Yhdistysten digitoiminnan käsikirja/Liite 2: Tietosuojasta huolehtiminen
Yhdistyksen tulee henkilötietojen käsittelyssä noudattaa Yhdistyslakia 503/1989, EU:n yleistä tietosuoja-asetusta (GDPR) ja Suomen tietosuojalakia 1050/2018. Yhdistyksiä varten on Tietosuovaltuutetun toimisto julkaissut erityisohjeen “Henkilötietojen käsittely yhdistystoiminnassa”. https://tietosuoja.fi/documents/6927448/10594424/Henkil%C3%B6tietojen+k%C3%A4sittely+yhdistystoiminnassa/3f0e1e72-ec39-a103-4de9-df5a730ed226/Henkil%C3%B6tietojen+k%C3%A4sittely+yhdistystoiminnassa.pdf
Henkilötietoihin nähden yhdistyksellä on pääsääntöisesti rekisterinpitäjän rooli, joissakin tapauksissa yhdistys hoitaa toisen yhdistyksen tai yhteisön henkilötietoja ja tällöin yhdistys on tältä osin henkilötietojen käsittelijän roolissa. Näillä rooleilla on eri vastuut. Jatkossa käsitellään yhdistystä rekisterinpitäjän roolissa.
GDPR:n mukaan yhdistyksellä on osoittamisvelvollisuus siitä, miten se toteuttaa GDPR:n vaatimuksia. Tämän todistustaakan voi toteuttaa laatimalla yhdistykselle tietosuojan omavalvontasuunnitelman. Tässä alla on esimerkki omavalvontasuunnitelmasta, johon on koottu kaikki asetuksen vaatimat velvoitteet.
Tällainen suunnitelma on hyvä tehdä nykytilanteesta, sillä samalla paljastuvat mahdolliset puutteet. Suunnitelmasta on hyötyä myös silloin, kun on tarve hankkia uusi tietojenkäsittelypalvelu, johon liittyy henkilötietojen käsittelyä.
Rekisterinpitäjän velvoitteena on valvoa, että palvelu on GDPR:n mukainen ja palvelusta on kirjallinen sopimus.
Yhdistyksen etätoiminnoissa on tärkeää tarkistaa, että kaikki käytettävät palvelut ovat GDPR-kelpoisia ja palvelun toimittaja on sitoutunut GDPR:ää noudattamaan.
Seloste käsittelytoimista.
Selosteen on asetuksen mukaan oltava kirjallisessa muodossa, ja se on pyydettäessä toimitettava viranomaiselle. Osana läpinäkyvää informaation käsittelyä on hyvä julkaista seloste esimerkiksi yhdistyksen verkkosivuilla.
Lue lisää: tietosuoja.fi/seloste-kasittelytoimista
Esimerkki yksinkertaisesta tietosuojaselosteesta (IT-kouluttajat ry): https://itko.tivia.fi/tietosuojaselosteet/
Esimerkki omavalvontasuunnitelma muokkaa
Tietosuojan omavalvontasuunnitelma muokkaa
Yhdistys ry muokkaa
Tietosuojalupaus muokkaa
Pidämme henkilötietojen turvallisuudesta huolta tietosuojalainsäädännön mukaisesti. Järjestelmämme ovat suojattuja, emmekä anna tietoja kolmannelle osapuolelle ilman ko. henkilön lupaa.
Tietovuodon (tietoturvaloukkauksen) sattuessa muokkaa
Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi:
- kadonnut tiedonsiirtoväline, esim. USB-tikku
- varastettu tietokone
- hakkerointi tai haittaohjelmatartunta
- kyberhyökkäys
- tiliotteen postitus väärälle henkilölle
Jos ilmenee, että on tapahtunut tietoturvaloukkaus, niin asiasta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta.
Ilmoituksen voi tehdä sähköisesti osoitteessa
https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
tai toimistoon.
