GDPR kummittelee yhä urheiluseuran kaapissa
Jaa sivu:
Tietosuoja-asetus on kuitenkin voimassa ja vaatii toimia
Monen urheiluseuran kaapissa pälyilee yhä GDPR-niminen (General Data Protection Regulation) mörkö. GDPR:ää pelätään, inhotaan, halutaan torjua tai sen toivotaan katoavan taivaan tuuliin.
Tästä syystä urheiluseurojen jäsenet eivät voi olla varmoja vastaako seuran toiminta EU:n tietosuoja-asetuksen eli GDPR:n vaatimuksia ja ovatko heidän henkilötietojen käsittely sekä tietoturva asianmukaisessa kunnossa.
Tietosuoja-asetus tuli voimaan 25. toukokuuta 2016 ja nyt sitä sovelletaan täysimääräisesti kansallisen siirtymäajan umpeuduttua tämän vuoden 2018 toukokuun 25. päivästä lähtien.
Jokaisella henkilöllä, joka on luvallaan antanut henkilötiedot seuran rekisteriin, on myös oikeus nähdä omat tietonsa ja saada tietää miten tietosuoja-asioiden hoitaminen seurassa on järjestetty.
Asetus edellyttää myös, että kaikki vaiheet on asiallisesti dokumentoitu. Se tarkoittaa, että jokaisen yrityksen, yhdistyksen tai vaikkapa taloyhtiön on tehtävä tietyt asiat.
Poikkeuksia ei ole eikä urheiluseuralle riitä pelkkä rekisteriseloste ja jäsenrekisteriohjelmisto – kuten usein luullaan!
Ohessa luettelo tärkeistä dokumenteista:
- oma dokumentaatio henkilötiedoista, -rekistereistä ja niiden asiallisesta käsittelystä
- tietoturvan arviointi ja kuntoon laittaminen
- riskien arviointi
- asetuksen peruskoulutus ja suunnitelmallinen jatkokoulutus tulevina vuosina
- varautuminen tietoturvaloukkauksiin ja hyvä ohjeistus tarvittavista toimenpiteistä
- henkilötietojen käsittelyyn liittyvien sopimusten päivittäminen (tilitoimisto ym.)
- rekisteröidyn oikeuksien täyttämisvelvollisuus (tietojen saaminen, tietojen korjaaminen, tietojen poistaminen ja käsittelyn estäminen) sekä niihin liittyvät toimintaohjeet
Missä vika, kenen syy?
Syitä epäselvään tilanteeseen on monia: kaikki urheiluseurat eivät ole vielä saaneet keskusjärjestöiltään kunnollisia asetuksen soveltamisohjeita toimintaansa. Syitä ovat muun muassa, että kansallinen lainsäädäntö tietosuojasta makaa yhä eduskunnassa ja ylikuormitetussa tietosuojavaltuutetun toimistossa tuskin ehditään vastata edes puheluihin.
Oli miten oli, totta on, etteivät seurojen katto-organisaatiot ole saaneet vastauksia esittämiinsä kysymyksiin ja laatimiinsa ohjeluonnoksiin. Vastausta seuroille laadittuun omaan käytännesäännöstöönsä kaipaa muun muassa Suomen Olympiakomitean seurajaosto.
Se lupasi keväällä, että urheilulle tärkeät soveltamisohjeet kirjataan käytännesääntöön, jonka seurat saavat käyttöönsä heti vuoden 2018 loppupuoliskolla.
– Olemme laatineet käytännesäännön ja lähettäneet sen tietosuojavaltuutetun toimistoon lausunnolle. Mitään vastausta emme ole saaneet. Syy on arvattavasti se, että tietosuojavaltuutettu odottaa kansallisen lainsäädännön valmistumista, sanoo järjestöpäällikkö Rainer Anttila Olympiakomiteasta.
Suomen kansallinen tietosuojalaki hyväksyttiin 13. marraskuuta ja se odottaa presidentin hyväksyntää.
Perusasiat kuntoon
Rainer Anttila korostaa, että jotain uuden asetuksen velvoitteista urheiluseuroissa olisi kuitenkin pitänyt jo tehdä, ja on varmaan tehtykin.
– Toivottavasti seuroissa on tehty perusasiat ja selvitetty millaisia henkilötietoja seuralla on, poistettu tarpeettomat, ja dokumentoitu sitten millaiseen rekisteriin tietoja nyt uudessa tilanteessa kootaan, mihin tarkoitukseen niitä käytetään, miten ne hävitetään ja kuinka kauan niitä säilytetään, sanoo Rainer Anttila.
