Näin varmistat, että toimit oikein tietosuoja-asioissa

EU:n tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018, jonka jälkeen asetuksen mukaisten käytänteiden on oltava kunnossa jokaisessa organisaatiossa. Asetuksen mukaisten käytänteiden toteutukseen on tullut hiljalleen tarkempia ohjeistuksia ja monet alan asiantuntijat ja tietosuojavaltuutetun toimisto tuottavat tulkintaohjeita ja mallipohjia koko ajan lisää. Tähän artikkeliin on koottu yhteen omaisyhdistysten näkökulmasta tärkeimmät ohjeet, joilla kaikki yhdistykset voivat varmistua riittävien käytäntöjen noudattamisesta.

Tietosuoja-asetuksen, josta käytetään myös nimitystä GDPR eli General Data Protection Regulation, tarkoituksena on saattaa tietosuojaan liittyvä sääntely digiaikaan. Asetuksen tavoitteena on turvata kansalaisten tietosuojaoikeudet paremmin, ja se sääntelee kaikkea henkilötietojen käsittelyä sekä siihen liittyviä oikeuksia ja velvollisuuksia. Määräykset koskevat kaikkia EU:ssa toimivia organisaatioita, myös kaikkia yhdistyksiä.

Koska tietosuoja-asetuksen siirtymäaika alkaa pian loppumaan, on erityisen tärkeää, että kaikki yhdistykset huolehtivat tietosuojaan liittyvien asioiden selvittämisestä, dokumentoinnista ja toimeenpanosta siten kuin uusi asetus edellyttää. Asetuksen määräysten toimeenpanoa valvovalla viranomaisella on oikeus velvoittaa organisaatioita korjaamaan puutteelliset käytännöt ja mm. määrätä henkilötietojen käsittelykielto tai peräti 20 miljoonan euron sakot, jos asetuksen määräyksiä ei ole asianmukaisesti noudatettu.

Käsitteet ja yleiset periaatteet

Tietosuoja-asetukseen liittyy muutamia keskeisiä käsitteitä, jotka on tunnettava, jotta asetuksen määräyksiä voi noudattaa. Tässä on niistä määriteltynä olennaisimmat:

  • Henkilötieto = Kaikki asiat, jotka voi yhdistää luonnolliseen henkilöön tai hänen perheeseensä. Käsite on aiempaa laajempi. Henkilötietoja ovat mm. kaikki nimi- ja yhteystiedot, ammatti, henkilötunnus, kuva/video, tietolaitteiden ip-osoitteet, muut tunnistetiedot, sukupuoli, terveystiedot, ym. asiat, jotka voidaan yhdistää yksittäiseen henkilöön.
  • Henkilötietorekisteri = Mikä tahansa henkilötietoja sisältävä jäsennelty tietojoukko, josta tiedot ovat saatavilla tietyin perustein. Rekisterissä olevien tietoje ei fyysisesti tarvitse olla samassa paikassa, vaan henkilötiedot voivat olla myös hajallaan eri sijainneissa. Teknisesti rekisteri voi olla esimerkiksi paperinen rekisteri, Excel-tiedosto tai ohjelmisto.
  • Rekisterinpitäjä = Organisaatio tai henkilö, joka säilyttää henkilötietoja ja jolla on oikeus määrätä henkilörekisterin käytöstä.
  • Rekisteröity = Henkilö, jonka tietoja on tallennettu rekisteriin.
  • Henkilötietojen käsittelijä = Rekisterinpitäjän lukuun toimeksiannosta työskentelevä taho, jonka tehtäviin henkilötietojen käsittely kuuluu.
  • Henkilötietojen käsittely = Kaikki henkilötietojen keräämistä, tallentamista, säilyttämistä, järjestämistä, jäsentämistä, muokkaamista, muuttamista, kyselyä, hakemista, käyttämistä, luovuttamista ja käytön rajoittamista koskeva toiminta.

Tietosuoja-asetuksessa on lisäksi säädetty tietosuojan yleisistä periaatteista. Tietosuojaperiaatteita ovat:

  • käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • tietojen täsmällisyys
  • tietojen säilytyksen rajoittaminen
  • tietojen eheys ja luottamuksellisuus
  • rekisterinpitäjän osoitusvelvollisuus

Rekisterinpitäjän on huolehdittava, että periaatteita noudatetaan jokaisessa henkilötietojen käsittelyvaiheessa ja -tilanteessa. Myöskään pelkkä noudattaminen ei riitä, vaan rekisterinpitäjillä on lisäksi velvollisuus pystyä osoittamaan, että niitä on noudatettu. Esimerkiksi tapauksissa, joissa henkilötietoja kerätään rekisteröityjen antaman suostumuksen perusteella, on pystyttävä näyttämään toteen, että jokainen rekisteröity on varmasti suostumuksensa antanut.

