GDPR

Kokoamme tälle sivulle seuratoiminnan kannalta olennaisimmat tiedot ja ohjeet EU:n tietosuoja-asetuksesta (GDPR).

MIKÄ ON GDPR?

  • EU:n tietosuoja-asetus eli The General Data Protection Regulation (GDPR).
  • GDPR on asetus, ei direktiivi, mikä tarkoittaa, että kaikkien jäsenmaiden on pakko noudattaa sitä.
  • GDPR on tullut voimaan vuonna 2016. Sen soveltaminen alkoi 25. toukokuuta 2018, josta alkaen henkilötietojen käsittelyn tulee olla yleisen tietosuoja-asetuksen mukaista.
  • Rikkomukset voivat johtaa jopa 20 miljoonaa euron sakkoihin (tai 4 % liikevaihdosta)

HYÖDYLLISET LINKIT JA DOKUMENTIT:

SUULI JA GDPR

DOKUMENTTIPOHJIA

Tietosuojaseloste tulisi tehdä jokaisesta rekisteristä erikseen, oli se sitten digitaalisessa tai analogisessa muodossa.
Käsiteltävien tietojen keräyslomake helpottaa kartoittamaan seuroissa, kenellä on pääsy mihinkin tietoihin ja millä perusteella. Mallipohja rekisterinpitäjälle -lomake auttaa rekisterinpitäjää kuvamaan vastuullaan olevat käsittelytoimet.

Tietosuojaseloste-mallipohja (Word)
Tietosuojaselosteen täyttöohjeet (pdf)
Käsiteltävien henkilötietojen keräyslomake -mallipohja (Excel)
Mallipohja rekisterinpitäjälle (Excel)

AJANKOHTAISTA

6.6.2018: Yhteisrekisterinpitäjyys SPV:n ja jäsenyhdistysten välillä

14.4.2018: Kevätliittokokouksessa esitelty GDPR materiaali seuroille

16.3.2018: Tiedote seuroille: Päivityksiä Suomen Purjehdus ja Veneilyn GDPR-projektiin

12.3.: Seurojen olisi hyvä valmistautua tekemällä inventaario käytettävissä olevista rekistereistä (niin paperilla olevista kuin digitaalisista). Eli seurojen kannattaa listata kaikki rekisterit, jotka sisältävät henkilötietoja (esim. nimi, postiosoite, sähköpostiosoite). Tämä johtuu siitä, että seurojen tulee miettiä, mitkä rekisterit ovat tarpeellisia, sillä näistä rekistereistä on löydyttävä lainmukaiset rekisteriselosteet. Lisätietoa henkilötietolaista >> Katso lisätietoa myös Miten valmistautua EU:n tietosuoja-asetukseen? -oppaasta.

5.2.: Tiedote seuroille: Suomen Purjehdus ja Veneilyn EU-tietosuojalainsäädäntöprojekti (GDPR)

Suuli-jäsenrekisteri ja GDPR: Suulin suhteen sekä seura että liitto toimivat rekisterin pitäjinä artiklan 26 mukaisesti. Seuran ja liiton väliset roolit tullaan täsmentämään kevään aikana.

Sivustoa päivitetään työn edetessä. Kysymykset ja yhteydenotot: gdpr@spv.fi.

GDPR FAQ – USEIN KYSYTYT KYSYMYKSET

1. Onko SPV:ltä tulossa ohjeistusta jäsenseuroille liittyen GDPR-käytännön toteuttamiseen?
Liitto työskentelee tuottaakseen materiaalia, joka auttaa seuroja GDPR-velvoitteiden täyttämisessä. Materiaalia välitetään seurojen käyttöön tämän sivun kautta (spv.fi/gdpr). Sivustoa päivitetään ja materiaaleja lisätään projektin edetessä.

2. Uusiin jäsenhakemuksiin kyseinen kohta on helppo lisätä – mutta miten on jo Suulissa olevien laita?
Jäsenrekisteri ja sitä kautta jäsenen tietojen tallentaminen on lakiperusteinen pakko. Markkinointiin liittyvät suostumukset tulee hoitaa GDPR:n mukaisesti kuntoon. Suulissa oletusarvona tietojenluovutuskielto ei ole tässä vaiheessa oletusarvoisesti päällä. Tällöin jokaiselle jäsenelle tulisi toimittaa seuran puolesta tieto, että käy itse tai ilmoittamalla oman seuran hallintoon, että asettaa kiellot/suostumukset omalta ja alaikäisten lasten osalta. Muiden rekisterien kuin Suulin osalta talletettavien tietojen tarpeellisuus, toiminta- ja sääntöperusta tulee varmistaa.

3. Miten voi toimia seurassa ja nauttia jäsenetuja, jos joku haluaa ”hävittää” itsensä?
Toiminta yhdistyksen jäsenenä ei ole mahdollista. Jäsenen nimi ja kotipaikka tulee lain mukaan olla merkitty jäsenrekisteriin. Jäsenrekisterin tulee olla lain mukaan julkinen jäsenille. Katso tarkemmin Yhdistyslaista 11§ 2mom. ja Henkilörekisterilaki 8§.

4. Eikö omien tietojen hävittäminen tarkoita eroamista/erottamisperustetta seuran jäsenyydestä?
Jäsenyyden päättymisen jälkeen on mahdollista poistaa tiedot, jos seuralla ei ole painavaa syytä (esim. kirjanpitolaki, työsopimuslaki) niiden säilyttämiseen. Jäsenen tietojen julkistaminen, käyttäminen markkinointiin ja yhteydenpitoon perustuu seuran sääntöihin ja rekisteröidyn suostumukseen.

