Henkilötietolain uudistus 25.5.2018 Uusi EU:n tietosuoja-asetus voimaan 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös kaikilta liikunta- ja urheiluseuroilta. Nykyinen henkilörekisterilaki Suomessa laajentuu samalla uudeksi henkilötietolaiksi. Tarkoituksena on parantaa henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Näitä tietoja ovat esimerkiksi: nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas ovat kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy. Eli vaikkapa jäsentilastot, joukkuekokoonpanot, valmennusryhmien listat jne. Näiden tietojen kerääjä ja hallinnoija on rekisterinpitäjä (yleensä siis seura). Henkiloẗietojen ka sittely toisen lukuun tarkoittaa tilannetta, jossa rekisterinpita ja ulkoistaa keraä miensa henkiloẗietojen ka sittelyn tai osan siita tietojen ka sittelija lle. Ka sittelija lla voi puolestaan olla omia alika sittelijo ita. Rekisterinpita ja vastaa aina tiedoista ja niiden ka sittelysta, minka vuoksi kannattaa aina sopia alihankinnasta ja siihen liittyvista vastuista kirjallisesti.
Milloin henkilötietojen käsittelyn katsotaan olevan lainmukaista? Vähintään yhden seuraavista kohdista on toteuduttava: - rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten - käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (jäsenyys, työsuhde..) - käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi - käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (allergiat, sairaudet yms.) - käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi - käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Seurojen toimenpiteet jotka kaikkien seurojen tulee tehdä 1) Mitä henkilörekistereitä seurassamme on? Mitä sellaisia henkilörekistereitä seurassamme on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Listaa kaikki henkilörekisterit vaikkapa Exceliin. Henkilörekisterit voidaan jakaa kolmeen kategoriaan; sähköisiin, manuaalisiin ja "piilo"rekistereihin. Sähköisiin rekistereihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms. Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilölistat. Viimeinen kategoria ja todennäköisesti vaikein on ns. "piilorekisterit". Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla). Seuran yhteenvedon keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta niitä säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy.
Seurojen toimenpiteet jotka kaikkien seurojen tulee tehdä 2) Tietosuojariskeihin varautuminen Tietosuojan riskit voidaan jakaa kolmeen kategoriaan; teknisiin, inhimillisiin ja fyysisiin riskeihin. Teknisiin riskeihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit. Suuremmat riskit syntyvät kuitenkin inhimillisistä riskeistä eli henkilöjen huolimattomuudesta ja/tai osaamattomuudesta. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti. Kolmas riskialue on fyysiset riskit eli murtautumiset ja arkistojen säilytys ja tuhoaminen. Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista. ->Tietosuojavastaava Henkilötietoja saavat käsitellä ainoastaan henkilöt, jotka ovat tehneet salassapitosopimuksen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista.
Seurojen toimenpiteet jotka kaikkien seurojen tulee tehdä 3) Tee tietosuojaseloste Tietosuojaselosteesta jokainen henkilö näkee halutessaan miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkiin seuran verkkosivuilla. Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tietoa välitetään. Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot: Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää) Yhteyshenkilö Rekisterin nimi Tietojen käsittelyn tarkoitus Rekisterin tietosisältö Säännönmukaiset tietolähteet Tietojen säännönmukaiset luovutukset Tietojen siirto EU / ETA alueen ulkopuolelle Rekisterin suojauksen ja hävittämisen periaatteet Uuden tietosuoja-asetuksen mukaiseen tietosuojaselosteen pitää lisätä näiden lisäksi vielä: Tarkastusoikeus Oikeus vaatia tietojen korjausta Muut henkilötietojen käsittelyyn liittyvät oikeudet
Mitä tietoja seurat saavat jatkossa kerätä Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. Jäsenien tiedottaminen ja markkinointi Jäsenien tiedottaminen esimerkiksi vuorojen peruuntumisista tai muutoksista on sallittua edelleenkin, mutta tämän täytyy tulla esille esimerkiksi henkilön liittyessä seuran jäseneksi. Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.
Tietojen luovuttaminen ja hävittäminen Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms. perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan. Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessa periä myös kohtuullinen korvaus pyytäjältä. Tietojen luovuttamiselle seuran on myös hyvä miettiä prosessi kuinka toimitaan ja dokumentoida tämä. Tietosuojaselosteessa tulee olla merkintä siitä miten kauan mitäkin henkilörekisteriä seurassa säilytetään, ja miten se hävitetään niin, ettei kukaan ulkopuolinen pääse tietoihin käsiksi. Paperinkeräykseen heitetty luettavissa oleva jäsentilasto ei ole lain mukainen tapa hävittää tieto.
Muistilistaa työstön avuksi omassa seurassa 1. Henkilötietojen käsittelyn on oltava tietosuojalainsäädännön mukaista ja dokumentoitua - Mitä henkilötietoja seurassanne kerätään ja miten? Missä säilytetään ja mihin luovutetaan? Kuka pääsee tietoihin käsiksi? Miten kauan säilytetään ja miten hävitetään? - Henkilötietojen toteuttaminen seurassa tulee dokumentoida -> Tietosuojaseloste 2. Henkilöltä pitää pyytää suostumus hänen tietojen käsittelyyn - Suostumus pitää pyytää ennen tietojen käsittelyä - Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen 3. Jokaisella seuralla on oltava tietosuojaseloste - Tietosuojaselosteesta henkilö näkee omat oikeudet ja miten hänen tietojaan käsitellään - Tietosuojaselosteen on oltava saatavilla suostumuksen antamisen yhteydessä esimerkiksi seuran verkkosivuilla - Seuran on muutettava vanhat rekisteriselosteet tietosuojaselosteiksi. 4. Asianmukaiset sopimukset tietojen käsittelystä - Henkilötietoja saa käsitellä ainoastaan henkilö, jolla on työ- tai salassapitosopimus seuran kanssa ja jonka työtehtävässä tiedot ovat tarpeellisia - Tietoja saa käsitellä ainoastaan taho (esim. tilitoimisto, palkanlaskenta), jonka kanssa seura on tehnyt tietojenkäsittelysopimuksen - Tietoja saa luovuttaa vain tahoille, jotka on kerrottu tietosuojaselosteessa 5. Vain välttämätöntä tietoa saa kerätä - Kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tietosuojaselosteessa on kerrottava mitä tietoa kerätään ja miksi 6. Sähköiseen suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus -Mikäli seura tekee suoramarkkinointia sähköpostin välityksellä, siitä tulee olla henkilön antama ennakkosuostumus. Suostumuksen pitää olla milloin vain muutettavissa.