Olet täällä

Järjestöt ja tietosuoja

Jaa +

25.5.2018 voimaan astunut EU:n yleinen tietosuoja-asetus koskettaa monin tavoin myös yhdistyksiä. Henkilötietojen turvaamiseen kiinnitetään nyt aiempaa enemmän huomiota. Tälle sivulle on koottu hieman perustietoa tietosuoja-asetuksen sisällöstä ja siitä, miten yhdistysten tulisi tietosuoja-asioihin suhtautua.

Yhdistyksen keräämät henkilötiedot

Yleisessä yhdistystoiminnassa kerätään runsaasti henkilötietoja. Kaikilla yhdistyksillä on esimerkiksi oltava jäsenluettelo jäsentensä täydellisistä nimistä sekä kotipaikkakunnista. Muita tavallisia tapauksia henkilötietojen keräämisessä ovat esim. tapahtumien ilmoittautumistiedot ja tiedotuslistojen osoitetiedot.

Jäsenluettelo muodostaa oman henkilötietorekisterinsä. Siihen on jokaisen yhdistyksen merkittävä vähintään jäsenen täydellinen nimi (kaikki etu- ja sukunimet) sekä kotipaikka. Usein samaan rekisteriin on kerätty myös muita tietoja, kuten jäsenyyden alkamisvuosi, tiedot jäsenmaksun suorittamisesta tai yleiset yhteystiedot. Tietojen säilyttäminen samassa rekisterissä on tavallisesti kätevin tapa säilyttää tietoja, mutta niiden keräämiselle on oltava erillinen peruste ja tarkoitus.

Kokosimme alle yleisiä ohjeita henkilötietojen keräämisen varalle. Tarkemmin tietosuoja-asioissa kannattaa kääntyä kuitenkin tietosuojavaltuutetun puoleen: www.tietosuoja.fi.

Tietojen kerääminen

  • Kerää vain niitä tietoja, joita tarvitset.
  • Kerro rekisteröidylle, miten tietoja tullaan käyttämään.
    • Tee vähintään linkitys yhdistyksen tietosuojailmoitukseen.
    • Kerro tietojen keräämisen yhteydessä kuitenkin myös tarkemmin, mihin juuri sillä kerralla kerättyjä tietoja tullaan käyttämään, erityisesti jos tietojen keräämisen tarkoitus ei ole itsestään selvä.

Tietojen säilyttäminen

  • Säilytä tietoja turvallisessa paikassa.
  • Tietojen on oltava helppoa suojata ja hallita. Esim. yleisimmissä tekstinkäsittely- tai taulukkolaskentaohjelmissa on mahdollista suojata tiedosto salasanalla.
  • Kaikki olemassa olevat rekisterit on oltava helposti löydettävissä.
  • HUOM! Myös tietojen palautettavuus on tärkeää.
  • Tiedot poistettava käsittelyn jälkeen, jos ne eivät kuulu arkistoitavaan materiaaliin.
    • Käytännössä voidaan poistaa, kun tietoja ei enää tarvita eikä niille ole myöskään lain mukaista säilytysvelvollisuutta (esim. mahd. valitusaika). Jos kuitenkin esim. tapahtuma maksamatta, tiedot luonnollisesti on säilytettävä maksun perimisen ajan. Pieni joustovara kannattaa kuitenkin jättää siltä varalta, että tietoja tarvittaisiinkin vielä jostain syystä. Esim. tapahtumissa tämä voisi tarkoittaa, että tiedot poistetaan kuukausi tapahtuman jälkeen. Osa materiaalista tulee säilyttää tietyn ajan, ja joissakin tapauksissa myös arkistointi tulee kyseeseen. Esim. kirjanpitotiedot tulee säilyttää vähintään 6 tai 10 vuotta, riippuen aineistosta.

Tietojen luovuttaminen

  • Jos tietojen käsittely luovutetaan kolmansille osapuolille, tästä pitää aina olla sopimus tehtynä.
  • Luovuttamisesta pitää ilmoittaa tietoja kerättäessä.

