Etusivu » Ammattiosastot

Ammattiliitot ja tietosuoja

Jaa sivu:

Ammattiosasto on itsenäinen toimija ja tarvitsee tietosuojansa turvaksi räätälöidyn tietosuojaselosteen

Ammattiosastotkaan eivät voi piiloutua valtakunnallisten keskusliittojensa selän taakse tietosuojaa koskevissa asioissa.

Yhdistykset ovat itsenäisiä toimijoita ja vastuussa siitä, että kunkin ammattiosaston tietoturva on toukokuussa 2018 voimaan tulleen EU:n tietosuoja-asetuksen (GDPR) vaatimalla tasolla. Asetus koskee kaikkia yhdistyksiä Suomessa, niin suuria kuin pieniäkin, siis myös ammattiosastoja.

Pelkästään Julkisten ja hyvinvointialojen liitossa (JHL) on noin 600 jäsenyhdistystä. Esimerkiksi Polvijärven JHL-yhdistykseen kuuluu jäseninä 200 alan paikallista eri työnantajan palveluksessa olevaa työntekijää.

Suomessa työntekijöiden järjestäytymisaste on korkea. Työ- ja elinkeinoministeriön mukaan palkansaajista miltei kolme neljästä kuului alansa ammattijärjestöön vuonna 2017. Ainoastaan yksi kymmenestä ei ollut ammattiliiton tai työttömyyskassan jäsen.

Kullakin ammattiosastolla on hallussaan paljon luottamuksellista ja myös kriittiseksi luonnehdittua tietoa esimerkiksi jäsenistönsä jäsenyydestä ammattiliittoon.

Ammattiosastoihin myös luotetaan arkaluonteistenkin tietojen käsittelijänä. Siksi on tärkeää, että tietosuoja on asetuksen vaatimalla tasolla ja että jäsenkenttä voi luottaa tietojensa luottamuksellisuuteen.

Ja kun yhdistys laittaa tietosuojansa kuntoon, tulee samalla käytyä läpi myös yhdistyksen tietoturva ja pistettyä sekin ajan tasalle.

Vastuu hallituksella ja puheenjohtajalla

Jokainen ammattiosasto on siis itsenäinen rekisterinpitäjä, ja rekisterinpitäjänä sen on noudatettava EU:n tietosuoja-asetusta.

Keskusjärjestö – esimerkiksi JHL – ei puutu siihen, miten vaikkapa Polvijärven JHL-yhdistyksessä tietosuoja on hoidettu. Polvijärven JHL-yhdistys on liiton jäsen ja toimii sen sääntöjen ja yleisten ohjeiden mukaisesti mutta on kuitenkin itsenäinen rekisteröity yhdistys, jolla on paikallisessa toiminnassaan laaja ”autonomia”.

Tietosuoja-asetuksen mukaan yhdistys on vastuussa myös mahdollisista tietosuojarikkomuksista eli jos yhdistys rikkoo tietosuojasäännöstä, sanktiot määrätään yhdistykselle.

Myös rikosoikeudelliset seuraamukset, sakko tai vahingonkorvaus ovat mahdollisia. Rekisteröity voi vaatia henkilökohtaista vahingonkorvausta, jos hänen oikeuksiaan on rikottu vaikkapa varastamalla hänen identiteettinsä huolimattoman henkilötietojen käsittelyn seurauksena. Identiteettivarkauksien määrä on nopeassa kasvussa.

Tietosuoja koskee jokaista ammattiosaston jäsentä. Erityisen paljon se koskee niitä, jotka ovat osastojensa luottamushenkilöitä.

Asetuksen mukaan henkilötietojen käsittelyyn yhdistyksessä on oltava lain mukainen syy, esimerkiksi rekisterinpitäjän tai rekisteröidyn välisen sopimuksen täytäntöön pano, rekisterinpitäjän lainmukaisen velvoitteen täyttäminen tai rekisterinpitäjän oikeutettu etu. Pelkkä rekisteröidyltä saatu lupa henkilötietojen käsittelyyn ei välttämättä riitä. Jokaisella jäsenellä on oikeus nähdä hänestä rekisterissä olevat tiedot.

