GDPR ja yhdistykset – onko tietosuoja EU-asetuksen edellyttämällä tasolla?
Jaa sivu:
Jos olet yhdistysihminen, ja erityisesti jos olet mukana rekisteröidyn yhdistyksesi luottamustoimessa, esimerkiksi hallituksessa, näiden alla olevien asioiden pitäisi olla sinulle tuttuja.
- perusteet henkilötietojen käsittelyyn
- salassapitositoumus
- lapsen henkilötietojen käsittely
- terveys- ja tilitietoihin pääsy
- poliittisen kannan, etnisen taustan, sukupuolisen suuntauksen rekisteröiminen
- muiden arkaluonteisten tietojen käsittely
- tarpeettomien tietojen hävittäminen
Miten on? Jos yhdistyksesi tietoturva on EU:n tietosuoja-asetuksen, (GDPR) mukaisessa kunnossa, olet luultavasti saanut koulutusta asetuksen vaatimiin toimiin. GDPR tuli voimaan 25. toukokuuta 2016. Kansallinen siirtymäaika umpeutui 25.5.2018.
Perhokalastaja, martta, metsästäjä, partiolainen, golfari
Oletpa sitten martta, kalastus- tai metsästysseuralainen, partiolainen, kuulut nuorisoseuraan, lions clubiin tai rotareihin, harrastat reserviläistoimintaa, olet kyläyhdistyksen jäsen tai kuulut mihin tahansa rekisteröityyn yhdistykseen, niin rivijäsenenäkin sinun on hyvä tietää, kuinka sinusta taltioituja tietoja yhdistyksessäsi käsitellään. Siihen sinulla on lain vahvistama oikeus.
Jos seuran tai yhdistyksen hallinto on hoitanut homman hyvin ja tietosuoja-asetuksen velvoitteet on täytetty, saat juuri nyt omat tietosi ja tiedon siitä mihin niitä käytetään yhdistyksen rekisteristä kohtuullisen helposti esille. Rekisterinpitäjä voi tällöin myös osoittaa miten yhdistyksen tietosuojaa koskevat asiat sen eri vaiheissa on dokumentoitu.
Vaatimus dokumentoinnista tarkoittaa, että jokaisen yrityksen, yhdistyksen tai vaikkapa taloyhtiön on rekisterinpitäjänä tehtävä tietyt asiat. Poikkeuksia ei ole. Henkilörekisteriä koskevat tiedot yhdistyksessä on koottava rekisteri- tai tietosuojaselosteen.
Asetuksenmukaista selostetta ei voi ”kopioida” itselle toisen yrityksen, yhdistyksen tai esim. oman liiton omasta selosteesta. Jokainen organisaatio on erilainen ja selosteen on kerrottava kunkin omasta todellisesta henkilötietojen käsittelystä, tietoturvasta ja toimintatavoista.
Tässä selosteessa on oltava paljon muutakin kuin yhdistyksen yhteystiedot. Siitä on käytävä ilmi mitä henkilötietoja yhdistyksessä käsitellään, mikä on tietojen käsittelyn tarkoitus ja miten tiedot on suojattu.
Ohessa luetteloa yhdistyksen muista tärkeistä dokumenteista:
- oma dokumentaatio henkilötiedoista, -rekistereistä ja niiden asiallisesta käsittelystä
- tietoturvan arviointi ja kuntoon laittaminen
- riskien arviointi
- asetuksen peruskoulutus ja suunnitelmallinen jatkokoulutus tulevina vuosina
- varautuminen tietoturvaloukkauksiin ja hyvä ohjeistus tarvittavista toimenpiteistä
- henkilötietojen käsittelyyn liittyvien sopimusten päivittäminen (tilitoimisto ym.)
- rekisteröidyn oikeuksien täyttämisvelvollisuus (tietojen saaminen, tietojen korjaaminen, tietojen poistaminen ja käsittelyn estäminen) sekä niihin liittyvät toimintaohjeet
Into laantui, asiat unohtuivat
Tietosuoja-asetuksesta puhuttiin paljon keväällä juuri ennen sen voimaantuloa. Se tapahtui sopivasti kesälomien alla, joten puheet ja mietintä loppuivat lyhyeen. Niin tapahtui asiantuntijoiden arvioiden mukaan myös GDPR:n edellyttämälle konkreettiselle toimeenpanolle itse yhdistyksissäkin.
