Jos olet yhdistysihminen, ja erityisesti jos olet mukana rekisteröidyn yhdistyksesi luottamustoimessa, esimerkiksi hallituksessa, näiden alla olevien asioiden pitäisi olla sinulle tuttuja.
Miten on? Jos yhdistyksesi tietoturva on EU:n tietosuoja-asetuksen, (GDPR) mukaisessa kunnossa, olet luultavasti saanut koulutusta asetuksen vaatimiin toimiin. GDPR tuli voimaan 25. toukokuuta 2016. Kansallinen siirtymäaika umpeutui 25.5.2018.
Oletpa sitten martta, kalastus- tai metsästysseuralainen, partiolainen, kuulut nuorisoseuraan, lions clubiin tai rotareihin, harrastat reserviläistoimintaa, olet kyläyhdistyksen jäsen tai kuulut mihin tahansa rekisteröityyn yhdistykseen, niin rivijäsenenäkin sinun on hyvä tietää, kuinka sinusta taltioituja tietoja yhdistyksessäsi käsitellään. Siihen sinulla on lain vahvistama oikeus.
Jos seuran tai yhdistyksen hallinto on hoitanut homman hyvin ja tietosuoja-asetuksen velvoitteet on täytetty, saat juuri nyt omat tietosi ja tiedon siitä mihin niitä käytetään yhdistyksen rekisteristä kohtuullisen helposti esille. Rekisterinpitäjä voi tällöin myös osoittaa miten yhdistyksen tietosuojaa koskevat asiat sen eri vaiheissa on dokumentoitu.
Vaatimus dokumentoinnista tarkoittaa, että jokaisen yrityksen, yhdistyksen tai vaikkapa taloyhtiön on rekisterinpitäjänä tehtävä tietyt asiat. Poikkeuksia ei ole. Henkilörekisteriä koskevat tiedot yhdistyksessä on koottava rekisteri- tai tietosuojaselosteen.
Asetuksenmukaista selostetta ei voi ”kopioida” itselle toisen yrityksen, yhdistyksen tai esim. oman liiton omasta selosteesta. Jokainen organisaatio on erilainen ja selosteen on kerrottava kunkin omasta todellisesta henkilötietojen käsittelystä, tietoturvasta ja toimintatavoista.
Tässä selosteessa on oltava paljon muutakin kuin yhdistyksen yhteystiedot. Siitä on käytävä ilmi mitä henkilötietoja yhdistyksessä käsitellään, mikä on tietojen käsittelyn tarkoitus ja miten tiedot on suojattu.
Yhdistysten toiminta on useimmiten yksilöllistä ja niillä on hyvin monenlaisia tehtäviä. Nykyisinhän monet yhdistykset esimerkiksi toimivat työvoiman rekrytoijina ja monien toiminta edellyttää hyvinkin kriittisten henkilötietojen käsittelyä. Silloin asetuksen vaatimukset ovat luonnollisesti aivan eri vakavuustasolla.
Tietosuoja-asetuksesta puhuttiin paljon keväällä juuri ennen sen voimaantuloa. Se tapahtui sopivasti kesälomien alla, joten puheet ja mietintä loppuivat lyhyeen. Niin tapahtui asiantuntijoiden arvioiden mukaan myös GDPR:n edellyttämälle konkreettiselle toimeenpanolle itse yhdistyksissäkin.
Tietosuoja-asetuksen laajuus ja vaativuus on edelleen jäänyt hieman hämäräksi monissa rekisteröidyissä yhdistyksissä. Näin siitä huolimatta, että henkilöstöä ja luottamushenkilöitä koulutettiin innokkaasti.
Itsenäisen yhdistyksen omaa vastuuta dokumentoinnissa ja henkilötietojen rekisteröinnissä ei ole ymmärretty riittävästi. On mahdollista, että yhdistysten hallitukset ja puheenjohtajat eivät ole täysin sisäistäneet omaa vastuutaan esimerkiksi maineriskien tai vahingonkorvausvastuun osalta. Liian usein kuvitellaan kattojärjestön tai ”ison liiton” huolehtivan asiat kuntoon paikallisen yhdistyksen puolesta. Tämä voi olla kohtalokas väärinymmärrys, jos oman yhdistyksen toiminnassa tapahtuu jotain vakavaa ja rangaistavaa. Kukin rekisteröity yhdistys on ITSE rekisterinpitäjä ja vastuussa OMASTA toiminnastaan!
