Kunnanhallitus, kokous 10.5.2021

Pöytäkirja on tarkastettu

§ 126 Rekisterinpitäjän velvollisuudet / henkilötietojen käsittely perinnän yhteydessä

KNGDno-2021-131

Aikaisempi käsittely

Valmistelija

Sari Linturi-Sahlman, sari.linturi-sahlman@kangasniemi.fi

Kuvaus

Kangasniemen kunnanhallitus on kokouksessaan 21.05.2007 § 160 määritellyt kunnan rekisterinpitäjät ja edellyttänyt päätöksessään:

 ”Myös kunnallisten liikelaitosten osalta kukin lautakunta huolehtii itse rekisterinpidosta ja noudattaa henkilötietolakia liikelaitoksen toiminnassa. Kunnanhallitus määrää, että kukin rekisterinpitäjä huolehtii henkilötietojen käsittelystä lain vaatimusten mukaisesti

  • niin, että kaikki henkilötietojen käsittely on suunniteltua ja virheetöntä,
  • että siinä toteutuu tarpeellisuusvaatimus ja huolellisuusvelvoite,
  • ja että henkilötietojen käytössä toteutetaan käyttötarkoitus sidonnaisuutta eli tiettyyn tarkoitukseen kerättyjä henkilötietoja ei saa käyttää muuhun tarkoitukseen. Lisäksi kunnanhallitus velvoittaa kaikkia rekisterinpitäjiä huolehtimaan, että kukin viranhaltija tai työntekijä laatii omassa käytössäänolevistahenkilö tiedoista, jotka muodostavat em. henkilörekisterin, henkilörekisteriselosteen ja toimittaa ne ohjeistuksenmukaisesti saataville.

Euroopan unionin yleinen tietosuoja-asetus (EU 679/2016) on tullut voimaan toukokuussa 2016 ja sitä sovelletaan kansallisesti 25.5.2018 alkaen. Kunnanhallitus on kokouksessaan 10.12.2018 § 238 käynyt lävitse henkilötiedon rakennetta ja määritellyt uudelleen kunnan rekisterinpitäjät. Päätöksessään kunnanhallitus edellyttää, että rekisterinpitäjän edustajat noudattavat EU:n tietosuoja-asetusta henkilötiedon käsittelyssä. 

Kunnanhallituksen päätösten mukaisesti kunnan palvelu- ja tietojärjestelmäsopimuksia on päivetetty palvelun- tai järjestelmän toimittajan ja kunnan itsensä toimesta tietosuojalausekkeilla tai sopimuksilla henkilötietojen käsittelystä. Sopimustarkastelun yhteydessä tuli ilmi, että Kangasniemen kunnan taloushallinnon hallinnoimaa perintäsopimusta ei löydy kunnan asianhallintajärjestelmästä, eikä sitä ole  päivitetty. Sopimus on vuodelta 2002 ja se on solmittu Intrum Justitian kanssa.

Perintä on toimenpide, jossa rekisterinpitäjänä Kangasniemen kunta luovuttaa rekisteröidyn, siis perittävän henkilön henkilötietoja kolmannelle osapuolelle eli perintätoimistolle. Rekisteröidyn tiedot saattavat sisältää arkaluontoisia henkilötietoja. Rekisterinpitäjällä on erityisiä velvollisuuksia arkaluonteisten henkilötietojen käsittelyyn. Rekisterinpitäjänä Kangasniemen kunnalla on velvollisuus, että rekisteröityjen henkilötietoja käsitellään tietosuoja-asetuksen mukaisesti ja henkilötietojen luovutukset ja -käyttö on määritelty palvelusopimuksissa. Rekisterinpitäjänä Kangasniemen kunnalla on osoitusvelvollisuus siitä, kuinka perintätoiminnassa rekisterinpitäjän luovutettuja henkilötietoja käsitellään. Kunnanhallituksen em. päätökset toteuttavat osaltaan rekisterinpitäjän osoitusvelvollisuutta, mutta eivät itsessään riitä, vaan päätöksiä on noudatettava.    