Tietosuoja-asetuksen laajuus ja vaativuus on edelleen jäänyt hieman hämäräksi monissa rekisteröidyissä yhdistyksissä. Näin siitä huolimatta, että henkilöstöä ja luottamushenkilöitä koulutettiin innokkaasti.
Itsenäisen yhdistyksen omaa vastuuta dokumentoinnissa ja henkilötietojen rekisteröinnissä ei ole ymmärretty riittävästi. On mahdollista, että yhdistysten hallitukset ja puheenjohtajat eivät ole täysin sisäistäneet omaa vastuutaan esimerkiksi maineriskien tai vahingonkorvausvastuun osalta. Liian usein kuvitellaan kattojärjestön tai ”ison liiton” huolehtivan asiat kuntoon paikallisen yhdistyksen puolesta. Tämä voi olla kohtalokas väärinymmärrys, jos oman yhdistyksen toiminnassa tapahtuu jotain vakavaa ja rangaistavaa. Kukin rekisteröity yhdistys on ITSE rekisterinpitäjä ja vastuussa OMASTA toiminnastaan!
Sama ”ymmärtämättömyys” koskee myös niitä yksittäisiä vastuuhenkilöitä, jotka käsittelevät kriittiseksi luokiteltua tietoa. Ongelma on myös, ettei ole ”reilulla kädellä” uskallettu karsia tarpeettomia tietoja pois.
Mahtaako yhdistyksissä olla selvät sopimukset kumppaneiden tai palveluntarjoajien kanssa siitä kenellä kaikilla on pääsy näihin tietoihin, miten tiedot on suojattu ja otetaanko näistä tiedoista säännöllisesti varmuuskopiot? Muun muassa näitä kysymyksiä kannattaa pohtia porukalla hetkinen.
Tämän tekstin tarkoitus ei ole pelotella vaan rohkaista konkreettiseen toimintaa, koska tietosuoja ja tietoturva ovat laitettavissa hyvään kuntoon kohtuullisella työmäärällä – ja hyvillä neuvoilla sekä työkaluilla lähes kaikkien yhdistysten resursseilla.
On vain ymmärrettävä asetus laajempana kokonaisuutena kuin pelkkänä huitaistuna rekisteriselosteena. Usein asiallinen mietintä, selvitykset ja dokumentaatio on tehtävissä kuntoon parilla-kolmella kokoontumisella ja yllättävän pienellä työmäärällä moneksi vuodeksi eteenpäin. Mutta muistakaa! Tämä ei ole kertaluonteinen ”rykäisy” vaan päättymätön projekti, joka vaatii hyvin tehtynä tietojen ja dokumentaation päivittämistä tasaisin määräajoin.
Lataa tästä tietosuoja-asetuksen huoneentaulu käyttöösi!
Lataa tästä tietosuojan tarkistuslista käyttöösi!
Laita tietosuoja-asiat kuntoon yhdellä työkalulla
Yhdistykset ja tietosuoja-asetus
Perustietoa tietosuoja-asetuksesta yhdistyksille videomuodossa.
Hyviä kysymyksiä Tietosuojasta yhdistyksille
Kun rekisteröidyn yhdistyksen tietosuojaa ja tietoturvaa ryhdytään laittamaan EU:n tietosuoja-asetuksen eli GDPR:n (General Data Protection Regular) mukaiseen kuntoon, sen voi aloittaa esimerkiksi näillä Pro Pilvipalveluiden laatimilla kysymyksillä.
Mietintä ja selvitystyö on huomattavasti helpompaa, on sitten kysymyksessä urheiluseura, metsästys- tai kalastusseura, marttayhdistys, kyläyhdistys, lions club, rotary club, maamiesseura, nuorisoseura, reserviläiset, ampumaseura tai mikä muu yhdistys tahansa.