Näin varmistat, että tietosuoja-asiat on hoidettu yhdistyksessäsi oikein

Seuraavan 10 ohjeen avulla voitte yhdistyksessänne päivittää tietosuoja-asiat vastaamaan nykyvaatimuksia.

1. Määritelkää vastuut

Tietosuoja-asetus määrää, että organisaatioiden on nimitettävä tietosuojavastaava, jos

  • kyse on julkisen sektorin toimijasta, joka ei ole tuomioistuin
  • organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
  • organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

Todennäköisesti suurin osa omaisyhdistyksistä ei täytä näitä ehtoja. Silti jokaisen yhdistyksen kannattaa kuitenkin määritellä, kenen vastuulle tietosuoja-asioiden valmistelu ja seuranta kuuluvat. Yhdistyksen johdon tehtävä on joka tapauksessa vastata tietosuoja-asioiden lainmukaisuuden valvonnasta oli tietosuojavastaavaa valittu tai ei, mutta koska tietosuoja-asetuksen määräysten toteuttaminen vaatii runsasta käytännön työtä, on hyvä miettiä, miten työtä jaetaan henkilöstön (tai vapaaehtoisten) kesken.

Suositus: Määritelkää henkilö, jonka tehtävänä on tietosuojaa koskevien asioiden huomioon ottaminen organisaation toiminnassa.

2. Tunnistakaa eri henkilöryhmät ja henkilötietojen käsittelytilanteet

Ennen erilaisten tietosuojakäytäntöjen dokumentointia on hyvä käydä kattavasti läpi, minkälaisissa tilanteissa henkilötietoja yhdistyksessä käsitellään, minkälaisista henkilöryhmistä on kyse ja minkälaisia tietoja kyseisistä ryhmistä kerätään. Nämä tiedot määrittelevät parhaiten sen, minkälaisia henkilötietorekistereitä yhdistyksen toimintaan liittyy.

Esimerkiksi yhdistyksen jäsenet ovat yksi jokaisen yhdistyksen henkilöryhmä, jonka henkilötietoja toiminnassa on käsiteltävä. Tämä ryhmä muodostaa luonnollisesti yhden rekisterin: jäsentietorekisterin. Vastaavasti muita ryhmiä voivat olla vapaaehtoiset tai vaikka henkilöstö, ja jos heiltä kerätyt tiedot ovat systemaattisesti haettavissa, muodostavat ne omat rekisterinsä (esim. vapaaehtoistoimijarekisteri).

Henkilötietojen käsittelyyn liittyvä minimoinnin periaate on hyvä tarkistaa heti alusta lähtien. Kaikkien käsittelyvaiheiden yhteydessä on hyvä tarkistaa, että niissä käsitellään ainoastaan kyseisen toiminnon kannalta olennaisia ja perusteltuja henkilötietoja. Mitään tietoa ei kerätä ja säilytetä “varmuuden vuoksi” vaan aina jotain määrättyä tarkoitusta varten.

3. Selvittäkää kaikki henkilötietojen käsittelyprosessit ja dokumentoikaa ne

Kaikki henkilötietoihin liittyvät käsittelyvaiheet on pystyttävä jäljittämään niiden keräämisestä tuhoamiseen asti. Muita mahdollisia käsittelyvaiheita ovat esimerkiksi tietojen siirtäminen, tallentaminen, säilyttäminen, luovuttaminen, järjestäminen, muokkaaminen, käyttäminen ja hakeminen. Käytännössä kaikki toiminta, joka kohdistuu henkilötietoihin joko automaattisesti tai manuaalisesti, on käsittelyä.

Kaikki henkilötietojen käsittelyä koskevat prosessit ja käytännöt on myös dokumentoitava. Dokumentointi on osa tietosuoja-asetukseen liittyvää osoitusvelvollisuutta, jolla organisaatiot voivat näyttää toteen, että ne noudattavat vaadittuja säädöksiä. Hyvä käytäntö on koota kaikki asiat yhteen selosteeseen.

