Selaa sivustoa

GDPR ja yhdistykset – onko tietosuoja EU-asetuksen edellyttämällä tasolla?

Jos olet yhdistysihminen, ja erityisesti jos olet mukana rekisteröidyn yhdistyksesi luottamustoimessa, esimerkiksi hallituksessa, näiden alla olevien asioiden pitäisi olla sinulle tuttuja.

  • perusteet henkilötietojen käsittelyyn
  • salassapitositoumus
  • lapsen henkilötietojen käsittely
  • terveys- ja tilitietoihin pääsy
  • poliittisen kannan, etnisen taustan, sukupuolisen suuntauksen rekisteröiminen
  • muiden arkaluonteisten tietojen käsittely
  • tarpeettomien tietojen hävittäminen

Miten on? Jos yhdistyksesi tietoturva on EU:n tietosuoja-asetuksen, (GDPR) mukaisessa kunnossa, olet luultavasti saanut koulutusta asetuksen vaatimiin toimiin. GDPR tuli voimaan 25. toukokuuta 2016. Kansallinen siirtymäaika umpeutui 25.5.2018.

Perhokalastaja, martta, metsästäjä, partiolainen, golfari

Oletpa sitten martta, kalastus- tai metsästysseuralainen, partiolainen, kuulut nuorisoseuraan, lions clubiin tai rotareihin, harrastat reserviläistoimintaa, olet kyläyhdistyksen jäsen tai kuulut mihin tahansa rekisteröityyn yhdistykseen, niin rivijäsenenäkin sinun on hyvä tietää, kuinka sinusta taltioituja tietoja yhdistyksessäsi käsitellään. Siihen sinulla on lain vahvistama oikeus.

Jos seuran tai yhdistyksen hallinto on hoitanut homman hyvin ja tietosuoja-asetuksen velvoitteet on täytetty, saat juuri nyt omat tietosi ja tiedon siitä mihin niitä käytetään  yhdistyksen rekisteristä kohtuullisen helposti esille. Rekisterinpitäjä voi tällöin myös osoittaa miten yhdistyksen tietosuojaa koskevat asiat sen eri vaiheissa on dokumentoitu.

Vaatimus dokumentoinnista tarkoittaa, että jokaisen yrityksen, yhdistyksen tai vaikkapa taloyhtiön on rekisterinpitäjänä tehtävä tietyt asiat. Poikkeuksia ei ole. Henkilörekisteriä koskevat tiedot yhdistyksessä on koottava rekisteri- tai tietosuojaselosteen.

Asetuksenmukaista selostetta ei voi ”kopioida” itselle toisen yrityksen, yhdistyksen tai esim. oman liiton omasta selosteesta. Jokainen organisaatio on erilainen ja selosteen on kerrottava kunkin omasta todellisesta henkilötietojen käsittelystä, tietoturvasta ja toimintatavoista.

Tässä selosteessa  on oltava paljon muutakin kuin yhdistyksen yhteystiedot. Siitä on käytävä ilmi mitä henkilötietoja yhdistyksessä käsitellään, mikä on tietojen käsittelyn tarkoitus ja miten tiedot on suojattu.

Ohessa luetteloa yhdistyksen muista tärkeistä dokumenteista:

  • oma dokumentaatio henkilötiedoista, -rekistereistä ja niiden asiallisesta käsittelystä
  • tietoturvan arviointi ja kuntoon laittaminen
  • riskien arviointi
  • asetuksen peruskoulutus ja suunnitelmallinen jatkokoulutus tulevina vuosina
  • varautuminen tietoturvaloukkauksiin ja hyvä ohjeistus tarvittavista toimenpiteistä
  • henkilötietojen käsittelyyn liittyvien sopimusten päivittäminen (tilitoimisto ym.)
  • rekisteröidyn oikeuksien täyttämisvelvollisuus (tietojen saaminen, tietojen korjaaminen, tietojen poistaminen ja käsittelyn estäminen) sekä niihin liittyvät toimintaohjeet

Yhdistysten toiminta on useimmiten yksilöllistä ja niillä on hyvin monenlaisia tehtäviä. Nykyisinhän monet yhdistykset esimerkiksi toimivat työvoiman rekrytoijina ja monien toiminta edellyttää hyvinkin kriittisten henkilötietojen käsittelyä. Silloin asetuksen vaatimukset ovat luonnollisesti aivan eri vakavuustasolla.

