Yleistä EU:n tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018 alkaen ja se vaikuttaa henkilötietojen käsittelyyn koko EU:n alueella. Asetuksen tavoitteena on parantaa luonnollisten henkilöiden oikeusturvaa henkilötietojen käsittelyn osalta. Asetus koskee yritysten ja julkishallinnon lisäksi myös yhdistyksiä, urheiluseuroja ja muita järjestötoimijoita.
Olemme käynnistäneet asetukseen valmistautumiseen tähtäävät toimenpiteet vuoden 2016 lopulla, jotta voimme täyttää asetuksen vaatimukset omalta osaltamme. Valmistautumisen keskeisiä osa-alueita ovat olleet hallinnon kehittäminen, henkilöstön koulutus, kumppanoituminen ja tekninen kehitystyö. Keskeisiä toimenpiteitä ovat olleet hallinnassamme olevien henkilötietojen kartoittaminen, tietoturvan kehittäminen sekä tietosuojaselosteiden laatiminen. Tietosuojavastaavaksi on nimetty Mikko Kauttu.
Tavoitteenamme on jatkossakin tarjota asiakkaillemme turvallista palvelua, joka huomioi lainsäädännön vaatimukset ja auttaa asiakkaitamme osaltaan täyttämään viranomaisvaatimukset.
EU:n yleinen tietosuoja-asetus edellyttää henkilötietojen käsittelystä sopimista rekisterinpitäjien ja henkilötietojen käsittelijöiden välillä. Käyttöehtojenosana on tietosuojaliite, joka huomioi asetuksen vaatimukset.
Yhdistysavaimessa on huomioitu asetuksen vaatimukset, mutta asetukseen valmistautuminen edellyttää toimenpiteitä myös yhdistykseltä. Olemme koonneet seitsemän kohtaa asetuksen huomioimiseksi yhdistyksessä:
Asetuksen näkökulmasta yhdistys toimii rekisterinpitäjänä esimerkiksi jäsenten ja työntekijöiden henkilötietojen osalta. On tärkeää huomata, että myös esimerkiksi verkkolomakkeilla kerätty henkilötieto on huomioitava osana henkilötietojen käsittelyä. Kaikki tieto, jonka perusteella luonnollinen henkilö voidaan tunnistaa, on henkilötietoa.
Tiedot, joiden käsittelyyn ei ole yhdistyksen toimintaan liittyviä perusteita, tulee poistaa. Yhdistysavain mahdollistaa jäsenen tietojen poistamisen pysyvästi.
Käytännössä tämä tarkoittaa esimerkiksi henkilötietojen ajantasaisuuden ja erityisesti poistamiseen liittyvien käytäntöjen määrittelyä. Käsittelyn elinkaari muodostaa lähtökohdan yhdistyksen sisäisille ohjeistuksille sekä tietosuojaselosteelle.
Henkilöt tulee ohjeistaa yhdistyksen määrittelemien henkilötietojen käsittelyn käytäntöihin. Yhdistysavaimessa pääkäyttäjillä on oikeus käsitellä kaikkia rekisteriin tallennettuja henkilötietoja. Nyt on oikea hetki luopua jaetuista käyttäjätunnuksista ja luoda kaikille pääkäyttäjille ja muille Yhdistysavaimeen määritellyille käyttäjille henkilökohtaiset käyttäjätunnukset ja salasanat.
Yhdistyksen on määriteltävä toimintamalli tämän velvoitteen täyttämiseksi. Yhdistysavaimen rekisteri mahdollistaa yhteystietojen ajatasaisuuden tarkastamisen rekisteröidyiltä automatisoidulla tarkastuspyynnöllä. Lisäksi Yhdistysavain tarjoaa tietoa rekisteriin tallennettujen sähköpostiosoitteiden toimivuudesta. Yhdistysavaimen rekisteri tarjoaa käyttäjille myös mahdollisuuden päivittää omat tietonsa suoraan rekisteriin.
Selosteet tulee laatia rekisterikohtaisesti eli esimerkiksi jos yhdistyksesi ylläpitää rekisteriä työntekijöistä ja jäsenistä, tulee näille rekistereille muodostaa omat tietosuojaselosteensa. On hyvä huomata, että asetuksen näkökulmasta rekisterillä ei viitata tallennuspaikkaan (esim. Yhdistysavaimen rekisteri), vaan tällä viitataan henkilötietojoukkoon, jonka hallinnoinnissa voidaan käyttää useita eri järjestelmiä (esim. Yhdistysavaimen rekisteri ja vaikkapa kansainvälisen kattojärjestön rekisteri). Tietosuojaselosteen laatiminen on hyvä aloittaa tutustumalla Vitec Avoine Oy:n mallipohjaan, josta yhdistys voi muokata oman selosteensa. Seloste tulee saattaa rekisteröityjen tietoon ja hyvä paikka selosteen julkaisuun ovat esimerkiksi yhdistyksen omat verkkosivut.
Löydät suomenkielisen asetuksen osoitteesta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html. Tietoa, vinkkejä ja neuvoja löydät myös yhteistyökumppanimme palveluista https://yhteiso.digiturvamalli.fi/ ja https://fakta.digiturvamalli.fi/