Skip to content

Uusi tietosuoja-asetus astuu voimaan pian

23.4.2018 15.00

Sote-järjestöt
JärjestöhommissaGDPRTietosuojaSote-järjestöt

Tietosuoja-asetus (GDPR) tulee automaattisesti suoraan sovellettavaksi lainsäädännöksi 25.5.2018 alkaen kaikissa EU-maissa. Asetuksen ja sitä täydentävän tietosuojalain sekä muun erityissääntelyn lisäksi Tietosuojavaltuutettu ja EU:n tietosuojaryhmä antavat ohjeita asetuksen soveltamisessa.

Tietosuojavaltuutetun www-sivuja onkin hyvä seurata säännölliseksi. Valtuutettu julkaisee malleja ja ohjeita asetuksen soveltamisesta. Seuranta kannattaa antaa tietosuojavastaavan / tietosuojasta vastaavan henkilön tehtäväksi.

Tässä kootusti muutamia huomioitavia asioita ja järjestöjä puhututtavia aiheita.

Sisäinen dokumentaatio ja prosessit kuntoon

Henkilötietojen käsittely tulee vaatimaan henkilötietojakäsitteleviltä organisaatioilta aiempaa järjestelmällisempää ja aktiivisempaa otetta. Tämä lähtee siitä, että jokaisen henkilötietojen käsittelijän on hahmotettava ja dokumentoitava kokonaiskuva oman organisaation henkilötietojen käsittelystä.

Järjestön tulee siis tehdä analyysi mitä rekistereitä on ja mitkä henkilötiedot kuuluvat mihinkin rekisteriin ja missä niitä säilytetään. Rekisteri ei siis välttämättä ole järjestelmäkohtainen vaan samaan rekisteriin kuuluvia henkilötietoja voi olla monessa paikassa myös paperisena tai sähköpostissa. Yhdistyksessä voi olla esimerkiksi jäsenrekisteri, koulutus- ja tapahtumarekisteri, Yhteistyö- ja sidosryhmärekisteri, vapaaehtoisrekisteri, rekisteri uutiskirjeensaajista ja lehtitilauksista, tiettyyn toimintaan liittyvä osallistujarekisteri sekä työsuhteeseen ja kirjanpitoon liittyviä rekistereitä.

Tietosuoja-asetuksen mukaan rekisterinpitäjän on osoitettava, että se noudattaa asetuksen mukaisia tietosuojaperiaatteita kaikissa henkilötietojen käsittelyvaiheissa.

Tämän täyttämiseksi jokaisen rekisterinpitäjän on arvioitava mitä periaatteet tarkoittavat käytännössä rekisterinpitäjän toiminnassa. Tietosuojavaltuutetun toimisto on laatinut asiasta ohjeen nimeltä seloste käsittelytoimista.

Tämän lisäksi sisäiseen dokumentaatioon on hyvä liittää vähintään nykytilan kuvaus, vastuuhenkilöt, prosessi tietosuojaloukkausten varalle, prosessi tietopyyntöjen varalle, Tietoturva ja ohjeistus henkilötietojen käsittelystä järjestössä. Dokumentaatiota ja selostetta on myös tarpeen mukaan päivitettävä!

Katso SOSTEn laatima tietosuojavastaavan GDPR-muistilista (pdf). Lista ei ole tyhjentävä mutta sillä pääsee alkuun.

Rekisteröityjen informointi ja muut oikeudet

Yksi rekisteröidyn oikeuksista on oikeus läpinäkyvään informaatioon koskien henkilötietojen käsittelyä. Tämä informaatio tulee antaa tiiviisti, selkeästi ja yksinkertaisesti, helposti ymmärrettävissä ja saatavilla olevassa muodossa. Hyvä tapa antaa informaatio on laatia asianmukaiset tietosuojaselosteet rekistereistä ja laittaa ne saataville mm. organisaation verkkosivuille. Asetus edellyttää, että tietosuojaseloste sisältää tietyt asiat.

Keskitetyt jäsenrekisterit

Monilla liitoilla on keskitetty jäsenrekisteri. Rekisterinpitäjä on se taho, jolla on päätäntävalta rekisterin käytöstä. Käsittelijä on se, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun. Kun järjestöllä on keskitetty jäsenrekisteri keskusjärjestön ja paikallisyhdistysten välille syntyy vähintään asetelma, jossa henkilötietojen (paikallisyhdistysten jäsentiedot) käsittelyä on ulkoistettu keskusjärjestölle.

