kuvituskuva

Tietoa EU:n tietosuoja-asetuksesta liiton jäsenyhdistyksille

Euroopan unionin tietosuoja-asetus astui voimaan 25.5.2018. Asetusta sovelletaan henkilötietojen käsittelyyn, jos rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikka on EU:ssa. Tietosuoja-asetus koskee näin ollen myös Invalidiliittoa ja kaikkia Invalidiliiton jäsenyhdistyksiä.

Yhdistyksen hallitus vastaa ylimpänä tahona lainmukaisesta henkilötietojen käsittelystä. On suositeltavaa, että yhdistyksissä joku hallituksen jäsenistä ottaa haltuun henkilötietoja koskevat asiat ja toimii tietosuojasta vastaavana henkilönä, rekisterivastaavana tms.

Hallituksessa tulee käsitellä seuraavat asiat:


1. Kartoitettava henkilötietojen käsittelyn tilanne:

(kts. henkilötietojen käsittelyn periaatteet alempana tällä sivulla)

  • Mitä henkilötietoja käsitellään?
  • Ovatko kaikki tiedot tarpeellisia?
  • Mihin tarkoituksiin tietoja käsitellään?
  • Miten rekisteröityjen oikeuksia toteutetaan? (kts. rekisteröityjen oikeudet alempana tällä sivulla)
  • Kuinka kauan henkilötietoja säilytetään?
  • Miten tiedot hävitetään?
  • Päivitetäänkö kertynyttä tietoa systemaattisesti ja onko olemassa käytäntö tietojen poistamiseen tai tuhoamiseen?


2. Luotava sisäiset rakenteet, joilla varmistetaan, että tietosuoja-asetuksen vaatimuksia noudatetaan

Tiedostettava, tuntevatko kaikki henkilötietojen käsittelyyn osallistuvat yhdistyksen edustajat asetuksen asettamat velvoitteet? Esimerkiksi märitellään vastuualueet ja tehdään tarvittava dokumentointi.

3. Otettava käyttöön tietosuojaperiaatteet toteuttavia toimenpiteitä

Esimerkiksi tarpeettomien tietojen tuhoaminen

4. Suunniteltava menettelyt rekisteröityjen oikeuksien ja pyyntöjen täyttämiseksi

  • Miten vastataan esimerkiksi tarkastusoikeuspyyntöön?
  • Kenellä on oikeus tulla unohdetuksi?
  • Kuka yhdistyksessä vastaa rekisteröityjen pyyntöihin?
  • Laadittava asetuksen edellyttämät tietosuojaselosteet / informointikäytännöt
     

5. Dokumentoitava kaikki olennaiset toimenpiteet

Dokumentointi toteuttaa osoitusvelvollisuutta ja dokumentaatiossa voidaan perustella tulkintaan liittyvät valinnat. 

Moni yllä  olevista asioista on kuvattu Invalidiliiton yhdistyksille laatimassa tietosuojaselostemallissa. Yhdistys voi muokata mallin omaa toimintaansa vastaavaksi.

 

EU:n tietosuoja-asetuksen mukaiset henkilötietojen käsittelyn periaatteet
 

Yhdistyksen tulee voida osoittaa noudattavansa henkilötietojen käsittelyn periaatteita.
 

  • Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

Henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä.

  • Käyttötarkoitussidonnaisuus

Henkilötietojen käsittely on sallittu vain niitä tarkoituksia varten, joita varten henkilötiedot on alun perin kerätty, sekä jos käsittely sopii yhteen alkuperäisten tarkoitusten kanssa.

  • Tietojen minimointi

Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

  • Säilytyksen rajoittaminen

Tietoja tulee säilyttää ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

  • Eheys ja luottamuksellisuus, täsmällisyys

Henkilötietojen asianmukainen turvallisuus on varmistettava. Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä.

  • Sisäänrakennettu ja oletusarvoinen tietosuoja
     

Tietosuojaperiaatteet on otettava tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa.

Rekisteröidylle laajemmat oikeudet

 

  • Oikeus saada informaatiota

Tiedot tulee antaa selvässä ja ymmärrettävässä muodossa (läpinäkyvyysperiaate)
Toteutetaan esimerkiksi tietosuojaselosteen avulla

  • Oikeus saada pääsy tietoihin

Oikeus saada jäljennös itseä koskevista henkilötiedoista
Lähtökohtaisesti maksutonta

  • Oikeus tietojen oikaisemiseen

Oikeus vaatia rekisterinpitäjää oikaisemaan ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot

  • Oikeus tulla unohdetuksi

Rajoitettu oikeus vaatia, että rekisterinpitäjä poistaa ilman aiheetonta viivytystä rekisteröityä koskevat henkilötiedot. Jos rekisteröity on yhdistyksen jäsen, ei rekisteröidyllä ole oikeutta tulla unohdetuksi.

  • Oikeus käsittelyn rajoittamiseen

Oikeus saada henkilötietojen aktiivinen käsittely rajoitetuksi tietyissä tilanteissa
Säilyttäminen edelleen sallittua
Mahdollisesti voisi tulla kyseeseen yhdistyksestä eronneen jäsenen kohdalla

  • Oikeus vastustaa henkilötietojen käsittelyä

Jos käsittely perustuu yrityksen oikeutettujen etujen toteuttamiseen
Rekisterinpitäjän osoitettava, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy
Suoramarkkinoinnin osalta absoluuttinen vastustamisoikeus

  • Oikeus saada ilmoitus tietoturvaloukkauksista

Ilmoitus vakavista tietoturvaloukkauksista rekisteröidylle ilman aiheetonta viivytystä
Kansalliselle tietosuojaviranomaiselle 72 tunnissa

Lisätietoa Tietosuojavaltuutetun sivuilta

 

 

Jaa sosiaalisessa mediassa