Perintäsopimuksen puutteellisuus henkilötietojen käsittelyn osalta aiheuttaa vakavan riskin henkilötietojen käsittelyyn ja muodostaa rekisterinpitäjälle merkittävän tietosuojauhkan ja edelleen merkittävän taloudellisen vastuuvelvollisuuden. 

Kangasniemen kunnanhallitus on rekisterinpitäjänä ohjeistanut viranhaltioita päätöksillä ja olettanut, että henkilötietojen käsittely on lainsäädännön edellyttämällä tasolla. Kunnanhallitus toteaa, ettei nykyinen voimassa oleva perintäsopimus huolehdi henkilötietojen käsittelystä EU:n tietosuoja-asetuksen mukaisella tavalla ja tämän johdosta kunnanhallituksen on syytä keskeyttää perintätoimien suorittaminen nykyisen vuodelta 2002 olevan sopimuksen perusteella.

Päätösehdotus

Esittelijä

Mikko Korhonen, mikko.korhonen@kangasniemi.fi

Kunnanhallitus toteaa, ettei nykyinen voimassa oleva perintäsopimus huolehdi henkilötietojen käsittelystä EU:n tietosuoja-asetuksen mukaisella tavalla. Kunnanhallitus keskeyttää perintätoimien suorittaminen nykyisen vuodelta 2002 olevan sopimuksen perusteella.

Kunnanhallitus päättää, että perintään liittyvä palvelusopimus kilpailutetaan. Kunnanhallitus edellyttää, että palvelun hankinnassa määritellään henkilötietojen luovutuksen perusteet, henkilötietojen käsittelijät ja että henkilötietojen käsittely otetaan palvelusopimuksessa huomioon GDPR:n mukaisesti. Lisäksi kunnanhallitus edellyttää, että kunnan tietosuojavastaava selvittää perintätoimintaan liittyvien henkilötietojen käsittelyyn liittyvän riskien arvioinnin ennen sopimuksen solmimista. Kilpailutuksen jälkeen perinnästä laaditaan tietosuojaseloste.

Kunnanhallitus edellyttää, että kaikista kunnan tietojärjestelmistä ja palelusopimuksista laaditaan tietosuojaselosteet GDPR:n mukaisesti. Tämä päätös täydentää rekisterinpitäjän osoitusvelvollisuutta henkilötietojen käsittelyssä.

Päätös

Päätösehdotus hyväksyttiin.

Valmistelija

  • Mirja Ursin, mirja.ursin@kangasniemi.fi

Kuvaus

Kunnanhallitus on päättänyt 15.3.2021 § 75 keskeyttää perintätoimien suorittamisen nykyisen vuodelta 2002 Intrum Oy:n kanssa solmitun sopimuksen perusteella sekä päättänyt, että kunnan perintätoimet kilpailutetaan. Kunnanhallitukselle aiemmin annetun tiedon mukaan sopimuksessa ei ole noudatettu kansallisesti 25.5.2018 voimaan astunutta Euroopan unioinin yleistä tietosuoja-asetusta (EU 679/2016) ja puutteellisuus henkilötietojen käsittelyn osalta aiheuttaa vakavan riskin henkilötietojen käsittelyyn ja muodostaa rekisterinpitäjälle merkittävän tietosuojauhkan ja edelleen merkittävän taloudellisen vastuuvelvollisuuden.

Intrum Oy:ltä 17.3.2021 saapuneen sähköpostiviestin perusteella Intrum on lähettänyt kuntaan sähköisesti 22.3.2018 ja lisäksi postitse 18.4.2018 muutosilmoituksen koskien EU:n tietosuoja-asetusta. Kyseisiä asiakirjoja ei kuitenkaan ole löytynyt kunnan asianhallintajärjestelmästä. Voitaneen kuitenkin todeta, että tietosuojaan liittyvät ehdot on käsitelty sopimuksessa oheisen liitteen perusteella. Intrum Oy lausuu oikaisunaan seuraavaa:

"Perintäsopimus ei ole puutteellinen henkilötietojen käsittelyn osalta eikä aiheuta vakavaa riskiä henkilötietojen käsittelyyn eikä muodosta rekisterinpitäjälle merkittävää tietosuojauhkaa ja ei myöskään merkittävää taloudellista vastuuvelvollisuutta".