Lista on pitkä, mutta maksaa kysyjälle ja pohtijalle vaivan.
1. Selvitä nykytila
- Mitä henkilötietoja meillä on?
- Mitä tietoja pitää suojata?
- Miten ne on tallennettu ja suojattu?
- Mitä vaaroja on nykyisissä toimintatavoissa?
- Onko kaikissa laitteissa ajan tasalla olevat palomuurit ja suojaohjelmat?
- Onko tehty henkilötietojen/-rekisterien varmuuskopiot?
- Onko organisaation internetliikenne ja -yhteydet suojattu?
- Onko ohjelmistojen tarjoama suoja kattava?
- Kenen kaikkien tietokoneita henkilötietojen käsittelyssä käytetään?
- Onko tietokoneiden kovalevyt ja mm. muistitikut salattu?
- Ovatko salasanat turvallisia ja muutetaanko niitä tarvittavan usein?
- Onko työkoneilla vain ne ohjelmat, joita työntekijä välttämättä tarvitsee?
- Onko toimintaa koskeva kirjeenvaihto ja viestit salattu asianmukaisesti?
- Mitä tietoja on paperilla, varastossa ja mapeissa?
- Onko organisaation tiloissa hälytys- ja valvontalaitteet, murtosuojat?
- Osaako henkilöstö tunnistaa tietojen kalastelun ja raportoida siitä?
2. Arvioi kriittiset tiedot
- Mitä kriittisiä tietoja meillä on?
- Onko meillä tehty kriittisyysluokitus?
- Asiakkaita, kumppaneita, työntekijöitä ja heidän henkilötietojaan sekä yrityksen raha-asioita ja yritysprosesseja koskevat tiedot ovat aina kriittisiä ja vaativat huolellisen käsittelyn.
- Kenellä on pääsy näihin tietoihin?
- Onko varmistettu, että vain välttämättömiin tietoihin on pääsy?
- Miten tiedot on suojattu?
- Otetaanko tiedoista aina varmuuskopiot – säännöllisesti?
- Kuka varmuuskopiot tarvittaessa palauttaa?
- Miten varmuuskopioiden palautus tehdään?
3. Määrittele työntekijöille selkeät ohjeet miten kunkin on henkilökohtaisesti huolehdittava tietoturvasta.
- Ohjeistus työtietoja sisältävien laitteiden käytöstä kotona (salasana, lapsilukko) ja ohjeet muualla työpaikan ulkopuolella työskentelyyn (avoimet wifi -verkot jne.)
- Laadi pelinsäännöt sille, kuinka vapaasti netissä voi surffata.
- Kouluta henkilökuntaasi säännöllisesti niin tietosuojan kuin tietoturvan osalta – ja aina lainsäädännön uudistuessa.
4. Sähköposti
Sähköposteja lähetettäessä varmista, että ne eivät sisällä henkilötietoja tai käytä riittävän turvallista sähköpostia sekä sovi vastaanottajien kanssa hyvistä käytänteistä.
5. Älä päästä tietoturvaa organisaatiosta työntekijöiden tai luottamushenkilöiden mukana.
Poista entisten työntekijöiden ja luottamushenkilöiden sekä esimerkiksi harjoittelijoiden, vapaaehtoisten aktiivien tai konsulttien käyttäjätilit (verkkosalasana, puhelin, sähköposti) välittömästi.
6. Huolehdi mobiililaitteiden tietoturvasta.
Esimerkiksi puhelimella hoidetaan sähköpostiliikennettä, laskujen maksua ja sisäistä viestintää sekä käsitellään tärkeitä dokumentteja. Kaikissa laitteissa, joissa on arkaluonteisia tietoja, on oltava turvakoodit, virustorjunta sekä palomuuri. MUISTA jälleen kerran myös näiden laitteiden varmuuskopiot!
7. Laitteet
Jos yrityksen omistuksessa olevia suojaamattomia laitteita on kadonnut, siitä voi muodostua merkittävä ongelma. Luetteloi aina laitteet ja esimerkiksi muistitikut, joissa on arkaluonteista tietoa.