Uutiset

 25.5.2018 alkaen tulee soveltaa EU:n yleistä tietosuoja-asetusta*. Asetus koskee kaikkia niitä Suomessa toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja, olipa kyseessä sitten iso pörssiyritys, säätiö, yhdistys tai julkishallinnon organisaatio. Koska lähes kaikissa organisaatioissa ylläpidetään jonkinlaista henkilörekisteriä (mm. asiakas- tai jäsenrekisteriä), on asetuksen soveltamisala varsin laaja. EU:n tietosuoja-asetukseen on syytä suhtautua vakavasti, sillä siihen liittyvien rikkomusten hallinnollinen sakko on maksimissaan 20 miljoonaa euroa tai 4 % organisaation edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi näistä on suurempi.

Vaikutus seuratoiminnassa

Peruslähtökohta tässä asetuksessa on yksityisyyden suoja. Tämä asia on tärkeää huomioida seuratoiminnassa. Jäseniltä ja seuran toimintaan osallistuvilta kerätään henkilötietoja. Ennen tiedon keräämistä tulee määritellä käyttötarkoitus, ja tietoja voidaan kerätä vain, jos käytöllä on seuran ja liiton toimintaan perustuva syy. Käyttötarkoitus kerrotaan henkilöille tietoa kerättäessä, ja tätä kerättyä tietoa käytetään vain tähän etukäteen määriteltyyn tarkoitukseen (esimerkiksi jäsentiedottaminen). Aina on mahdollista pyytää lupa myös muihin käyttötarkoituksiin (esimerkiksi kaupalliseen mainontaan).

Henkilötietojen säilyttämisessä on oltava tarkkana. Henkilötiedot tulee säilyttää niin, ettei niihin pääse käsiksi mikään ulkopuolinen taho. Seuran jäsensihteerin tai jokaisen, joka käsittelee henkilötietoja, pitää ymmärtää vastuunsa henkilötietojen suojelijana. Jäsenrekisterin käyttöön saadut tunnukset ovat aina henkilökohtaisia, eikä niitä voi luovuttaa toiselle henkilölle eteenpäin.

Seurojen tulee tunnistaa mitä tietoja heillä kerätään – onko edelleen sekä paperisia henkilötietolistoja että sähköisiä rekistereitä – ja siivota tarpeettomat. Seurojen tulee tunnistaa, mihin tietoja käytetään ja miten tiedot säilytetään. On hyvä tarkistaa, että tietojen käsittely on lainmukaista, luottamuksellista ja asianmukaista ja määritellä, kuka seurassa vastaa tietosuoja-asetuksen noudattamisesta.

Tee rekistereistä tietosuojaseloste

Tietosuojaselosteesta henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on. Tietosuojaselosteen pitää olla saatavilla suostumuksen antamisen yhteydessä esimerkiksi linkkinä verkkosivuilla.
Nykyisen henkilörekisterilain mukaan rekisteriselosteessa on oltava seuraavat tiedot:

• rekisterinpitäjä (meidän tapauksessamme seura tai Sukeltajaliitto)
• yhteyshenkilö 
• rekisterin nimi 
• tietojen käsittelyn tarkoitus 
• rekisterin tietosisältö 
• säännönmukaiset tietolähteet 
• tietojen säännönmukaiset luovutukset 
• tietojen siirto EU/ETA-alueen ulkopuolelle 
• rekisterin suojauksen periaatteet

Uuden tietosuoja-asetuksen mukaan tietosuojaselosteen pitää lisätä näiden lisäksi vielä seuraavat kohdat:

• tarkastusoikeus
• oikeus vaatia tietojen korjausta 
• muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuojaselosteita koottaessa on hyvä käydä läpi myös sopimukset ulkoisten palvelutuottajien ja yhteistyökumppaneiden kanssa. Tietosuojaselosteesta on käytävä ilmi kaikki ne osapuolet, joille tieto välitetään.

Sukeltajaliitto tulee päivittämään oman rekisteriselosteensa niin, että tietosuojaselosteen edellyttämä informaatio löytyy, ja lisäämään selosteeseen tiedot myös tarkastusoikeudesta, oikeudesta vaatia korjausta sekä muista henkilötietojen käsittelyyn liittyvistä oikeuksista.

Tietosuojavaltuutetun internetsivuilta löytyy mallipohjat ja ohjeet rekisteri- ja tietosuojaselosteisiin.

Asia on kaikille uusi, ja soveltamisen yksityiskohdat tulevat täsmentymään. Mihinkään panikointiin ei ole aihetta. Urheilulle tärkeitä soveltamisohjeita tullaan kirjaamaan urheilun omaan käytännesääntöön, joka ilmestyy mahdollisimman pian vuoden 2018 loppupuoliskolla Olympiakomitean johdolla. Kaikki ei ole valmista 25.5.2018, mutta huolellisuutta ja tarkkaavaisuutta noudattaen selvitään hyvin näissä tietosuoja-asioissakin – suojataan yksityisyyttä ja kiinnitetään siihen erityistä huomiota. Sukeltajaliitto tiedottaa, kun urheilun oma käytännesääntö on ilmestynyt.

Tutustu myös Olympiakomitean uutiseen Tietosuoja on iloinen asia ja sen linkkeihin.

Olympiakomitean tietosuojakoulutusmateriaali

* EU:n tietosuoja-asetus = The General Data Protection Regulation, GDPR. Kyseessä on asetus (ei direktiivi), jota kaikkien jäsenmaiden on pakko noudattaa.