Tietosuoja 18.5.2018 Perttu Marttila / SoulCore
Koulutuksen sisältö Koulutuksen tavoite Miten JHL tukee yhdistysten tietosuojaosaamista Mikä tietosuoja ja tietosuojaterminologiaa Tietosuojan huomioiminen yhdistystoiminnassa 2 [Tekijä]
Paikallisyhdistykset ja tietosuojaosaaminen JHL Tukee Kouluttaa Kouluttajat Yhteisrekisteri (jäsenrekisteri) Tietosuojavastaava: Hannu Viljanen Ohjeistaa Tukee Kouluttaa Yhdistys ja -toimijat Tutustuu itsenäisesti Tarvittaessa ostaa palveluita ulkopuolisilta 3
Miten JHL tukee yhdistyksiä tietosuojatyössä? Kouluttajakoulutus ja ohjeistukset JHL tietosuojavastaava tukee kouluttajien työtä tarvittaessa Hannu Viljanen (JHL tietosuojavastaava) Tietosuojaan liittyvissä kysymyksissä yhdistykset voivat saada apua JHL kouluttajilta Netistä Ostamalla apua ulkopuolisilta palveluntarjoajilta 4 [Tekijä]
Yhteisrekisteri - Jäsenrekisteri Yhteisrekisteri on usean rekisterinpitäjän yhdessä ylläpitämä henkilörekisteri Yhteinen tietosuojavastaava Yhteiset rekisteriselosteet Yhteiset tietosuojakäytännöt YHTEISREKISTERINPITÄJÄ Rekisterinpitäjä JHL Rekisterinpitäjä Paikallisyhdistykset Yhteinen henkilörekisteri (Jäsenrekisteri) HUOM! Paikallisyhdistysten itse ylläpitämät muut henkilörekisterit EIVÄT ole osa yhteisrekisteriä vaan yhdistys toimii näissä itsenäisesti rekisterinpitäjänä Muista! Kaikki henkilötieto on tietosuoja-asetuksen alaista! 5 [Tekijä]
Mikä tietosuoja ja tietosuojaterminologiaa 6
EU:n tietosuoja-asetus (GDPR - General Data Protection Regulation) Aletaan soveltaa 25.5.2018 Tarkoitus Yksityistä henkilöä suojataan hänen henkilötietojensa vahingolliselta tai eitoivotulta käytöltä. Yhtenäistää henkilötietojen tietosuojalainsäädännön EU-alueella Lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Tiukemmat seuraamukset Ohjeistus Varoitus Huomautus Tietojenkäsittelyn keskeyttäminen Sakko Koskee kaikkia rekisterinpitäjiä ja henkilötietoja käsitteleviä organisaatioita Tietosuojaan liittyvä lainsäädäntö ja tulkinnat tarkentuvat jatkossa Uusia asetuksia tulossa (esim. e-privacy act), Kansallinen lainsäädäntö uudistuu (henkilötietolaki korvataan uudella lainsäädännöllä) Tulkinnat tarkentuvat 7
Tietosuoja? Tietosuojalainsäädäntö ei suojaa tietoa, vaan yksilöä ja hänen oikeuksiaan tietoihinsa. Yksilöä suojataan hänen henkilötietojensa vahingolliselta käytöltä. TIEDOLLINEN ITSEMÄÄRÄÄMISOIKEUS on henkilön oikeutta päättää itse henkilötietojensa käsittelystä Yksilön oikeudet Yksityisyyden suojaaminen Rekisterinpitäjän velvollisuudet 8
Henkilötieto Henkilötiedoilla (Personal data) tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, eli rekisteröityyn, liittyviä tietoja. Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilönumeron, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella. 9
Erityisen herkät henkilötiedot (Artikla 9) Rotu tai etninen alkuperä Poliittiset mielipiteet Uskonnollinen tai filosofinen vakaumus Ammattiliiton jäsenyys Geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten Terveyttä koskevat tiedot Seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely 10
Rekisterinpitäjä vs. henkilötietojen käsittelijä Rekisterinpitäjä Perustanut henkilörekisterin omiin tarpeisiinsa (käyttötarkoitus & tarpeellisuus) Riittävä tietosuoja ja tietoturva huomioitava Määrää henkilörekisterin käytöstä EI omista henkilötietoja Rekisterinpitäjä saanut henkilöltä luvan joko erillisellä suostumuksella tai on oikeutettu muihin syihin vedoten ylläpitämään rekisteriä Henkilö itse omistaa omat tietonsa Esimerkki: JHL & paikallisyhdistykset toimivat yhteisrekisterinpitäjänä Jäsenrekisteri Käsittelijät Käsittelee tietoja rekisterinpitäjän puolesta rekisterinpitäjän lukuun Riittävä tietosuoja ja tietoturva huomioitava Sallittu vain kirjallisella luvalla Henkilötietoja saa käsitellä vain rekisterinpitäjien antamien kirjallisten ohjeiden mukaisesti Esimerkki: Tietojärjestelmää ylläpitävä organisaatio käsittelee työnsä yhteydessä henkilötietoja ESimerkki2: Markkinointikumppani käyttää jäsenrekisterin tietoja JHL:n toimeksiannosta markkinointityössä 11 [Tekijä]
HENKILÖTIETOJEN SIIRTO VS. LUOVUTUS REKISTERINPITÄJÄ LUOVUTUS REKISTERINPITÄJÄ SIIRTO KÄSITTELIJÄ Siirto Siirrossa ulkoiselle käsittelijälle käsittely tapahtuu rekisterinpitäjän lukuun rekisterinpitäjän henkilörekisterissä. Sopimus ja kirjalliset ohjeet laadittava. Luovutus Rekisterinpitäjä luovuttaa henkilötiedon omasta rekisteristään toisen rekisterinpitäjän rekisteriin. Vastaanottajalla on oikeus käsitellä tietoja. Tiedonsaantioikeudet ja luovutusvelvollisuudet. Erityisiä velvoitteita jos siirto ulkomaille ja varsinkin jos siirto EU-alueen ulkopuolelle.
