Skip to content

Uusi tietosuoja-asetus astuu voimaan pian

23.4.2018 15.00

Sote-järjestöt
JärjestöhommissaGDPRTietosuojaSote-järjestöt

Tietosuoja-asetus (GDPR) tulee automaattisesti suoraan sovellettavaksi lainsäädännöksi 25.5.2018 alkaen kaikissa EU-maissa. Asetuksen ja sitä täydentävän tietosuojalain sekä muun erityissääntelyn lisäksi Tietosuojavaltuutettu ja EU:n tietosuojaryhmä antavat ohjeita asetuksen soveltamisessa.

Tietosuojavaltuutetun www-sivuja onkin hyvä seurata säännölliseksi. Valtuutettu julkaisee malleja ja ohjeita asetuksen soveltamisesta. Seuranta kannattaa antaa tietosuojavastaavan / tietosuojasta vastaavan henkilön tehtäväksi.

Tässä kootusti muutamia huomioitavia asioita ja järjestöjä puhututtavia aiheita.

Sisäinen dokumentaatio ja prosessit kuntoon

Henkilötietojen käsittely tulee vaatimaan henkilötietojakäsitteleviltä organisaatioilta aiempaa järjestelmällisempää ja aktiivisempaa otetta. Tämä lähtee siitä, että jokaisen henkilötietojen käsittelijän on hahmotettava ja dokumentoitava kokonaiskuva oman organisaation henkilötietojen käsittelystä.

Järjestön tulee siis tehdä analyysi mitä rekistereitä on ja mitkä henkilötiedot kuuluvat mihinkin rekisteriin ja missä niitä säilytetään. Rekisteri ei siis välttämättä ole järjestelmäkohtainen vaan samaan rekisteriin kuuluvia henkilötietoja voi olla monessa paikassa myös paperisena tai sähköpostissa. Yhdistyksessä voi olla esimerkiksi jäsenrekisteri, koulutus- ja tapahtumarekisteri, Yhteistyö- ja sidosryhmärekisteri, vapaaehtoisrekisteri, rekisteri uutiskirjeensaajista ja lehtitilauksista, tiettyyn toimintaan liittyvä osallistujarekisteri sekä työsuhteeseen ja kirjanpitoon liittyviä rekistereitä.

Tietosuoja-asetuksen mukaan rekisterinpitäjän on osoitettava, että se noudattaa asetuksen mukaisia tietosuojaperiaatteita kaikissa henkilötietojen käsittelyvaiheissa.

Tämän täyttämiseksi jokaisen rekisterinpitäjän on arvioitava mitä periaatteet tarkoittavat käytännössä rekisterinpitäjän toiminnassa. Tietosuojavaltuutetun toimisto on laatinut asiasta ohjeen nimeltä seloste käsittelytoimista.

Tämän lisäksi sisäiseen dokumentaatioon on hyvä liittää vähintään nykytilan kuvaus, vastuuhenkilöt, prosessi tietosuojaloukkausten varalle, prosessi tietopyyntöjen varalle, Tietoturva ja ohjeistus henkilötietojen käsittelystä järjestössä. Dokumentaatiota ja selostetta on myös tarpeen mukaan päivitettävä!

Katso SOSTEn laatima tietosuojavastaavan GDPR-muistilista (pdf). Lista ei ole tyhjentävä mutta sillä pääsee alkuun.

Rekisteröityjen informointi ja muut oikeudet

Yksi rekisteröidyn oikeuksista on oikeus läpinäkyvään informaatioon koskien henkilötietojen käsittelyä. Tämä informaatio tulee antaa tiiviisti, selkeästi ja yksinkertaisesti, helposti ymmärrettävissä ja saatavilla olevassa muodossa. Hyvä tapa antaa informaatio on laatia asianmukaiset tietosuojaselosteet rekistereistä ja laittaa ne saataville mm. organisaation verkkosivuille. Asetus edellyttää, että tietosuojaseloste sisältää tietyt asiat.

Keskitetyt jäsenrekisterit

Monilla liitoilla on keskitetty jäsenrekisteri. Rekisterinpitäjä on se taho, jolla on päätäntävalta rekisterin käytöstä. Käsittelijä on se, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja lukuun. Kun järjestöllä on keskitetty jäsenrekisteri keskusjärjestön ja paikallisyhdistysten välille syntyy vähintään asetelma, jossa henkilötietojen (paikallisyhdistysten jäsentiedot) käsittelyä on ulkoistettu keskusjärjestölle.

