Uusi tietosuoja-asetus tulee – ainakin nämä asiat yhdistysten pitää ottaa huomioon
Perjantaina voimaan astuva EU:n yleinen tietosuoja-asetus GDPR (General data protection regulation) velvoittaa myös suomalaisia yhdistyksiä laittamaan henkilötietorekisterinsä kuntoon.
Kysyimme neuvoja yleisimpien sudenkuoppien välttämiseen tietosuoja-asetukseen perehtyneiltä Suomen sosiaali ja terveys ry:n lakimieheltä Maarit Päivikkeeltä ja Kuntaliiton erityisasiantuntijalta Tuula Sepolta.
Kumpikin heistä on kouluttanut useita toimijoita ja järjestöjä siitä, miten tietosuoja-asetusta noudatetaan.
Mitä yhdistyksen täytyy päättää?
Päivike: Yhdistykselle pitää kirjata ylös sisäinen dokumentaatio, jossa kerrotaan, miten yhdistys käsittelee henkilötietoja, kuten nimiä ja sähköpostiosoitteita.
Dokumentaatiota tehdessä yhdistyksen pitää miettiä, mitä tietoja se jäseniltään tarvitsee ja kerää, ja nämä pitää perustella. Myös tietojen suojaaminen pitää suunnitella: kuka tietoihin pääsee käsiksi ja millä välineellä? Säilytetäänkö tulostettua jäsenluetteloa lukitussa kaapissa? Jos yhteisellä puhelimella pääsee yhdistyksen sähköpostiin, lukitaanko puhelin koodilla?
Tietoturva voi olla fyysistä, inhimillistä tai tekniikkaan perustuvaa, ja nämä kaikki on hyvä huomioida.
Dokumentilla osoitetaan, että tietosuojaperiaatteita noudatetaan, ja sitä pitää päivittää, kun tekniikka kehittyy tai toiminta muuttuu.
Yhdistyksen tiedonkeruukeinot, kuten jäsenlomakkeet, pitää myös päivittää tehtyjen päätösten pohjalta.
Mitä jäsenille pitää kertoa?
Päivike: Yhdistyksellä on velvollisuus kertoa jäsenilleen, mitä heidän tiedoillaan tehdään. Kun uusia tietoja kerätään, samassa yhteydessä pitää avata, mihin niitä käytetään ja miten niitä käsitellään.
Jos yhdistyksellä on jo olemassa oleva jäsenrekisteri, jäsenille on perusteltava, miksi juuri niitä tietoja säilytetään ja miten niiden turvallisuus taataan.
Monet kertovat nämä jollain asiakirjalla tai selosteella verkkosivuilla. Viestin kieleen ja selkeyteen pitää kiinnittää huomiota, että ihmiset oikeasti ymmärtävät, miten heidän tietojaan käsitellään.
Miten tietojen käyttöä rajoitetaan?
Seppo: Yksi asetuksen olennaisista vaikutuksista on se, että kerättyjä tietoja saa käyttää vain ja ainoastaan siihen tarkoitukseen, joka keräämisen yhteydessä on ilmoitettu.
Esimerkiksi tapahtuman järjestämistä varten kerättyihin sähköpostiosoitteisiin ei saa lähettää ilmoituksia tulevista tapahtumista, ellei mahdollisuutta siihen ole erikseen mainittu keräyslomakkeessa.
Ihmiseltä täytyy siis kysyä, haluaako hän myös jatkossa viestejä, ja hänen täytyy antaa siihen suostumuksensa, jotta viestejä saa lähettää.
Milloin tarvitaan tietosuojavastaava?
Seppo: Tietosuojavastaava on henkilö, joka valvoo ja neuvoo organisaatiota henkilötietojen käsittelyssä. Vastaavan ei tarvitse kuulua valvomaansa organisaatioon, vaan esimerkiksi kattojärjestö voi tarjota tietosuojavastaavan jäsenyhdistyksilleen.
Yhdistykset tarvitsevat tietosuojavastaavan lähinnä silloin, jos yhdistys käsittelee arkaluontoisia henkilötietoja. Tällaisia ovat esimerkiksi tiedot terveydestä, rikostuomioista, poliittisesta kannasta tai etnisestä alkuperästä, eli tämä voi koskea esimerkiksi vammaisjärjestöjä tai pitkäaikaissairaiden yhdistyksiä.