Yhdistyksen toiminta ja tietosuoja 13
Yleistä henkilötietojen käsittelystä Pohtikaa yhdistyksessä mitä ja miten henkilötietoja käsittelette tietosuojasilmälasit päähän ja käykää koko toiminta pikaisesti läpi Missä ja milloin henkilötietoja käsitellään? Mitä henkilötietoja näissä yhteyksissä kerätään? Mihin henkilötietoja näissä yhteyksissä tallennetaan? Onko meillä oikeus käsitellä henkilötietoja? Onko kysytty suostumus? Mihin asti henkilötietoja tarvitaan? Milloin voimme poistaa niitä? Mihin asti saamme henkilötietoja ylipäätään säilyttää? 14 [Tekijä]
Tietosuoja yhdistyksen toiminnassa vuodesta toiseen Yhdistyksen aktiivit ovat vastuussa kunkin vuoden toiminnasta myös tietosuojasta Jokaisen aktiivin tulisi ymmärtää miten tietosuoja-asiassa tulisi toimia Uudet toimijat on koulutettava ja tietämys siirrettävä eteenpäin asianmukaisesti. Hyvät tietosuojakäytännöt vs. hyvät kokous käytännöt 15 [Tekijä]
Henkilötietojen kerääminen Viesti henkilölle mitä ja miksi olet tekemässä Kerättäessä henkilötietoja kerro kohteena olevalle henkilölle: Rekisterinpitäjän tiedot (nimi, yhteystiedot) Henkilötietojen käsittelyn tarkoitus Mitä henkilötietoja olet keräämässä Kuinka kauan henkilötietoja tullaan säilyttämään Mihin tietoja säännönmukaisesti luovutetaan Esim. suoramarkkinointitarkoituksiin (ks. Suostumus) Henkilön oikeudet Tarkastaa omat tietonsa, kieltää tietojensa käsittely, pyytää poistamaan tietonsa, oikeus perua suostumuksensa milloin tahansa, jne. (ks. Artikla 13) Kysy lupa (suostumus) suoramarkkinointi tms. tarkoituksiin 16 [Tekijä]
SUOSTUMUS & SOPIMUS ANTAA OIKEUDEN KÄSITELLÄ HENKILÖTIETOJA Henkilötietolaki 8 (VÄISTYVÄ) Käsittelyn yleiset edellytykset Suostumus Sopimus ja rekisteröidyn toimeksianto Rekisteröidyn elintärkeä etu Lakisääteisyys tai lakiin perustuva tehtävä Asiallinen yhteys (asiakkuus, työsuhde, jäsenyys..) Konserni-poikkeus Rekisterinpitäjän toimeksianto Asema tai tehtävä kuvaavat yleisesti saatavissa olevat tiedot joilla turvataan rekisterinpitäjän tai tiedot saavan sivullisen oikeuksia ja etuja Tietosuojalautakunnan lupa Tietosuoja-asetus 6 Artikla Käsittelyn lainmukaisuus Suostumus Sopimus Luonnollisen henkilön elintärkeä etu Lakisääteinen velvoite Laissa säädetty yleinen etu tai julkisen vallan käyttäminen Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu Poistuu Poistuu Poistuu Poistuu Poistuu 17
Henkilön oikeudet omiin tietoihinsa Rekisteröidyn oikeus Rekisteröidyn oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ) Oikeus käsittelyn rajoittamiseen Oikeus siirtää tiedot järjestelmästä toisen rekisterinpitäjän järjestelmään Oikeus vastustaa automaattista käsittelyä Viittaus asetukseen 15 Artikla 16 Artikla 17 Artikla 18 Artikla 20 Artikla 21 Artikla 18 [Tekijä]
Pyyntöjen käsittely (JHL prosessi) Mikäli henkilö käyttää oikeuttaan ja pyytää JHL:ää toimimaan jonkin oikeutensa osalta: 1. Paikallisyhdistys Ohjaa henkilö aluetoimistoon tai keskustoimistoon tunnistautumista ja virallista pyyntöä varten 2. Aluetoimisto / Keskustoimisto Pyyntö kirjataan viralliseen pyyntölomakkeeseen Esim. tietopyynnön, poiston tai käsittelyn rajoittamisen osalta henkilö voi valita tietojoukkoja joita voi pyytää käsiteltävän (esim. jäsenmaksutiedot, kurssitiedot, edunvalvontaan liittyvät tapaukset ja yhteydenotot) Pyyntö välitetään JHL:n tietosuojavastaavalle (tietosuoja@jhl.fi) 3. Tietosuojatiimi Käsittelee pyynnön ja toimii pyynnön mukaisesti (eli esim. välittää tietopyynnön materiaalin pyytäjälle) 19 [Tekijä]
