Tietosuojatietoa

Unionin uusi tietosuoja-asetus koskettaa kaikkia. Asetuksen tavoitteena on turvata ihmisten oikeudet omiin henkilötietoihinsa sekä henkilötietojen turvallinen käsittely. Myös järjestöissä tietosuojakysymyksiin täytyy perehtyä entistä tarkemmin. Tältä sivulta löydät lisätietoja asiasta

Euroopan unionin uusi tietosuoja-asetus

Asetuksen tavoitteena on turvata ihmisten oikeudet omiin henkilötietoihinsa sekä henkilötietojen turvallinen käsittely.

  • Yleinen tietosuoja-asetus on tullut voimaan 25.5.2016 ja asetuksen soveltaminen alkaa 25.5.2018.
  • GDPR-lyhenne tulee sanoista General Data Protection Regulation.
  • Korvaa, päivittää ja tarkentaa nykyisin Suomessa käytössä olevaa tietosuojalainsäädäntöä.
  • Kattaa koko unionin ja unionin alueella tarjolla olevat palvelut.
  • Asetuksen soveltaminen on vielä monelta osin epäselvää (esim. keskusjärjestö rekisterinpitäjänä ja tietojen säilyttämisen kysymykset) mutta tulee tarkentumaan, kun kokemuksia kertyy.

Asetuksen yleisperiaatteet

  • Tietosuoja-asetus koskee kaikkia yhdistyksiä, henkilöitä, yrityksiä ja organisaatioita jotka käsittelevät henkilötietoja.
  • Henkilötietojen keräämisen, käsittelyn ja säilyttämisen tulee olla perusteltua, määriteltyä ja turvallista.
  • Henkilötietojen luovuttamisen käsiteltäväksi tulee perustua rekisteröitävän tietoiseen suostumukseen.
  • Luvan antamisen lisäksi rekisteröityjän tulee tietää mihin hänen tietojaan käytetään.
  • Ei riitä enää, että noudattaa lakia, se on pystyttävä myös osoittamaan valvovalle viranomaiselle.
  • Välinpitämättömyydestä sanktioita.
  • Yleinen tietosuoja-asetus on riskilähtöinen. Myös vahinkoihin on varauduttava ja valmistauduttava.
  • Rekisterinpitäjän ja käsittelijän roolien erottelu. (Rekisterinpitäjä on esimerkiksi yhdistys joka kerää jäsentietoja ja käsittelijä on esimerkiksi paino joka lähettää yhdistyksen lehden jäsenille.)

Mitä ovat henkilötiedot

  • Henkilötiedot ovat sellaisia tietoja, joiden avulla henkilö on yksilöitävissä, tunnistettavissa tai tavoitettavissa joko heti tai jälkikäteen tietoja yhdistelemällä.
  • Henkilötietoja ovat esimerkiksi; nimi, henkilötunnus, kotiosoite, puhelinnumero, sähköpostiosoite, terveystieto tai kuvamateriaali joka on liitettävissä ihmiseen.
  • Henkilötietoja kerättäessä on aina kysyttävä suostumus ja kerrottava niiden käyttötarkoitus. (Esimerkiksi seminaari-ilmoittautumisen yhteydessä.)

Mitä yhdistyksen tulee tehdä?

  • Selvittää missä toiminnoissa organisaatiossa käsitellään henkilötietoja (nykytila-arvio).
  • Päättää käsiteltävät henkilötiedot ja tietosisällöt.
  • Arvioida tarvittavat toimenpiteet ja riskit.
  • Kirjoittaa selostus tietojen käsittelyn prosessista tietosuoja-asiakirjaksi (Tätä Selostetta tietojenkäsittelystä voidaan ajatella laajennettuna tietosuojaselosteena ja kutsua tietosuojaselosteeksi. Tukiliiton tämänhetkisen mallipohjan löydät täältä).
  • Päättää tietosuoja-asiakirjan sisältäminen asioiden tiedottaminen/julkaisu. Rekisteröidyllä on oikeus tietää siitä, miten heidän tietojensa käsitellään.
  • Tehdä tarvittavat sopimukset ja sopimuspohjat.
  • Hankkia tarvittavat sopimukset palvelun tarjoajilta.
  • Tiedottaa jäsenille ja jäsenyhdistyksille.

Seloste käsittelystä

  • Seloste käsittelytoimista ≈ tietosuoja-asiakirja tai laajennettu tietosuojaseloste.
  • Jokaisen rekisterinpitäjän ja käsittelijän on pidettävä yllä selostetta vastuullaan olevista käsittelytoimista.
  • Asiakirjasta tulee selvitä mitä käsittelytoimia henkilötietoihin kohdistuu. Rekisteröidyillä on oikeus tietää nämä rekisterille suoritettavat toimenpiteet samoin kuin omat tietonsa.
  • Seloste on pyydettäessä toimitettava valvontaviranomaiselle.
  • Asetuksen artikla 30 määrittelee selosteen sisällöt.

Yhdistyksistä tulee rekisterinpitäjiä

  • Jokaisesta yhdistyksestä jolla on jäseniä, tulee rekisterinpitäjä ja ne tarvitsevat tietosuojaselosteen (Seloste käsittelytoimista tai tietosuoja-asiakirjan).
  • Tietojenkäsittely perustuu aina sopimukseen. Yhdistys huolehtii henkilöjäsenistään. Keskusliitto yhdistysjäsenistään. Keskusliitto tarvitsee sopimuksen tätä tietojenkäsittelyä varten. Sopimuksessa määritellään tietojenkäsittelyn tavat ja ehdot.

Tietojen tarkastusoikeus

  • Henkilöjäsenillä on oikeus tarkistaa ja korjata tietonsa. Pyyntöön tulee reagoida kuukauden sisällä. Tarkastamisen toteuttamistapa täytyy määritellä.
  • Huoltajilla on oikeus tarkistaa lasten tiedot.
  • Lapset määritellään asetuksessa erityisen haavoittuvaiseksi ryhmäksi, joten heidän tietojensa käsittelyn tulee olla tarkkaa.

Oikeus korjata väärät tiedot

  • Rekisteröity voi vaatia korjaamaan rekisterissä olevat väärät tai puutteelliset tiedot.
  • Rekisterinpitäjä on velvoitettu korjaamaan rekisterissä olevat virheelliset tiedot.
  • Korjaus on toteutettava ilman aiheetonta viivästystä tai haittaa rekisteröidylle.

Oikeus tulla unohdetuksi

  • Kun peruste henkilötietojen käsittelyyn poistuu (esimerkiksi jäsenyys päättyy) tietoja ei saa enää säilyttää vaan ne tulee poistaa.
  • Rekisteröidyllä on oikeus saada tietonsa poistetuksi ilman aiheetonta viivästystä rekisteristä.

Tietojen suojaamisen velvoite

  • Tiedot on suojattava ja varmistettava hallitusti.
  • Tietoja käsittelevät vain määrätyt/sovitut henkilöt.
  • Riskit on kartoitettava ja niihin on varauduttava etukäteen. Täytyy siis olla suunnitelma, miten reagoidaan jos. 1. Tieto tuhoutuu tai tulee käyttökelvottomaksi. 2. Hukkuu tai joutuu vääriin käsiin.

Tietoturvaloukkauksista on tiedotettava sekä rekisteröidyille että viranomaisille.

Lisätietoa:

EU:n tietosuoja-asetus

Tietosuojavaltuutetun toimisto, tietosuoja-asetus-sivut