Seuran toimenpiteet
Ensimmäisessä vaiheessa seuran on hyvä perehtyä tietosuojaa koskevaan materiaaliin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta. Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä osoittamaan, että tietosuojaa noudatetaan.
Tähän osioon kootaan askelmerkkejä, joita seuran tulee käydä läpi omassa toiminnassaan ja tarvittaessa tehdä vaadittavat toimenpiteet. Tämä osio päivittyy kevään aikana.
Mitä henkilörekistereitä seurassa on?
Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Listaa kaikki henkilörekisterit Exceliin. Materiaalit-osiossa olevassa Seurasseminaarin materiaalissa on esimerkki siitä, miten Voimisteluliitossa on kerätty henkilöstön henkilörekisterit.
Henkilörekisterit voidaan jakaa kolmeen katergoriaan; sähköisiin, manuaalsiin ja "piilo"rekisterihin. Sähköisiin rekisterihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms. Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilölistat. Viimeinen kategoria ja todennäköisesti vaikein on ns "piilorekisterit". Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).
Excelin keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy.
Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö
Tietosuojan riskit voidaan jakaa kolmeen kategoriaan; teknisiin, inhimillisiin ja fyysisiin riskeihin. Teknisiin riskeihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit. Suuremmat riskit syntyvät kuitenkin inhimillisistä riskeistä eli henkilöjen huolimattomuudesta ja osamattomuudesta. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti. Kolmas riskialue on fyysiset riskit eli murtautumiset ja arkistojen säilytys ja tuhoaminen.
Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Voimisteluliitto on tehnyt seuroille yhden tietosuojaohjeistuksen mallipohjan, jota seura voi muokata omiin tarpeisiin sopivaksi. Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista.
Henkilötietoja saa käsitellä myös ainoastaan henkiöt, jotka ovat tehneet salassapitosopimukssen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista. Voimisteluliitto tekee seuroille esimerkkipohjan salassapitositoumuksesta ja se julkaistaan tämän sivun Materiaalit-osiossa.
Tee rekistereistä tietosuojaseloste
Tietosuojaselosteesta henkilö näkee miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkin verkkosivuilla. Voimisteluliitto tulee jakamaan seuroilleen kevään aikana esimerkkimallin tietosuojaselosteesta, jota he voivat käyttää pohjana omille tietosuojaseloteilleen. Materiaalit-osiosta löytyy yleinen pohja tietosuojaselosteen tekemiselle, sekä lisäksi tälle sivulle julkaistaan Hoikaan tuleva tietosuojaseloste mallipohjaksi.
Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:
- Rekisterinpitäjä (tämä tarkoittaa rekisterinpitäjää, ei sen ylläpitäjää)
- Yhteyshenkilö
- Rekisterin nimi
- Tietojen käsittelyn tarkoitus
- Rekisterin tietosisältö
- Säännönmukaiset tietolähteet
- Tietojen säännönmukaiset luovutukset
- Tietojen siirto EU / ETA –alueen ulkopuolelle
- Rekisterin suojauksen periaatteet
Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:
- Tarkastusoikeus
- Oikeus vaatia tietojen korjausta
- Muut henkilötietojen käsittelyyn liittyvät oikeudet
Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään.
Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus
Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa.
Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti.
Jäsenien tiedottaminen ja markkinointi
Jäsenien tiedottaminen esimerkiksi tuntimuutoksista on sallittua edelleenkin, mutta tämän täytyy tulla esille esimerkiksi henkilön liittyessä seuran jäseneksi. Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.
Tietojen luovuttaminen
Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan.
Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessaan periä myös kohtuullinen korvaus pyytäjältä.Tietojen luovuttamiselle seuran on myös hyvä miettiä prosessi kuinka toimitaan ja dokumentoida tämä.
Valokuvaus ja julkaisulupa
Tutustu yleisiin valokuvan ottamiseen ja kuvien julkaisemiseen liittyviin käytäntöihin.
Seurojen kuvagallerioissa ja kuva-arkistoissa olevat vanhat kuvat ovat uuden tietosuoja-asetuksen myötä edelleen käyttökelpoisia, mikäli kuvat on otettu julkisissa tilaisuuksissa ja/tai kuvista on pyydetty asianmukaiset kuvaus- ja julkaisuluvat.
Mikäli kuvaus- ja julkaisulupaa ei ole kysytty, tulee kuvamateriaalit poistaa julkisesta käytöstä. Luvan voi tarvittaessa pyytää kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan myös takautuvasti.
Markkinointikuviin pitää pyytää aina erillinen kirjallinen lupa kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan.
Tietosuoja-asetuksen mukaisesti julkisella paikalla saa edelleen kuvata ja kuvia julkaista hyvän tavan mukaisesti. Huomioithan, että kilpailua / tapahtumaa järjestävän seuran on hyvä huolehtia esim. kilpailukutsuun ilmoittautumisessa ilmoittautuville henkilöille tieto mahdollisesta valokuvauksesta. Tämän voi kertoa esimerkkilauseella:
”Ilmoittautumalla xx kilpailuun / tapahtumaan hyväksyn, että minua voidaan valokuvata kilpailussa/tapahtumassa ja kuvia julkaista voimistelua tukevassa tarkoituksessa seuran ja Voimisteluliiton julkaisuissa."
Kuvien julkaisemisessa on noudatettava hyvää henkilötietojen käsittelytapaa ja kuva ei saa loukata henkilön yksityisyyttä. Jos kuvan julkaiseminen aiheuttaa kuvattavalle oleellista vahinkoa niin kuvaaja voi joutua tästä vastuuseen.
Joillakin seuroilla on Hoikassa kysytty valokuvauslupaa. Tällöin kyseisiä, luvan myöntäneitä henkilöitä saa kuvata seuran järjestämissä tilaisuuksissa ja kilpailuissa ilman erillislupaa. Suosittelemme tätä kaikille seuroille ainakin siltä osin jos otatte kuvia kevätnäytöksissä ja tunneilla. Myös tietosuojaselosteessa/tietosuojakäytänteissä on hyvä mainita seuran kuvausasiasta ja mahdollisesta kuvagalleriasta.
Hyvää perustietoa kuviin liittyvistä käytännöistä voi lukea myös "Missä saa kuvata ja julkaista?" -blogikirjoituksesta ja sen alla olevasta keskustelusta.