EU:n tietosuoja-asetus astuu voimaan siirtymäajan päätyttyä 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös tanssiurheiluseuroilta. Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas ovat kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.
Tähän artikkeliin on koottu julkisista lähteistä materiaaleja, jotka auttavat valmistautumaan ja toimimaan tietosuoja-asetuksen kanssa. Ensimmäinen askel on tutustua materiaaleihin ja tämän jälkeen sopia, ketkä ottavat kopin valmistelusta omassa seurassa. Myös tämän linkin takaa löytyvä video kannattaa katsoa – video sisältää henkilötietojen käsittelyyn liittyvää perustietoa.
Mikä muuttuu?
- Osoitusvelvollisuus – dokumentointi entistäkin tärkeämpi
- Rekisteröidyn oikeudet – erityisesti unohdetuksi tuleminen
-> Ei dramatiikkaa – tietoturva pitää vaan ottaa vakavasti
Mikä ei muutu?
- Seuratoiminta, se jatkuu normaalisti kuten tähänkin asti
-> Hyvä tietosuoja tiedostetaan ja dokumentoidaan vaan entistä paremmin.
Termistöä
- Henkilötieto – Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joilla yksittäinen luonnollinen henkilö voidaan tunnistaa joko suoraan tai epäsuorasti
- Henkilötietojen käsittely – Henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä
- Henkilörekisteri – Henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla, tai joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta
- Rekisteröity – Henkilö, jonka henkilötietoja käsitellään
- Rekisterinpitäjä – Henkilö, yritys, järjestö tai muu taho, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä
- Henkilötietojen käsittely toisen lukuun – Tilanne, jossa rekisterinpitäjä ulkoistaa keräämiensä henkilötietojen käsittelyn tai osan siitä tietojen käsittelijälle. Käsittelijällä voi puolestaan olla omia alikäsittelijöitä. Rekisterinpitäjä vastaa tiedoista ja niiden käsittelystä, minkä vuoksi on tärkeää sopia alihankinnasta ja siihen liittyvistä vastuista kirjallisesti.
Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta käsittely on lainmukaista:
- Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
- Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (jäsenyys, työsuhde…)
- Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (allergiat yms.)
- Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
- Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Seuran toimenpiteet
Ensimmäisessä vaiheessa seuran on hyvä perehtyä tietosuojaa koskevaan materiaaliin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta. Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä osoittamaan, että tietosuojaa noudatetaan.
Tähän osioon kootaan askelmerkkejä, joita seuran tulee käydä läpi omassa toiminnassaan ja tarvittaessa tehdä vaadittavat toimenpiteet.
Mitä henkilörekistereitä seurassa on?
Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Listaa kaikki henkilörekisterit esimerkiksi Exceliin (lähde: Jääkiekkoliitto). (liite1)
Henkilörekisterit voidaan jakaa kolmeen kategoriaan:
- sähköisiin rekistereihin, joihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms.
- manuaalisiin rekistereihin, joita ovat kaikki paperiarkistot ja tulostetut henkilölistat, sekä
- ”piilo”rekistereihin, joita ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).
Excelin keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy.
Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö
Tietosuojan riskit voidaan jakaa kolmeen kategoriaan:
- Teknisiin riskeihin, joihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit.
- Inhimillisiin riskeihin, eli riskeihin, jotka tulevat henkilöiden huolimattomuudesta ja osaamattomuudesta. Nämä ovat suurempia riskejä ja tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti.
- Fyysisiin riskeihin, eli riskin muodostavat murtautumiset ja arkistojen säilytys ja tuhoaminen.
Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Tietosuojaohjeistuksesta on olemassa mallipohja (lähde: Voimisteluliitto) (liite 2), jota seura voi muokata omiin tarpeisiin sopivaksi. Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista. Koulutuksia järjestävät mm. liikunnan aluejärjestöt ja useat muut paikalliset tilintarkastus- ja koulutusorganisaatiot.
Henkilötietoja saavat käsitellä ainoastaan henkilöt, jotka ovat tehneet salassapitosopimuksen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista. Salassapitositoumuksesta on olemassa mallipohja (lähde: Palloliitto) (liite 3), jota seura voi muokata omiin tarpeisiin sopivaksi.
Tee rekistereistä tietosuojaseloste
Henkilötietolaista poiketen EU:n yleinen tietosuoja-asetus ei edellytä rekisteri- tai tietosuojaselosteen laatimista. Rekisteröityjä täytyy kuitenkin informoida henkilötietojen käsittelystä. Tietosuoja-asetuksessa on vaatimus toimittaa rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Erityisesti on arvioitava, saako rekisteröity näin helposti ja yksiselitteisesti kokonaiskuvan henkilötietojensa käsittelystä silloin, kun henkilötietoja käsitellään useampaan kuin yhteen tarkoitukseen.
Tietosuojaselosteesta henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkinä verkkosivuilla. Linkissä (lähde: Jääkiekkoliitto) (liite 4) mallipohja tietosuojaselosteelle, jota seurat voivat käyttää pohjana omille tietosuojaselosteilleen.
Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:
- Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää)
- Yhteyshenkilö
- Rekisterin nimi
- Tietojen käsittelyn tarkoitus
- Rekisterin tietosisältö
- Säännönmukaiset tietolähteet
- Tietojen säännönmukaiset luovutukset
- Tietojen siirto EU / ETA –alueen ulkopuolelle
- Rekisterin suojauksen periaatteet
Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:
- Tarkastusoikeus
- Oikeus vaatia tietojen korjausta
- Muut henkilötietojen käsittelyyn liittyvät oikeudet
Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään.
Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus
Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa.
Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti.
Jäsenien tiedottaminen ja markkinointi
Jäsenien tiedottaminen esimerkiksi tuntimuutoksista on sallittua edelleenkin, mutta tämän täytyy tulla esille esimerkiksi henkilön liittyessä seuran jäseneksi. Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.
Tietojen luovuttaminen
Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa, mihin on pyydetty erillinen suostumus. Lakiin yms. perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan.
Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessaan periä myös kohtuullinen korvaus pyytäjältä. Tietojen luovuttamiselle seuran on myös hyvä miettiä prosessi, kuinka toimitaan ja dokumentoida tämä.
Yhteenveto
- Selvitä mitä henkilörekistereitä seurassa ylläpidetään – kerää näistä tieto esimerkiksi Exceliin
- Mikä on näiden rekisteriden oikeusperuste eli miksi tietoja kerätään/säilytetään. Tarvitaanko suostumus?
- Poista virheelliset, turhat ja vanhentuneet henkilörekisterit
- Laadi seuralle tietosuojakäytänteet/tietosuojaseloste dokumentti.
- Mieti mitä tietoturvariskejä seurassa mahdollisesti on. Laadi seuratoimijoille tietosuojaohjeet.
Lopuksi
Tietosuoja-asetukseen liittyvä hallituksen esitys tietosuojalaiksi 1.3.2018 on vielä käsittelyssä valiokunnissa ja asiantuntijalausunnoilla. Lailla täydennettäisiin ja täsmennettäisiin Euroopan unionin yleistä tietosuoja-asetusta.
”Julkinen keskustelu tietosuoja-asetuksesta on lisännyt rekisteröityjen kiinnostusta omien tietojen hallintaan. Seurat tulevat saamaan kysymyksiä liikkujilta siitä, mitä tietoja seuralla on ja miten niitä tietoja käytetään. Näihin kysymyksiin tulee vastata ilman viivytystä. Hyvä dokumentointi helpottaa seuran tätäkin tehtävää. Tulevaisuuden tietojärjestelmissä henkilö teknisesti hallinnoi omia tietojaan. Henkilö pystyy tällöin itse reaaliajassa katsomaan mitä tietoja hänestä on rekisterissä.
Yksityiskohdissa on paljon viilattavaa. Urheilulle tärkeitä soveltamisohjeita kirjataan Urheilun omaan käytännesääntöön, joka ilmestyy mahdollisimman pian vuoden 2018 loppupuoliskolla. Kaikki ei ole valmista 25.5.2018, mutta maalaisjärjellä selvitään hyvin näissä tietosuoja-asioissakin – suojataan yksityisyyttä.” (lainaus: Olympiakomitea)
Tanssiurheiluliiton tietosuojakäytännöt julkaistaan liiton sivuilla 26.5.2018 pidettävän hallituksen kokouksen jälkeen.
Liitteet
Liite 1: Henkilörekisteri-excel (Suomen Jääkiekkoliitto)
Liite 2: Tietosuojaohjeistuksen mallipohja (Suomen Voimisteluliitto)
Liite 3: Salassapitositoumus mallipohja (Suomen Palloliitto)
Liite 4: Tietosuojaselosteen mallipohja (Suomen Jääkiekkoliitto)
Liite 5: Mallipohja rekisterinpitäjälle (seloste käsittelytoimista organisaation sisäiseen käyttöön) (Tietosuojavaltuutetun toimisto)
Liite 6: Tietosuojakäytännöt mallipohja (Suomen Palloliitto)
Lisämateriaalia:
Arjen tietosuoja. Tietoa uudesta asetuksesta sekä nettitesti. https://arjentietosuoja.fi/fi/#/front
Arjen tietosuoja -video https://vimeo.com/sourceme/arjentietosuoja
Euroopan unioni. EU yleinen tietosuoja-asetus. http://www.privacy-regulation.eu/fi/
Oikeusministeriö. Tietosuojalaki täydentäisi EU:n tietosuoja-asetusta. http://oikeusministerio.fi/artikkeli/-/asset_publisher/tietosuojalaki-taydentaisi-eu-n-tietosuoja-asetusta
Olympiakomitea. Tietosuoja on iloinen asia! https://www.olympiakomitea.fi/2017/12/15/tietosuoja-iloinen-asia/
Olympiakomitea. Hyvä tietosuoja lisää luottamusta urheiluseuraan. https://www.olympiakomitea.fi/2018/05/10/hyva-tietosuoja-lisaa-luottamusta-urheiluseuraan/
Tietosuojavaltuutetun toimisto. EU:n tietosuoja-uudistus. http://tietosuoja.fi/fi/index/euntietosuojauudistus.html
Tietosuojavaltuutetun toimisto. Tietosuoja-asetus ei edellytä entisen kaltaista rekisteri- tai tietosuojaselostetta. https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuoja-asetus-ei-edellyta-entisen-kaltaista-rekisteri-tai-tietosuojaselostetta
Tietosuojavaltuutetun toimisto ja Oikeusministeriö: Miten valmistautua EU:n tietosuoja-asetukseen? Selvityksiä ja ohjeita 4/2017. Saatavilla verkossa: http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf
Valtioneuvosto. Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi. HE 9/2018. 1.3.2018. http://valtioneuvosto.fi/paatokset/paatos?decisionId=0900908f80595905
Lähteet ja materiaalit
eslu.fi
finhockey.fi
oikeusministerio.fi
olympiakomitea.fi
palloliitto.fi
privacyregulation.eu
tietosuoja.fi
valtioneuvosto.fi
voimistelu.fi