Uusi Tietosuoja-asetus

HUOM! Sivun loppuosaan lisätty esimerkkilause kuvaus- ja julkaisulupaan

Uusi EU:n tietosuoja-asetus voimaan 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös voimisteluseuroilta. Tälle sivulle kokoamme infoa ja materiaalia helpottaaksemme seurojen valmistautumista uuteen asetukseen. 

Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas on kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy. 

Termistöä

  • Henkilötieto - Henkilötiedoilla tarkoitetaan kaikkia niitä tietoja, joilla yksittäinen luonnollinen henkilö voidaan tunnistaa joko suoraan tai epäsuorasti
  • Henkilötietojen käsittely - henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä 
  • Henkilörekisteri - henkilötietoja sisältäväa tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta
  • Rekisteröity - Henkilö, jonka henkilötietoja käsitellään
  • Rekisterinpitäjä - tarkoitetaan henkilöä, yritystä, järjestöä tai muuta tahoa, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä
  • Henkilötietojen käsittely toisen lukuun tarkoittaa tilannetta, jossa rekisterinpitäjä ulkoistaa keräämiensä henkilötietojen käsittelyn tai osan siitä tietojen käsittelijälle. Käsittelijällä voi puolestaan olla omia alikäsittelijöitä. Rekisterinpitäjä vastaa tiedoista ja niiden käsittelystä, minkä vuoksi on tärkeää sopia alihankinnasta ja siihen liittyvistä vastuista kirjallisesti.

Tietojen käsittelyn lainmukaisuus tarkentuu

Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta käsittely on lainmukaista:

  • rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten 
  • käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (jäsenyys, työsuhde..)
  • käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
  • käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (allergiat yms)
  • käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Seuran toimenpiteet

Ensimmäisessä vaiheessa seuran on hyvä perehtyä tietosuojaa koskevaan materiaaliin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta. Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä osoittamaan, että tietosuojaa noudatetaan. 

Tähän osioon kootaan askelmerkkejä, joita seuran tulee käydä läpi omassa toiminnassaan ja tarvittaessa tehdä vaadittavat toimenpiteet. Tämä osio päivittyy kevään aikana.

Mitä henkilörekistereitä seurassa on?

Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Listaa kaikki henkilörekisterit Exceliin. Materiaalit-osiossa olevassa Seurasseminaarin materiaalissa on esimerkki siitä, miten Voimisteluliitossa on kerätty henkilöstön henkilörekisterit.

Henkilörekisterit voidaan jakaa kolmeen katergoriaan; sähköisiin, manuaalsiin ja "piilo"rekisterihin. Sähköisiin rekisterihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms. Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilölistat. Viimeinen kategoria ja todennäköisesti vaikein on ns "piilorekisterit". Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).

Excelin keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. 

Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö

Tietosuojan riskit voidaan jakaa kolmeen kategoriaan; teknisiin, inhimillisiin ja fyysisiin riskeihin. Teknisiin riskeihin kuuluvat laitteisiin ja  järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit. Suuremmat riskit syntyvät kuitenkin inhimillisistä riskeistä eli henkilöjen huolimattomuudesta ja osamattomuudesta. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti. Kolmas riskialue on fyysiset riskit eli murtautumiset ja arkistojen säilytys ja tuhoaminen.

Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Voimisteluliitto on tehnyt seuroille yhden tietosuojaohjeistuksen mallipohjan, jota seura voi muokata omiin tarpeisiin sopivaksi.  Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista.

Henkilötietoja saa käsitellä myös ainoastaan henkiöt, jotka ovat tehneet salassapitosopimukssen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista. Voimisteluliitto tekee seuroille esimerkkipohjan salassapitositoumuksesta ja se julkaistaan tämän sivun Materiaalit-osiossa.

Tee rekistereistä tietosuojaseloste

Tietosuojaselosteesta henkilö näkee miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkin verkkosivuilla. Voimisteluliitto tulee jakamaan seuroilleen kevään aikana esimerkkimallin tietosuojaselosteesta, jota he voivat käyttää pohjana omille tietosuojaseloteilleen. Materiaalit-osiosta löytyy yleinen pohja tietosuojaselosteen tekemiselle, sekä lisäksi tälle sivulle julkaistaan Hoikaan tuleva tietosuojaseloste mallipohjaksi.

Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

  • Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää) 
  • Yhteyshenkilö 
  • Rekisterin nimi 
  • Tietojen käsittelyn tarkoitus 
  • Rekisterin tietosisältö 
  • Säännönmukaiset tietolähteet 
  • Tietojen säännönmukaiset luovutukset 
  • Tietojen siirto EU / ETA –alueen ulkopuolelle 
  • Rekisterin suojauksen periaatteet

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:

  • Tarkastusoikeus 
  • Oikeus vaatia tietojen korjausta 
  • Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään. 

Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus

Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. 

Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. 

Jäsenien tiedottaminen ja markkinointi

Jäsenien tiedottaminen esimerkiksi tuntimuutoksista on sallittua edelleenkin, mutta tämän täytyy tulla esille esimerkiksi henkilön liittyessä seuran jäseneksi. Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.