Tietopyynnöt

Rekisteröidyillä on oikeus saada pääsy tietoihinsa ja joissain tilanteissa myös muita oikeuksia, kuten oikeus tulla unohdetuksi ja oikeus rajoittaa tietojen käsittelyä.

  • Jos joku esittää pyynnön oikaista omia tietojaan, virheelliset tiedot pitää korjata ajantasaisiksi. Korjauksen voi tehdä joko pyytäjä tai rekisterinpitäjä.

Tietomurrot

Tietomurtotapauksissa voi aktualisoitua velvollisuus ilmoittaa murrosta mahdollisimman pikaisesti rekisteröidylle ja/tai 72 tunnin sisällä sen havaitsemisesta valvontaviranomaiselle.

Toimenpiteet käytännössä tietomurron tapahtuessa:

  1. Selvitetään loukkauksen laatu
    • Aiheutuuko tietoturvaloukkauksesta todennäköisesti luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Asian arvioinnissa kannattaa käyttää varovaisuutta ja maalaisjärkeä. Huomioon olisi otettava tietoturvarikkomuksen tyyppi; henkilötietojen luonne, arkaluonteisuus ja määrä; tunnistamisen helppous; rekisteröidyn ominaisuudet; rekisterinpitäjän ominaisuudet; tietovuodon seurauksien vakavuus. Tarkemmin huomioon otettavista seikoista ks. http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tietoturvaloukkaukset.html
      • Jos vastaus on ei, ilmoitusvelvollisuutta viranomaiselle tai rekisteröidylle ei lähtökohtaisesti ole.
      • Jos vastaus on kyllä, pitää tietoturvaloukkauksesta ilmoittaa tietosuojavaltuutetun toimistoon.
    • Aiheutuuko tietoturvaloukkauksesta todennäköisesti korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille.
      • Jos vastaus on ei, ilmoitusvelvollisuutta rekisteröidylle ei ole.
      • Jos vastaus on kyllä, pitää tietoturvaloukkauksesta ilmoittaa lähtökohtaisesti myös rekisteröidylle. Ilmoitusta ei kuitenkaan tarvitse tehdä, jos jokin seuraavista edellytyksistä täyttyy:
        • rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettava kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;
        • rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin todennäköisesti kohdistuva korkea riski ei enää todennäköisesti toteudu;
        • se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidylle tiedotetaan yhtä tehokkaalla tavalla.
  2. Ilmoitetaan loukkauksesta tarvittaessa viranomaiselle ja/tai rekisteröidylle. Tietosuojavaltuutetun toimistolle tiedot on annettava viimeistään 72 tunnin kuluessa loukkauksen ilmitulosta ja rekisteröidylle ilman aiheetonta viivytystä. Jos tietoja viranomaiselle ei ole mahdollista toimittaa samanaikaisesti, voidaan ne toimittaa vaiheittain ilman aiheetonta viivytystä. Ilmoituksessa on vähintään
    • kuvattava henkilötietojen tietoturvaloukkaus, ml. mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät (tämä tarvitsee selvittää vain viranomaiselle, muttei rekisteröidylle);
    • ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
    • kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
    • kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
  3. Tehdään asiasta rikosilmoitus poliisille, jos epäillään, että kyseessä voisi olla rikollinen teko. Rikoslain 38 luvussa on määritelty erityisesti tieto- ja viestintärikoksia. Esimerkiksi luvun 8 §:ssä säädetään tietomurrosta.
  4. Suoritetaan korjaavia toimenpiteitä, joilla voidaan ehkäistä tietoturvaloukkausten riskiä tulevaisuudessa ja ehkäistä loukkauksesta mahdollisesti aiheutuvia haitallisia seurauksia rekisteröidylle.
  5. Dokumentoidaan tietoturvaloukkaus ja siihen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet siten, että valvontaviranomainen voi tarkistaa asetusta noudatetun.
Viimeksi päivitetty: 01.06.2018 klo 09:40