Tietosuojavaltuutetun toimisto
Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki
Postiosoite: PL 800, 00521 Helsinki
Sähköposti: tietosuoja@om.fi
Vaihde: 029 56 66700
Jos on syytä epäillä, että vuodosta on haittaa henkilötiedon henkilölle itselleen, myös häntä tulee informoida.
Henkilörekisterit muokkaa
Kaikilta henkilötietojen käsittelijöiltä on pyydetty henkilötietojen käsittelyä koskeva sopimus ja sopimukset on allekirjoitettu.
Käytämme yhdistyksen asioiden hoidossa GDPR-vaatimukset täyttäviä pilvipalveluita.
Sopimukset sisältävät rekisteröidyn oikeudet ja miten ne toteutuvat, käsittelijän tietosuojaselosteen kustakin henkilörekisteristä, rekisterien käsittelykuvaukset sekä tiedot siitä, keillä on oikeudet käsitellä henkilötietoja.
1. Jäsenrekisteri
- Prosessikuvaus
- Tietosuojaseloste
- Käsittelypalvelu Oy:n sopimus ja tietosuojasitoumus
2. Henkilökunta- ja yhteistyökumppanirekisteri
- Prosessikuvaus
- Tietosuojaseloste
Omavalvontasuunnitelman ylläpito ja henkilötietojen hoitajien jatkuva perehdyttäminen muokkaa
Omavalvontasuunnitelman ajan tasalla pito sekä toimihenkilöiden ja muiden yhdistyksen henkilötietoja hoitavien ihmisten perehdyttäminen on hallituksen puheenjohtajan vastuulla. Omavalvontasuunnitelman läpikäynti on sidottu yhdistyksen vuosisuunnittelun osaksi.
Kenelle henkilötietoja saa antaa? muokkaa
Ote Tietosuovaltuutetun toimiston ohjeesta “Henkilötietojen käsittely yhdistystoiminnassa”:
“Yhdistyksen jäsentietojen käsittelyn tarkoitukseen voi kuulua jäsenten välinen yhteydenpito. Yhteydenpito voi edellyttää sitä, että yhdistys antaa jäsenelle muiden jäsenten yhteystietoja. Käsittelyn tarkoitusta arvioidaan yhdistyksen sääntöjen ja yhdistyksen toiminnan tarkoituksen perusteella. Yhdistyksen säännöistä ja tarkoituksesta on ilmettävä, että jäsentietoja voidaan antaa muille jäsenille. Jäsentietojen antamisen on oltava yhteensopivaa tiedoille määritellyn käyttötarkoituksen kanssa. Jäsenille on annettava etukäteen tieto siitä, että tietoja annetaan muille jäsenille ja heitä on muutoinkin informoitava henkilötietojen käsittelystä. Tämä on tärkeää myös siksi, että henkilöllä saattaa olla turvakielto tai hän ei muutoin halua tietojaan jaettavan muille. Jäsenellä on oikeus vastustaa henkilötietojensa luovuttamista muille jäsenille.” Tässä ohjeessa on myös erityisohjeita urheiluseuroja varten.
Periaate on se, että yhdistystoiminnassa henkilötiedon antamiseen tarvitaan aina henkilön suostumus joitakin viranomaisten tietopyyntöjä lukuunottamatta.
Yhdistyslain mukaan yhdistyksen tulee pitää jäsenrekisteriä, jossa on jokaisen jäsenen täydellinen nimi ja kotipaikkakunta. Näihin lakisääteisiin tietoihin jokaisella yhdistyksen jäsenellä on oikeus tutustua.
Hyödyllisiä linkkejä muokkaa
- Tietosuojavaltuutetun toimisto: https://tietosuoja.fi/usein-kysyttya-yhdistystoiminta
- Yhdistysten tietosuojaopas (PDF)
- Esimerkki yksinkertaisesta tietosuojaselosteesta (IT-kouluttajat ry)