Tietosuojavaltuutettu on antanut tarkennetun ohjeistuksen, jonka mukaan “velvollisuus laatia seloste käsittelytoimista koskee kaikkia yli 250 työntekijän organisaatioita. Tätä pienemmän organisaation on laadittava seloste, jos

  • organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille
  • henkilötietojen käsittely organisaatiossa ei ole satunnaista tai
  • organisaatiossa käsitellään erityisiin tietoryhmiin kuuluvia tietoja tai henkilötietoja, jotka koskevat rikostuomioita tai rikkomuksia.”

Suositus: Laatikaa kaikista henkilötietojen käsittelytoimista seloste. Apuna voi käyttää tietosuojavaltuutetun toimiston sivuilta löytyvää malliasiakirjaa.

4. Varmista, että kaikelle henkilötietojen käsittelylle löytyy jokin laillinen peruste

Henkilötietoja tulisi joka tapauksessa käsitellä mahdollisimman vähän ja tarpeettomat tiedot tuhota välittömästi. Mutta jotta henkilötietoja on ylipäätään lupa käsitellä, tulee käsittelyllä olla yksi tai useampi seuraavista asetuksen vaatimista perusteista:

  • Lakiin perustuva velvoite
  • Oikeutettu etu
  • Sopimus
  • Henkilön itsensä antama suostumus
  • Elintärkeä etu
  • Julkinen tehtävä

Ensimmäiseksi on hyvä tarkistaa, löytyykö tietojen käsittelylle jokin lakiin perustuva velvoite. Tällaisia velvoitteita löytyy mm. yhdistyslaista ja työlainsäädännöstä. Useimmat henkilöstöön ja taloudenhoitoon liittyvistä henkilötietojen käsittelytilanteista perustuvat jollakin tavalla lainsäädäntöön. Sopimukseen perustuvia perusteita voivat olla esimerkiksi rekisteröidyn henkilön yhdistykseltä tilatun palvelun toteuttamiseen liittyvät käsittelytoimet.

Ennen suostumusten keräämistä käsittelylle kannattaa myös tarkistaa, onko käsittelylle olemassa oikeutettu etu. Oikeutettu etu edellyttää, että rekisterinpitäjän ja rekisteröidyn välillä on jokin asianmukainen sidos, kuten jäsenyys, asiakkuus tai työsuhde. Myös vapaaehtoistoimijuus voi olla tällainen sidos. Oikeutettu etu voi siis kattaa melkoisen määrän yhdistyksen henkilötietojen käsittelyn perusteista. Oikeutettu etu ei saa kuitenkaan olla liiaksi ristiriidassa rekisteröidyn oikeuksien kanssa. Oikeutetun edun pätevyyden voi tässä tapauksessa tarkistaa ns. tasapainotestillä.

Jos edellä mainitut perusteet eivät vielä täyty, on käsittelylle hankittava suostumus rekisteröidyltä. Suostumus on pystyttävä dokumentoimaan ja rekisterinpitäjän on kyettävä osoittamaan, että rekisteröity on antanut suostumuksensa tietoisesti ja vapaaehtoisesti. On myös huomioitava, että lapset ja nuoret ovat erityisen suojattuja tietosuoja-asioissa.

5. Tehkää ja dokumentoikaa riskienhallintasuunnitelma

Arvioikaa, minkälaisia riskejä henkilötietojen käsittelyyn liittyy ja miten riskejä voitaisiin minimoida. Ryhtykää tarvittaviin toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

On huomattava, että arkaluonteisten tietojen käsittely on lähtökohtaisesti ilman painavia perusteita kielletty kokonaan, eikä omaisyhdistysten toiminnassa yleensä niiden keräämiselle ole tarvetta muutenkaan. Mutta on myös huomattava, että omaisyhdistyksen jäsenyys voi itsessään jo olla arkaluonteinen tieto. Siksi jäsentietoihin ja toiminnan osallistujatietoihin kannattaa suhtautua tarkalla otteella, vaikka niiden keräämiseen selkeät perusteet löytyvätkin.

Eri henkilötietojen käsittelyvaiheisiin liittyvät tietosuoja- ja tietoturvariskit sekä niiden hallintakeinot on dokumentoitava, jotta voidaan tarvittaessa osoittaa, että niihin on varauduttu asianmukaisella tavalla. Tietosuoja-asetus lähtee lähtee lisäksi liikkeelle käsittelymenetelmien riskiperustaisuudesta, jolloin tarvittavat käytännöt on rakennetta organisaatiokohtaisesti sen mukaan, minkälaisen riskin ne aiheuttavat rekisteröityjen vapauksille ja oikeuksille.

