Tietoturva yhdistyksessä Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 Astunut voimaan 27.4.2016 Aletaan soveltaa 25.5.2018
EU:n tietosuoja-asetus: Asetuksen ja velvoitteiden noudattamista tuetaan tehokkaalla täytäntöönpanolla henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Valvontaviranomainen voi esimerkiksi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä ja hallinnollisia sakkoja. Koskee kaikkia rekisterinpitäjiä ja henkilötietoja käsitteleviä organisaatioita
Erityisen herkät henkilötiedot (Artikla 9): Rotu tai etninen alkuperä Poliittiset mielipiteet Uskonnollinen tai filosofinen vakaumus Ammattiliiton jäsenyys Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten Terveyttä koskevat tiedot Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely
Sanktiot Seuraamukset on asetettu uudelle tasolle Valvontaviranomaisille valtuudet määrätä hallinnollisia sakkoja. 20 000 000 tai 4% liikevaihdosta 10 000 000 tai 2% liikevaihdosta Valvontaviranomainen voi mm. myös määrätä oikaisemaan tai lopettamaan henkilötietojen käsittelyn Rikosoikeudelliset seuraamukset rikoslain mukaan Vahingonkorvaukset kv. tasolla eli kovatasoisia (uutta Suomessa)
Herkkien henkilötietojen käsittely PÄÄSÄÄNTÖ: Lähtökohtaisesti erityisen herkkien henkilötietojen käsittely on kiellettyä POIKKEUKSET 1. Nimenomainen suostumus rekisteröidyltä 2. Käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla tai 3. Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumustaan, tai 4. käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin
Rekisterinpitäjän velvollisuudet Rekisterinpitäjän velvollisuudet Rekisterinpitäjän tiedot (nimi, yhteystiedot) henkilötietojen käsittelyn tarkoitus mihin tietoja säännönmukaisesti luovutetaan tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä Tiedot on annettava henkilötietoja kerättäessä ja talletettaessa tai, jos tiedot hankitaan muualta kuin rekisteröidyltä itseltään ja tietoja on tarkoitus luovuttaa, viimeistään silloin kun tietoja ensi kerran luovutetaan.
HUOM! Rekisteröityjen nimenomainen suostumus korjaa useimmat puutteet.
Rekisteröidyn oikeudet osa Käsitelläänkö tietoja vai ei Käsittelyn tarkoitus Käsiteltävät henkilötietoryhmät Vastaanottajat Tietojen säilytysaika Rekisteröidyn oikeus Pyytää häntä koskevien tietojen oikaisemista tai poistamista tai henkilötietojen rajoittamista tai vastustaa käsittelyä tehdä valitus valvontaviranomaiselle pyytää ote kaikista tiedoistaan (ilmaiseksi / 1kk+2kk) Kaikki tietojen alkuperästä käytettävissä olevat tiedot Automaattiseen päätöksentekoon ja profilointiin liittyvät tiedot (jos käytetään) (logiikka, merkitykselliste tiedot, käsittelyn merkittävyys) Onko tietoja siirretty kolmanteen maahan tai kansainvälisille järjestöille
Rekisteröidyn oikeudet osa 16 Artikla; Oikeus tietojen oikaisemiseen 17 Artikla; Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi) 18 Artikla; Oikeus käsittelyn rajoittamiseen 19 Artikla; Henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus 20 Artikla; Oikeus siirtää tiedot järjestelmästä toiseen 21 Artikla; Vastustamisoikeus + lisäksi oikeus peruuttaa suostumus milloin tahansa Oikeus saada tieto, jos rekisterinpitäjä käsittelee henkilötietoja eri tavalla kun keräämisen yhteydessä on ilmoitettu
Rekisteröidyn ja rekisterinpitäjän oikeudet ja velvoitteet Rekisteröidyn oikeudet Vahvempi oikeus tietoihinsa henkilö omistaa omat tietonsa Perusteltua ja turvattua henkilötietojen käsittelyä Yksityisyyden suoja Oikeus esittää pyyntöjä Mahdollisuuksia valvoa tietojensa käyttöä ja vaikuttaa tietojen käyttöön Rekisteröidyn oikeuksien toteutus: Informointi Tarkastusoikeus Tietojen siirrettävyys Rajoittaminen Oikaisut Hävittäminen Sisäänrakennettu ja oletusarvoinen tietosuoja (suunnitteluvelvoite) Osoitusvelvollisuus Oikeus käsitellä käyttötarkoitukset tarpeellisuus Suostumukset ja kiellot Sopimukset käsittelijöiden kanssa Vaikutusten arviointi Tietoturvaloukkauksista ilmoittaminen
Henkilötiedoilla (Personal data) tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, eli rekisteröityyn, liittyviä tietoja. Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilönumeron, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
REKISTERINPITÄJÄ Perustanut henkilörekisterin omiin tarpeisiinsa (käyttötarkoitus & tarpeellisuus) Määrää henkilörekisterin käytöstä EI omista henkilötietoja Rekisterinpitäjä saanut henkilöltä luvan joko erillisellä suostumuksella tai on oikeutettu muihin syihin vedoten ylläpitämään rekisteriä Henkilö (rekisteröity) itse omistaa omat tietonsa
Henkilötietojen käsittelyä koskevat periaatteet (5 Artikla) Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Täsmällisyys Säilytyksen rajoittaminen Eheys ja luottamuksellisuus Osoitusvelvollisuus Rekisterinpitäjä vastaa siitä, että on noudattanut yllä lueteltuja velvoitteita ja pystyy sen myös osoittamaan
Käsittelyn lainmukaisuus (Artikla 6) Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy: Rekisteröity on antanut suostumuksensa Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä Käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi HUOM! Kiinnitä erityistä huomiota siihen, onko henkilötietojen keräämisellä ja suunnitellulla käytöllä sekä todellisuudessa toteutuneen käytön välillä sellaista ristiriitaa, joka ei selity asiayhteydellä eikä rekisteröityjen ja rekisterinpitäjän välisen suhteen avulla.
Jäsentietojen käsittely: Yhdistyksen jäsenyys katsotaan EU:n tietosuojaasetuksessa arkaluontoiseksi tiedoksi ja siihen sovelletaan erityisiä henkilöryhmiä koskevia käsittelyohjeita. Jäsentietoja ei saa luovuttaa ulkopuolisille ilman valtakirjaa. Jäsentunnusta ei saa kertoa puhelimessa ilman varmistuskysymyksiä. Jäsenen salasanaa ei voida antaa puhelimessa.
Tietosuoja on jokaisen vastuulla Henkilötieto on luottamuksellista vain yhdistyksen ja henkilön välistä AINA suostumuksen kautta muille Henkilötieto tulee säilyttää VAIN asiaankuuluvissa paikoissa Jos et ole varma miten kuuluu toimia ota selvää
Kannattaa olla tarkkana uuden tietosuojalain tullessa voimaan 25.5.2018. Todennäköisesti ammattiliitot ovat kohteita kun tarkastuksia ryhdytään tekemään, pidetään huoli siitä, että asiat on hoidettu asianmukaisesti