Tietojen luovuttaminen

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan. 

Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessaan periä myös kohtuullinen korvaus pyytäjältä.Tietojen luovuttamiselle seuran on myös hyvä miettiä prosessi kuinka toimitaan ja dokumentoida tämä.

Valokuvaus ja julkaisulupa

Tutustu yleisiin valokuvan ottamiseen ja kuvien julkaisemiseen liittyviin käytäntöihin. 

Seurojen kuvagallerioissa ja kuva-arkistoissa olevat vanhat kuvat ovat uuden tietosuoja-asetuksen myötä edelleen käyttökelpoisia, mikäli kuvat on otettu julkisissa tilaisuuksissa ja/tai kuvista on pyydetty asianmukaiset kuvaus- ja julkaisuluvat.

Mikäli kuvaus- ja julkaisulupaa ei ole kysytty, tulee kuvamateriaalit poistaa julkisesta käytöstä. Luvan voi tarvittaessa pyytää kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan myös takautuvasti. 

Markkinointikuviin pitää pyytää aina erillinen kirjallinen lupa kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan. 

Tietosuoja-asetuksen mukaisesti julkisella paikalla saa edelleen kuvata ja kuvia julkaista hyvän tavan mukaisesti. Huomioithan, että kilpailua / tapahtumaa järjestävän seuran on hyvä huolehtia esim. Kisapalvelun ilmoittautumisessa ilmoittautuville henkilöille tieto mahdollisesta valokuvauksesta. Tämän voi kertoa esimerkkilauseella:
”Ilmoittautumalla xx kilpailuun / tapahtumaan hyväksyn, että minua voidaan valokuvata kilpailussa/tapahtumassa ja kuvia julkaista voimistelua tukevassa tarkoituksessa seuran ja Voimisteluliiton julkaisuissa."  

Kuvien julkaisemisessa on noudatettava hyvää henkilötietojen käsittelytapaa ja kuva ei saa loukata henkilön yksityisyyttä. Jos kuvan julkaiseminen aiheuttaa kuvattavalle oleellista vahinkoa niin kuvaaja voi joutua tästä vastuuseen.

Joillakin seuroilla on Hoikassa kysytty valokuvauslupaa. Tällöin kyseisiä, luvan myöntäneitä henkilöitä saa kuvata seuran järjestämissä tilaisuuksissa ja kilpailuissa ilman erillislupaa. Suosittelemme tätä kaikille seuroille ainakin siltä osin jos otatte kuvia kevätnäytöksissä ja tunneilla. Myös tietosuojaselosteessa/tietosuojakäytänteissä on hyvä mainita seuran kuvausasiasta ja mahdollisesta kuvagalleriasta.

Hyvää perustietoa kuviin liittyvistä käytännöistä voi lukea myös "Missä saa kuvata ja julkaista?" -blogikirjoituksesta ja sen alla olevasta keskustelusta.


 

Materiaalia

Apua lajiliitoille ja seuroille tietopyyntökyselyjen hoitamiseen (Olympiakomitean julkaisu 24.5.2018)

24.3.2018 Tampereella järjestetyn seuraseminaarin materiaalit ovat nähtävissä seuraavasti:

EU:n uusi tietosuoja-asetus (vastaukset 15.3 pidetyn webinaarin kysymyksiin)

Hoikan muutokset ja vinkit

Kisapalvelun tulevat muutokset

 

Voimisteluliiton julkaisemat tiedotteet:

Uusi EU:n tietosuoja-asetus astuu pian voimaan 4.5.2018

EU:n tietosuoja-asetuksen tuomat muutokset seuroihin 22.1.2018

Tietosuojakoulutusta seuroille liikunnan aluejärjestöjen järjestäminä keväällä 2018  (22.1.2018)

Miten valmistautua tulevaan GDPR-asetukseen? 14.12.2017

 

Muu materiaali:

Tietosuojavaltuutetun toimisto http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Arjentietosuoja: https://arjentietosuoja.fi/fi/#/front (tietoa uudesta asetuksesta sekä nettitesti, jonka suosittelemme tekemään)

 

Mallipohjat (muutokset mahdollisia kaikissa):

Yleinen tietosuojaselosteen mallipohja

Suomen Voimisteluliiton tietosuojakäytänteet

Hoikan tietosuojaseloste 
Tämä tietosuojaseloste tulee oletuksena kaikkien seurojen rekisteröintisivulle sekä käyttäjien omat tiedot-sivulle luettavaksi. Mikäli seuralla on tähän lisättävää Hoikan osalta niin lisäykset tulee kertoa rekisteröitymissivun alussa tai etusivulla (esimerkiksi linkkinä seuran kotisivuille). 

Tietosuojaohje mallipohja (päivitetty 15.5.2018)

Salassapitositoumus mallipohja (Salassapitositoumuksen voi täyttää niiden osalta joiden osalta ei täytä tietosuojaohjetta)

Tietojenkäsittelysopimusmalli (luonnos)