Tietosuojapoikkeamat Tietosuojaloukkaus / Tietomurto Tiedon luvaton katselu tai käsittely Poikkeaman tapahtuessa OTA VÄLITTÖMÄSTI YHTEYTTÄ JHL:n tietosuojavastaavaan (tietosuoja@jhl.fi / 050 412 8094) Ilmoitus valvontaviranomaiselle 72 tunnin kuluessa (33 Artikla) korkean riski luonnollisten henkilöiden oikeuksille ja vapauksille ilmoitus rekisteröidylle ilman aiheetonta viivytystä. (34 Artikla) Henkilötietojen käsittelijän ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niiden yksityiskohdat, niiden vaikutus sekä mihin korjaaviin toimenpiteisiin on kulloinkin ryhdytty. 20
Tietosuojapoikkeama ilmoitus (33 Artikla & 34 Artikla) HUOM! Jos poikkeama liittyy JHL:n jäsenrekisterin tietoihin niin ilmoituksen tekee JHL:n tietosuojavastaava. Muussa tapauksessa yhdistyksen tulee hoitaa ilmoitus itse. Ilmoituksen minimisisältö: Tietoturvaloukkauksen kuvaus, loukkauksen kohteeksi joutuneiden rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät Tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa. Henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset. Kuvaus toimenpiteistä, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä 21
Osoitusvelvollisuus Rekisterinpitäjällä ja tietojen käsittelijällä on osoitusvelvollisuus (accountability) On pystyttävä osoittamaan, että kaikessa henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta Dokumentointi Toiminnan Seloste Sopimukset tietojen käsittelystä Käytännöt, ohjeet.. Tietosuojavastuut (esim. tietosuojavastaava) Vaikutustenarvioinnit / esiselvitykset Jatkuva prosessi käsittelytoimista dokumentointi Pyynnöt Poikkeamat Auditoinnit Päätökset, kokoukset, toimenpiteet 22
Rekisteröidyn oikeudet Oikeus Informointi Tarkastusoikeus Tietojen siirrettävyys Rajoittaminen Oikaisut Hävittäminen Selitys Oikeus tietää miten hänen tietojaan käsitellään (etukäteen / ensimmäisen käsittelyn yhteydessä) Oikeus saada ote kaikista hänestä tallennetuista tiedoista Oikeus siirtää tietonsa rekisterinpitäjältä toiselle Ei aiheuta yhdistyksille toimenpiteitä Oikeus rajoittaa henkilötietojensa käsittelyä Oikeus saada oikaistua henkilötiedoissaan olevat virheet Oikeus saada henkilötietonsa hävitettyä 23 [Tekijä]
Tietojen siivoaminen Siivoa pois kaikki henkilötiedot / henkilörekisterit joita et enää tarvitse Tiedostot, paperit, jne. Tehkää suunnitelma milloin tiedot on syytä poistaa ja noudattakaa suunnitelmaa 24 [Tekijä]
Tietojen siirto EU-alueen ulkopuolelle Tietosuoja-asetus on laadittu turvaamaan EUkansalaisten tietosuoja. Siirrettäessä tietoja EU-alueen ulkopuolelle joudutaan asetuksen lisäpykälien piiriin Esim. Henkilötietoja voidaan siirtää EU:n jäsenvaltioiden tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. 25 [Tekijä]
Yhteenveto 26
JHL:n yhdistysten tietosuojatarpeet tiivistetysti Tietosuoja-asetus koskee myös yhdistysten toimintaa Jäsenrekisteri on JHL:n ja paikallisyhdistyksien yhteisrekisteri. Yhteinen tietosuojavastaava, seloste käsittelytoimista ja tietosuojakäytännöt Käsittele kaikkia henkilötietoja AINA asiaankuuluvasti Pidä huoli että keräät ja käsittelet henkilötietoja joihin sinulla on oikeus Pidä huoli että henkilötiedot pysyvät tallessa Pidä huoli ettei henkilötietoja jaeta paikoissa tai tahoille joihin ne eivät kuulu Hävitä henkilötiedot kun et niitä enää tarvitse 27 [Tekijä]
KIITOS! 28