Tietosuoja-asetukseen liittyviä käsitteitä

Minkälaisiin tietoihin EU:n tietosuoja-asetusta sovelletaan?

Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista sekä manuaaliseen henkilötietojen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

Asetuksen soveltamisalaan eivät kuulu asiakirjat, joita ei ole järjestetty tiettyjen perusteiden mukaisesti (esim. onko henkilön tiedot löydettävissä esimerkiksi aakkosjärjestyksen tai Ctrl+ F –hakutoiminnon avulla?) eikä henkilökohtaisessa toiminnassa suoritettuun käsittelyyn (esimerkiksi oman puhelimen yhteystiedot).

Mikä on henkilötieto ja mikä on henkilötietojen käsittely?

Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot esimerkiksi nimi, yhteystiedot, henkilötunnus, syntymäaika, sijaintitieto, tiedot tapahtumiin osallistumisesta, tiedot erikoisruokavaliosta, tiedot jäsenlehden tilaamisesta.

Henkilötietojen käsittelyä ovat kaikki toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti esimerkiksi henkilötietojen säilytys (järjestelmässä tai mapissa), siirtäminen, päivitys, muokkaaminen ja tuhoaminen.

Mitä ovat erityisiin henkilötietoryhmiin kuuluvat tiedot?

Terveydentilaa koskevat tiedot kuuluvat erityisiin henkilötietoryhmiin (vanhassa henkilötietolaissa arkaluonteiset tiedot). Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty.

Invalidiliitto ja sen jäsenyhdistykset voivat kuitenkin käsitellä jäsentensä tai entisten jäsentensä terveydentilaa koskevia tietoja rekisteröidyn suostumuksen perusteella tai yhdistyksen toiminnan yhteydessä sillä edellytyksellä, että asianmukaisista suojatoimista huolehditaan, eikä henkilötietoja luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta.

Mikä on rekisterinpitäjä, henkilötietojen käsittelijä ja rekisteröity?

Rekisterinpitäjä on se taho, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjällä on vastuu suorittamastaan tai rekisterinpitäjän puolesta suoritetusta henkilötietojen käsittelystä. Invalidiliiton jäsenyhdistykset ovat omien jäsentensä tietojen osalta rekisterinpitäjiä.

Henkilötietojen käsittelijöitä ovat ne tahot, jotka käsittelevät henkilötietoja ainoastaan rekisterinpitäjän lukuun toimeksiannon perusteella (esimerkiksi tilitoimisto käsitellessään yhdistyksen tietoja yhdistyksen toimeksiannosta ja lukuun). Invalidiliitto on jäsenrekisteriin lisättyjen joidenkin tietojen osalta jäsenyhdistysten henkilötietojen käsittelijä. Henkilötietojen käsittelystä tehdään sopimus Invalidiliiton ja jäsenyhdistysten välillä.

Rekisteröity on tunnistettu tai tunnistettavissa oleva luonnollinen henkilö, jonka henkilötietoja rekisterinpitäjä ja/tai henkilötietojen käsittelijä käsittelevät.

Tietosuojaseloste ja jäsenhakemuslomake

Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Esimerkiksi yhdistysten tietosuojaseloste on hyvä olla yhdistyksen nettisivuilla tai yhdistyksen toimistolla jäsenistön saatavilla. Jos yhdistys käyttää sähköistä jäsenhakemuslomaketta, tietosuojaseloste tulee sijoittaa sähköisen lomakkeen yhteyteen. Invalidiliitto on laatinut yhdistyksille tietosuojaselostemallin ja päivittänyt jäsenhakemuslomakkeen vastaamaan EU:n tietosuoja-asetusta.

Tietosuojaselostemalli 2018.docx 81.38 KB, DOCX

Jäsenhakemuslomakkeen löydät täältä.

Tietosuojavastaava

Viranomaisilla ja julkishallinnon elimillä on velvollisuus nimittää tietosuojavastaava. Yhdistyksen hallitus vastaa ylimpänä tahona lainmukaisesta henkilötietojen käsittelystä. On suositeltavaa, että yhdistyksissä joku hallituksen jäsenistä ottaa haltuun henkilötietoja koskevat asiat ja toimii tietosuojasta vastaavana henkilönä, rekisterivastaavana tms. Jos yhdistys kuitenkin nimeää tietosuojavastaavan, jolle on määritelty tehtäviä tietosuoja-asetuksessa, hänen on oltava mm. johdosta riippumaton eikä voi tällöin olla yhdistyksen hallituksen jäsen.

Seloste käsittelytoimista

Yli 250 työntekijän organisaatiolla on velvollisuus laatia kirjallinen kuvaus sen toteuttamasta henkilötietojen käsittelystä viranomaisia varten. Tätä pienemmän organisaation on laadittava seloste, jos organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, henkilötietojen käsittely organisaatiossa ei ole satunnaista tai organisaatiossa käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja tai henkilötietoja, jotka koskevat rikostuomioita tai rikkomuksia. Tietosuojaryhmä valmistelee parhaillaan ohjausta siitä, miten näitä kriteereitä on käytännössä sovellettava. Voi olla, että esim. Invalidiliiton diagnoosipohjaisilta jäsenyhdistyksiltä, jos ne käsittelevät erityisiin henkilötietoryhmiin koskevia tietoja, edellytettäisiin seloste käsittelytoimista.
 

Käsittelyn turvallisuus

Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Asianmukaisia toimenpiteitä voivat olla esimerkiksi kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa tai menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

Jos henkilötietoja käsitellään excelillä, word –taulukossa tai vastaavassa muodossa, olisi suositeltavaa huolehtia käyttäjätunnusten ja salasanojen varmuudesta sekä mahdollisesti kovalevyn tai muun tallennusmedian salauksesta.
 

Ilmoitukset tietoturvaloukkauksista

Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä, jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava asetuksen edellyttämiä tietoja ja suosituksia. Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle.

Ilmoitukseen on kuvattava henkilötietojen tietoturvaloukkaus, tietosuojavastaavan tai muun yhteyspisteen tiedot, loukkauksen todennäköiset seuraukset sekä toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta.

Henkilötietojen käsittelijän on ilmoitettava tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisterinpitäjälle