Tietosuoja-asetus (GDPR) tulee automaattisesti suoraan sovellettavaksi lainsäädännöksi 25.5.2018 alkaen kaikissa EU-maissa. Asetuksen ja sitä täydentävän tietosuojalain sekä muun erityissääntelyn lisäksi Tietosuojavaltuutettu ja EU:n tietosuojaryhmä antavat ohjeita asetuksen soveltamisessa.
Tietosuojavaltuutetun www-sivuja onkin hyvä seurata säännölliseksi. Valtuutettu julkaisee malleja ja ohjeita asetuksen soveltamisesta. Seuranta kannattaa antaa tietosuojavastaavan / tietosuojasta vastaavan henkilön tehtäväksi.
Tässä kootusti muutamia huomioitavia asioita ja järjestöjä puhututtavia aiheita.
Sisäinen dokumentaatio ja prosessit kuntoon
Henkilötietojen käsittely tulee vaatimaan henkilötietojakäsitteleviltä organisaatioilta aiempaa järjestelmällisempää ja aktiivisempaa otetta. Tämä lähtee siitä, että jokaisen henkilötietojen käsittelijän on hahmotettava ja dokumentoitava kokonaiskuva oman organisaation henkilötietojen käsittelystä.
Järjestön tulee siis tehdä analyysi mitä rekistereitä on ja mitkä henkilötiedot kuuluvat mihinkin rekisteriin ja missä niitä säilytetään. Rekisteri ei siis välttämättä ole järjestelmäkohtainen vaan samaan rekisteriin kuuluvia henkilötietoja voi olla monessa paikassa myös paperisena tai sähköpostissa. Yhdistyksessä voi olla esimerkiksi jäsenrekisteri, koulutus- ja tapahtumarekisteri, Yhteistyö- ja sidosryhmärekisteri, vapaaehtoisrekisteri, rekisteri uutiskirjeensaajista ja lehtitilauksista, tiettyyn toimintaan liittyvä osallistujarekisteri sekä työsuhteeseen ja kirjanpitoon liittyviä rekistereitä.
Tietosuoja-asetuksen mukaan rekisterinpitäjän on osoitettava, että se noudattaa asetuksen mukaisia tietosuojaperiaatteita kaikissa henkilötietojen käsittelyvaiheissa.
Tämän täyttämiseksi jokaisen rekisterinpitäjän on arvioitava mitä periaatteet tarkoittavat käytännössä rekisterinpitäjän toiminnassa. Tietosuojavaltuutetun toimisto on laatinut asiasta ohjeen nimeltä seloste käsittelytoimista.
Tämän lisäksi sisäiseen dokumentaatioon on hyvä liittää vähintään nykytilan kuvaus, vastuuhenkilöt, prosessi tietosuojaloukkausten varalle, prosessi tietopyyntöjen varalle, Tietoturva ja ohjeistus henkilötietojen käsittelystä järjestössä. Dokumentaatiota ja selostetta on myös tarpeen mukaan päivitettävä!
Katso SOSTEn laatima tietosuojavastaavan GDPR-muistilista (pdf). Lista ei ole tyhjentävä mutta sillä pääsee alkuun.
Rekisteröityjen informointi ja muut oikeudet
Yksi rekisteröidyn oikeuksista on oikeus läpinäkyvään informaatioon koskien henkilötietojen käsittelyä. Tämä informaatio tulee antaa tiiviisti, selkeästi ja yksinkertaisesti, helposti ymmärrettävissä ja saatavilla olevassa muodossa. Hyvä tapa antaa informaatio on laatia asianmukaiset tietosuojaselosteet rekistereistä ja laittaa ne saataville mm. organisaation verkkosivuille. Asetus edellyttää, että tietosuojaseloste sisältää tietyt asiat.
Keskitetyt jäsenrekisterit
Monilla liitoilla on keskitetty jäsenrekisteri. Rekisterinpitäjä on se taho, jolla on päätäntävalta rekisterin käytöstä. Käsittelijä on se, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun. Kun järjestöllä on keskitetty jäsenrekisteri keskusjärjestön ja paikallisyhdistysten välille syntyy vähintään asetelma, jossa henkilötietojen (paikallisyhdistysten jäsentiedot) käsittelyä on ulkoistettu keskusjärjestölle.
Mikäli kyseessä ei ole puhdas tekninen ulkoistus järjestön tulee analysoida, ovatko em. tahot itsenäisiä rekisterinpitäjiä vai olisiko kyseessä ehkä yhteisrekisterinpitäjyys. Tämä selviää vastaamalla kysymykseen: Kuka päättää keskitetyn rekisterin keinoista ja käyttötarkoituksista? Jos keskusjärjestö ja paikallisyhdistykset yhdessä päättäisivät rekisteristä, voisi kyseeseen tulla yhteisrekisteripitäjyys. GDPR edellyttää, että yhteisrekisterinpitäjät sopivat keskenisäisellä järjestelyllä, läpinäkyvällä tavalla, GDPR:n mukaisten vastuiden ja velvoitteiden jakamisesta. Tässäkin tapauksessa olisi syytä olla osapuolten välillä sopimus.
Kolmantena vaihtoehtona on tilanne, jossa keskusjärjestö käsittelee jäsentietoja käsittelijänä, mutta paikallisyhdistys luovuttaa jäsentietoja keskusjärjestölle esimerkiksi lehden postitusta ja muuta viestintää varten, jolloin keskusjärjestö on myös rekisterinpitäjä näihin tarkoituksiin.
Ennen kaikkea on tärkeää kuvata olemassa oleva tilanne sopimukseen ja tietosuojaselosteisiin.
SOSTE on laatinut ohjeistusta, mallisopimuksen ja -selosteen. Asiakirjat saa käyttöön allekirjoittaneelta 30.4. alkaen. Mallit ja listaukset ovat avuksi dokumentaatiossa ja suuntaa antavia. Jokaisen järjestön on käytävä läpi oma henkilötietojensa käsittely ja laadittavat tarpeelliset dokumentit.