Into laantui, asiat unohtuivat

Tietosuoja-asetuksesta puhuttiin paljon keväällä juuri ennen sen voimaantuloa. Se tapahtui sopivasti kesälomien alla, joten puheet ja mietintä loppuivat lyhyeen. Niin tapahtui asiantuntijoiden arvioiden mukaan myös GDPR:n edellyttämälle konkreettiselle toimeenpanolle itse yhdistyksissäkin.

Tietosuoja-asetuksen laajuus ja vaativuus on edelleen jäänyt hieman hämäräksi monissa rekisteröidyissä yhdistyksissä. Näin siitä huolimatta, että henkilöstöä ja luottamushenkilöitä koulutettiin innokkaasti.

Itsenäisen yhdistyksen omaa vastuuta dokumentoinnissa ja henkilötietojen rekisteröinnissä ei ole ymmärretty riittävästi. On mahdollista, että yhdistysten hallitukset ja puheenjohtajat eivät ole täysin sisäistäneet omaa vastuutaan esimerkiksi maineriskien tai vahingonkorvausvastuun osalta. Liian usein kuvitellaan kattojärjestön tai ”ison liiton” huolehtivan asiat kuntoon paikallisen yhdistyksen puolesta. Tämä voi olla kohtalokas väärinymmärrys, jos oman yhdistyksen  toiminnassa tapahtuu jotain vakavaa ja rangaistavaa. Kukin rekisteröity yhdistys on ITSE  rekisterinpitäjä ja vastuussa OMASTA toiminnastaan!

Sama ”ymmärtämättömyys” koskee myös niitä yksittäisiä vastuuhenkilöitä, jotka käsittelevät kriittiseksi luokiteltua tietoa. Ongelma on myös, ettei ole ”reilulla kädellä” uskallettu karsia tarpeettomia tietoja pois.

Mahtaako yhdistyksissä olla selvät sopimukset kumppaneiden tai palveluntarjoajien kanssa siitä kenellä kaikilla on pääsy näihin tietoihin, miten tiedot on suojattu ja otetaanko näistä tiedoista säännöllisesti varmuuskopiot? Muun muassa näitä kysymyksiä kannattaa pohtia porukalla hetkinen.

Tämän tekstin tarkoitus ei ole pelotella vaan rohkaista konkreettiseen toimintaa, koska tietosuoja ja tietoturva ovat laitettavissa hyvään kuntoon kohtuullisella työmäärällä - ja hyvillä neuvoilla sekä työkaluilla lähes kaikkien yhdistysten resursseilla.

On vain ymmärrettävä asetus laajempana kokonaisuutena kuin pelkkänä huitaistuna rekisteriselosteena. Usein asiallinen mietintä, selvitykset ja dokumentaatio on tehtävissä kuntoon parilla-kolmella kokoontumisella ja yllättävän pienellä työmäärällä moneksi vuodeksi eteenpäin. Mutta muistakaa! Tämä ei ole kertaluonteinen ”rykäisy” vaan päättymätön projekti, joka vaatii hyvin tehtynä tietojen ja dokumentaation päivittämistä tasaisin määräajoin.

Lataa tästä tietosuoja-asetuksen huoneentaulu käyttöösi!

Lataa tästä tietosuojan tarkistuslista käyttöösi!

Laita tietosuoja-asiat kuntoon yhdellä työkalulla

Julkaistu: 12.10.2018

Yhdistykset ja tietosuoja-asetus

Perustietoa tietosuoja-asetuksesta yhdistyksille videomuodossa.

Hyviä kysymyksiä Tietosuojasta yhdistyksille

Kun rekisteröidyn yhdistyksen tietosuojaa ja tietoturvaa ryhdytään laittamaan EU:n tietosuoja-asetuksen eli GDPR:n (General Data Protection Regular) mukaiseen kuntoon, sen voi aloittaa esimerkiksi näillä Pro Pilvipalveluiden laatimilla kysymyksillä.

Mietintä ja selvitystyö on huomattavasti helpompaa, on sitten kysymyksessä urheiluseura, metsästys- tai kalastusseura, marttayhdistys, kyläyhdistys, lions club, rotary club, maamiesseura, nuorisoseura, reserviläiset, ampumaseura tai mikä muu yhdistys tahansa.

Lista on pitkä, mutta maksaa kysyjälle ja pohtijalle vaivan.