Anttilan mainitsemat tiedot on annettava etukäteen jokaiselle henkilötietonsa rekisteriin luovuttavalle. Jokaisella on myös oikeus nähdä omat tietonsa. Jos urheiluseura on jo dokumentoinut menettelytapansa tietosuoja-asetuksen vaatimusten mukaisesti, niin se helpottaa tehtävää merkittävästi.
Seuran on kyettävä osoittamaan mitä se tekee tietosuojan varmistamiseksi, ja juuri tähän tarvitaan konkreettista dokumentointia ja tietoturvaratkaisuja.
Ilman tietoturvaa ei ole myöskään tietosuojaa, tämä on yksinkertainen perustotuus.
Pro Pilvipalvelut tarjoaa GDPR:n mukaisia tietosuojaratkaisuja muun muassa urheiluseuroille ja muille rekisteröidyille yhdistyksille. Yritys on pannut merkille, että kevään alkuinnostuksen jälkeen tietosuoja-asetuksen vaatimat dokumentit, koulutus ja tietoturvan kuntoon saattaminen on laajalti jäänyt taka-alalle.
Se on ikävää, sillä tosiasia kuitenkin on, ettei kukaan pääse eroon tästä asetuksesta vaikka kuinka haluaisi. Tämän vuoksi sen vaatimuksiin sopeutuminen kannattaa tehdä valmiiksi niiltä osin kuin se on mahdollista. EU:n asetus on ja pysyy voimassa ja sen mukaan jokaisen rekisterinpitäjän on huolehdittava omista velvoitteistaan ja toimia sen mukaisesti.
Tietosuojavaltuutetun toimiston kannanotot viittaavat siihen, että lievennysten tai helpotusten odottelu tietosuoja-asetukseen kansallisen lainsäädännön myötä ovat turhia.
Tästä seuraa, että jokaisen henkilörekisterinpitäjän – myös urheiluseuran – on huolehdittava asiallisesta tietojen käsittelystä. Jäsenrekisterien on oltava asetuksen edellyttämällä tasolla. Asetus myös edellyttää, että kaikki, jotka pääsevät tietoihin käsiksi ovat allekirjoittaneet tietojen salassapitovelvollisuuslomakkeen.
Koulutus tärkeää myös jatkossa
Urheiluseurojen henkilöstölle järjestettiin viime kevään aikana runsaasti koulutuksia GDPR:n tiimoilta. Varsinkin pienemmissä yrityksissä kuin myös seuroissa ja yhdistyksissä on havaittu, että EU:n asetusta on jopa pidetty ”hömppänä” ja siihen on saatettu suhtautua varsin torjuvasti.
Se ei ole mikään ihme, sillä kouluttajina on ollut paljon mm. juristeja. Heidän pitämien kalvosulkeisten ja sakoilla pelotteluiden alle hautautuivat helposti juuri omassa urheiluseurassa tarvittavat todelliset toimet. Suuret sakot tuskin ovat suurin uhka tavalliselle urheiluseuralle.
Kun EU:n tietosuoja-asetus kuitenkin on voimassa ja se on yleisesti tiedossa, niin omien henkilötietojen perääminen tulee yhä yleisemmäksi. Jos urheiluseuran jäsen haluaa tarkistaa omat rekisterissä olevat tietonsa, ne on myös pystyttävä hänelle näyttämään.
”Toivottavasti mahdollisimman moni seura-aktivisteista on opiskellut tietosuoja-asetuksen vaatimuksia. Kaikki tuntematon pelottaa, mutta tässäkin asetuksessa on kysymys tavallisten asioiden hoitamisesta”, todetaan Olympiakomitean verkkosivulla urheiluseuroille.
Totta on, että kokonaisuutta on alussa vaikea selittää ja käsittää, mutta ei tämä mitään rakettitiedettä ole. Hyvillä neuvoilla ja esimerkiksi kansantajuisella pilvipalvelulla asiat järjestyvät aika yksinkertaisesti.
Lataa tästä tietosuoja-asetuksen huoneentaulu käyttöösi!
Laita tietosuoja-asiat kuntoon yhdellä työkalulla
Urheiluseurat ja tietosuoja-asetus
Perustietoa tietosuoja-asetuksesta urheiluseuroille videomuodossa.