjanpitotoimisto. Oma väki noudattaa ohjetta, ja toimittajien velvollisuuksista henkilötietojen käsittelyssä sovitaan päivitetyissä sopimuksessa.

Apurahajärjestelmä on tärkein ja keskeisin henkilörekisteri, joten sen osuus ohjeessa on laajin: miten tiedot kerätään, mitä ne sisältävät, miten niitä käytetään, kauanko niitä säilytetään, jne. Lopuksi olen kuvannut rekisteröidyn oikeudet säätiön käsittelemiin henkilötietoihin (oikeus tietojen tarkistamiseen, oikeus tulla unohdetuksi ym.).

Kuten muissakin hyvän hallinnon kysymyksissä, tärkeintä on, että säätiö ottaa kantaa tietosuoja-asetuksen soveltamiseen ja luo dokumentoidun käytännön, jota päättää itse noudattaa. Käytäntöä voi sitten vähitellen hioa ja kehittää tarpeen mukaan. Aloituskynnystä ei kannata nostaa tarpeettoman korkealle.

Hauskoja kevätaskareita on siis tiedossa itse kullakin!

Kommentit ja kysymykset ovat oikein tervetulleita ja oma ohjeluonnokseni on kaikkien halukkaiden vapaasti käytettävissä. Tiedustelut: jouni.lounasmaa@kaute.fi

Kirjoittaja toimii Suomen Lääketieteen Säätiön ja Kaupallisten ja teknillisten tieteiden tukisäätiö KAUTEn asiamiehenä ja joutuu usein ajattelemaan asiat kahteen kertaan.

Säätiöiden ja rahastojen neuvottelukunnan opas Hyvä tiedonhallintatapa on ilmestymässä verkkoversiona viikolla 12.

Säätiöiden ja rahastojen neuvottelukunnan opas Hyvä tiedonhallintatapa on ilmestymässä verkkoversiona viikolla 12.