1. Selvitä nykytila

  • Mitä henkilötietoja meillä on?
  • Mitä tietoja pitää suojata? Miten ne on tallennettu ja suojattu?
  • Mitä vaaroja on nykyisissä toimintatavoissa?
  • Onko kaikissa laitteissa ajan tasalla olevat palomuurit ja suojaohjelmat?
  • Onko tehty henkilötietojen/-rekisterien varmuuskopiot?
  • Onko organisaation internetliikenne ja -yhteydet suojattu?
  • Onko ohjelmistojen tarjoama suoja kattava?
  • Kenen kaikkien tietokoneita henkilötietojen käsittelyssä käytetään?
  • Onko tietokoneiden kovalevyt ja mm. muistitikut salattu?
  • Ovatko salasanat turvallisia ja muutetaanko niitä tarvittavan usein?
  • Onko työkoneilla vain ne ohjelmat, joita työntekijä välttämättä tarvitsee?
  • Onko toimintaa koskeva kirjeenvaihto ja viestit salattu asianmukaisesti?
  • Mitä tietoja on paperilla, varastossa ja mapeissa?
  • Onko organisaation tiloissa hälytys- ja valvontalaitteet, murtosuojat?
  • Osaako henkilöstö tunnistaa tietojen kalastelun ja raportoida siitä?

2. Arvioi kriittiset tiedot

  • Mitä kriittisiä tietoja meillä on?
  • Onko meillä tehty kriittisyysluokitus?
  • Asiakkaita, kumppaneita, työntekijöitä ja heidän henkilötietojaan sekä yrityksen raha-asioita ja yritysprosesseja koskevat tiedot ovat aina kriittisiä ja vaativat huolellisen käsittelyn.
  • Kenellä on pääsy näihin tietoihin?
  • Onko varmistettu, että vain välttämättömiin tietoihin on pääsy?
  • Miten tiedot on suojattu?
  • Otetaanko tiedoista aina varmuuskopiot – säännöllisesti?
  • Kuka varmuuskopiot tarvittaessa palauttaa?
  • Miten varmuuskopioiden palautus tehdään?

3. Määrittele työntekijöille selkeät ohjeet miten kunkin on henkilökohtaisesti huolehdittava tietoturvasta.

  • Ohjeistus työtietoja sisältävien laitteiden käytöstä kotona (salasana, lapsilukko) ja ohjeet muualla työpaikan ulkopuolella työskentelyyn (avoimet wifi -verkot jne.)
  • Laadi pelinsäännöt sille, kuinka vapaasti netissä voi surffata.
  • Kouluta henkilökuntaasi säännöllisesti niin tietosuojan kuin tietoturvan osalta - ja aina lainsäädännön uudistuessa.

4. Sähköposti 

Sähköposteja lähetettäessä varmista, että ne eivät sisällä henkilötietoja tai käytä riittävän turvallista sähköpostia sekä sovi vastaanottajien kanssa hyvistä käytänteistä.

5. Älä päästä tietoturvaa organisaatiosta työntekijöiden tai luottamushenkilöiden mukana.

Poista entisten työntekijöiden ja luottamushenkilöiden sekä esimerkiksi harjoittelijoiden, vapaaehtoisten aktiivien tai konsulttien käyttäjätilit (verkkosalasana, puhelin, sähköposti) välittömästi.

6. Huolehdi mobiililaitteiden tietoturvasta.

Esimerkiksi puhelimella hoidetaan sähköpostiliikennettä, laskujen maksua ja sisäistä viestintää sekä käsitellään tärkeitä dokumentteja. Kaikissa laitteissa, joissa on arkaluonteisia tietoja, on oltava turvakoodit, virustorjunta sekä palomuuri. MUISTA jälleen kerran myös näiden laitteiden varmuuskopiot!

7. Laitteet

Jos yrityksen omistuksessa olevia suojaamattomia laitteita on kadonnut, siitä voi muodostua merkittävä ongelma. Luetteloi aina laitteet ja esimerkiksi muistitikut, joissa on arkaluonteista tietoa.

Laita tietosuoja-asiat kuntoon yhdellä työkalulla

Julkaistu: 12.10.2018

Tietoa asetuksesta videomuodossa Hyviä kysymyksiä Tietosuojasta rekisteröidyille yhdistyksille

Pro Tietosuoja -palvelun hinta
alk. 99 €
/vuosi (alv 0%).

