Yksityinen: Tiedotteet seuralle
Pähkinänkuoressa:
MIKÄ GDPR?
The General Data Protection Regulation (GDPR) = EU:n tietosuoja-asetus
Asetus, ei direktiivi, eli kaikkien jäsenmaiden on pakko noudattaa
Astuu voimaan 25.5.2018
Sakot rikkomuksista jopa 20 miljoonaa euroa tai 4 % liikevaihdosta
Oikeusministeriön ja tietosuojavaltuutetun toimiston opas Miten valmistautua EU:n tietosuoja-asetukseen? (PDF)
***
Asetuksen tarkoituksena on parantaa Eu-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas on kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.
Tietojen käsittelyn lainmukaisuus tarkentuu
Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta käsittely on lainmukaista:
- rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
- käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
- käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Seuran toimenpiteet
Ensimmäisessä vaiheessa seuran on hyvä perehtyä tietosuojaa koskevaan materiaaliin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta. Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä osoittamaan, että tietosuojaa noudatetaan.
Mitä henkilörekistereitä seurassa on?
Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään?
Henkilörekisterit voidaan jakaa kolmeen katergoriaan:
- Sähköisiin
- Sähköisiin rekisterihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms.
- Manuaalsiin
- Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilölistat
- Piilo rekisterihin
- Piilo rekistereitä ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).
Alkuu on hyvä käydä läpi seurassa työskentelevien kanssa yllä olevat kysymykset sekä dokumentoida nämä. Olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy.
Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö
Tietosuojan riskit voidaan jakaa kolmeen kategoriaan;
- Tekniset riskit
- Teknisiin riskeihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin liittyvät riskit
- Inhimilliset riskit
- Eli henkilöjen huolimattomuus ja osamattomuus. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti.
- Fyysiset riskit
- Fyysisiin riskeihin kuuluu mm. murtautumiset ja arkistojen säilytys ja tuhoaminen
Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Tietosuojaohjeen tulee olla selkeä ja siinä on kuvattava prosessit, vastuut, tietojen hallinnoinnin ja luovuttamisen säännöt, rekistereiden valvonta sekä tiedon rekisteröinnin menetelmät. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista.
Henkilötietoja saa käsitellä myös ainoastaan henkiöt, jotka ovat tehneet salassapitosopimukssen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista.
Tee rekistereistä tietosuojaseloste
Tietosuojaselosteesta henkilö näkee miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkiin verkkosivuilla.
Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:
- Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää)
- Yhteyshenkilö
- Rekisterin nimi
- Tietojen käsittelyn tarkoitus
- Rekisterin tietosisältö
- Säännönmukaiset tietolähteet
- Tietojen säännönmukaiset luovutukset
- Tietojen siirto EU / ETA –alueen ulkopuolelle
- Rekisterin suojauksen periaatteet
Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:
- Tarkastusoikeus
- Oikeus vaatia tietojen korjausta
- Muut henkilötietojen käsittelyyn liittyvät oikeudet
Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään.
Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus
Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa.
Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti.
Jäsenien tiedottaminen ja markkinointi
Jäsenien tiedottaminen esimerkiksi harjoitusmuutoksista on sallittua edelleenkin, mutta tämän täytyy tulla esille esimerkiksi henkilön liittyessä seuran jäseneksi. Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.
Tietojen luovuttaminen
Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan.
Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessaan periä myös kohtuullinen korvaus pyytäjältä.