Uusi lainsäädäntö ja datapolitiikat

kategoria: 2019, Muut artikkelit

Organisaatiot tuottavat toiminnassaan erityyppisiä datoja valtavia määriä. Siksi aineistojen käsittelyyn täytyy kiinnittää erityistä huomiota etenkin silloin, kuin ne sisältävät henkilötietoja tai muita arkaluonteisia tietoja. Esimerkiksi TKI-toiminnassa ja tutkimuksessa kerättäville datoille on lainsäätäjän puolelta asetettu monia reunaehtoja, jotka myös koskevat muitakin organisaation data-aineistoja. Keskeisimmät näistä ovat Tietosuoja-asetus (GDPR) sekä 2020 alussa tulossa oleva Tiedonhallintalaki.

Tietosuoja-asetuksessa korostuvat mm. rekisterinpitäjän näyttövelvollisuus ja tätä kautta monipuolisen tietoaineistoja/rekistereitä koskevan dokumentaation luominen sekä esimerkiksi arkaluonteisten aineistojen anonymisoinnin tarve.

Eräänä keskeisenä työkaluna on niin sanottu Tietotilinpäätös. Se kuvaa organisaation henkilötietojen käsittelyyn liittyvää toimintaa ja pyrkii antamaan kokonaiskuvan tiedon, tietoturvallisuuden ja tietosuojan hallinnan tilasta. Tilinpäätös on yksi tapa toteuttaa toukokuussa 2018 voimaan astuneen EU:n tietosuoja-asetuksen (679/2016) velvoitteita.

Tiedonhallintalain velvoitteet

Tiedonhallintalain mukaan ns. ”Tiedonhallinnan järjestämiseen” kuuluu useita velvoitteita: Tiedonhallintayksikön johdon vastuulla on huolehtia siitä, että tiedonhallinta järjestetään riittävän asianmukaisesti. Näihin kriteereihin kuuluvat esimerkiksi:

  • Lakimääräisten, tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuiden määrittely.
  • Ohjeet tietoaineistojen käsittelystä, tietojärjestelmien käytöstä, tietojenkäsittelyoikeuksista, tiedonhallinnan vastuiden toteuttamisesta, tiedonsaantioikeuksien toteuttamisesta, tietoturvallisuusjärjestelyistä sekä poikkeusoloihin varautumisesta.
  • Säädöksiin liittyvän koulutuksen tarjoaminen henkilöstölle.
  • Asianmukaisista työvälineistä huolehtiminen.
  • Riittävän valvonnan järjestäminen tiedonhallintaan liittyvien säädösten, määräysten ja ohjeiden noudattamisesta.

Datapolitiikka työkaluna

Näillä edellä mainituilla kriteereillä pyritään selkeyttämään ja yhdenmukaistamaan tiedonhallinnan sääntelyä. Asioiden käytäntöön vienti vaatinee kuitenkin organisaatiolta muutoksia, jotta niiden toiminta vastaisi uutta lainsäädäntöä. Niin sanotun datapolitiikan avulla korkeakoulut pystyvät linjaamaan omiin tietoaineistoihinsa liittyvää johtamista ja käytännön työskentelyä. Datapolitiikka myös määrittelee painopisteet, joilla tietovarantojen käyttöä edistetään. Pelkästään edellä mainituista säädöksistä johtuen ammattikorkeakouluissa laaditut datapolitiikat tulevat nousemaan aiempaakin tärkeämpään asemaan.

Tällä hetkellä kovinkaan monessa ammattikorkeakoulussa ei vielä ole olemassa varsinaista datapolitiikkaa, vaikka aineistojen hallintaa ja hyödyntämistä on jo pohdittu pitkään myös strategisesta näkökulmasta. Tulevaisuudessa olisi hyvä yhteistyössä linjata, millaista datapolitiikkaa ammattikorkeakoulujen tulisi noudattaa.

Kirjoittajat kiittävät Opetus- ja kulttuuriministeriötä Ammattikorkeakoulujen avoin TKI, oppiminen & innovaatioekosysteemi -hankkeen ja tämän artikkelin kirjoittamisen rahoittamisesta.

Jaakko Riihimaa, AAPA-verkoston pääsihteeri, Haaga-Helia ammattikorkeakoulu
Seliina Päällysaho, tutkimuspäällikkö, Seinäjoen ammattikorkeakoulu