Tutustu

Pro PK-Pilvipalvelut Oy | Syvälahdentie 13, 83460 Harinjärvi

Myynti: Hannu Hirvonen, GSM

Pro Pilvipalveluiden logo
www.propilvipalvelut.fi
www.johtamisjarjestelma.fi

Pro Tietosuoja opastaa ja helpottaa selviytymään toukokuussa 2018 voimaan tulleen tietosuoja-asetuksen (GDPR) velvoitteista. Asetus edellyttää monien selvitysten, korjaustoimien, ohjeiden, hyvien käytänteiden ja dokumentaation tekemistä.

www.tietosuojajarjestelma.fi

Tietoa aiheesta

www.tietoturva.pro
www.tietosuoja-asetus.org
www.tietosuojaloukkaus.fi
www.tietoturvaloukkaus.fi
www.protietosuojavastaava.fi
www.poikkeamailmoitus.fi
www.tietosuojariskienarviointi.fi
www.tietoturvariskienarviointi.fi

Pro Henkilöstö on pk-yrityksen tai esimerkiksi liiton, järjestön tai yhdistyksen työkalu. Henkilöstöhallinnon vastuuhenkilö voi sen avulla huolehtia koko työsuhteen elinkaaren työhakemuksesta aina työtodistukseen saakka.

www.hr-jarjestelma.com

Tietoa aiheesta

www.tyosopimus.eu
www.henkilostohallinto.com
www.henkilostopaallikko.fi
www.rekrytointi.info

Pro Riskienhallinta -pilvipalvelu on uusi, helppo ja joustava tapa hallinnoida yrityksen tai yhteisön riskejä.

www.riskienhallinta.org

Tietoa aiheesta

www.koneturvallisuus.eu

Pro Vastuullisuus on pk-yrityksen kustannustehokas ja helppokäyttöinen yritysvastuun hallinnointijärjestelmä.

Tietoa aiheesta

www.whistleblowing.pro
www.whistleblower.fi
www.vastuullisuusraportti.com
www.vastuullisuus.pro
www.codeofconduct.pro

Pro HSEQ on uusi pilvipalvelu, johon on koottu yhteen ja samaan järjestelmään kattavasti arvioitavia HSEQ-asioita. Se on suunniteltu erityisesti niille pk-yrityksille, jotka haluavat kehittää toimintaansa ja tehdä itsestään luotettavan ja houkuttelevan yhteistyökumppanin.

www.hseq-jarjestelma.fi

Tietoa aiheesta

www.alihankinta.pro

Pro Perehdytys on pk-yrityksien, yhdistysten ja julkishallinnon perehdytysmateriaalien luontiin ja hallinnointiin suunniteltu järjestelmä.

www.perehdytysjarjestelma.fi

Pro Sähköinen allekirjoitus on organisaation helppo ja kustannustehokas sähköinen / digitaalinen allekirjoitus. Hyvä ilmainen sähköinen allekirjoittaminen on mahdollista pilvipalvelumme osana.

www.sahkoinenallekirjoitus.pro

Pro Työturva on työsuojeluhenkilöstön jokapäiväinen työkalu. Sillä on mahdollista luoda ja hallinnoida kaikille yhteisiä lain velvoittamia tietoja ja dokumentteja. Työelämän lupakortit, koulutukset, luvat ja pätevyydet pysyvät helposti ajan tasalla.

www.tyoturvallisuusjarjestelma.fi

Tietoa aiheesta

www.pelastussuunnitelma.info
www.kemikaaliluettelo.fi
www.tyoterveyshuolto.com
www.riskienarviointi.com
www.tyosuojeluntoimintaohjelma.fi
www.tyosuojelutarkastus.fi
www.tyosuojelu.org
www.tyosuojelutarkastaja.fi
www.tyosuojelupaallikko.com
www.tyohonperehdytys.fi
www.tyonopastus.fi
www.koulutusrekisteri.net
www.turvallisuusilmoitus.com
www.tyosuojeluvaltuutettu.com
www.paihdeohjelma.fi
www.tyoturvallisuus.eu
www.asa-rekisteri.fi
www.kvartsipoly.fi

Pro Tulityö on pk-yrityksille ja mm. taloyhtiöille ja isännöitsijöille suunniteltu tulityölupien ja -suunnitelmien sähköinen hallinnointijärjestelmä. Sen käyttö on helppoa ja vaivatonta ja voitte luopua hankalista paperilomakkeista. Palvelu toimii selainpohjaisesti eri laitteilla ja on täysin tietokantapohjainen.

www.protulityo.fi

Tietoa aiheesta

www.tulityolupa.eu
www.tulityosuunnitelma.com

Pro Työlupajärjestelmä -pilvipalvelu on pk-yritysten työlupien, turvallisuussuunnitelmien ja riskien arviointien luontiin ja hallinnointiin kehitetty pilvipalvelu.

