GDPR aka. Euroopan tietosuoja-asetus
GDPR? General Data Protection Regulation EU-asetus joka määrää henkilötietojen käsittelystä EU:n alueella Seuraa joiltain osin jo voimassa olevaa henkilötietolakia Astuu voimaan 25.5.2018
Tärkeimmät GDPR:ään liittyvät käsitteet: Henkilötiedon määritelmä Henkilörekisterin määritelmä Lupa henkilötietojen keräämiseen Tietosuojavastaava Todentamisvelvollisuus Ilmoitusvelvollisuus Rekisteröidyn henkilön oikeudet Rekisterinpitäjät ja rekisterinkäsittelijät
Henkilötieto
Mikä on henkilötietoa? Mikä tahansa tieto tai tietojoukko, josta henkilön voi tunnistaa Tallennustavalla ei ole väliä Ei koske anonymisoitua tietoa
Henkilörekisteri
Henkilörekisterin määritelmä Mikä tahansa dokumentti, joka sisältää henkilötietoja leiri-ilmoittautumiset pöytäkirjat kokousten läsnäololistat puhelinluettelo
Lupa henkilötietojen keräämiseen
1. Jäsenyys Yhdistyksen jäsenen tietoja saa kerätä ja tallentaa Tietojen tulee olla toiminnan kannalta olennaisia Kerätyt tiedot eivät saa olla arkaluontoisia
2. Erillinen suostumus Erillisellä suostumuksella saa tallentaa mitä tahansa henkilötietoja Tiedot on poistettava pyydettäessä
Tietosuojavastaava
Tietosuojavastaava Henkilö, joka valvoo tietosuojan toteutumista organisaatiossa On yhteydessä viranomaisiin
Todentamisvelvollisuus
Todentamis velvollisuus!
Henkilötietoja käsittelevä taho on todistusvastuussa lain noudattamisesta.
Todentamisvelvollisuudesta Normaalissa oikeuskäytännössä syyttävä on velvollinen todistamaan rikoksen, ts. syytön kunnes toisin todistetaan GDPR toimii päinvastoin - organisaation on itse pystyttävä todistamaan että lakia noudatetaan
Ilmoitusvelvollisuus
Ilmoitusvelvollisuus tietoturvarikkeistä Tietoturvaloukkauksista on ilmoitettava asianosaisille viranomaisille Ilmoitus on tehtävä 72 tunnin sisällä
Rekisteröidyn henkilön oikeudet
1. Oikeus tiedonsaantiin Rekisteröidyllä on oikeus saada tietää, mitä tietoja hänestä on tallennettu Tietoja tiedusteleva henkilö on voitava tunnistaa luotettavasti
2. Oikeus tietojen oikaisemiseen Rekisteröidyllä henkilöllä on oikeus vaatia häntä koskevien väärien tietojen oikaisemista Jos joku näin tekee niin se lie lähinnä positiivinen asia =)
3. Oikeus tulla unohdetuksi Jokaisella on oikeus vaatia tietojensa lopullista poistamista Koskee kaikkia heistä koottuja henkilötietoja, kaikissa organisaation dokumenteissa Ei päde jäseniin - elleivät he eroa
Rekisterinpitäjät ja -käsittelijät
Rekisterinpitäjä Taho, joka on luonut rekisterin ja ylläpitää sitä On juridisesti vastuussa rekisteristä Varmistaa rekisterin tietoturvan Toimittaa rekisterin käsittelijöille tarvittavat tiedot asetuksen noudattamisesta
Rekisterinkäsittelijä Taho, joka käsittelee rekisterissä olevaa tietoa On sopimussuhteessa rekisterinpitäjään Varmistaa, että rekisteriä käytetään rekisterinpitäjän ohjeiden mukaisesti Varmistaa salassapitovelvollisuuden toteutumisen Vastaanottaa ja mahdollistaa rekisterinpitäjän tekemät tietoturva-auditoinnit
Sopimukset Rekisterinpitäjän ja -käsittelijöiden välillä tulee olla kirjallinen sopimus Sopimusvastuut voivat periytyä jäsenjärjestöltä toiselle
Ratkaisuja
1. Lopetetaan aiheettoman henkilötiedon keruu
Henkilötiedot Kaikki pysyvä henkilötieto säilytetään Pakissa Kaikki tilapäinen henkilötieto säilytetään mahdollisuuksien mukaan Jemmassa Kaikki paperilla oleva henkilötieto tuhotaan heti, kun sitä ei enää tarvita
2. Käytetään yhtenäistä rekisterijärjestelmää
Pakki Pakki on alusta lähtien suunniteltu GDPR:ää ajatellen Pakki mahdollistaa sen, että keskusjärjestö voi hoitaa suurimman osan vastuista jäsenjärjestöjen puolesta Kaikkien muiden pysyväisluonteisten rekistereiden pitäminen lopetetaan Huom! Tapahtumien ilmoittautumistiedot sellaisinaan eivät ole pysyväisluonteisia.