Mikäli kyseessä ei ole puhdas tekninen ulkoistus järjestön tulee analysoida, ovatko em. tahot itsenäisiä rekisterinpitäjiä vai olisiko kyseessä ehkä yhteisrekisterinpitäjyys. Tämä selviää vastaamalla kysymykseen: Kuka päättää keskitetyn rekisterin keinoista ja käyttötarkoituksista? Jos keskusjärjestö ja paikallisyhdistykset yhdessä päättäisivät rekisteristä, voisi kyseeseen tulla yhteisrekisteripitäjyys. GDPR edellyttää, että yhteisrekisterinpitäjät sopivat keskenisäisellä järjestelyllä, läpinäkyvällä tavalla, GDPR:n mukaisten vastuiden ja velvoitteiden jakamisesta. Tässäkin tapauksessa olisi syytä olla osapuolten välillä sopimus.

Kolmantena vaihtoehtona on tilanne, jossa keskusjärjestö käsittelee jäsentietoja käsittelijänä, mutta paikallisyhdistys luovuttaa jäsentietoja keskusjärjestölle esimerkiksi lehden postitusta ja muuta viestintää varten, jolloin keskusjärjestö on myös rekisterinpitäjä näihin tarkoituksiin.

Ennen kaikkea on tärkeää kuvata olemassa oleva tilanne sopimukseen ja tietosuojaselosteisiin.

SOSTE on laatinut ohjeistusta, mallisopimuksen ja -selosteen. Asiakirjat saa käyttöön allekirjoittaneelta 30.4. alkaen. Mallit ja listaukset ovat avuksi dokumentaatiossa ja suuntaa antavia. Jokaisen järjestön on käytävä läpi oma henkilötietojensa käsittely ja laadittavat tarpeelliset dokumentit.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Järjestöhommissa -blogi

Kaikki blogin artikkelit
Blogi
erityisasiantuntija, koulutukset ja tapahtumat

16.3.2021 13:00

Huomaatko virtuaalitapahtuman hyvät puolet?

SOSTEtalk! SOSTEtalk! 2021 järjestetään virtuaalitapahtumana koronapandemiatilanteen ja -rajoitusten vuoksi. Virtuaalitapahtumassa emme saa samaa osallistumisen ja elämysten kokemusta kuin livetapahtumassa. Toisaalta, asian voi kääntää toisin päin ja voimme kysyä, mitä uutta tai parempaa virtuaalitapahtuma tarjoaa? Osallistua voit mistä vain Tapahtumaan osallistut oman tietokoneen tai mobiililaitteen kautta, lisäksi tarvitset vain nettiyhteyden. Sinun ei tarvitse matkustaa tapahtumapaikalle halki Suomen […]

Blogi

11.12.2020 11:00

Tunnistatko vaikuttavuuden solmukohtia?

Järjestöille Vaikuttavuuden arviointi tai toiminnan tulosten tarkastelu ei ole aina helppoa. Siinä missä me SOSTEssa olemme nähneet oppimista vaikuttavuutta käsitelleissä sparrauksissa ja koulutuksissa, olemme myös itse oppineet niissä erilaisista vaikuttavuuden arvioinnin solmukohdista. Jos jokin tuloksellisuuden arvioinnissa on sinua tökkinyt, olisikohan sinullakin jokin seuraavista kuudesta solmukohdasta avaamatta. Tiedolliset solmukohdat Kolme ensimmäistä solmukohtaa ovat kaikille yhteisiä. Niitä voi […]

Blogi

10.11.2020 10:00

Mitä eroa on tietosuojalla ja tietoturvalla?

Sote-järjestöt Tietosuojasta ja tietoturvasta puhuttaessa nämä käsitteet menevät usein sekaisin keskenään, samoin kuin näiden käsitteiden sisältämät asiat. Käsitteiden sekoittuminen puhekielessä ei ole vaarallista, mutta helpottaa keskustelua ja omaa ymmärrystä, kun hahmottaa, mitä milläkin käsitteellä tarkoitetaan. Tietosuojan tavoite on rekisteröidyn eli yksittäisen henkilön, jonka tietoja käsitellään, luottamuksen ja oikeuksien – kuten yksityisyyden – turvaaminen henkilötietoja käsiteltäessä. Tietoturvan […]