Uusi tietosuoja-asetus

EU:n tietosuoja-asetus astuu voimaan 25.5.2018. Tietosuoja-asetuksen tavoitteena on parantaa ja yhdenmukaistaa EU:n kansalaisten henkilötietojen käsittelyä ja henkilötietojen suojaa.

Tietosuoja-asetus vaatii toimenpiteitä myös seuratoiminnassa. Tältä sivulta löytyy tietosuoja-asetukseen liittyvät keskeiset käsitteet ja muuta seuroja palvelevaa infoa. Tietosuoja-asetukseen liittyvät mallipohjat löytyvät SCL:n extranetistä.

Käsitteet

  • Suorat henkilötiedot esim. nimi, kasvokuva, video
  • Epäsuorat henkilötiedot esim. ammatti, työpaikka, IP-osoite, osoite, puhelinnumero
  • Henkilörekisteri
    •   rekisteri, josta luonnollinen henkilö on tunnistettavissa. Käsite on varsin laaja.
  • Arkaluontoiset tiedot
    • Yksilön henkilöön liittyvät tiedot (uskonto, etninen tausta, sukupuolinen suuntautuminen, poliittinen näkemys ym.)
    • Terveystiedot
    • Taloustiedot (ulosoton asiakkuus)
    • Viranomaistiedot (rikosrekisteri tms.)
    • Henkilökohtaiset tiedot (harrastukset tms.)
  • Henkilötietojen käsittely on kaikkea tietoihin kohdistuvaa toimintaa kuten keräämistä, tallentamista, siirtämistä, luovuttamista, poistamista tai katsomista.
  • Rekisteröity on henkilö, jonka tietoja käsitellään.
  • Rekisterinpitäjä on henkilö, yritys, järjestö tai muu taho, jonka toimesta henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.
  • Käsittelijä on rekisterinpitäjän tai alihankkijan henkilö, joka käsittelee rekisteritietoja.

 

Tietojen käsittelyn lainmukaisuus

Tietojen käsittely on laillista mikäli yksi seuraavista ehdoista täyttyy:

  • rekisteröity antaa suostumuksensa henkilötietojen käsittelyyn
  • käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena
  • käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
  • käsittely on tarpeen yleistäetua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi

Toimenpiteet seuroissa

Seurojen tulee pystyä osoittamaan noudattavansa tietosuoja-asetusta. Tästä syystä on tärkeää dokumentoida kaikki tietoturvaan liittyvät toimenpiteet.

Seuran tulee tunnistaa mitä henkilörekistereitä sillä on käytössä, miten ja millä perusteella tietoja kerätään, miten niitä säilytetään ja käsitellään sekä miten tiedot hävitetään. Turhaa tiedonkeruuta kannattaa välttää, mutta tiedon poistamisessa ei kannata kiirehtiä. Henkilötietoja voidaan säilyttää pitkiäkin aikoja, mikäli siihen löytyy peruste, kuten kirjanpitomateriaalin säilytysvelvollisuus tai rekisterinpitäjän oma oikeusturva. Tärkeämpää on suojata henkilötiedot niin fyysisiltä, teknisiltä ja inhimillisiltä uhilta ja käsitellä niitä huolellisesti. Seuran kannattaa arvioida kenelle henkilötiedot organisaation sisällä näkyvät ja miten henkilöiden vaihtuvuus toiminnassa huomioidaan.

Seurat vastaavat työntekijöiden, luottamustoimisten sekä vapaaehtoisten kouluttamisesta. Seuran tietoturvamateriaalin on hyvä olla julkisesti kaikkien toimijoiden saatavilla. Seuratoimijat on hyvä sitoututtaa tietoturvasääntöihin salassapitosopimuksen avulla.

Jäsenien tiedottaminen esimerkiksi jäsentiedotteilla on edelleen sallittua. Henkilöllä tulee kuitenkin olla oikeus poistua postituslistalta. Tiedotus ja markkinointiluvat on hyvä kerätä henkilöiltä esimerkiksi seuraan liittymisen yhteydessä. Lupia kysyttäessä henkilöllä tulee olla mahdollisuus kieltäytyä tiedotteista tai markkinoinnista. Lomakkeessa tulee olla vaihtoehdot kyllä ja ei, eikä vastaus saa olla valmiiksi rastitettu. Vaikenemalla ei voi antaa suostumusta.

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö voi tarkistaa hänestä kerätyt tiedot ja pyytää niiden poistamista. Mikäli seura saa pyynnön tietojen poistamisesta tulee heidän arvioida poistamisen vaikutukset. Seuralla on oikeus lakiin tai omaan oikeusturvaansa vedoten säilyttää sille luovutettuja tietoja, mikäli säilyttäminen ei luo merkittävää haittaa tai turvallisuusuhkaa henkilölle.

Seurojen tulee olla erityisen tarkka tietojen luovuttamisen suhteen. Henkilötietoja ei saa milloinkaan luovuttaa ilman kysyjän tunnistamista. Erityistä tarkkuutta vaaditaan lasten tietojen luovuttamisessa, jossa seuran tulee varmistaa, että kysyjällä on lapsen laillinen huoltajuus. Mikäli luovuttaja ei ole varma esimerkiksi lapsen toisesta huoltajasta voi asian varmistaa jo tiedetyltä, ilmoitetulta ja varmistetulta huoltajalta. On tärkeää muistaa, että lapsen vanhemmuus ja huoltajuus ovat kaksi eri asiaa eikä pelkkä lapsen nimen, henkilötunnuksen tai syntymäajan muistaminen riitä vahvistamaan huoltajuutta. Tietojen luovuttamisen suhteen seuralla on oikeus vaatia henkilöä todistamaan henkilöllisyytensä ja maksamaan kohtuullinen korvaus eli pyynnöstä aiheutuneet kulut.

 

Rekisteriseloste

Jokaisesta henkilörekisteristä pitää olla tietosuojaseloste, josta rekisteröity pääsee näkemään miten ja miksi hänen henkilötietojaan käsitellään ja mitä oikeuksia hänellä on.

Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

  • Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää)
  • Yhteyshenkilö
  • Rekisterin nimi
  • Tietojen käsittelyn tarkoitus
  • Rekisterin tietosisältö
  • Säännönmukaiset tietolähteet
  • Tietojen säännönmukaiset luovutukset
  • Tietojen siirto EU / ETA –alueen ulkopuolelle
  • Rekisterin suojauksen periaatteet

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:

  • Tarkastusoikeus
  • Oikeus vaatia tietojen korjausta
  • Muut henkilötietojen käsittelyyn liittyvät oikeudet

Liitossa tietosuojavastaavana toimii järjestösihteeri Niklas Hagel. Lisätietoa tietosuojaan liittyen saat sähköpostitse osoitteesta: office(a)scl.fi tai puhelimitse numerosta: 050-5255 705.

Suomen Cheerleadingliiton tietosuojakäytänteet