YHDISTYKSET JA TIETOSUOJAASETUS MIK MUUTTUU 11 4 2018

YHDISTYKSET JA TIETOSUOJAASETUS – MIKÄ MUUTTUU? 11. 4. 2018 Albergan kartano, Flyygelisali Hannele Kerola Nuuksion kansalaisapu Oy

ESITYKSEN RAKENNE Henkilötietojen suoja Suomessa EU: n tietosuoja-asetus GDPR Mihin yhdistysten pitää varautua

HENKILÖTIETOJEN SUOJA SUOMESSA Henkilötietolaki (vuodelta 1999) koskee kaikkia henkilötietoja ja niiden käsittelyä, henkilörekisteriä (=henkilötietoja sisältävä tietojoukko) ja rekisterinpitäjää Henkilötietolaissa säädetään suunnittelu- ja huolellisuusvelvoite sekä tarpeellisuus- ja virheettömyysvaatimus; miksi henkilötietoja kerätään ja käsitellään, mistä niitä säännönmukaisesti hankitaan ja mihin niitä luovutetaan Rekisterinpitäjän on laadittava henkilörekisterin rekisteriseloste, joka on kaikkien saatavilla Arkaluonteisten tietojen käsittely ilman rekisteröidyn suostumusta on kielletty Henkilötietorikkomuksesta voidaan määrätä sakkorangaistus, uhkasakko tai vahingonkorvaus

EU: N TIETOSUOJA-ASETUS 25. 5. 2018 Suomen henkilötietolaki kumotaan ja EU asetus on suoraan sovellettavaa oikeutta Koskee kaikkia henkilötietoja ja niiden käsittelyä EU: n alueella Henkilötietoja on käsiteltävä lain- ja asianmukaisesti, luottamuksellisesti, turvallisesti ja rekisteröidyn kannalta läpinäkyvästi Henkilötietoja on kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten, kerättävä vain tarpeellinen määrä, päivitettävä aina tarvittaessa, poistettava epätarkat ja virheelliset tiedot sekä säilytettävä vain niin kauan kuin on tarpeellista Henkilötietojen käsittely on suunniteltava ja dokumentoitava Tietosuojaviranomaiset valvovat Sanktioina varoitus, huomautus, tietojen käsittelyn keskeyttäminen sekä sakkorangaistus ja uhkasakko Kansallinen tietosuojalaki, joka täydentää asetusta, tulee voimaan 25. 5. 2018; lapsen ikäraja 13 vuotta, tietosuojavaltuutettu on kansallinen valvontaviranomainen

MIKÄ MUUTTUU SUOMESSA? Rekisterinpitäjän ja henkilötietojen käsittelijän on ymmärrettävä tietosuojan periaatteet ja miten ne vaikuttavat omaan toimintaan Rekisterinpitäjän on pystyttävä osoittamaan, että noudattaa tietosuoja-asetusta kaikissa käsittelyvaiheissa Henkilötietojen käsittelyprosessi on dokumentoitava kirjallisesti Rekisteröidyn oikeudet on varmistettava; jokaisella rekisteröidyllä on oikeus saada tietoja myös sähköisessä muodossa ja oikeus siirtää tietonsa

SELVITÄ NYKYTILA Mitä henkilötietoja (nimi, osoite, sähköposti, henkilötunnus ja muut henkilötiedot) kerätään Kuka vastaa tiedoista, kenen hallussa ne ovat ja missä niitä säilytetään Mihin tietoja käytetään (mihin tarkoitukseen, millä perusteella), luovutetaanko tietoja jollekin Ovatko tiedot ajan tasalla Kuinka kauan tietoja säilytetään Sisältyykö tietojen keräämiseen, käsittelyyn ja säilyttämiseen jotain riskejä Miten tietopyyntöihin vastataan Onko tietoturva kunnossa; pystytkö suojelemaan niiden oikeuksia, jotka ovat luovuttaneet tietojaan Noudattavatko alihankkijat tietosuoja-asetusta Dokumentoi prosessi

JATKOSSA Yhdistyslain mukaan yhdistyksen on jatkossakin pidettävä jäsenistään luetteloa Hallitus vastaa tietosuoja-asetuksen noudattamisesta, valitkaa vastuuhenkilö Kerää vain välttämättömät tiedot, yhdistyslain mukaan jäsenen täydellinen nimi ja kotipaikka (tarvittaessa myös yhteydenpidon kannalta tarpeelliset tiedot, kuten osoite, sp-osoite ja puhelinnumero); kun pyydät tietoja, kerro miksi käsittelet tietoja, kuinka kauan tietoja säilytetään ja kenelle niitä luovutetaan Jos tarkoitus on luovuttaa tietoja jollekin, pyydä kirjallinen suostumus (alle 13 -vuotiaiden lasten osalta huoltajan suostumus) ja kerro, että sen voi peruuttaa Jäsenillä on oikeus tarkastella tietojaan, saada omiaan tietojaan maksutta ja poistaa tiedot Arkaluontoisten tietojen kerääminen vaatii kirjallisen suostumuksen (mm. terveyteen, rotuun, sukupuoliseen suuntautumiseen, uskontoon tai poliittiseen näkemykseen liittyvät tiedot) Tiedota heti jäsenille vakavasta tietoturvauhasta On hyvä tehdä jatkossakin jäsenrekisteristä rekisteriseloste ja laitaa se yhdistyksen nettisivuille

REKISTERISELOSTE (1) Rekisterinpitäjä (Nuuksio-seura, yhteystiedot) Yhteyshenkilö rekisteriä koskevissa asioissa (hallituksen määräämä, yhteystiedot) Rekisterin nimi (jäsenluettelo) Henkilötietojen käsittelyn tarkoitus: tiedot kerätään henkilöiltä, jotka haluavat liittyä jäseniksi, käyttötarkoituksena NS: n tehtäviin liittyvä jäsentietojen hallinta sekä tiedottaminen ja yhteydenpito jäseniin, tiedot kerätään (rekisteröityjen suostumuksella) vain näihin tarkoituksiin eikä niitä käytetä muihin tarkoituksiin, tiedot hävitetään kun henkilö eroaa NS: sta Rekisterin tietosisältö: NS: n jäseniä pyydetään täyttämään ilmoittautumislomake, jossa kysytään etu- ja sukunimi, kotipaikka, osoite, sähköpostiosoite ja puhelinnumero

REKISTERISELOSTE (2) Säännönmukaiset tietolähteet: ilmoittautumislomake, tiedot kerätään jäseniltä ja niitä säilytetään jäsenyyden ajan Tietojen säännönmukaiset luovutukset: tietoja ei luovuteta eteenpäin eikä siirretä EU: n tai ETA: n ulkopuolelle Rekisterin suojauksen perusteet: A. manuaalinen aineisto: paperinen jäsenluettelo B. Sähköisesti käsiteltävät tiedot: ainoastaan admin-oikeuksilla pääsee rekisterin tietoihin. Admin-oikeudet on vain yhdellä hallituksen jäsenellä