Tietosuoja-asetus (GDPR) Nuorisoseuroissa

EU:n tietosuoja-asetuksen (GDPR) tulee voimaa Suomessa 25.5.2018

Jos sanat henkilötietorekisteri tai tietosuoja-asetus eivät ole vilahtaneet vielä johtokunnan puheissa, on jo melko kiire. Tässä valmistautumisen lyhyt oppimäärä:

Uusi henkilötieto koskee kaikkia yhdistyksiä. Sinunkin.

Henkilötietoja ovat kaikki ne tiedot, joista voi suoraan tai epäsuorasti johtaa tunnistettavissa oleva henkilö. Esimerkiksi nimi, valokuva, sähköpostiosoite tai IP-osoite. Rekisteri muodostuu henkilötiedoista: puheenjohtajan muistikirjassa oleva jäsenluettelo tai verkkosivuilla oleva valokuvagalleria ovat henkilötietorekistereitä. Laatikaa lista kaikista seurassa käytössä olevista rekistereistä. Jos rekisteriä ei enää tarvita, luopukaa sen käytöstä ja tuhotkaa se. Jos jatkatte/aloitatte rekisterin käyttöä, pitää siinä noudattaa lain mukaisia periaatteista

Henkilötietojen käsittely taas voi olla tietojen keräämistä, säilyttämistä, järjestämistä, siirtämistä, käyttämistä tai poistamista.

Jos käytätte Nuorisoseurarekisteriä, siihen on olemassa asetuksen mukainen seloste. Linkin selosteesen löydät Nuorisoseurarekisterin sivulta. Nuorisoseurarekisterin osalta tulemme vielä ohjeistamaan seuroja erikseen.

Jokaisesta rekisteristä on oltava rekisteriseloste. Voit ladata pohjan Nuorisoseurojen työkalupakista tai tämän linkin kautta. Selosteesta on selkeällä kielellä näyttävä, mitä kerätyillä tiedoilla tehdään ja kuka sen tekee.

 

Nuorisoseuroissa asian käsittelemiseksi olemme koonneet oheen keskeiset asiaa koskevat periaatteet ja toimenpiteet (tietosuojaperiaatteet)

  1. Käyttötarkoituksen periaate: Tietojen määrän ja säilytysajan on vastattava käyttötarkoitusta. Jäseniltä saa kerätä vain ne tiedot, jotka ovat yhdistyksen pyörittämisen kannalta olennaisia, ja niitä säilyttää vain sen ajan kuin on tarpeellista.
    Toimenpide: Mitä tietoja keräätte ja mihin tarkoituksiin niitä käytetään? Kirjoittakaa ne ylös.
  2. Täsmällisyyden periaate: Tämä tarkoittaa käytännössä, että tiedot eivät saa olla vanhentuneita, epätarkkoja tai väärin.
    Toimenpide: miten huolehditte, että rekisteri on ajan tasalla? Miten ja milloin poistatte tietoja reksiteristä?
  3. Suojauksen periaate: Tietojen suojaus on oltava kunnossa. Suojauksen pettämiseen on varauduttava. Jos ohjaaja unohtaa lapsiryhmän nimilistan harjoituspaikan pöydälle, se on tietoturvaloukkaus. Riskien arviointi: Identiteettivarkaudet ja tietovuodot ovat lisääntyneet ja niitä pyritään uudella asetuksella hillitsemään. Mitä tunnistettavammassa muodossa henkilötieto on, mitä arkaluontoisempaa se on ja mitä pitkäaikaisempaa sen käyttö, sitä suuremmat riskit ja velvoitteet.
    Toimenpide: kartoittakaa riskit ja miettikää, miten niihin varaudutaan.
  4. Tietojen käsittelyn peruste: Jotta tietoja saa kerätä ja säilyttää, pitää sille olla hyväksyttävä selitys eli peruste. Perusteen pitää olla joku seuraavista: suostumus, sopimus, laki, rekisteröidyn suojaaminen, julkinen tehtävä tai oikeutettu etu. Yhdistyslaissa sanotaan: ”Yhdistyksen jäsenistä on hallituksen pidettävä luetteloa. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka.” Tällöin perusteena on laki. Jos seura kerää muitakin tietoja (osoite, sähköpostiosoite ym.), sille pitää saada jäsenen suostumus. Toisaalta peruste voi olla oikeutettu etu, koska osapuolten välillä on merkityksellinen suhde − jäsenyys. Henkilön pitää luovuttaa tietonsa vapaaehtoisesti ja tietoisesti.
    Toimenpide: Mikä on tietojen keruun ja säilytyksen peruste? Onko jäsenlomakkeessa selkeästi ilmaistu, mihin käyttöön henkilö antaa suostumuksen? Ketkä seurassa näkevät tai muokkaavat tietoja?

Lisätietoja:

Tietosuojakoulutuksen tallenne

Tietosuojakoulutuksen diasarja

Tietosuojavaltuutetun sivut