Sivun sisältö

Vastaus

Julkishallintoon sovelletaan sen käsitellessä yksilöiden henkilötietoja yleistä tietosuoja-asetusta. Kansallisten viranomaisten vastuulla on tukea alueellisia ja paikallisia viranomaisia yleisen tietosuoja-asetuksen soveltamisessa.

Julkishallinnossa henkilötietoja käsitellään yleensä lakisääteisen velvoitteen perusteella, yleisen edun vuoksi tai julkishallinnolle kuuluvan julkisen vallan käyttämiseksi. Kerättyjen henkilötietojen ja niiden käsittelyn on rajoituttava siihen, mikä on välttämätöntä kyseisten tehtävien suorittamiseksi.

Julkishallinnon on varmistettava, että henkilötietojen käsittelyssä noudatetaan muun muassa seuraavia tärkeimpiä periaatteita:

  • asianmukainen ja laillinen käsittely;
  • tarkoituksen rajoitukset;
  • tietojen minimointi ja tietojen säilyttäminen.

Jos tietoja käsitellään lakisääteisen velvoitteen perusteella, jo kyseisen lain tulisi varmistaa se, että näitä periaatteita noudatetaan (esim. tietojen tyyppi, säilytysaika ja riittävät suojaustoimet).

Yksilöille on ennen henkilötietojen käsittelyä ilmoitettava käsittelystä ja annettava tietoa käsittelyn tarkoituksista, kerättyjen tietojen tyypistä, vastaanottajista ja yksilön tietosuojaoikeuksista.

Julkishallinnon on nimitettävä tietosuojavastaava. Sama tietosuojavastaava voidaan nimittää useammalle julkishallinnon elimelle tai työ voidaan ulkoistaa ulkopuoliselle tietosuojavastaavalle. Sen on myös varmistettava, että henkilötietojen tietoturva taataan asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä. Jos osa käsittelystä on ulkoistettu ulkopuoliselle organisaatiolle (niin sanotulle 'henkilötietojen käsittelijälle'), käsittelystä on oltava sopimus tai muut oikeudelliset takeet. Henkilötietojen käsittelijällä on oltava riittävät takeet siitä, että se voi panna täytäntöön yleisen tietosuoja-asetuksen vaatimukset täyttävät tekniset ja organisatoriset toimenpiteet.

Jos henkilötietoja vuotaa vahingossa tai laittomasti luvattomille vastaanottajille tai jos tiedot eivät ole hetkeen saatavilla tai ne muuttuvat, tietosuojaloukkauksesta on ilmoitettava tietosuojaviranomaiselle ilman aiheetonta viivytystä tai viimeistään 72 tunnin määräajassa asian havaitsemisesta. Julkishallinnon on mahdollisesti ilmoitettava asiasta myös asianomaisille yksilöille.

Lisätietoja julkishallinnon velvoitteista löytyy yleisen tietosuoja-asetuksen kohdasta ”Yritykset ja organisaatiot.

Viitteet