6. Selvittäkää, miten toteutatte rekisteröityjen oikeudet

Tietosuoja-asetus määrää, että jokaisella rekisteröidyllä on oikeus

  • läpinäkyvään tietoon henkilötietojen käsittelyä koskien
  • saada pääsy omiin tietoihin
  • tietojen oikaisemiseen
  • tulla unohdetuksi (eli tietojen poistamiseen)
  • siirtää tiedot järjestelmästä toiseen
  • rajoittaa tietojen käsittelyä
  • vastustaa käsittelyä
  • vastustaa automatisoituja yksittäispäätöksiä (sis. profiloinnin)

Rekisterinpitäjien on huolehdittava, että kaikki edellä mainitut oikeudet toteutuvat ja määriteltävä selkeät ja kaikille rekisteröidyille yhtäläiset prosessit oikeuksiensa mukaisten toimien suorittamiseen. Tarkemmat tiedot rekisteröityjen oikeuksista löytyvät mm. tietosuojavaltuutetun toimiston oppaasta Miten valmistautua EU:n tietosuoja-asetukseen.

Suositus: Kuvatkaa kaikki prosessit, joiden kautta toteutatte rekisteröityjen oikeudet.

7. Määritelkää ja dokumentoikaa, miten rekisteröityjä informoidaan henkilötietojen käsittelystä

Rekisteröityjen oikeuksien toteuttamiseen liittyen rekisterinpitäjien velvollisuus on informoida rekisteröityjä siitä, miten heidän henkilötietojaan käsitellään. Selkein tapa informointiin on laatia jokaisesta henkilötietorekisteristä oma tietosuojaseloste. Tässä yhteydessä on huomattava, että vanhojen ohjeistusten mukaisesti laaditut rekisteriselosteet ja tietosuojaselosteet eivät täytä uuden tietosuoja-asetuksen vaatimuksia.

Tietosuojavaltuutetun mukaan rekisteröidyille annettavaa informaatiota koskevat seuraavat kriteerit:

  • Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
  • On käytettävä selkeää ja yksinkertaista kieltä. Tämä on erityisen tärkeää, kun informoidaan lapsia.
  • Tieto on annettava kirjallisesti ja tapauskohtaisesti sähköisessä muodossa. Jos rekisteröity pyytää, tiedot voidaan antaa myös suullisesti
  • Tiedot on annettava maksutta.

Tietosuoja-asetus ei määrittele, minkälaisella menetelmällä tarkkaan ottaen informaatio on annettava. Tietosuojaselosteen lisäksi voi käyttää myös jotain muuta soveltuvaa menetelmää. Mutta käytit sitten selostetta tai jotain muuta menetelmää, varmista, että kaikki informointivelvollisuuden kannalta olennaiset tiedot ovat sisällytetty siihen. Kaikki vaaditut tiedot löytyvät tästä taulukosta.

Suositus: Tehkää jokaisesta henkilötietorekisteristä oma tietosuojaseloste, jonka lähetätte jokaiselle rekisteröidylle. Selosteet on hyvä laittaa saatavilla myös yhdistyksen verkkosivuille. Apuna voit käyttää FinFamin laatimaa tietosuojaselosteen mallia.

8. Laatikaa ja päivittäkää tarvittavat sopimukset

Kun rekisterinpitäjä ulkoistaa henkilötietojen käsittelyä ulkopuoliselle käsittelijälle, on käsittelijän kanssa tehtävä kirjallinen sopimus, joka täyttää tietosuoja-asetuksen määräämät ehdot. Tällaisia henkilötietojen käsittelyyn liittyviä ulkoistuksia ovat mm. monet taloushallinto- ja IT-palvelut sekä erilaiset pilvi- ja verkkopalvelut, joihin tallennetaan henkilötietoja. Rekisterinpitäjä saa käyttää ainoastaan sellaisia palvelutarjoajia, jotka ovat sitoutuneita noudattamaan tietosuoja-asetuksen määräyksiä.

Useimmat luotettavat palveluntarjoajat ovat jo päivittäneet omat sopimusmallinsa vastaamaan tietosuoja-asetuksen ehtoja, mutta sopimusta allekirjoittaessa on hyvä varmistua, että sopimuksessa on määritelty keskinäiset vahingonkorvausvelvollisuudet mahdollisten tietosuojaloukkausten varalta. Rekisterinpitäjä on aina vastuussa, että henkilötietoja käsitellään lainmukaisesti, joten rekisterinpitäjä vastaa myös yhteistyökumppaninsa toimista. (Lue, mitä muuta sopimuksissa täytyy määritellä.)

Tietojenkäsittelyn ulkoistuksessa on myös selvitettävä, missä maassa kyseinen palveluntarjoaja toimii. Esimerkiksi monet verkkopalvelut saattavat sijaita ulkomaisilla palvelimilla, jolloin tietoja saatetaan siirtää EU:n ulkopuolelle. Tällaisiin tiedonsiirtoihin on olemassa erillinen sääntely, ja Euroopan komissio mm. määrittelee, mihin maihin tiedonsiirto on sallittua ja millä ehdoilla. Ajantasaiset tiedot ja määräykset koskien EU:n ulkopuolelle tehtäviä henkilötietojen siirtoja löytyvät täältä.

Yhdistysten on hyvä varmistaa tässä vaiheessa myös, että työntekijöiden ja vapaaehtoisten kanssa tehdyt salassapitosopimukset ovat ajantasalla, mikäli tehtäviin liittyy henkilötietojen käsittelyä. Sopimuksen tekemisen yhteydessä on myös annettava tarvittavat ohjeistukset tietosuoja-asioista. Sopimukset auttavat osaltaan osoittamaan, että työntekijöille ja vapaaehtoisille on annettu tarvittavat määräykset henkilötietojen käsittelyyn. [Tähän tulossa FinFamin oma mallipohja.]

9. Määritelkää tietoturvaa koskevat käytännöt

Henkilötietojen tietoturvaloukkauksesta on kyse, kun siirrettyjä, tallennettuja tai muuten käsiteltyjä henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää tai muuttuu tai tietoja luovutetaan tai niihin päästään käsiksi luvattomasti. Tästä syystä kaikki henkilötietojen käsittely täytyy olla suojattua ja suojauksen perusteet on oltava dokumentoituna.

Tietojen turvatason on vastattava tietojen käsittelystä aiheutuvia riskejä (ks. kohta 5). Minimissään on varmistuttava, että tietojen käsittelyyn käytettävien laitteiden ja ohjelmistojen tietoturva on riittävä ja että käyttöoikeus on rajoitettu käyttäjätunnuksin ja salasanoin. Lisäksi on varmistuttava toimitilojen ja fyysisten arkistojen turvallisuudesta.

Kaikki tietoturvaloukkaukset on myös dokumentoitava. Rekisterinpitäjän on kyettävä itse arvioimaan mahdollisista tietoturvaloukkauksista aiheutuva riski rekiteröidyille ja laadittava toimintasuunnitelma niiden varalle. Jos riski on korkea, tulee rikkeistä raportoida 72 tunnin kuluessa viranomaisille. Jos riski on tätäkin suurempi, täytyy myös rekisteröityä informoida asiasta. Ilmoitusvelvollisuuden noudattamista varten kannattaa laatia tarkka ohje tietoturvaloukkausten varalle.

Tarkemmat tiedot tietoturvaloukkauksiin varautumisesta löydät tietosuojavaltuutetun toimiston sivuilta.

10. Kokoa kaikki dokumentaatio yhteen ja varaudu päivittämään sitä jatkuvasti

Kaikki tietosuoja-asioita koskeva dokumentaatio kannattaa koota yhteen. Sen on myös oltava tarvittaessa valvovan viranomaisen saatavilla tarkastusta varten. Omat dokumentit kannattaa laatia tietosuoja-asetuksen vaatimista käytännöistä (seloste käsittelytoimista), henkilöstön ja vapaehtoisten ohjeista (tietosuojaohje) sekä rekisteröidyille suunnatusta informaatiosta (tietosuojaselosteet).

Tietosuoja-asioiden päivittäminen ja dokumentointi ei ole myöskään kertarykäys vaan jatkuva prosessi. Dokumentaatiota täytyy päivittää jatkuvasti ja käytäntöjen noudattamista on valvottava. Erityisesti siirtymävaiheen lopulla ja pian sen jälkeen kannattaa tarkasti seurata tietosuojavaltuutetulta sekä muilta viranomaisilta ja asiantuntijoilta tulevia ohjeistuksia, jotka saattavat muuttaa tietosuojakäytäntöjä koskevia vaatimuksia. Myös monet aiheeseen liittyvät kansalliset lait ovat vasta valmisteilla.

Suositus: Tehkää kattava ja velvoittava organisaation sisäinen ohje, jossa määritellään kaikki henkilötietojen käsittelyä koskevat toimintaohjeet. [Tähän tulossa FinFamin oma mallipohja.]

 

Tätä artikkelia päivitetään aina tarvittaessa.

Print Friendly, PDF & Email
User Avatar

About The Author