Suomen Purjehdus ja Veneilyn EU-tietosuojalainsäädäntöprojekti (GDPR)

EU-tietosuojalainsäädäntö tuo muutoksia toukokuussa 2018 pursi- ja veneilyseurojen jäsenrekisterin käyttöön ja hallintaan. Muutos on pakollinen, lakiin perustuva ja se koskee järjestötoimintaa kaikilla toiminnan tasoilla, joissa jäsenen henkilötietoja käsitellään.

SPV on aloittanut GDPR-työn viime syksynä ja työ on edennyt nykytilan selvitykseen ja mahdollisiin muutostarpeisiin sen osalta. Selvitystyössä havaittiin parannettavaa yksittäisten toimintojen osalta, mutta samalla myös tarpeita muuttaa ja päivittää muun muassa liiton säännöstöä, josta on aloitettu erillinen selvitystyö.

Keskeinen asia, itse lain noudattamisen lisäksi, on jatkossa mahdollisimman joustava yhteistyön mahdollistava toimintamalli SPV:n ja jäsenseurojen kesken, koskien muun muassa Suulin jäsentietojen käsittelyä. Kysymyksessä on rekisterinpitäjyyteen liittyvä asia, jossa toinen osapuoli on rekisterinpitäjä ja toinen rekisterin käsittelijä.

SPV on päättänyt tiivistää viestintää seuroihin päin GDPR-toteutuksen osalta. Viestintää toteutetaan säännöllisesti seurojen luottamushenkilöille ja aluejohtajille.

Alla tiivistys yleisistä GDPR-huomioista, jotka tulee noteerata jäsenseuroissa. Tarkempi ohjeistus tai toimintamalli valmistuu talven aikana.

  • GDPR-asetus on jo voimassa ja siirtymäkausi päättyy 25. toukokuuta 2018. Tämän jälkeen viranomaiset alkavat valvomaan organisaatioita aktiivisesti.
  • Koskee kaikkia organisaatioita, joissa yli 250 henkilöä. Myös alle, jos yksikin vaatimuksista täyttyy. Käytännössä muutos koskee kaikkia pursiseuroja.
  • Asetus kuvailee kaiken henkilöä yksilöivän kerätyn tiedon olevan asetuksen alaista.
  • Asetus kattaa kaikki henkilötiedot asetuksen määrittämällä tavalla riippumatta siitä, onko ne tallennettu rakenteellisena tietokantaan, Word-dokumenttiin tai vaikka tulostettu paperille tai vihkoon.
  • Henkilöltä on saatava suostumus henkilötietojensa käsittelyyn.
  • Rekisterinpitäjän on kyettävä todistamaan, että henkilö on antanut suostumuksensa tietojensa käyttöön. Lisäksi oikeus on peruttavissa, eli henkilöllä on oikeus tulla unohdetuksi (poistetuksi kaikista rekistereistä).
  • Käytännössä tämä tarkoittaa sitä, että helpoin tapa varmistaa laillinen tietojen kerääminen on luvan pyytäminen esimerkiksi lomakkeella tai tehdä merkintä sähköisesti esimerkiksi lisäämällä merkintä jäsenreksieriin jäsenen kodalle.

GDPR:n haasteet seuroille:

  • GDPR:n vaatimusten mukainen lupa tiedon keräykseen puuttuu
  • Henkilötietojen hallinta ontuu
  • Tiedot ovat hajallaan irrallisissa dokumenteissa ja henkilörekisteriluetteloja ei ole olemassa
  • Tietosuojavastaavia ei ole saatavilla seuroihin heti
  • GDPR:n vaatimat käsittelyprosessit puuttuvat
  • Tietoturva- ja tietosuoja-asiat ovat vieraita eikä niitä koeta tarpeelliseksi harrastustoiminnassa

GDPR:n noudattamisen hyödyt seuroille:

  • Seurat noudattavat lakia
  • Seurat huomioivat jäsenten oikeudet henkilötietojen käsittelyn osalta
  • Tiedot on jatkossa selkeästi jäsennelty ja löydettävissä
  • Seura ja seuran hallitus eivät joudu vastuuseen asetuksen rikkomisesta
  • Toiminnan tehostuminen tuo kustannussäästöjä ja säästää aikaa harrastamiselle

Tiedotamme lisää projektin edetessä.

Lisätietoa: gdpr@spv.fi