EU:n tietosuoja-asetuksen siirtymäaika on päättynyt 25.5.2018 ja asetus on nyt voimassa pakottavana.

1. YLEISTÄ ASETUKSESTA:

Jokaisen, joka organisaatiossa käsittelee henkilötietoja, täytyy olla tietoinen asetuksesta ja sen vaatimuksista. Yhdistyksissä GDPR on syytä ottaa esille aina, kun esimerkiksi hallitukseen tulee mukaan uusia aktiiveja, jotka asemansa perusteella saavat käsitellä  yhdistyksen jäsenrekisteriä ja muita mahdollisia henkilörekistereitä.

Tietosuojavaltuutetun sivulla (www.tietosuoja.fi) uudistus on kuvattu yksinkertaisesti näin:

“Keskeistä ja uutta tietosuoja-asetuksessa on mm. riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä suurempia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava”

Samalla sivulla on myös hyvin yksinkertaisesti kuvattu, mitä henkilötietojen käsittely on, ja eri toimijoiden roolit: https://tietosuoja.fi/henkilotietojen-kasittely

Hankalaksi GDPR:n on yritysten ja yhdistysten kannalta tehnyt se, että kunnollisia ohjeita ja tulkintoja eri tilanteista on saatu vasta oikeastaan viime syksystä lähtien. Viimeisimmät tiedotteet tietosuojavaltuutetun toimistosta tulivat toukokuun alkupuolella. Tuolloin mm. selvisi ettei nykyisen muotoisia rekisteri- tai tietosuojaselosteita tarvita enää, vaan informointivelvollisuuden voi täyttää muullakin tavalla.

Tietosuoja-asetus ei ole pelkkä selosteprojekti. Dokumentoinnin on oltava kunnossa, ja tietosuoja-asetuksen käytänteet on hyvä rakentaa sisään yrityksen tai yhdistyksen kaikkeen tavalliseen toimintaan.

2. YHDISTYKSEN VELVOITTEET

Suurimmassa osassa yhdistyksiä ei ole syytä paniikkiin ja asiat ovat yleensä melko hyvässä kunnossa mahdolliseen riskiin nähden. Kansallinen tietosuojalainsäädäntömme on ollut tässä suhteessa erinomainen pohja uudelle asetukselle. Henkilötietojen käsittely on ollut säädeltyä jo tähänkin asti. Toimenpiteet kannattaa ja voi suhteuttaa toiminnan kokoon. Myös rekisterin tietosisältö, tietojen arkaluontoisuus ja mahdollinen riski niiden vuotamisesta vaikuttavat asiaan. Yhdistyksillä on edelleen lain mukainen oikeus ja velvollisuus ylläpitää jäsenrekisteriä. Jäsenistä saa kerätä yhdistystoiminnan kannalta tarpeellisia ja perusteltuja tietoja, ja lisäksi jäseniltä voi kerätä vapaaehtoisia tietoja, jotka he itse halutessaan luovuttavat.

Yhdistyksessä pitää kuitenkin aiempaa tarkemmin nyt tietää (ja dokumentoida) missä kaikkialla jäsenten tietoja säilytetään, kuka tietoja käsittelee, mihin niitä luovutetaan ja millä perusteella. Yleisimmin henkilötietoa on jäsenrekisterissä, mutta niitä voi olla myös rekisterin ulkopuolisissa sähköpostilistoissa tai exceleissä eri toimijoiden koneilla - esimerkiksi jäsenlehden painossa. Listauksia voi olla myös kertynyt vuosien saatossa eri paikkoihin, eri henkilöille ja palvelukumppaneille. Ei ole merkitystä, onko listat sähköisessä vai paperisessa muodossa. Käykää asiat ajatuksella läpi ja dokumentoikaa kaikki mahdollinen.

Hyvä ohje henkilötietojen käsittelyn dokumentointiin löytyy täältä: https://tietosuoja.fi/rekisteroidyn-informointi

3. YHDISTYKSEN KÄYTTÄMÄT ALIHANKKIJAT

Toinen tärkeä tehtävä on selvittää käytetyt alihankintapalvelut. On hyvä muistaa että yhdistys on asetuksen mukainen rekisterin pitäjä. Mahdollinen palvelukumppani (esim. Membook) on rekisterin käsittelijä. Palvelukumppaneita voi olla muitakin - esim. jäsenlehteä painava lehtitalo, tai joku yhteistyökumppani, jonne osoitteita on luovutettu. Pyytäkää palvelukumppaneiltanne olemassa olevaan sopimukseen tehtävä tietosuojaliite (DPA), tai uusikaa sopimukset tarvittaessa.

Palvelukumppanin pitää pystyä osoittamaan että se täyttää GDPR:n vaatimukset. Tekniset palvelut pitää olla rakennettu tietoturvallisesti; suositaan teknologisesti koeteltuja ja testattuja ratkaisuja, palomuurit on oltava kunnossa, torjutaan mahdolliset palvelunestohyökkäykset jne. Palvelukumppanin pitää myös dokumentoida reagointiaika mahdolliseen tietoturvaloukkaukseen, valvonta- ja varmuuskopiointikäytännöt sekä palvelimien käyttöoikeuksien valvonta sekä palosuojaus. Jos palvelukumppaninne käyttää alihankkijoita, myös näiden alihankkijoiden on täytettävä vaatimukset. Teidän palvelukumppaninne, rekisterin käsittelijä, vastaa omista alihankkijoistaan.

Palvelukumppanin pitää luetella kaikki käyttämänsä alihankkijat ja niiden sijaintimaa. Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle, ja jos siirretään, miten on varmistettu ulkopuolisen kolmannen osapuolen palvelun GDPR-valmius. Useimmat tunnetut kansainväliset toimijat (Google, Facebook, MailChimp jne) ovatkin jo toimittaneet yrityksille ja yhteisöille omat DPA:nsa hyväksyttäviksi.

Membookin sopimusehtoihin sisältyvässä DPA:ssa, eli tietosuojaliitteessä, kuvaamme nämä asiat omille asiakkaillemme. Liitteessä kerrotaan käytännöt ja periaatteet mm. tietojen käsittelyn tarkoituksesta, salassapidosta, alihankinnoista ja tietoturvasta. Voit tutustua tietosuojaliitteeseemme tarkemmin täällä: Membook tietosuojaliite (DPA)

4. YHTEENVETO

Tietosuoja-asetus eli GDPR ei ole projekti vaan prosessi, jos henkilötietojen käsittely on yhdistyksessäsi arkipäivää. Tietosuojatyö jatkuu joka päivä 25.5. jälkeenkin. Vielä vinkiksi tärkeimmät asiat yhdistyksille:

  1. Selvitä missä henkilörekistereitä käytetään ja missä kaikkialla niitä on

  2. Selvitä, kuka tietoja käsittelee ja millä oikeuksilla

  3. Dokumentoi henkilörekisterien tarkoitus, peruste sekä niiden käsittelijät ja säilytyspaikat

  4. Dokumentoi käsittelyoikeudet (kuka, mitä ja miksi)

  5. Varmista alihankinnat sopimuksin (tietosuoja-asetuksen sopimusliite eli DPA). Olet vastuussa omista alihankkijoistasi ja heidän toimintansa lainmukaisuudesta.

  6. Siivoa vanhat rekisterit, poista tarvittaessa kaikki ylimääräiset tiedot, ja huolehdi pseudonymisoinnista esim. tilastoja varten.

  7. Seuraa tilannetta ja tulkintoja

  8. Paranna ja kehitä tarpeen mukaan.