Euroopan unionin henkilötietojen käsittelyä sääntelevä yleinen tietosuoja-asetus astuu voimaan toukokuussa 2018. Tietosuoja-asetus koskee kaikkia henkilötietoja, joita käsitellään joko osittain tai kokonaan tietoteknisesti. Myös manuaaliset henkilörekisterit kuuluvat asetuksen piiriin, jos henkilötietojen on tarkoitus muodostaa rekisterin osa.
Vaikuttaako tietosuoja-asetus kirkkoon? Mitä seurakuntien on otettava huomioon? Kysymyksiin vastaa Kirkkohallituksen tietoturvapäällikkö Jussi Mukari.
Mikä nykyisessä lainsäädännössä muuttuu, kun tietosuoja-asetus astuu voimaan?
Asetus tuo mukanaan kaksi keskeistä muutosta: rekisterinpitäjän vastuut lisääntyvät ja rekisteröityjän oikeudet vahvistuvat.
Jatkossa rekisterinpitäjän on ilmoitettava rekisteriä koskevista tietoturvaloukkauksista kaikille rekisterissä oleville, joita loukkaus on koskenut. Rekisterinpitäjällä on myös vahva osoitusvelvollisuus eli asetuksen kansalliselle valvojalle on pystyttävä todistamaan, että kaikki asetuksen vaatimukset on huomioitu.
Rekisteröityjän oikeudet kasvavat merkittävästi, mikä tarkoittaa muun muassa tarkennusta siihen, millaisia tietoja rekisteröityjästä saa tallentaa. Rekisteröityjällä on oikeus saada pyytäessään tiedot, jotka hänestä löytyvät rekisteristä sekä vaatia virheellisten tietojen korjaamista. Rekisteröityjällä on myös oikeus tulla unohdetuksi eli hän voi halutessaan pyytää kaikkien häntä koskevien tietojen poistamisen rekisteristä.
Mitä tietosuoja-asetuksen muutos tarkoittaa seurakuntien näkökulmasta? Miten seurakunnat voivat varautua muutokseen?
Vastuu uuden asetuksen käyttöönotosta ja toteutumisesta on rekisterinpitäjällä. Eli kaikki seurakunnan omat henkilörekisterit ovat seurakunnan omalla vastuulla.
Tärkeä kysymys on, miten tunnistaa kaikki ne henkilörekisterit, joihin uutta asetusta sovelletaan. Henkilötiedoksi lasketaan mikä tahansa sellainen tieto, josta henkilö voidaan suorasti tai epäsuorasti tunnistaa. Tietosuoja-asetus koskee yhtäältä sellaista henkilötietojen käsittelyä, joka on osittain tai kokonaan automaattista. Toisaalta se koskee henkilötietojen käsittelyä myös muussa kuin automaattisessa muodossa, silloin kun tietojen on tarkoitus muodostaa henkilörekisterin osa.
Seurakunnissa asetuksen alaiset henkilörekisterit voivat kattaa yhtä lailla tietoja niin seurakuntalaisista, yhteistyökumppaneista kuin seurakunnan työntekijöistäkin. Esimerkiksi rippikouluilmoittautumisten ja työntekijöiden henkilötietojen kaltaiset listaukset ovat rekistereitä, mutta myös työajanseurannan tai kameravalvonnan tallennejärjestelmän voidaan katsoa kuuluvan tietosuoja-asetuksen piiriin.
Ensimmäiseksi kannattaakin tutustua tietosuoja-asetukseen. Sen pohjalta on hyvä käydä läpi nykyiset henkilörekisterit tutkimalla, mitkä rekisterit täyttävät uuden asetuksen kriteerit.
Nyt on oikea hetki laatia jo olemassa olevista rekistereistä rekisteri- ja tietosuojaselosteet, mikäli niitä ei vielä ole tehty. Tämä voi olla yllättävän laaja prosessi, joten siihen kannattaa varata riittävästi aikaa. Ne rekisterit, joista on laadittu nykyisen lainsäädännön edellyttämät selostukset, tulisi muokata uuden asetuksen mukaisiksi.
Lisäksi seurakuntien kannattaa tarkistaa nykyiset IT-palvelusopimuksensa ja huolehtia siitä, että myös palveluntoimittajat ovat huomioineet uuden asetuksen henkilötietojen käsittelyssään.
Koska asetus lisää rekisteröityjän oikeuksia, muutos tuonee uudenlaisia rekistereihin liittyviä pyyntöjä. On siis hyvä käydä läpi seurakunnan henkilörekistereihin liittyvät prosessit etukäteen, jotta pyyntöihin voidaan vastata riittävän nopeasti.
Tietosuoja-asetuksessa puhutaan tietosuojavastaavasta. Mitä se tarkoittaa, ja pitääkö seurakunnan palkata uusi työntekijä?
Rekisterinpitäjän on jatkossa nimettävä tietosuojavastaava, jonka aseman ja toimenkuvan tietosuoja-asetus määrittelee. Tietosuojavastaavan tehtävä ei ole huolehtia tietosuoja-asioiden käytännön toteuttamisesta, vaan huolehtia, että rekisterinpitäjä noudattaa asetusta.
Seurakunnan ei tarvitse välttämättä palkata tietosuoja-asetuksen vuoksi uutta henkilökuntaa, vaan tehtävä voidaan järjestää useammalla eri tavalla. Useampi seurakunta voi hankkia esimerkiksi yhteisen vastaavan tai työ voidaan ostaa ulkopuolisena palveluna. Etenkin pienissä seurakunnissa tietosuojavastaavan tehtävät voitaneen sisällyttää myös nykyisenkin työntekijän tehtävänkuvaan.
Työn sujuvuuden kannalta olisi hyvä, että tietosuojavastaavalla olisi osaamista lakiasioista sekä tuntuma kyseisen seurakunnan arjesta eli siitä, miten henkilörekistereitä käsitellään seurakunnassa käytännössä. On kuitenkin huomioitava, että sama henkilö ei voi hoitaa ja valvoa rekisteriä yhtä aikaa.
Mistä saa lisätietoa tietosuoja-asetuksesta?
Tulevasta tietosuoja-asetuksesta kerrotaan tietosuojavaltuutetun verkkosivuilla. Aiheesta lähetetään lähiviikkojen aikana Kirkkohallituksen yleiskirje, jossa kerrotaan laajemmin asetuksen sisällöstä sekä annetaan suosituksia tulevista toimenpiteistä. Kirkkohallitus tuottaa mahdollisuuksien mukaan myös muuta tukimateriaalia seurakunnille kuluvan vuoden aikana.