Mikäli kyseessä ei ole puhdas tekninen ulkoistus järjestön tulee analysoida, ovatko em. tahot itsenäisiä rekisterinpitäjiä vai olisiko kyseessä ehkä yhteisrekisterinpitäjyys. Tämä selviää vastaamalla kysymykseen: Kuka päättää keskitetyn rekisterin keinoista ja käyttötarkoituksista? Jos keskusjärjestö ja paikallisyhdistykset yhdessä päättäisivät rekisteristä, voisi kyseeseen tulla yhteisrekisteripitäjyys. GDPR edellyttää, että yhteisrekisterinpitäjät sopivat keskenisäisellä järjestelyllä, läpinäkyvällä tavalla, GDPR:n mukaisten vastuiden ja velvoitteiden jakamisesta. Tässäkin tapauksessa olisi syytä olla osapuolten välillä sopimus.

Kolmantena vaihtoehtona on tilanne, jossa keskusjärjestö käsittelee jäsentietoja käsittelijänä, mutta paikallisyhdistys luovuttaa jäsentietoja keskusjärjestölle esimerkiksi lehden postitusta ja muuta viestintää varten, jolloin keskusjärjestö on myös rekisterinpitäjä näihin tarkoituksiin.

Ennen kaikkea on tärkeää kuvata olemassa oleva tilanne sopimukseen ja tietosuojaselosteisiin.

SOSTE on laatinut ohjeistusta, mallisopimuksen ja -selosteen. Asiakirjat saa käyttöön allekirjoittaneelta 30.4. alkaen. Mallit ja listaukset ovat avuksi dokumentaatiossa ja suuntaa antavia. Jokaisen järjestön on käytävä läpi oma henkilötietojensa käsittely ja laadittavat tarpeelliset dokumentit.

Vastaa

Sähköpostiosoitettasi ei julkaista.

Järjestöhommissa -blogi

Kaikki blogin artikkelit
Blogi
asiantuntijalääkäri

12.4.2022 13:00

Blondi tuli taloon

Hyvinvointi ja terveys Ensimmäinen kuukausi SOSTEn asiantuntijalääkärinä on takana. Vauhtia on piisannut, mutta vaaralliset tilanteet ovat olleet onneksi Suomen rajojen ulkopuolella. Olen koulutukseltani yleislääketieteen erikoislääkäri, ja aiemmissa töissä olen toiminut kliinisessä työssä niin julkisella kuin yksityisellä sektorilla. Ukrainan sota on palauttanut vahvasti mieleeni palvelun Sotainvalidien Veljesliiton Kyyhkylän kuntoutussairaalassa. Sote-uudistuksen kanssa olen paininut kaikilla tuotantokausilla niin kunnan, kuntayhtymän kuin […]

Blogi

23.11.2021 09:00

Kiteytä, ihminen!

Järjestöille Otsikon huudahduksen voisi moni meistä itselleen toisinaan todeta, ja vaikuttavuusasioissa jos missä tätä tarvitaankin. Olemme järjestäneet vuoden aikana työpajoja, joissa on käsitelty sitä, miten voi parantaa oman toiminnan tuloksellisuuden hahmottamista ja vaikutusketjun kuvaamista. Mitä tapaamisista on jäänyt käteen? Paljonkin – niin osallistujille kuin vetäjille. Yhteen kokoontumalla ja yhdessä pohtimalla tapahtuu oppimista ja syntyy oivalluksia. Yllätys […]

Blogi
erityisasiantuntija, koulutukset ja tapahtumat

16.3.2021 13:00

Huomaatko virtuaalitapahtuman hyvät puolet?

SOSTEtalk! SOSTEtalk! 2021 järjestetään virtuaalitapahtumana koronapandemiatilanteen ja -rajoitusten vuoksi. Virtuaalitapahtumassa emme saa samaa osallistumisen ja elämysten kokemusta kuin livetapahtumassa. Toisaalta, asian voi kääntää toisin päin ja voimme kysyä, mitä uutta tai parempaa virtuaalitapahtuma tarjoaa? Osallistua voit mistä vain Tapahtumaan osallistut oman tietokoneen tai mobiililaitteen kautta, lisäksi tarvitset vain nettiyhteyden. Sinun ei tarvitse matkustaa tapahtumapaikalle halki Suomen […]