Tietosuoja-asetus (GDPR)

EU:n tietosuoja-asetus astui voimaan 25.5.2018. Tietosuoja-asetus (GDPR) koskee myös voimisteluseuroja. Tälle sivulle on koottu infoa ja materiaalia helpottamaan seurojen toimintaa.

Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, terveystiedot yms. Henkilörekisterejä taas on kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.

Seura toimii rekisterinpitäjänä ja käsittelee henkilötietoja

Tietosuoja-asetus koskee kaikkia voimisteluseuroja, sillä minimissään seuran tulee pitää jäsenluetteloa, joka lasketaan henkilörekisteriksi. Alle on koottu asioita, jotka seuran on hyvä huomioida omassa tietojen käsittelyssä.

Milloin tietoja saa kerätä

Henkilötietojen käsittelyyn tulee olla lainmukaista ja perustua laista löytyvään käsittelyperusteeseen, joita ovat

• rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
• käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (jäsenyys, työsuhde..)
• käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
• käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (allergiat yms)
• käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
• käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Tietoa kerättäessä on mietittävä, mitä tietoa kerätään ja miten, missä tietoa säilytetään, kuinka kauan ja mihin tarkoitukseen tietoja voidaan luovuttaa sekä kuka tietoihin pääsee käsiksi. Henkilötietojen käsittelyyn liittyvät prosessit ja käytännön toteuttaminen tulee dokumentoida, sillä seuran pitää pystyä osoittamaan, että tietosuoja-asetusta noudatetaan.

Henkilöltä pitää pyytää suostumus hänen tietojen käsittelyyn

Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen eli vaikenemisella tai valmiiksi rastitetuilla ruuduilla suostumusta ei voi pyytää.

Jokaisen seuran on kerrottava henkilötietojen käsittelystä

Rekisterinpitäjän tulee kertoa, miten he käsittelevät henkilötietoja. Yleisin tapa on tietosuojaseloste, josta henkilö näkee omat oikeutensa ja miten hänen tietojaan käsitellään. Tietosuojaselosteen on oltava saatavilla suostumuksen antamisen yhteydessä esimerkiksi verkkosivuilla tai muuten linkin takana.

Asianmukaiset sopimukset tietojen käsittelystä

Henkilötietoja saa seurassa käsitellä ainoastaan henkilö, jolla työ- tai salassapitosopimus seuran kanssa ja jonka työtehtävässä tiedot ovat tarpeellisia. Tietoja saa käsitellä ainoastaan taho (esim tilitoimisto, palkanlaskenta), jonka kanssa seura on tehnyt tietojenkäsittelysopimuksen. Tietoja saa luovuttaa vain tahoille, jotka on kerrottu tietosuojaselosteessa

Valokuvaus ja julkaisulupa

Myös kuvat voivat muodostaa henkilörekisterin, mikäli henkilöt ovat niissä tunnistettavia. Seurojen kuvagallerioissa ja kuva-arkistoissa olevat vanhat kuvat ovat uuden tietosuoja-asetuksen myötä edelleen käyttökelpoisia, mikäli kuvat on otettu julkisissa tilaisuuksissa ja/tai kuvista on pyydetty asianmukaiset kuvaus- ja julkaisuluvat.

Mikäli kuvaus- ja julkaisulupaa ei ole kysytty, tulee kuvamateriaalit poistaa julkisesta käytöstä. Luvan voi tarvittaessa pyytää kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan myös takautuvasti. Markkinointikuviin pitää pyytää aina erillinen kirjallinen lupa kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan.

Tietosuoja-asetuksen mukaisesti julkisella paikalla saa edelleen kuvata ja kuvia julkaista hyvän tavan mukaisesti. Huomioithan, että kilpailua / tapahtumaa järjestävän seuran on hyvä huolehtia esim. kilpailukutsuun ilmoittautumisessa ilmoittautuville henkilöille tieto mahdollisesta valokuvauksesta. Tämän voi kertoa esimerkkilauseella: ”Ilmoittautumalla xx kilpailuun / tapahtumaan hyväksyn, että minua voidaan valokuvata kilpailussa/tapahtumassa ja kuvia julkaista voimistelua tukevassa tarkoituksessa seuran ja Voimisteluliiton julkaisuissa.” Voimisteluliiton Kisanet-palvelussa lupa kysytään automaattisesti kaikilta kilpailuihin ilmoittautuneilta. Tapahtumien ja kilpailujen valokuvauksesta voit lukea lisää tästä linkistä.

Kuvien julkaisemisessa on noudatettava hyvää henkilötietojen käsittelytapaa ja kuva ei saa loukata henkilön yksityisyyttä. Jos kuvan julkaiseminen aiheuttaa kuvattavalle oleellista vahinkoa niin kuvaaja voi joutua tästä vastuuseen.

Lisätietoja tietosuojasta

• Olympiakomitean ohjeet tietopyyntökyselyiden hoitamiseen (avautuu uuteen ikkunaan)
• Tietosuojavaltuutetun toimisto (avautuu uuteen ikkunaan)
• Arjen tietosuoja, Digiturvallisuuden verkkomateriaalit (avautuu uuteen ikkunaan)