Uudistuva tietosuojalainsäädäntö – myös yhdistykset laitettava kuntoon

Tietosuoja-asetuksen lähtökohtana on, että rekisterinpitäjä vastaa omista rekistereistään ja kantaa riskin siitä, ovatko tietosuoja-asetuksen vaatimukset tulleet täytetyksi. Puhutaan riskilähtöisestä lähestymistavasta. Jokainen rekisterinpitäjä vastaa siitä, että omat rekisterit ovat kunnossa, ne on suojattu ja niitä käsitellään asetuksen edellyttämällä tavalla.

Jokaisen rekisterinpitäjän pitää itse tarkastaa, että omille rekistereille on olemassa hyväksyttävä peruste – rekisteröinti perustuu lakiin, sopimuksen täyttämiseen ja sille on saatu suostumus. Edelleen tulee tarkastaa, että tiedot, jotka on rekisteröity ovat oikeita, ajantasaisia ja asianmukaisia. Myös se, että rekistereitä käytetään vain oikeisiin käyttötarkoituksiin, pitää tarkastaa.

Jokaisella yhdistyksellä on rekistereitä. Ensinnäkin yhdistyksellä pitää olla jäsenrekisteri. Edelleen jos yhdistyksellä on työntekijä tai -tekijöitä, syntyy heidän tiedoistaan henkilöstörekisteri. Näiden syntymisen perusteena on laki. Siten tietosuoja-asetus koskee kaikkia yhdistyksiä. Lisäksi yhdistyksillä on usein muitakin rekistereitä, esimerkiksi vapaaehtoistyöntekijöistä kerätyt tiedot, joiden pitämistä laki ei edellytä, jolloin useimmiten rekisteröinnille tulee olla rekisteröidyn suostumus. Tällaiset rekisterit ovat ongelmallisia, koska nykyisen lain aikana näitä suostumuksia on kerätty harvoin. Lisäksi yhdistyksille on voinut syntyä niin sanottuja piilorekistereitä, esimerkiksi sähköpostitilistasta muodostuu henkilötietorekisteri, joka tulee huomioida, kun rekistereitä tarkistetaan. Nyt on siis korkea aika käydä läpi yhdistyksen rekisterit ja saattaa ne asetuksen mukaiseen kuntoon.

Keskeistä on tunnistaa rekistereiden riskit. Mitä enemmän rekisteröityjä on, mitä enemmän rekisterit sisältävät arkaluontoista tai muuten vahingollista tietoa, sitä korkeampi on riskitaso. Samoin myös, miten tieto on säilytetty ja suojattu sekä se, kuinka monella on pääsy tietoon, vaikuttavat riskitasoon. Yhdistyksen tulisi tehdä riskiarvio omista rekistereistään, tehdä suunnitelma tietosuojan toteuttamisesta, laatia tietosuojaohje sekä kouluttaa rekisterien käyttäjät hallinnoimaan ja käyttämään rekistereitä oikein.

Nykytilanteessa yhdistyksillä on paljon ”piilorekistereitä” eli toimijoilla on omia rekistereitään, joihin monet toimijat pääsevät käsiksi eikä lupia ole juurikaan kyselty. Esimerkiksi jäsenrekistereitä käytetään surutta markkinointiin yhdistyksen tehdessä varainhankintaa myymällä tuotteita ja toimihenkilörekistereitä koulutuksista viestittäessä. Tällaiseen toimintaa tulee lähtökohtaisesti olla rekisteröidyn suostumus. 
 

Teksti: Teppo Laine, asianajaja ja osakas, Asianajotoimisto Legistum
 

****

Seuraseminaari 10.2.2018!

Euroopan unioni hyväksyi huhtikuussa EU:n yleisen tietosuoja-asetuksen. Asetuksen piirissä ovat kaikki organisaatiot, jotka käsittelevät henkilötietoja. Tämä tarkoittaa tietoa, jotka voidaan liittää henkilöön, esimerkiksi henkilön nimi, yhteystiedot ja kilpailutilastot. Tervetuloa mukaan kuulemaan, mitä tietosuoja-asetus tarkoittaa urheiluseurojen näkökulmasta. Seminaarin asiantuntijana toimii Asianajotoimisto Legistumin asianajaja ja osakas Teppo Laine. Lisäksi opetus- ja kulttuuriministeriön nuoriso- ja liikuntapolitiikan osaston ylijohtaja Esko Ranto saapuu seminaariin keskustelemaan seurojen roolista tulevaisuuden liikuntapolitiikassa ja sote-uudistuksessa. Tervetuloa mukaan!

Lisätiedot ja ilmoittautumisohjeet löydät täältä.