Tietoa EU:n tietosuoja-asetuksesta liiton jäsenyhdistyksille

Euroopan unionin tietosuoja-asetus astui voimaan 25.5.2018. Asetusta sovelletaan henkilötietojen käsittelyyn, jos rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikka on EU:ssa. Tietosuoja-asetus koskee näin ollen myös Invalidiliittoa ja kaikkia Invalidiliiton jäsenyhdistyksiä.

Yhdistyksen hallitus vastaa ylimpänä tahona lainmukaisesta henkilötietojen käsittelystä. On suositeltavaa, että yhdistyksissä joku hallituksen jäsenistä ottaa haltuun henkilötietoja koskevat asiat ja toimii tietosuojasta vastaavana henkilönä, rekisterivastaavana tms.

Hallituksessa tulee käsitellä seuraavat asiat:

1. Kartoitettava henkilötietojen käsittelyn tilanne:
(kts. henkilötietojen käsittelyn periaatteet alempana tällä sivulla)
Mitä henkilötietoja käsitellään?
Ovatko kaikki tiedot tarpeellisia?
Mihin tarkoituksiin tietoja käsitellään?
Miten rekisteröityjen oikeuksia toteutetaan? (kts. rekisteröityjen oikeudet alempana tällä sivulla)
Kuinka kauan henkilötietoja säilytetään?
Miten tiedot hävitetään?
Päivitetäänkö kertynyttä tietoa systemaattisesti ja onko olemassa käytäntö tietojen poistamiseen tai tuhoamiseen?

2. Luotava sisäiset rakenteet, joilla varmistetaan, että tietosuoja-asetuksen vaatimuksia noudatetaan
Esimerkiksi märitellään vastuualueet ja tehdään tarvittava dokumentointi
Tiedostettava, tuntevatko kaikki henkilötietojen käsittelyyn osallistuvat yhdistyksen edustajat asetuksen asettamat velvoitteet?

3. Otettava käyttöön tietosuojaperiaatteet toteuttavia toimenpiteitä
Esimerkiksi tarpeettomien tietojen tuhoaminen

4. Suunniteltava menettelyt rekisteröityjen oikeuksien ja pyyntöjen täyttämiseksi
Miten vastataan esimerkiksi tarkastusoikeuspyyntöön?

Kenellä on oikeus tulla unohdetuksi?
Kuka yhdistyksessä vastaa rekisteröityjen pyyntöihin?
Laadittava asetuksen edellyttämät tietosuojaselosteet / informointikäytännöt

5. Dokumentoitava kaikki olennaiset toimenpiteet
Toteuttaa osoitusvelvollisuutta ja dokumentaatiossa voidaan perustella tulkintaan liittyvät valinnat, koska TULKINNANVARAISUUKSIA ON VIELÄ PALJON!

Moni yllä  olevista asioista on kuvattu Invalidiliiton yhdistyksille laatimassa tietosuojaselostemallissa. Yhdistys voi muokata mallin omaa toimintaansa vastaavaksi.

 

EU:n tietosuoja-asetuksen mukaiset henkilötietojen käsittelyn periaatteet
Yhdistyksen tulee voida osoittaa noudattavansa henkilötietojen käsittelyn periaatteita.

Lainmukaisuus, kohtuullisuus ja läpinäkyvyys:
Henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä.

Käyttötarkoitussidonnaisuus:
Henkilötietojen käsittely on sallittu vain niitä tarkoituksia varten, joita varten henkilötiedot on alun perin kerätty, sekä jos käsittely sopii yhteen alkuperäisten tarkoitusten kanssa.

Tietojen minimointi:
Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Säilytyksen rajoittaminen:
Tietoja tulee säilyttää ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Eheys ja luottamuksellisuus, täsmällisyys:
Henkilötietojen asianmukainen turvallisuus on varmistettava. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä.

Sisäänrakennettu ja oletusarvoinen tietosuoja:
Tietosuojaperiaatteet on otettava tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa.

 

EU:n tietosuoja-asetuksen mukaan rekisteröidylle laajemmat oikeudet
Oikeus saada informaatiota:
Aiempaa laajempi oikeus
Tiedot tulee antaa selvässä ja ymmärrettävässä muodossa (läpinäkyvyysperiaate)
Toteutetaan esimerkiksi tietosuojaselosteen avulla

Oikeus saada pääsy tietoihin:
Tarkastusoikeus yksityiskohtaisemmaksi
Oikeus saada jäljennös itseä koskevista henkilötiedoista
Lähtökohtaisesti maksutonta

Oikeus tietojen oikaisemiseen:
Oikeus vaatia rekisterinpitäjää oikaisemaan ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot

Oikeus tulla unohdetuksi:
Rajoitettu oikeus vaatia, että rekisterinpitäjä poistaa ilman aiheetonta viivytystä rekisteröityä koskevat henkilötiedot
Jos rekisteröity on yhdistyksen jäsen, ei rekisteröidyllä ole oikeutta tulla unohdetuksi

Oikeus käsittelyn rajoittamiseen:
Oikeus saada henkilötietojen aktiivinen käsittely rajoitetuksi tietyissä tilanteissa
Säilyttäminen edelleen sallittua
Mahdollisesti voisi tulla kyseeseen yhdistyksestä eronneen jäsenen kohdalla

Oikeus vastustaa henkilötietojen käsittelyä:
Jos käsittely perustuu yrityksen oikeutettujen etujen toteuttamiseen
Rekisterinpitäjän osoitettava, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy
Suoramarkkinoinnin osalta absoluuttinen vastustamisoikeus

Oikeus saada ilmoitus tietoturvaloukkauksista:
Ilmoitus vakavista tietoturvaloukkauksista rekisteröidylle ilman aiheetonta viivytystä
Kansalliselle tietosuojaviranomaiselle 72 tunnissa

Lisätietoa Tietosuojavaltuutetun sivuilta

 

 

Jaa sosiaalisessa mediassa