GDPR kirjainyhdistelmä on keikkunut monien huulilla tämän kevään aikana. Mitä tuo kirjainyhdistelmä oikein tarkoittaakaan ja mitä toimenpiteitä sen pohjalta edellytetään? Tässä tekstissä on koottuna muutamia asioita ja starttiaskelia asetuksen tiimoilta.
GDPR tiivistetysti
GDPR lyhenne tulee sanoista The General Data Protection Regulation. Toisin ilmaistuna kyseessä on EU:n tietosuoja-asetus. Nimenomaan kyseessä on asetus eikä direktiivi, joten kaikkien jäsenmaiden on noudatettava tätä. Asetus astuu voimaan 25.5.2018. Lyhykäisyydessään asetus säätää EU:n kansalaisten oikeuksista tietosuojaan ja omien henkilötietojen luottamukselliseen käsittelyyn. Tavoitteena on myös yhtenäistää EU-alueen hajanaiset tietosuojakäytännöt yhtenäiseksi.
Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, pelitilastot, terveystiedot yms. Henkilörekistereitä ovat puolestaan listat ja muut materiaalit, missä henkilötietoja esiintyy, kuten vaikkapa jäsenrekisteri. Vaikka asetus teettääkin hieman töitä, on sen tarkoitusperä hyvä. Asetuksen laiminlyöminen voi pahimmillaan johtaa hyvinkin reippaisiin sakkoihin. Vaikka lähtökohtaisesti Liitokiekkoliitto ja ultimateseurat eivät ole isoin riskikohde, on asiaan hyvä suhtautua riittävällä vakavuudella.
Ensiaskeleet tietosuoja-asetuksessa
Ensin on hyvä perehtyä tietosuojaa koskeviin materiaaleihin sekä hahmottaa kokonaiskuva seurassa olevista henkilörekistereistä ja tietojen käsittelyn nykytilasta.
Käytännössä seuran on tiedettävä mitä henkilörekistereitä on olemassa ja missä ne sijaitsevat. Oleellista myös on, kuka niihin pääsee käsiksi. Olemassa olevista henkilörekistereistä on siivottava vanhat ja ylimääräiset tiedot pois, eli sellaiset mille ei ole tietosuoja-asetuksen mukaista perustetta. Henkilötietojen ja rekistereiden riittävä suojaus on myös hyvä muistaa.
Jatkossa tietoja kerättäessä on myös hyvä miettiä, onko tiedon keräämiseen riittävät perusteet ja kuinka kauan tietoja säilytetään. Tietoihin pääsy tulee olla myös rajoitettu vain niille, joilla on siihen perusteltu syy.
Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti. Yhdistyksiä velvoitetaan yhdistyslain perusteella tiettyjen tietojen keräämiseen. Yhdistyslakiin pääset tutustumaan tarkemmin tästä.
Käytännössä esimerkiksi turnauksen ilmoittautumislomakkeeseen, jossa kysytään vain vaikkapa yhteyshenkilöä, riittää maininta tietojen keräämisestä vain tätä tarkoitusta varten. Jos taas kysytään henkilötunnusta tai vastaavaa paljon henkilökohtaisempaa tietoa, olisi lomakkeessa hyvä olla erillinen kohta tietojen luovuttamisen hyväksymiselle. Tällaisissa tapauksissa kohta ei saa olla valmiiksi täytetty, vaan henkilön pitää itse hyväksyä kohta.
Niin liiton kuin seurojen on tehtävä lisäksi tietosuojaseloste. Tietosuojaselosteen ideana on, että henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla esimerkiksi verkkosivuilla. Silloin kuin pyydetään erillistä suostumusta, on tietosuojaselosteen hyvä olla esimerkiksi suorana linkkinä lomakkeen yhteydessä. Liiton tietosuojaseloste löytyy materiaalipankista täältä. Materiaalipankissa on myös seurojen käyttöön tarkoitettu muokattava versio.
Yhteenveto
Vaikka tietosuoja-asetus äkkiseltään saattaa tuntua mustalta aukolta, pääsee maalaisjärjellä jo hyvin alkuun. Tässä vielä muistilista tärkeimmistä asioista koskien tietosuoja-asetusta:
- Käydä läpi mitä henkilötietoja ja henkilörekistereitä seuralla on olemassa
- Poistaa turhat tai perusteettomat tiedot
- Selvittää kuka pääsee tietoihin käsiksi ja linjata kenellä on riittävä peruste päästä jatkossa tietoihin käsiksi
- Suojata henkilötietohin/rekistereihin pääsy
- Tehdä tietosuojaseloste
- Lisätä ilmoittautumislomakkeisiin joko maininta tietojen keräämisestä tai kohta suostumuksesta tietojen keräämiseen riippuen millaisia tietoja kerätään. Jos ei ole varma mikä on riittävä, kannattaa laittaa suostumuskohta.
Tässä vielä muutama suositeltu linkki: