Sporttisaitti ja EU:n tietosuoja-asetus

Yleistä EU:n tietosuoja-asetusta (GDPR) aletaan soveltaa 25.5.2018 alkaen ja se vaikuttaa henkilötietojen käsittelyyn koko EU:n alueella. Asetuksen tavoitteena on parantaa luonnollisten henkilöiden oikeusturvaa henkilötietojen käsittelyn osalta. Asetus koskee yritysten ja julkishallinnon lisäksi myös urheiluseuroja ja muita järjestötoimijoita.

Olemme käynnistäneet asetukseen valmistautumiseen tähtäävät toimenpiteet vuoden 2016 lopulla, jotta voimme täyttää asetuksen vaatimukset omalta osaltamme. Valmistautumisen keskeisiä osa-alueita ovat olleet hallinnon kehittäminen, henkilöstön koulutus, kumppanoituminen ja tekninen kehitystyö. Keskeisiä toimenpiteitä ovat olleet hallinnassamme olevien henkilötietojen kartoittaminen, tietoturvan kehittäminen sekä tietosuojaselosteiden laatiminen.

Tavoitteenamme on jatkossakin tarjota asiakkaillemme turvallista palvelua, joka huomioi lainsäädännön vaatimukset ja auttaa asiakkaitamme osaltaan täyttämään viranomaisvaatimukset.

Sporttisaitin käyttöehdot 17.4.2018 alkaen

EU:n yleinen tietosuoja-asetus edellyttää henkilötietojen käsittelystä sopimista rekisterinpitäjien ja henkilötietojen käsittelijöiden välillä. Käyttöehtojen osana on tietosuojaliite, joka huomioi asetuksen vaatimukset.

Asetuksen huomioiminen Sporttisaitin käytössä

Sporttisaitissa on huomioitu asetuksen vaatimukset, mutta asetukseen valmistautuminen edellyttää toimenpiteitä myös seuralta. Olemme koonneet seitsemän kohtaa asetuksen huomioimiseksi seurassa:

1. Kartoita seurasi hallussa oleva henkilötieto ja tunnista myös Sporttisaitin ulkopuolelle tallennetut henkilötiedot.

Asetuksen näkökulmasta urheiluseura toimii rekisterinpitäjänä esimerkiksi jäsenten ja työntekijöiden henkilötietojen osalta. On tärkeää huomata, että myös esimerkiksi verkkolomakkeilla kerätty henkilötieto on huomioitava osana henkilötietojen käsittelyä. Kaikki tieto, jonka perusteella luonnollinen henkilö voidaan tunnistaa, on henkilötietoa.

2. Varmista, että seurallasi on lainmukainen peruste rekisteröidystä henkilöstä tallennettujen tietojen käsittelyyn.

Tiedot, joiden käsittelyyn ei ole seuran toimintaan liittyviä perusteita, tulee poistaa. Sporttisaitti mahdollistaa jäsenen tietojen poistamisen pysyvästi.

3. Määrittele ja dokumentoi seurasi henkilötietojen käsittelyn elinkaari.

Käytännössä tämä tarkoittaa esimerkiksi henkilötietojen ajantasaisuuden ja erityisesti poistamiseen liittyvien käytäntöjen määrittelyä. Käsittelyn elinkaari muodostaa lähtökohdan seuran sisäisille ohjeistuksille sekä tietosuojaselosteelle.

4. Tunnista henkilöt, joilla on oikeus käsitellä seuran hallussa olevia henkilötietoja.

Henkilöt tulee ohjeistaa seuran määrittelemien henkilötietojen käsittelyn käytäntöihin. Sporttisaitissa pääkäyttäjillä on oikeus käsitellä kaikkia rekisteriin tallennettuja henkilötietoja. Nyt on oikea hetki luopua jaetuista käyttäjätunnuksista ja luoda kaikille pääkäyttäjille ja muille Sporttisaittiin määritellyille käyttäjille henkilökohtaiset käyttäjätunnukset ja salasanat.

5. Asetus edellyttää, että rekisterinpitäjä huolehtii rekisterissä olevien henkilötietojen ajantasaisuudesta.

Seuran on määriteltävä toimintamalli tämän velvoitteen täyttämiseksi. Sporttisaitti mahdollistaa yhteystietojen ajatasaisuuden tarkastamisen rekisteröidyiltä automatisoidulla tarkastuspyynnöllä. Lisäksi Sporttisaitti tarjoaa tietoa rekisteriin tallennettujen sähköpostiosoitteiden toimivuudesta. Sporttsaitin rekisteri tarjoaa käyttäjille myös mahdollisuuden päivittää omat tietonsa suoraan rekisteriin.

6. Laadi tietosuojaseloste seurasi henkilötietojen käsittelystä.

Selosteet tulee laatia rekisterikohtaisesti eli esimerkiksi jos seurasi ylläpitää rekisteriä työntekijöistä ja jäsenistä, tulee näille rekistereille muodostaa omat tietosuojaselosteensa. On hyvä huomata, että asetuksen näkökulmasta rekisterillä ei viitata tallennuspaikkaan (esim. Sporttisaitin Jäsenluettelo) vaan tällä viitataan henkilötietojoukkoon, jonka hallinnoinnissa voidaan käyttää useita eri järjestelmiä (esim. Sporttisaitin Jäsenluettelo ja vaikkapa kansainvälisen kattojärjestön rekisteri). Tietosuojaselosteen laatiminen on hyvä aloittaa tutustumalla Avoinen mallipohjaan, josta seura voi muokata oman selosteensa. Seloste tulee saattaa rekisteröityjen tietoon ja hyvä paikka selosteen julkaisuun ovat esimerkiksi seuran omat verkkosivut.

7. Tutustu asetuksen sisältöön ja mieti mitä asetus käytännössä seuran toiminnan kannalta tarkoittaa.

Löydät suomenkielisen asetuksen osoitteesta http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html. Tietoa, vinkkejä ja neuvoja löydät myös yhteistyökumppanimme palveluista https://yhteiso.tietosuojamalli.fi/ ja https://fakta.tietosuojamalli.fi/.

Aiheesta blogissamme: