Mitä EU:n tietosuoja-asetus tarkoittaa?

Henkilötietoja käsitellään lukemattomissa tietojärjestelmissä. Vastauksena maailman muutoksiin Euroopan Unionissa tuli voimaan yleinen tietosuoja-asetus (GDPR) toukokuussa 2018. Asetus koskee kaikkia rekisterinpitäjiä. Kattava tietopaketti aiheesta yhdistyksille löytyy tietosuojavaltuutetun verkkosivuilta.

Asetus parantaa yksityishenkilön suojaa ja henkilön oikeuksia omiin henkilötietoihin. Jokainen voi päättää omien tietojensa käytöstä entistä laajemmin. Näiden oikeuksien toteuttaminen on yksi rekisterinpitäjän päävelvollisuuksista.

Rekisteröidyllä on oikeus tarkastaa itseään koskevat tiedot ja oikaista virheelliset tiedot. Tarpeettomat ja vanhentuneet henkilötiedot on poistettava. Rekisteröidyllä on oikeus muun muassa tietojen siirtoon järjestelmästä toiseen, oikeus tulla unohdetuksi ja oikeus vastustaa profilointia.

Rekisterinpitäjän pitää pystyä osoittamaan tietosuojatoimintojensa lainmukaisuus. Rekisterinpitäjän on kerrottava selkeästi ja ymmärrettävästi miten henkilötietoja käsitellään ja mihin käsittely perustuu. Rekisterinpitäjän on varmistettava tietojen turvallinen käsittely. Asetuksen passiivinen noudattaminen ei riitä – rekisterinpitäjän on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan toiminnassa aktiivisesti.

Rekisterinpitäjille asetus toi ilmoitusvelvollisuuden tietoturvaloukkauksista sekä kansalliselle tietosuojaviranomaiselle että rekisteröidyille henkilöille. Tietosuojaviranomaiset voivat määrätä rikkomuksista esimerkiksi sakkoja tai huomautuksia.

Asetuksen vaikutus järjestöissä

Henkilötietojen käsittelyssä pitää huomioida muun muassa, että:

• tietoja käsitellään lainmukaisesti asetuksen määrittelemin edellytyksin
• tietosuojasta vastaavat henkilöt on nimetty
• tietosuojaan liittyvät riskit on arvioitu ja tarvittavat muutokset tehty
• tietosuojan toteuttaminen on suunniteltua
• henkilötietojen tallentamiseen ja käyttöön liittyvät käytännöt on kartoitettu

Henkilötietojen käsittely sekä niihin liittyvät käytännöt on hyvä käydä läpi järjestöissä säännöllisesti. Kannattaa selvittää, miten ja millaisia henkilötietoja käsitellään, onko rekisteröityjen informointi ajan tasalla sekä miten tietosuojasta viestitään. Samalla kannattaa päättää, kenen vastuulla tietosuoja-asiat ovat. On suositeltavaa, että yhdistyksessä yksi henkilö vastaa tietosuoja-asioista ja niihin liittyvien vaatimusten noudattamisesta.

Rekisterinpitäjän pitää noudattaa niin sanottua accountability-periaatetta (tilintekovelvollisuus). Tämä tarkoittaa, että pelkkä lain passiivinen noudattaminen ei riitä. Pyydettäessä on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan toiminnan suunnittelussa ja toiminnassa. Siksi on tärkeää, että henkilötietojen käsittelyn käytännöt kartoitetaan ja jatkotoimet suunnitellaan.

Kartoituksen tarkoituksena on:

• tunnistaa missä ja kuka henkilötietoja käsittelee
• varmistaa, että kerätään vain toiminnan kannalta välttämättömiä henkilötietoja
• varmistaa, että tietoja ei kerätä eikä säilytetä enempää eikä kauemmin kuin on välttämätöntä
• taata rekisteröityjen oikeuksien toteutuminen
• varmistaa, että henkilötiedot on suojattu tarvittavin keinoin

Järjestöissä kannattaa kirjata mitä henkilötietoja kerätään, mihin niitä käytetään, kuka tietoja käsittelee ja luovutetaanko tietoja edelleen. Lisäksi rekisteröidyille on kerrottava tietojen suojauksen periaatteet – esimerkiksi missä ja miten jäsenlistaa säilytetään.

Mikäli rekisterinpitäjän ydintehtäviin kuuluu rekisteröityjen laajamittainen ja järjestelmällinen seuranta, uusi asetus edellyttää tietosuojavastaavan nimeämistä. Tietosuojavastaavan tehtäviin kuuluu suunnitella, kehittää, varmistaa sekä valvoa tietosuojan toteuttamista. Vastaavana voi toimia myös ulkopuolinen konsultti.

FloMembers auttaa huolehtimaan vaatimuksista

FloMembers-ohjelma auttaa huolehtimaan asetuksen vaatimuksista muun muassa seuraavasti:

• Jäsen voi nähdä omat tietonsa. Näin hän voi nähdä mitä tietoja hänestä on tallennettu ja korjata virheelliset tiedot.
• FloMembers mahdollistaa tietojen siirron toiselle palveluntarjoajalle.
• Henkilön voi poistaa rekisteristä. Näin hänen tietonsa unohdetaan.
• Roolien avulla voi listata vaivatta kenelle on annettu ohjelman käyttöoikeuksia ja tarpeettomat oikeudet voidaan poistaa.