Tietosuojansa turvaksi jokainen ammattiosasto tarvitsee oman tietosuojaselosteen. Keskusliiton jäsenrekisteri ei riitä. Tietosuojaseloste on tehtävä ja räätälöitävä kyseisen ammattiosaston omat lähtökohdat ja toiminta huomioon ottaen. Sitä ei siis voi kopioida mistään muualta.

Myös henkilötietoja käsittelevien luottamushenkilöiden olisi syytä allekirjoittaa salassapitositoumus.

Dokumentointi on turvatae

Tietosuojan kuntoon laittaminen alkaa nykytilan selvittämisellä: mitä tietoja ammattiosastolla on, missä ne ovat, kuka niitä käsittelee ja miten ne on suojattu?

Kun alkukartoitus on tehty, tarpeettomat ja vanhentuneet tiedot on poistettava.

Tämän jälkeen suunnitellaan tietosuojakoulutus kaikille luottamustoimissa oleville, ja pidetään huoli, että koulutusta on tarjolla myös jatkossa esimerkiksi luottamushenkilöiden vaihtuessa.

Ammattiosastojen on lisäksi dokumentoitava kaikki olennaiset tietosuojaan kuuluvat toimenpiteet, esimerkiksi henkilötietojen käsittely ja rekisteröinti, riskien arviointi, varautumiset tietoturvaloukkauksiin ja koulutukset. Dokumentti tarvitaan myös rekisteröityjen oikeuksien suojelusta.

Myös tietosuojariskit on arvioitava ja varauduttava mahdollisiin tietoturvaloukkauksiin tai muihin ongelmatilanteisiin.

Dokumentti on turvatae viranomaisten ja rekisteröityjen kanssa asioitaessa ja osoitus siitä, että tietosuoja on pistetty asetuksen vaatimalle tasolle.

Dokumentit kaikista tehdyistä toimista, selvityksistä, koulutuksista ja ohjeista on viisasta säilyttää mahdollisia ongelmatilanteita varten. Yhdistys saattaa esimerkiksi joutua käräjille jonkun tekemän virheen takia, ja tuolloin näyttö asioiden määrätietoisesta ja asetuksen mukaisesta hoidosta on tärkeää.

Liitolta koulutus ja ohjeet, Pro Tietosuojasta selkeytys

Polvijärven JHL-yhdistyksessä on sitouduttu ja motivoiduttu pistämään tietosuoja-asiat kuntoon

Jokaisella ammattiosastolla on juridinen vastuu siitä, että yhdistys käsittelee jäsenistönsä tietoja oikein ja turvallisesti EU:n tietosuoja-asetuksen vaatimalla tavalla.

– Kyllähän se juridinen vastuu huolestuttaa, ja epäselvä tilanne aiheutti ensin paljonkin huolta, myöntää Julkisten ja hyvinvointialojen liiton (JHL) Polvijärven yhdistyksen puheenjohtaja pääluottamusmies Esa Leminen.

Leminen ja hänen johtamansa ammattiosaston hallituksen jäsenet eivät kuitenkaan jääneet huolensa vangeiksi, vaan ryhtyivät toimeen.

– Saimme liitolta tiiviin ohjeistuksen sekä mahdollisuuden osallistua koulutuksiin, ja Pro Tietosuoja selkeytti asioita, Esa Leminen sanoo.

JHL ohjeisti jäsenyhdistyksiään käsittelylistan avulla, jossa oli muun muassa salassapitoa, jäsentietojen luovuttamista, sähköpostin käyttöä, dokumentointia ja dokumenttien säilytystä koskevat ohjeet.

EU:n tietosuoja-asetus astui voimaan 25.5.2018.

– Siihen mennessä meillä oli tietosuojaseloste tehtynä, ei mitään muuta, Leminen sanoo.

Lemisen mukaan Pro Tietosuojasta on ollut paljon apua Polvijärven JHL-yhdistykselle. Pro Tietosuoja on työkalu, jonka avulla asetuksen vaatimukset on helppo laittaa kuntoon.

– Saimme apua erityisesti riskien kartoittamisessa ja hallinnassa. Sovelluksen kysymykset auttoivat huomaamaan riskejä, joita ei tule ajatelleeksi, Leminen sanoo.
– Kysymysten läpikäyminen hallituksen jäsenten kanssa yhteistyössä oli merkittävä riskien hallintatoimien ymmärtämisessä ja tietosuojan käytäntöön viemisessä.

Vaikeinta laajuus ja kokonaisuus

Esa Leminen sanoo, että tietosuoja-asetuksen kuntoon pistämisessä on ollut vaikeinta sen laajuuden ja kokonaisuuden ymmärtäminen sekä se, miten lain soveltaminen vaikuttaa yhdistyksen toimintaan.

– Minulle oli selvää, että esimerkiksi henkilörekisterit ovat salassa pidettäviä asiakirjoja, ja tietoja oli käsitelty vastuullisesti aiemminkin. Mutta eri lakeihin pohjautuva säilyttämisvelvollisuus toi ristiriitaista tulkintaa. Oli otettava selvää, miten se tulee vaikuttamaan yhdistyksen toimintaan, Leminen sanoo.

Ammattiosaston hallitus on kuitenkin suhtautunut avoimesti ja määrätietoisesti saadakseen yhdistyksen tietoturvan ajan tasalle, vaikka aivan kaikilla ei vielä ole tarkkaa tietoa asetuksesta ja sen merkityksestä.

– Pro Tietosuoja -ohjelman avulla koulutamme koko hallituksen ja käymme sen avulla myös jatkossa vuosittain läpi asiat. Kokonaisvastuu on hallituksella ja osa-alueittain erikseen nimetyillä henkilöillä.

Leminen sanoo uskovansa, että tietosuojan vaatimukset ja jatko tulevina vuosina ymmärretään nyt yhdistyksen hallituksessa. Dokumentaation säilyttäminen on omaksi turvaksi ongelmatilanteiden varalta.

– Me yhdistyksenä olemme muuttaneet toimintatapaamme niin, ettemme muodostaa turhaan tietoturvariskiä.
– Hallituksen jäsenet ovat sitoutuneita ja motivoituneita. Jos kysyttävää on ollut, vastaukset ovat löytyneet Pro Tietosuojasta ja sen tukimateriaaleista, Leminen sanoo.

Toiminta selkeämpää ja tarkempaa

Esa Lemisen mukaan uuden tietosuoja-asetuksen myötä toiminnasta on tullut selkeämpää ja tarkempaa, erityisesti dokumentaation säilyttämiseen ja säilytysaikoihin on kiinnitetty huomiota.

– Salassapito on ollut itsestään selvää, mutta olemme muuttaneet toimintatapoja ja käyneet hyviä sisäisiä keskusteluja tietoturvan parantamiseen ja toimintojen muuttamisesta, Leminen kertoo.

Myös mahdollisiin tietoturvaloukkauksiin ja niistä ilmoittautumisiin on varauduttu nimeämällä vastuuhenkilöt ja tekemällä ilmoittamisen protokolla ohjeineen.

Lemisen arvio on, että tietosuoja-asetuksen henki ja käytänteet ovat ainakin pääosin hallussa koko hallituksella.

– Oma liitto on järjestänyt aktiivisesti koulutusmahdollisuuksia jäsenilleen. Asetus on kuitenkin niin laaja, ettei maallikko sitä koskaan täysin ymmärrä, Leminen sanoo.

Materiaalia

Lataa tästä tietosuoja-asetuksen huoneentaulu käyttöösi!

Lataa tästä tietosuojan tarkistuslista käyttöösi!

Laita tietosuoja-asiat kuntoon yhdellä työkalulla

Ammattiosastot ja tietosuoja-asetus

Perustietoa tietosuoja-asetuksesta yhdistyksille videomuodossa.

Scroll to Top