Sama ”ymmärtämättömyys” koskee myös niitä yksittäisiä vastuuhenkilöitä, jotka käsittelevät kriittiseksi luokiteltua tietoa. Ongelma on myös, ettei ole ”reilulla kädellä” uskallettu karsia tarpeettomia tietoja pois.
Mahtaako yhdistyksissä olla selvät sopimukset kumppaneiden tai palveluntarjoajien kanssa siitä kenellä kaikilla on pääsy näihin tietoihin, miten tiedot on suojattu ja otetaanko näistä tiedoista säännöllisesti varmuuskopiot? Muun muassa näitä kysymyksiä kannattaa pohtia porukalla hetkinen.
Tämän tekstin tarkoitus ei ole pelotella vaan rohkaista konkreettiseen toimintaa, koska tietosuoja ja tietoturva ovat laitettavissa hyvään kuntoon kohtuullisella työmäärällä - ja hyvillä neuvoilla sekä työkaluilla lähes kaikkien yhdistysten resursseilla.
On vain ymmärrettävä asetus laajempana kokonaisuutena kuin pelkkänä huitaistuna rekisteriselosteena. Usein asiallinen mietintä, selvitykset ja dokumentaatio on tehtävissä kuntoon parilla-kolmella kokoontumisella ja yllättävän pienellä työmäärällä moneksi vuodeksi eteenpäin. Mutta muistakaa! Tämä ei ole kertaluonteinen ”rykäisy” vaan päättymätön projekti, joka vaatii hyvin tehtynä tietojen ja dokumentaation päivittämistä tasaisin määräajoin.
Lataa tästä tietosuoja-asetuksen huoneentaulu käyttöösi!
Lataa tästä tietosuojan tarkistuslista käyttöösi!
Laita tietosuoja-asiat kuntoon yhdellä työkalulla
Julkaistu: 12.10.2018
Perustietoa tietosuoja-asetuksesta yhdistyksille videomuodossa.
Kun rekisteröidyn yhdistyksen tietosuojaa ja tietoturvaa ryhdytään laittamaan EU:n tietosuoja-asetuksen eli GDPR:n (General Data Protection Regular) mukaiseen kuntoon, sen voi aloittaa esimerkiksi näillä Pro Pilvipalveluiden laatimilla kysymyksillä.
Mietintä ja selvitystyö on huomattavasti helpompaa, on sitten kysymyksessä urheiluseura, metsästys- tai kalastusseura, marttayhdistys, kyläyhdistys, lions club, rotary club, maamiesseura, nuorisoseura, reserviläiset, ampumaseura tai mikä muu yhdistys tahansa.
Lista on pitkä, mutta maksaa kysyjälle ja pohtijalle vaivan.
Sähköposteja lähetettäessä varmista, että ne eivät sisällä henkilötietoja tai käytä riittävän turvallista sähköpostia sekä sovi vastaanottajien kanssa hyvistä käytänteistä.
Poista entisten työntekijöiden ja luottamushenkilöiden sekä esimerkiksi harjoittelijoiden, vapaaehtoisten aktiivien tai konsulttien käyttäjätilit (verkkosalasana, puhelin, sähköposti) välittömästi.
Esimerkiksi puhelimella hoidetaan sähköpostiliikennettä, laskujen maksua ja sisäistä viestintää sekä käsitellään tärkeitä dokumentteja. Kaikissa laitteissa, joissa on arkaluonteisia tietoja, on oltava turvakoodit, virustorjunta sekä palomuuri. MUISTA jälleen kerran myös näiden laitteiden varmuuskopiot!
Jos yrityksen omistuksessa olevia suojaamattomia laitteita on kadonnut, siitä voi muodostua merkittävä ongelma. Luetteloi aina laitteet ja esimerkiksi muistitikut, joissa on arkaluonteista tietoa.
Laita tietosuoja-asiat kuntoon yhdellä työkalulla
Julkaistu: 12.10.2018