www.tyolupakaytanto.fi

Pro Hiilineutraalisuus on pk-yrityksen kustannustehokas ja helppokäyttöinen yritysvastuun / hiilineutraaliuden hallinnointijärjestelmä. Sen avulla on helppoa arvioida nykytilanne eri näkökulmista ja tehdä määrämuotoinen tyylikäs dokumentaatio asiakkaille tai tilaajille.

www.hiilineutraalius.com

Tietoa aiheesta

www.hiilineutraaliyritys.fi
www.hiilikadenjalki.com

Pro Varautuminen on pk-yrityksille ja julkisyhteisöille tehty helppokäyttöinen ja kustannustehokas pilvipalvelu, jonka avulla voi tehdä varautumissuunnitelman erilaisiin poikkeustilanteisiin.

Tietoa aiheesta

www.varautumissuunnitelma.fi
www.epidemia.pro
www.pandemia.pro
www.finanssikriisi.fi
www.koronaviruscovid-19.fi

Pro Koulutus on monipuolinen, mutta helppokäyttöinen verkkokoulutusjärjestelmä organisaatioille, joka haluavat parantaa esim. työturvallisuuden ja esimiesten koulutuksen tasoa.

Tietoa aiheesta

www.tyoturvallisuuskoulutus.pro
www.hseq-koulutus.fi

Pro Ilmoitus on erilaisten organisaatioiden monipuolinen ilmoitusjärjestelmä. Sen avulla työnantaja ja esimiehet, työsuojeluhenkilöstö, henkilöstöhallinto sekä laadunhallinta pystyvät ottamaan vastaan erilaisia ilmoituksia ja toimimaan valmiiksi sovittujen toimintatapojen mukaisesti.

www.poikkeamienilmoitusjarjestelma.fi

Tietoa aiheesta

www.hairintatoissa.fi
www.seksuaalinenhairinta.fi
www.turvallisuushavainto.com
www.laheltapiti.com
www.kiusaaminen.com
www.nettikiusaaminen.fi
www.kunnianloukkaus.com
www.uhkajavakivaltatilanteet.fi
www.syrjinta.com
www.vakivaltatyossa.fi
www.epaasiallinenkohtelu.fi
www.tasa-arvo.eu
www.yhdenvertaisuus.com
www.tyohonperehdyttaminen.fi
www.tyohonopastaminen.fi

Pro Laadunhallinta on erilaisille organisaatioille suunniteltu kevyt ja helppokäyttöinen toimintajärjestelmän alusta, jonka avulla pystytte hallitsemaan usean eri standardin vaatimuksia samalla työkalulla.

www.laadunhallintajarjestelma.fi

Tietoa aiheesta

www.laatujarjestelma.com
www.standardi.fi
www.iso9001.fi
www.ymparistojarjestelma.com
www.iso45001.fi
www.tietoturvajarjestelma.com
www.iso31000.fi
www.laatupaallikko.org
www.laatukasikirja.fi
www.toimintajarjestelma.com

Pro Omavalvonta on organisaation monipuolinen omavalvontaan suunniteltu järjestelmä. Sen avulla työnantaja ja esimiehet pystyvät luomaan ja ylläpitämään omavalvontasuunnitelmia sekä niihin liittyviä liitedokumentteja ja riskien arviointeja.

Tietoa aiheesta

www.omavalvontasuunnitelma.eu
www.omavalvonta.eu

Pro Marjatila on marjatiloille räätälöity työturvallisuusjärjestelmä ja perehdyttämisen täsmätyökalu.

www.promarjatila.fi

Pro Maatila on suomalaisille maatiloille ja useille tuotantosuunnille räätälöity työturvallisuuden, pelastussuunnittelun ja muun muassa perehdyttämisen pilvipalvelu.

www.suomalainenmaatila.fi

Pro Asiakirjat -palvelu on pk-yrityksille kehitetty dokumenttien hallintajärjestelmä, jonka valmiiden sähköisten asiakirjamallien ja -pohjien avulla on helppo hallinnoida oman yrityksen tärkeimpiä perusdokumentteja.

www.asiakirjat.eu

Tietoa aiheesta

www.dokumenttienhallintajarjestelma.fi
www.yrityskaupat.eu
www.pk-yritys.com

Palvelua toteuttamassa

Facebook Youtube Twitter LinkedIn SlideShare

© Pro Pilvipalvelut 2023