Yhdistysavain ja EU:n tietosuoja-asetus

Yleistä EU:n tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018 alkaen ja se vaikuttaa henkilötietojen käsittelyyn koko EU:n alueella. Asetuksen tavoitteena on parantaa luonnollisten henkilöiden oikeusturvaa henkilötietojen käsittelyn osalta. Asetus koskee yritysten ja julkishallinnon lisäksi myös yhdistyksiä, urheiluseuroja ja muita järjestötoimijoita.

Olemme käynnistäneet asetukseen valmistautumiseen tähtäävät toimenpiteet vuoden 2016 lopulla, jotta voimme täyttää asetuksen vaatimukset omalta osaltamme. Valmistautumisen keskeisiä osa-alueita ovat olleet hallinnon kehittäminen, henkilöstön koulutus, kumppanoituminen ja tekninen kehitystyö. Keskeisiä toimenpiteitä ovat olleet hallinnassamme olevien henkilötietojen kartoittaminen, tietoturvan kehittäminen sekä tietosuojaselosteiden laatiminen. Tietosuojavastaavaksi on nimetty toimitusjohtaja Tuomo Heikkilä.

Tavoitteenamme on jatkossakin tarjota asiakkaillemme turvallista palvelua, joka huomioi lainsäädännön vaatimukset ja auttaa asiakkaitamme osaltaan täyttämään viranomaisvaatimukset.

Yhdistysavaimen käyttöehdot 17.4.2018 alkaen

EU:n yleinen tietosuoja-asetus edellyttää henkilötietojen käsittelystä sopimista rekisterinpitäjien ja henkilötietojen käsittelijöiden välillä. Käyttöehtojen osana on tietosuojaliite, joka huomioi asetuksen vaatimukset.

Asetuksen huomioiminen Yhdistysavaimen käytössä

Yhdistysavaimessa on huomioitu asetuksen vaatimukset, mutta asetukseen valmistautuminen edellyttää toimenpiteitä myös yhdistykseltä. Olemme koonneet seitsemän kohtaa asetuksen huomioimiseksi yhdistyksessä:

1. Kartoita yhdistyksesi hallussa oleva henkilötieto ja tunnista myös Yhdistysavaimen ulkopuolelle tallennetut henkilötiedot.

Asetuksen näkökulmasta yhdistys toimii rekisterinpitäjänä esimerkiksi jäsenten ja työntekijöiden henkilötietojen osalta. On tärkeää huomata, että myös esimerkiksi verkkolomakkeilla kerätty henkilötieto on huomioitava osana henkilötietojen käsittelyä. Kaikki tieto, jonka perusteella luonnollinen henkilö voidaan tunnistaa, on henkilötietoa.

2. Varmista, että yhdistykselläsi on lainmukainen peruste rekisteröidystä henkilöstä tallennettujen tietojen käsittelyyn.

Tiedot, joiden käsittelyyn ei ole yhdistyksen toimintaan liittyviä perusteita, tulee poistaa. Yhdistysavain mahdollistaa jäsenen tietojen poistamisen pysyvästi.

3. Määrittele ja dokumentoi yhdistyksesi henkilötietojen käsittelyn elinkaari.

Käytännössä tämä tarkoittaa esimerkiksi henkilötietojen ajantasaisuuden ja erityisesti poistamiseen liittyvien käytäntöjen määrittelyä. Käsittelyn elinkaari muodostaa lähtökohdan yhdistyksen sisäisille ohjeistuksille sekä tietosuojaselosteelle.

4. Tunnista henkilöt, joilla on oikeus käsitellä yhdistyksen hallussa olevia henkilötietoja.

Henkilöt tulee ohjeistaa yhdistyksen määrittelemien henkilötietojen käsittelyn käytäntöihin. Yhdistysavaimessa pääkäyttäjillä on oikeus käsitellä kaikkia rekisteriin tallennettuja henkilötietoja. Nyt on oikea hetki luopua jaetuista käyttäjätunnuksista ja luoda kaikille pääkäyttäjille ja muille Yhdistysavaimeen määritellyille käyttäjille henkilökohtaiset käyttäjätunnukset ja salasanat.

5. Asetus edellyttää, että rekisterinpitäjä huolehtii rekisterissä olevien henkilötietojen ajantasaisuudesta.

Yhdistyksen on määriteltävä toimintamalli tämän velvoitteen täyttämiseksi. Yhdistysavaimen rekisteri mahdollistaa yhteystietojen ajatasaisuuden tarkastamisen rekisteröidyiltä automatisoidulla tarkastuspyynnöllä. Lisäksi Yhdistysavain tarjoaa tietoa rekisteriin tallennettujen sähköpostiosoitteiden toimivuudesta. Yhdistysavaimen rekisteri tarjoaa käyttäjille myös mahdollisuuden päivittää omat tietonsa suoraan rekisteriin.

6. Laadi tietosuojaseloste yhdistyksesi henkilötietojen käsittelystä.

Selosteet tulee laatia rekisterikohtaisesti eli esimerkiksi jos yhdistyksesi ylläpitää rekisteriä työntekijöistä ja jäsenistä, tulee näille rekistereille muodostaa omat tietosuojaselosteensa. On hyvä huomata, että asetuksen näkökulmasta rekisterillä ei viitata tallennuspaikkaan (esim. Yhdistysavaimen rekisteri), vaan tällä viitataan henkilötietojoukkoon, jonka hallinnoinnissa voidaan käyttää useita eri järjestelmiä (esim. Yhdistysavaimen rekisteri ja vaikkapa kansainvälisen kattojärjestön rekisteri). Tietosuojaselosteen laatiminen on hyvä aloittaa tutustumalla Avoinen mallipohjaan, josta yhdistys voi muokata oman selosteensa. Seloste tulee saattaa rekisteröityjen tietoon ja hyvä paikka selosteen julkaisuun ovat esimerkiksi yhdistyksen omat verkkosivut.

7. Tutustu asetuksen sisältöön ja mieti mitä asetus käytännössä yhdistyksen toiminnan kannalta tarkoittaa.

Löydät suomenkielisen asetuksen osoitteesta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html. Tietoa, vinkkejä ja neuvoja löydät myös yhteistyökumppanimme palveluista https://yhteiso.tietosuojamalli.fi/ ja https://fakta.tietosuojamalli.fi/.