Kaupunginhallitus, kokous 4.12.2017

Pöytäkirja on tarkastettu

§ 203 EU:n yleisen tietosuoja-asetuksen toimeenpano, järjestäytyminen seudullisesti

MliDno-2017-2254

Kuvaus

EU:n yleinen tietosuoja-asetus hyväksyttiin keväällä 2016 (14.4.2016 – 2016/679) ja sitä ryhdytään soveltamaan kahden vuoden siirtymäajan jälkeen 25.5.2018.

Asetuksen nojalla vastuu organisaation tietosuojasta on hallituksella, joka nimittää organisaatiolle tietosuojavastaavan valvomaan henkilötietojen käsittelyn lainmukaisuutta ja auttamaan lainsäädännön velvoitteiden täyttämisessä. Tietosuojavastaavan aseman on oltava riippumaton henkilötietoja käsitteleviin organisaation osiin nähden. Asetuksen sisältö on kuvattu tarkemmin liitteessä.

Asetuksen perusteella organisaatiot voivat nimittää yhteisen tietosuojavastaavan ja vaatimukset tietosuojan järjestämisen suhteen ovat samat kaikille kunnille. Etelä-Savon kunnat tarjoavat asukkailleen pääosin samat palvelut ja niillä käytössä useita samoja tietojärjestelmiä, jolloin yhden kunnan selvitys- ja kehitystyö hyödyttää useita kuntia. Yhteistyöstä ja sen mahdollisuuksista on esimerkkinä seudullinen valmistautumisprojekti.

Mikkelin kaupunki palkkasi ajalle 7.8.- 31.12.2017 määräaikainen työntekijän EU Tietosuoja-asetuksen toimeenpanon edellyttämään valmisteluvaiheen työhön ja koordinoimaan seudullista yhteistyötä. Yhteistyössä mukana olevat Hirvensalmi, Juva, Kangasniemi, Mikkeli, Mäntyharju, Pertunmaa, Pieksämäki ja Puumala ovat jokainen nimenneet työhön resurssin, joka toimii tietosuojan yhteyshenkilönä kuntaan päin. Työhön kuuluu tietosuojan nykytilan kartoitus, olemassa olevien tietosuojadokumenttien kerääminen ja asetuksen mukaisten tekeminen, sekä toimintatapojen luominen EU Tietosuoja-asetuksen soveltamisajalle. Seudullinen yhteistyö on osoittautunut hyväksi toimintamalliksi tietosuojatyössä.

Mikkelin kaupungin tietosuojavastaava
Kaupungin talousarvioesitykseen vuodelle 2018 sisältyy tietosuojavastaavan viran perustaminen. Viran vuosittaiset kustannukset sisältäen palkan, palkkasivukulut, työtila- ja työvälinekustannukset sekä koulutuskustannukset ja ovat arviolta 56 000 euroa vuodessa. Talousarvioesityksessä rahat kustannusten kattamiseen on varattu Talous- ja elinvoimapalveluille.

Valmistelutyön osana tehdyn arvion perusteella Mikkelin kaupungin kokoisessa organisaatiossa tietosuojavastaavan tehtävien hoitaminen ei ole kokopäiväinen toimi. Riittävän osaamisen kerryttämiseksi ja riippumattomuuden takaamiseksi on kuitenkin parempi, että tietosuojavastaavalla ei ole muita tehtäviä tai vastuita. Näin ollen valmistelutyössä nähtiin tarkoituksenmukaisesti jakaa tietosuojavastaavan työpanos sekä seudullisesti että Mikkelin kaupungin konsernin sisällä.

Seudullinen yhteistyö
Yhteiseen valmistelutyöhön osallistuvien kuntien kanssa on todettu, että yhteistyötä kannattaa jatkaa nimittämällä kunnille yhteinen tietosuojavastaava. Tällöin jokaisen kunnan hallituksella on edelleen vastuu oman kunnan tietosuojasta, mutta tietovastaavan työpanos jaetaan kuntien kesken. Tietosuoja-asetuksen toimeenpano seudullisessa yhteistyössä edellyttää yhtäläistä järjestäytymistä sopimuksellisesti ja toiminnallisesti:

  1. Kunkin yhteistyöhön osallistuvan kunnan tulee ja perustaa sisäinen tietoturva- ja tietosuojaryhmä, joka toimii kunnan tietosuojatyön työtiiminä. Ryhmän työtä ohjaamaan tulee nimetä tietoturva- ja tietosuojaryhmän puheenjohtaja, joka toimii samalla tietosuojavastaavan yhteyshenkilönä kuntaan päin. Eri osapuolten tehtävät ja vastuut on kuvattu liitteessä.
  2. Kukin tietosuojayhteistyöhön osallistuva kunta tekee sopimuksen Mikkelin kaupungin kanssa, jolla sovitaan tehtävien ja kustannusten jaosta organisaatioiden kesken. Sopimusmalli on liitteenä.

Sopimuksella tietosuojavastavaan viran kustannukset jaetaan kuntien kesken asukaslukujen suhteessa. Olettaen, että kaikki yhteisessä valmistelutyössä mukana olevat kunnat jatkavat yhteistyötä, Mikkelin osuus kustannuksista on arviolta 56 % eli 56 000 euroa * 0,56 = 31 360 euroa vuodessa.

