Tietosuoja-asetus (GDPR)

Taustaa

EU:n uusi tietosuoja-asetus astuu voimaan 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös uintiurheiluseuroilta. Tässä Uimaliiton ohjeistus jäsenseuroille, jossa on kuvattu tietosuoja-asetuksen myötä tulevia velvoitteita ja annettu ohjeita siitä, miten nämä velvoitteet tulisi ottaa huomioon seurojen toiminnassa.

Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas ovat kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.

Urheilun tarpeisiin on tulossa erityinen käytännesääntö syksyllä 2018 (Olympiakomitea valmistelee), joka koskee mm. kerättäviä ja käsiteltäviä tietoja (urheiluun ja liikuntaan välittömästi liittyvät tiedot) sekä henkilötiedon julkisuutta. Tarkoitus on, ettei esimerkiksi tietosuoja-asetuksessa esitettyä unohdetuksi tulemista sellaisenaan oteta suoraan käyttöön (esim. kilpailutoiminnan tuloslistat ovat tietolähteitä, mistä ei henkilötietoja poisteta).

Termistöä

  • Henkilötieto
    Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joilla yksittäinen luonnollinen henkilö voidaan tunnistaa joko suoraan tai epäsuorasti
  • Henkilötietojen käsittely
    Henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä 
  • Henkilörekisteri
    Henkilötietoja sisältävä tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta
  • Rekisteröity
    Henkilö, jonka henkilötietoja käsitellään
  • Rekisterinpitäjä
    Tarkoitetaan henkilöä, yritystä, järjestöä tai muuta tahoa, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä
  • Henkilötietojen käsittely toisen lukuun
    Tarkoittaa tilannetta, jossa rekisterinpitäjä ulkoistaa keräämiensä henkilötietojen käsittelyn tai osan siitä tietojen käsittelijälle. Käsittelijällä voi puolestaan olla omia alikäsittelijöitä. Rekisterinpitäjä vastaa tiedoista ja niiden käsittelystä, minkä vuoksi on tärkeää sopia alihankinnasta ja siihen liittyvistä vastuista kirjallisesti.

Edellytykset tietosuoja-asetuksen mukaiselle henkilörekisterille:

Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta henkilötietojen käsittely on lainmukaista:

  • rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten 
  • käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (jäsenyys, työsuhde)
  • käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (allergiat yms.)
  • käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Seuran toimenpiteet

Ensimmäisessä vaiheessa seuran tulisi:

  1. Perehtyä tietosuojaa koskevaan materiaaliin (kts. alla)
  2. Hahmottaa kokonaiskuva seuran henkilörekistereistä ja tietojen käsittelyn nykytilasta
  3. Luopua epäoleellisista henkilörekistereistä ja varmistaa säilytettävien tietosuojasta

Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä tarvittaessa osoittamaan, että tietosuojaa noudatetaan.

Mitä henkilörekistereitä seurassa on?

Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Dokumentoikaa kaikki seuran henkilörekisterit.

Henkilörekisterit voidaan jakaa kolmeen kategoriaan; sähköisiin, manuaalisiin ja "piilorekistereihin". Sähköisiin rekistereihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms. Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilötietoja sisältävät listat. Viimeinen kategoria ja todennäköisesti vaikein on ns. "piilorekisterit". Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (sähköisinä tai paperilla).

Dokumentaation keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu, eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. 

Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö

Tietosuojan riskit voidaan jakaa kolmeen kategoriaan; teknisiin, inhimillisiin ja fyysisiin riskeihin. Teknisiin riskeihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit. Suuremmat riskit syntyvät kuitenkin inhimillisistä riskeistä eli henkilöjen huolimattomuudesta ja osaamattomuudesta. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti. Kolmas riskialue on fyysiset riskit eli murtautumiset ja arkistojen säilytys ja tuhoaminen.

Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista.

Henkilötietoja saa käsitellä ainoastaan henkilöt, jotka ovat tehneet työ- tai salassapitosopimuksen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista.

Rekisterinpitäjällä on oltava kyky osoittaa noudattavansa asetusta henkilötietojen käsittelyssä ja toteuttavansa tietossuojaperiaatteita käytännössä.

Tee rekistereistä tietosuojaseloste

Tietosuojaselosteesta henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla henkilön saatavilla henkilörekisteröinnin suostumuksen antamisen yhteydessä, esimerkiksi linkki verkkosivuilla.

Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

  • Rekisterinpitäjä (tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää) 
  • Yhteyshenkilö 
  • Rekisterin nimi 
  • Tietojen käsittelyn tarkoitus 
  • Rekisterin tietosisältö 
  • Säännönmukaiset tietolähteet 
  • Tietojen säännönmukaiset luovutukset 
  • Tietojen siirto EU / ETA –alueen ulkopuolelle 
  • Rekisterin suojauksen periaatteet

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää sisältää näiden lisäksi vielä seuraavat kohdat:

  • Tarkastusoikeus 
  • Oikeus vaatia tietojen korjausta 
  • Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään. 

Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus

Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa.

Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. 

Jäsenten tiedottaminen ja markkinointi

Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.

Tietojen luovuttaminen

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihinsa entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä, mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty.

Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms. perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan. 

Materiaalia

www.tietosuoja.fi

www.arjentietosuoja.fi

Hyvä tietosuoja lisää luottamusta urheiluseuraan (Olympiakomitea) 

Miten valmistautua EU:n tietosuoja-asetukseen? (Oikeusministeriön ja tietosuojavaltuutetun toimiston opas)

Tietosuojaseloste - mallipohja

Salassapitositoumus - mallipohja