Kunnanhallitus toteaa, että Intrum Oy:n kanssa solmittu sopimus voidaan päivittää Intrumilta uudelleen kuntaan 17.3.2021 saapuneen muutosilmoituksen perusteella. Sopimus on annettu tietosuojan osalta Kangasniemen kunnan tietosuojavastaavan tarkistettavaksi.

Liitteenä sopimuspäivitys perustuen EU:n tietosuoja-asetukseen 22.3.2018 ja sopimusmuutos EU:n tietosuojauudistuksen huomioimiseksi.

Päätösehdotus

Esittelijä

  • Sari Linturi-Sahlman, sari.linturi-sahlman@kangasniemi.fi

Kunnanhallitus päättää kumota tekemänsä päätöksen 15.3.2021 § 75.

Kunnanhallitus päättää, että Kangasniemen kunnan ja Intrum Oy:n välinen perintäsopimus päivitetään vastaamaan  EU:n tietosuoja-asetusta.

Päätös

Mirja Ursin toimi asiantuntijana asian eittelyssä.

Päätösehdotus hyväksyttiin.

Tiedoksi

talouspäällikkö, Intrum Oy

Muutoksenhaku

Kunnanhallituksen päätöksestä tehtävä oikaisuvaatimus

Oikaisuvaatimusoikeus

Tähän päätökseen tyytymätön voi tehdä kirjallisen oikaisuvaatimuksen. Oikaisuvaatimuksen saa tehdä se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa (asianosainen) sekä kunnan jäsen.

Oikaisuviranomainen

Oikaisua haetaan päätösotteessa mainitulta muutoksenhakuviranomaiselta.

Oikaisuvaatimus tulee toimittaa osoitteella:

Kangasniemen kunta
Kunnanhallitus
Otto Mannisen tie 2
51200 Kangasniemi

Oikaisun voi lähettää myös faxilla 015 7801 292 tai sähköpostilla kirjaamo@kangasniemi.fi.

Kangasniemen kunta ei vastaa sähköpostilla lähetetyn oikaisuvaatimuksen tietoturvallisuudesta.

Oikaisuvaatimusaika

Oikaisuvaatimus on tehtävä 14 päivän kuluessa päätöksen tiedoksisaannista.

Tiedoksisaanti

Kunnan jäsenen katsotaan saaneen päätöksestä tiedon seitsemän päivän kuluttua siitä, kun pöytäkirja on nähtävänä yleisessä tietoverkossa. Asianosaisen katsotaan saaneen päätöksestä tiedon, jollei muuta näytetä, 7 päivän kuluttua kirjeen lähettämisestä, 3 päivän kuluttua sähköpostin lähettämisestä, saantitodistuksen osoittamana aikana tai erilliseen tiedoksisaantitodistukseen merkittynä aikana.

Tiedoksisaantipäivää tai sitä päivää, jona päätös on asetettu nähtäväksi, ei lueta määräaikaan. Jos määräajan viimeinen päivä on pyhäpäivä, itsenäisyyspäivä, vapunpäivä, joulu- tai juhannusaatto tai arkilauantai, saa tehtävän toimittaa ensimmäisenä arkipäivänä sen jälkeen.

Oikaisuvaatimus

Oikaisuvaatimuksesta on käytävä ilmi vaatimus perusteineen ja se on tekijän allekirjoitettava. Oikaisuvaatimus on toimitettava oikaisuvaatimusajan kuluessa oikaisuvaatimusviranomaiselle. Oikaisuvaatimuksen tulee olla perillä oikaisuvaatimusajan viimeisenä päivänä ennen virastoajan päättymistä klo 15:00 mennessä.

Oikaisuvaatimuksen lähettäminen postitse tai sähköisesti tapahtuu lähettäjän omalla vastuulla.