Mikkelin kaupungin konsernin sisäinen yhteistyö
Valmistelutyön aikana on todettu, että tietosuoja-asiat on tarkoituksenmukaista hoitaa yhteistyössä Mikkelin kaupungin konsernin sisällä. Tietosuoja-asetuksen toimeenpano konsernin sisäisessä yhteistyössä edellyttää järjestäytymistä sopimuksellisesti ja toiminnallisesti:

  1. Mikkelin kaupunki perustaa kaupungin konsernin tietoturva- ja tietosuojaryhmän, joka toimii tietosuojatyön työtiiminä. Ryhmän puheenjohtajana toimii kaupungin tietosuojavastaava, jonka nimetään samalla myös yhteistyössä mukana olevien yhtiöiden tietosuojavastaavaksi. Eri osapuolten tehtävät ja vastuut jakautuvat liitteessä kuvattua kuntien tehtävänjakoa vastaavalla tavalla.
  2. Kukin tietosuojayhteistyöhön osallistuva organisaatio tekee Mikkelin kaupungin kanssa sopimuksen, jolla sovitaan tehtävien ja kustannusten jaosta organisaatioiden kesken. Sopimus on sisällöltään vastaava kuin liitteenä oleva luonnos kuntien välisestä sopimuksesta.

Sopimuksella Mikkelin kaupungin osuus tietosuojavastaavan viran kustannuksista jaetaan osapuolten kesken siten, että jokaisen yhtiön, liikelaitoksen tai taseyksikön osuus on 1 000 euroa vuodessa ja loppu jää kaupungille. Jos kaikki jäljempänä luetellut organisaatiot osallistuvat yhteistyöhön, kaupungin osuudeksi jää 31 360 euroa - 11 000 euroa = 20 360 euroa vuodessa.

Tietoturva- ja tietosuojaryhmään tarvitaan edustaja niistä Mikkelin kaupunkikonsernin organisaation osista, joissa käsitellään erityisiä henkilötietoja tai joiden palvelutoiminta sisältää runsaasti henkilötietojen käsittelyä. Mikkelin kaupunkikonsernissa se tarkoittaa kaikkia kolmea palvelualuetta ja seuraavia yhtiöitä, liikelaitoksia ja taseyksiköitä:

  • Mikkelin vesi
  • Otavan opisto
  • Etelä-Savon pelastuslaitos
  • Etelä-Savon Energia Oy
  • Etelä-Savon Koulutus Oy
  • Metsäsairila Oy
  • Mikalo Oy
  • Mikkelin asumisoikeus Oy
  • Mikkelin opiskelija-asunnot Oy
  • Mikkelin kehitysyhtiö Miksei Oy
  • Mikkelin Ravirata Oy

Päätösehdotus

Esittelijä

  • Timo Halonen, kaupunginjohtaja, timo.halonen@mikkeli.fi

Kaupunginhallitus päättää seudullisesta tietosuojayhteistyöstä, että valmisteluvaiheen yhteistyössä mukana olevia kuntia pyydetään mukaan yhteistyöhön 1.1.2018 alkaen siten, että toiminnan kustannukset jaetaan osallistuvien kuntien kesken asukaslukujen suhteessa. Talousjohtaja valtuutetaan valmistelemaan lopullinen sopimus kuntien seudullisesta tietosuojayhteistyöstä ja kaupunginjohtaja valtuutetaan allekirjoittamaan sopimus Mikkelin kaupungin puolesta.

Lisäksi kaupunginhallitus päättää perustaa kaupungin tietoturva- ja tietosuojatyöryhmän, jonka puheenjohtajana toimii tietosuojavastaava ja johon palvelualueet velvoitetaan nimeämään edustajansa. Lisäksi Etelä-Savon pelastuslaitosta, liikelaitoksia ja yhtiöitä pyydetään mukaan tietosuojayhteistyöhön 1.1.2018 alkaen siten, että mukaan lähtevien organisaatioiden osuus kustannuksista on 1 000 euroa vuodessa. Talousjohtaja valtuutetaan valmistelemaan lopullinen sopimus konserniyhtiöiden tietosuojayhteistyöstä ja kaupunginjohtaja valtuutetaan allekirjoittamaan sopimus Mikkelin kaupungin puolesta.

Päätös

Hyväksyttiin.

Merktiään, että tietohallintopäällikkö Tuomas Fjällström selosti asiaa kaupunginhallitukselle.

Minna Pöntinen saapui takaisin kokoukseen tämän pykälän käsittelyn aikana ja Seija Kuikka poistui kokouksesta tämän pykälän käsittelyn aikana.

Tiedoksi

Talouspalvelut, tietohallintopalvelut

Muutoksenhaku

Tähän päätökseen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Päätökseen ei saa hakea muutosta valittamalla tuomioistuimeen.

Oikaisuvaatimusoikeus
Oikaisuvaatimuksen saa tehdä:

- se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen), sekä
- kunnan jäsen.

Oikaisuvaatimusaika
Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista.
Oikaisuvaatimus on toimitettava Mikkelin kaupungin kirjaamoon määräajan viimeisenä päivänä ennen kirjaamon aukioloajan päättymistä.

Asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, seitsemän päivän kuluttua kirjeen lähettämisestä. Käytettäessä tavallista sähköistä tiedoksiantoa katsotaan asianosaisen saaneen tiedon päätöksestä kolmantena päivänä viestin lähettämisestä, jollei muuta näytetä.

Kunnan jäsenen ja kuntalain 137 §:n 2 momentissa tarkoitetun kunnan katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa.

Tiedoksisaantipäivää ei lueta oikaisuvaatimusaikaan. Jos oikaisuvaatimusajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa oikaisuvaatimuksen tehdä ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimuksen sisältö
Oikaisuvaatimuksesta on käytävä ilmi vaatimus perusteineen ja se on tekijän allekirjoitettava.

Mikkelin kaupunki
Kaupunginhallitus
PL 33 (Raatihuoneenkatu 8-10), 50101 Mikkeli
Faksi: 015 194 2040
Sähköpostiosoite: kirjaamo@mikkeli.fi

Käsitellyt asiat