Uusi Tietosuoja-asetus

Uuden EU:n tietosuoja-asetuksen siirtymäaika päättyy 25.5.2018. Tietosuoja-asetus (GDPR) vaatii toimenpiteitä myös kaukalopallo- ja ringetteseuroilta. Tälle sivulle kokoamme infoa ja materiaalia helpottaaksemme seurojen valmistautumista uuteen asetukseen

Asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kilpailutilastot, testitulokset, valokuva, videohaastattelu, terveystiedot yms.

Huomioi myös nämä:

Arkaluontoinen tieto: esim. terveyttä koskevat tiedot, seksuaalinen suuntautuminen, uskonto, poliittinen tausta, rikosrekiseri, ulosottotiedot

Henkilötunnuksen kerääminen yksilöintitarkoitukseen on mahdollista, jos se on tarpeellista (kynnys on korkea ja suojausvaatimukset isot)

Henkilörekisterejä taas on kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy. 

Termistöä

Tietojen keräämiseen pitää olla peruste ja oikeus

Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus?

Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. 

Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. 

Vähintään yhden seuraavista edellytyksistä on täytyttävä, jotta käsittely on lainmukaista:

Seuran toimenpiteet

Ensimmäisessä vaiheessa seuran on hyvä perehtyä tietosuojaa koskevaan materiaaliin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta. Suosittelemme dokumentoimaan kaikki seurassa tehdyt vaiheet ja toimenpiteet, joita teette tietosuoja-asetukseen valmistautumisessa. Tämä helpottaa jatkoa, sillä seuran on pystyttävä osoittamaan, että tietosuojaa noudatetaan. 

Mitä henkilörekistereitä seurassa on?

Mitä sellaisia henkilörekistereitä seurassanne on, mistä henkilö on tunnistettavissa? Miten tiedot on kerätty, miten niitä säilytetään ja kuka niihin pääsee käsiksi? Onko tiedon keräämiseen oikeat perusteet ja kuinka kauan niitä säilytetään? Listaa kaikki henkilörekisterit Exceliin.

Henkilörekisterit voidaan jakaa kolmeen katergoriaan; sähköisiin, manuaalisiin ja "piilo"rekisterihin. Sähköisiin rekisterihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms. Manuaalisia rekistereitä ovat taas kaikki paperiarkistot ja tulostetut henkilölistat. Viimeinen kategoria ja todennäköisesti vaikein on ns "piilorekisterit". Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).

Esimerkkejä rekistereistä:

Excelin keräämisen lisäksi olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta säilöä. Tässä vaiheessa on hyvä miettiä, miten eri henkilörekisterit on suojattu eli missä niitä säilytetään ja kuka niihin pääsee käsiksi. Uuden asetuksen mukaan tietoihin pääsy tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. 

Tunnista riskit, kokoa tietosuojaohjeet ja kouluta seuran henkilöstö

Tietosuojan riskit voidaan jakaa kolmeen kategoriaan; teknisiin, inhimillisiin ja fyysisiin riskeihin. Teknisiin riskeihin kuuluvat laitteisiin ja järjestelmiin sekä näihin liittyviin salasanoihin kuuluvat riskit. Suuremmat riskit syntyvät kuitenkin inhimillisistä riskeistä eli henkilöjen huolimattomuudesta ja osaamattomuudesta. Tästä syystä on tärkeää, että jokainen seurassa työskentelevä on perehtynyt tietosuojaan ja käsittelee henkilörekisterejä tämän asetuksen mukaisesti. Kolmas riskialue on fyysiset riskit eli murtautumiset ja arkistojen säilytys ja tuhoaminen.

Seurassa on hyvä koostaa tietosuojaan liittyvät ohjeet sellaiseen paikkaan, että ne ovat koko henkilöstön saatavissa. Suomen Kaukalopallo- ja Ringetteliitto on tehnyt seuroille yhden tietosuojaohjeistuksen mallipohjan, jota seura voi muokata omiin tarpeisiin sopivaksi.  Tietosuojaohjeen lisäksi seurassa täytyy käydä läpi tietojenkäsittelyn prosessit ja dokumentoida ne. Tärkeää on myös kouluttaa koko henkilökunta toimimaan uuden asetuksen mukaisesti. Koulutuksen pitää olla riittävä, sillä vahingon sattuessa puolustukseksi ei riitä, ettei tiennyt asetuksista.

Henkilötietoja saa käsitellä myös ainoastaan henkilöt, jotka ovat tehneet salassapitosopimuksen seuran kanssa ja jonka toimenkuvassa tietojen käsittely on tarpeellista.

Tee rekistereistä tietosuojaseloste

Tietosuojaselosteesta henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi verkkosivuilla.

Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:

Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteessa on luettava kaikki ne osapuolet, joille tieto välitetään. 

Mitä tietoa jatkossa kerätään ja tarvitaanko siihen suostumus

Seura saa kerätä vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. 

Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. 

Jäsenien tiedottaminen ja markkinointi

Suoramarkkinointiin tulee aina olla henkilön ennakkosuostumus. Suostumus tulee pyytää kirjallisesti ja sen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Suostumusta ei voi antaa vaikenemalla tai valmiiksi rastitetuilla ruuduilla. Suostumus pitää pystyä myös peruuttamaan milloin tahansa. Takautuvasti suostumuksia ei tarvitse pyytää, mutta kaikilla on oltava mahdollisuus poistaa suoramarkkinointilupa milloin vain.

Tietojen luovuttaminen

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tiedot poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa mihin on pyydetty erillinen suostumus. Lakiin yms perustuvilla tiedoilla on hyvä syy niiden säilyttämiseen ja niitä henkilö ei voi pyytää poistamaan. 

Tietoja ei ikinä saa luovuttaa ilman, että olet tunnistanut kysyjää. Älä siis luovuta tietoja pelkän sähköpostitse tulevan pyynnön perusteella! Tietojen luovuttamisesta voidaan halutessaan periä myös kohtuullinen korvaus pyytäjältä. Tietojen luovuttamiselle seuran on myös hyvä miettiä prosessi kuinka toimitaan ja dokumentoida tämä.

Valokuvaus ja julkaisulupa

Tutustu yleisiin valokuvan ottamiseen ja kuvien julkaisemiseen liittyviin käytäntöihin. 

Seurojen kuvagallerioissa ja kuva-arkistoissa olevat vanhat kuvat ovat uuden tietosuoja-asetuksen myötä edelleen käyttökelpoisia, mikäli kuvat on otettu julkisissa tilaisuuksissa ja/tai kuvista on pyydetty asianmukaiset kuvaus- ja julkaisuluvat.

Mikäli kuvaus- ja julkaisulupaa ei ole kysytty, tulee kuvamateriaalit poistaa julkisesta käytöstä. Luvan voi tarvittaessa pyytää kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan myös takautuvasti. 

Markkinointikuviin pitää pyytää aina erillinen kirjallinen lupa kuvissa esiintyviltä henkilöiltä tai heidän huoltajiltaan. 

Tietosuoja-asetuksen mukaisesti julkisissa tilaisuuksissa (esim. kilpailut) saa edelleen kuvata ja kuvia julkaista hyvän tavan mukaisesti. Kilpailua / tapahtumaa järjestävän seuran on kuitenkin ilmoittautumisessa huolehdittava ilmoittautuville henkilöille tieto mahdollisesta valokuvauksesta. Tämän voi kertoa esimerkkilauseella:
”Ilmoittautumalla xx kilpailuun / tapahtumaan hyväksyn, että minua voidaan valokuvata kilpailussa/tapahtumassa ja kuvia julkaista kaukalopalloa ja ringetteä tukevassa tarkoituksessa seuran ja Suomen Kaukalopallo- ja Ringetteliiton julkaisuissa."  

Kuvien julkaisemisessa on noudatettava hyvää henkilötietojen käsittelytapaa ja kuva ei saa loukata henkilön yksityisyyttä. Jos kuvan julkaiseminen aiheuttaa kuvattavalle oleellista vahinkoa niin kuvaaja voi joutua tästä vastuuseen.

Myös tietosuojaselosteessa/tietosuojakäytänteissä on hyvä mainita seuran kuvausasiasta ja mahdollisesta kuvagalleriasta.

Hyvää perustietoa kuviin liittyvistä käytännöistä voi lukea myös "Missä saa kuvata ja julkaista?" -blogikirjoituksesta ja sen alla olevasta keskustelusta.

Materiaalia

28.4.2018 järjestetyn seuraseminaarin tietosuojamateriaalit ovat nähtävissä seuraavasti:

https://www.skrl.fi/fi/Hallinto/Seurakokous.html

Muu materiaali:

Tietosuojavaltuutetun toimisto http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Arjentietosuoja: https://arjentietosuoja.fi/fi/#/front (tietoa uudesta asetuksesta sekä nettitesti, jonka suosittelemme tekemään)

 

Suomen Kaukalopallo- ja Ringetteliitto tietosuojakäytänteet

 

Mallipohjat (muutokset mahdollisia kaikissa):

Yleinen tietosuojaselosteen mallipohja

Tietosuojaohje mallipohja

Salassapitosopimus mallipohja (Salassapitositoumuksen voi täyttää niiden osalta joiden osalta e

i täytä tietosuojaohjetta)

Suostumus suoramarkkinointiin mallipohja

Suostumus kuvien käyttöön mallipohja