3. Varmistetaan lupa henkilötietojen keräämiseen
Lupa tietojen säilyttämiseen Houkutellaan mahdollisimman moni jäseneksi Kerätään mahdollisimman monelta markkinointilupa Varaudutaan poistamaan ne, joilta kumpaakaan ei heru Pakin kautta ilmoittautuminen mahdollistaa molemmat (tiettyyn rajaan asti)
4. Nimetään tietosuojavastaava
Tietosuojavastaava Liittomuotoisessa järjestössä riittää yksi tietosuojavastaava, jos rakenne sallii sen Tietosuojavastaavan on oltava koulutukseltaan ja/tai osaamiseltaan tehtävään sopiva Tietosuojavastaavan on oltava riittävän puolueeton ja eturistiriidaton
5. Järjestetään koulutukset ja jaetaan kirjalliset ohjeet
Koulutukset, ohjeet ja käytännöt Ohjeiden on oltava kattavia ja hyvin saatavilla Jokainen tietoja käsittelevä henkilö on koulutettava Todisteet rekisterissä olevien henkilöiden suostumuksista ja/tai jäsenyyksistä on pystyttävä esittämään tarvittaessa Tietoja ei saa luovuttaa ulkopuolisille
6. Luodaan toimintamalli tietoturvaloukkauksista ilmoittamiselle
Ilmoitusvelvollisuus Jokainen jäsenjärjestö ilmoittaa tietoturvaloukkauksesta aina ketjussa ylemmälle Ensimmäinen voi myös ilmoittaa kerralla koko ketjulle osasto -> alue -> piiri -> keskusjärjestö Keskusjärjestö tekee virallisen ilmoituksen viranomaisille ja asianosaisille Tiedon on saavutettava keskusjärjestö mahdollisimman pian Ilmoituksen aikaraja on 72 tuntia
7. Mahdollistetaan rekisterissä olevien henkilöiden oikeuksien toteutuminen
Rekisteröidyn oikeudet Tietojaan nähtäväksi vaativan henkilön henkilöllisyyttä ei pääsääntöisesti voi varmentaa kuin henkilötodistuksella Omien tietojen tarkistus on hoidettava järjestön toimipaikassa käymällä Pakkiin kirjautumalla pääsee näkemään käyttäjäänsä sidotut henkilötiedot Pakissa voi myös oikaista tietonsa Tietojen lopullinen poisto pyydettäessä on helppoa - olettaen että pysyviä tietoja on säilytetty vain Pakissa Jäsenen tietoja ei poisteta pyydettäessä - ellei ko. henkilö myös eroa järjestöstä
8. Kirjoitetaan sopimukset tietojen käsittelystä jäsenjärjestöjen välille
Sopimukset Jokainen jäsenjärjestö kirjoittaa sopimuksen henkilötietojen käsittelystä Keskusjärjestö tekee sopimukset piirien kanssa Piirit tekevät sopimukset alueiden ja/tai osastojen kanssa Alueet tekevät sopimukset osastojen kanssa Keskusjärjestö tekee sopimuspohjan Sopimus sisältää osapuilleen kaikki tässä koulutuksessa käydyt menettelytavat Ne jäsenjärjestöt, jotka eivät allekirjoita sopimusta, eivät voi käyttää Pakin rekisteripalveluita Sopimuksen kirjoittamisen takaraja on 25.5.2018 eli GDPR:n voimaanastumisen päivämäärä
Sopimusvastuut Sopimukset on tehtävä sekä järjestöjen että henkilöiden välillä
Elikkäs
Henkilötietojen keräämistä pitää rajoittaa, jotta ne pystytään tarvittaessa poistamaan
Pitää pystyä todistamaan jäsenyys tai muu lupa pitää rekisteriä