EU:n tietosuoja-asetus

Uusi EU:n tietosuoja-asetus astuu voimaan 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös urheiluseuroilta.

Kokoamme tälle sivustolle infoa ja materiaalia seurojen tueksi. Urheiluun on lisäksi valmisteilla oma käytännesääntö, joka valmistunee loppusyksyllä 2018.

EU:n tietosuoja-asetuksen tarkoitus on parantaa henkilötietojen suojaa. Henkilötiedoiksi luokitellaan kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Asetuksen alaisia henkilörekisterejä taas on kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy. 

Tietojen käsittelyn lainmukaisuus tarkentuu

Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta käsittely on lainmukaista:

  • rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten 
  • käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä
  • käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi
  • käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

 

Seuran toimenpiteet

1. Kartoita ja dokumentoi nykytila

Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään?

Seurassa voi olla monenlaisia henkilörekistereitä: jäsenluettelo, jäsenrekisteri, valmentajarekisteri, kilpailu- ja testitilastot. Rekisterit voivat olla sähköisiä tai paperisia. Seuralla voi olla myös ns. piilorekistereita, esimerkiksi sähköposteissa olevat henkilölistaukset.

Seuroissa on usein myös vanhoja ja tarpeettomia rekistereitä ja ylimääräisiä tietoja. Nämä kannattaa alkuvaiheessa siivota pois.

Dokumentoi, millaisia tietoja on kerätty henkilöistä, missä tietoja säilytetään sekä miten ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. 

2. Tunnista tietoturvariskit

Tietosuojan riskit voivat olla teknisiä eli esim. laitteisiin ja atk-järjestelmiin liittyvät riskit. Suurimmat riskit ovat kuitenkin inhimillisiä eli tietoja käsittelevien henkilöiden osaamiseen tai huolimattomuuteen liittyviä. Onkin tärkeää, että ne henkilöt, jotka käsittelevät henkilötietoja ovat perehtyneet tietosuojaan ja käsittelevät tietoja asianmukaisesti. Tietoturvariskejä ovat myös esimerkiksi murtautuminen ja arkistojen säilytys ja tuhoaminen. 

Henkilötiedot tulee säilyttää niin, että niihin ei pääse käsiksi mikään ulkopuolinen taho. Jokaisen henkilötietoja käsittelevän pitää ymmärtää oma vastuunsa yksityisyyden suojelijana.

3. Tee tietosuojaseloste

Tietosuojaselosteessa kerrotaan, miten henkilötietoja käsitellään ja millaisia oikeuksia henkilöllä on. Tietosuojaseloste tulee olla saatavilla esim. seuran verkkosivuilla.

Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

  • Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää) 
  • Yhteyshenkilö 
  • Rekisterin nimi 
  • Tietojen käsittelyn tarkoitus 
  • Rekisterin tietosisältö 
  • Säännönmukaiset tietolähteet 
  • Tietojen säännönmukaiset luovutukset 
  • Tietojen siirto EU / ETA –alueen ulkopuolelle 
  • Rekisterin suojauksen periaatteet

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:

  • Tarkastusoikeus 
  • Oikeus vaatia tietojen korjausta 
  • Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään.

 4. Mieti, mitä tietoja kerätään jatkossa

Rekisterin ylläpitoon tulee olla hyväksyttävä peruste tai sille tulee olla saatu henkilön suostumus. Tietoja tulee käyttää vain siihen tarkoitukseen, johon se on kerätty ja johon henkilö on antanut suostumuksensa. Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Kerätyn tiedon käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. 

Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. 

Esimerkiksi yhdistyslain 11§:ssä seuraa velvoitetaan ylläpitämään jäsenluetteloa.

Esimerkiksi suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.

5. Tietojen luovuttaminen ja mahdollisuus tulla unohdetuksi

Rekisteröidyllä on pääsääntöisesti oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on tallennettu. Seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä, mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty.

Uuden tietosuoja-asetuksen yksi tavoite on myös, että henkilöllä on mahdollisuus tulla unohdetuksi. Henkilö voi myös pyytää halutessaan, että hänen tietonsa poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa, mihin on pyydetty erillinen suostumus. Lakiin yms. perustuvilla tietoja henkilö ei voi pyytää poistamaan. 

Henkilötietoja ei saa luovuttaa koskaan ulkopuoliselle.

6. Ilmoita tietoturvaloukkauksesta

Tietosuoja-asetus edellyttää, että rekisterinpitäjä ilmoittaa tietyissä tilanteissa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidyille. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin.

Rekisterinpitäjän on tehtävä loukkausta koskeva ilmoitus valvontaviranomaiselle mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta.  Ilmoituksen voi jättää tekemättä, jos loukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Henkilötietojen käsittelijän on puolestaan ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa.

Materiaaleja

Sivustolle päivitetään kevään aikana mallipohja tietosuojaselosteeksi.

Linkki vanhan henkilötietolain mukaisiin rekisteriseloste-/ tietosuojaselostemalleihin: Tietosuojavaltuutetun toimisto

 

Linkkejä

Tietosuojavaltuutetun toimisto http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html