Suomen ja Euroopan unionin tietosuojalait ovat uudistumassa. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation, GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Asetus koskee kaikkia toimijoita, jotka käsittelevät henkilötietoja eli jäsenliittoja ja seuroja.
HBL:n osalta rekisterijärjestelmistä poistetaan kaikki ylimääräiset käyttäjätunnukset.
Tässä alla SKL:n tiedote asiasta. Mukana paljon sellaista, mikä ei suoranaisesti kosketa seuratoimintaa:
Rekisteriohjelman etusivun tiedotteisiin on lisätty SKL:n tietosuojasuunnitelma.
Täältä löydät myös SKL:n tietosuojasuunnitelman, jota voitte tarvittaessa käyttää mallina myös oman suunnitelmanne teossa.
Tärkeää on varmistaa paikallisesti rekisteriohjelmamme käyttäjien oikeudet ja tunnukset. Tunnuksien tulee olla henkilökohtaisia, eikä niitä saa jakaa muille.
Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Tietosuoja-asetuksen rikkomisesta voi seurata muun muassa sakkoja tai henkilötietojen käsittelykielto.
Tietosuoja.fi-sivustolta löytyy ohjeita ja koulutuksia, jotka auttavat tietosuoja-asetukseen valmistautumisessa.
Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.
Tietosuojaperiaatteiden noudattaminen
Rekisterinpitäjän on huolehdittava siitä, että tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa.
Tietosuojaperiaatteiden mukaan henkilötietoja on
• käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
• käsiteltävä luottamuksellisesti ja turvallisesti
• kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
• kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
• päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
• säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
Tietosuoja-asetukseen valmistautuminen
Valmistautuessasi tietosuoja-asetukseen:
1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.
2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.
3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.
4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.
5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.
6. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.
7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.
8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.
9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja tullee olemaan 13 vuotta.
Hyvä alku vaatimusten läpikäymiseen on miettiä kunkin käyttäjäryhmän osalta seuraavia asioita:
– mitä tietoja tallennetaan ja onko niiden keräämiselle ja tallentamiselle olemassa jokin peruste
– mihin tietoja käytetään
– mistä tallennettavat tiedot ovat peräisin ja varmistaa että suostumus tietojen käsittelyyn on annettu tietojen luovutuksen yhteydessä
– luovutetaanko tietoja muualla ja peruste mahdolliselle luovutukselle
– tietojen säilytysaika