5. Eronneiden kohdalla: pitääkö kuitata jäsenelle, että tiedot on poistettu?
Poistolle on 30 päivän määräaika. Jos siihen ei pysty, pitää rekisteröidylle kertoa.

6. Miten jäsenmaksulaskujen lähetys onnistuisi, saatikka maksujen valvonta erilaisten käyttöoikeuksien perusteeksi?
Jos laskujen lähetys ja maksujen valvonta vaatii jäsenen yhteystietojen tallentamista, on tietojen tallentaminen yhdistyksen oikeutettu etu.

7. Eikö järjestöissä voida tulkita, että jäsenhakemus on ollut samalla suostumus henkilötietojen käsittelyyn? Jos joku jäsenistä ei antaisi oikeutta tietojensa käsittelyyn, ei jäsenyyskään tai vaikkapa laituripaikan saaminen olisi mahdollista.
Yhdistyslaki vaatii yhdistyksen jäsenen tietojen rekisteröimistä jäsenrekisteriin. GDPR:n mukaan rekisteröidylle tulee kertoa tietojen talletuksesta ja käyttötarkoituksesta sekä säilytysajasta. Jos esimerkiksi laituripaikkasopimus vaatii rekisteröidyn tietojen tallettamisen ja käsittelyn, se on seuralle oikeutettua. Hyvä tapa on kirjata henkilötietojen käyttö seuran sääntöihin.

8. Millä perusteilla ja missä tilanteissa otettuja kuvia voi julkaista verkossa (esim. seuran kotisivuilla tai Facebookissa) tai painetuissa julkaisuissa ja jäsenkirjeissä? Missä tilanteissa tarvitaan henkilön tai alaikäisen kohdalla huoltajien suostumus ja milloin sitä ei tarvita?
Katso tietosuojavaltuutetun ohjeet (http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html, YHDISTYKSEN JÄSENLUETTELOT JA HENKILÖTIETOLAKI päivitetty 27.07.2010) ja GDPR-artiklat alaikäisten rekisteröityjen tietojen käsittelystä. Huomaa ohjeistus TSV:n sivuilla: http://www.tietosuoja.fi/fi/index/lapsillejanuorille/mitatietosuojallatarkoitetaan/kuvatjaniidenjulkaisunetissa.html. Kuvien julkaisussa tulee huomioida myös yksityisyyden suojan aiheuttamia rajoituksia.

9. Monet seurat ovat julkaisseet vuosittain jäsenluettelonsa esimerkiksi vuosikirjassa tai jäsenlehdessä. Pitääkö tämä käytäntö muuttaa?
Katso tietosuojavaltuutetun ohjeet (http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html) ja erityisesti GDPR johdanto-osa 99:
Johdanto-osa (99) kuuluu seuraavasti: ”Laadittaessa, muutettaessa tai laajennettaessa käytännesääntöjä rekisterinpitäjiä tai henkilötietojen käsittelijöitä edustavien yhdistysten ja muiden elinten olisi kuultava asianomaisia sidosryhmiä, mahdollisuuksien mukaan myös rekisteröityjä, ja ottaa huomioon kuulemisen pohjalta saadut vastaukset ja niissä esitetyt näkemykset.”
Tietosuojavaltuutetun toimistolta on selvitetty jäsentietojen julkaisemisesta seuraavasti: Tietosuojavaltuutettu on julkaissut ohjeen ”YHDISTYKSEN JÄSENLUETTELOT JA HENKILÖTIETOLAKI” vuodelta 2010. http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/6JfqOozpn/Yhdistyksen_jasenluettelot_ja_henkilotietolaki.pdf
Julkaisun luvussa 6.6. ”Jäsentietojen julkaiseminen vuosikertomuksessa tai jäsenlehdessä” on mainittu mm. mahdollisuus, että jos on yhdistyksen sääntöjen ja siltä pohjalta arvioituna yhdistyksen määrittelemän jäsentietojen käsittelyn tarkoituksen mukaista, jäsenluettelon tiedot voi julkaista paperijulkaisussa ilman jäsenten erillistä suostumusta. Tietosuojavaltuutetun toimiston puhelinneuvonnasta on varmistettu tammikuussa 2018, että mainittu vuoden 2010 ohje on näiltä osin edelleen voimassa. Heidän ohjeistuksen mukaan asiasta on syytä olla maininta myös jäsenrekisterin rekisteriselosteessa. Jäsenluettelon tai edes sataman vartiovuorolistan julkaiseminen verkossa sen sijaan ei tule kyseeseen ilman asianomaisten suostumusta.
Ohje on tällä hetkellä voimassa, mutta päivittynee uuden lain voimaantulon yhteydessä.

10. Eihän lupaa tarvita yhdistyksen perustoiminnan täyttämiseen vaan jos tietoja käytetään johon muuhun esim. markkinointiin?
Tietojen tallettaminen jäsenrekisteriä ja yhdistyksen perustoimintaa varten on oikeutettua. Perustoiminnan arviointia tulee arvioida ainakin yhdistyksen tarkoitusta ja sääntöjä vasten. Markkinoinnin tulee perustua rekisteröidyn suostumukseen.

11. Eikö riitä, että meillä on lista jäsenistä, jotka ovat maksaneet jäsenmaksunsa? Tarvitseeko syntymäajan poistaa?
Syntymäaika voi olla tarpeen mahdollisesti muuten samannimisten jäsenten erottamiseen toisistaan.

12. Riittääkö (tietojenkäsittelyyn) sähköpostitse annettu lupa?
Uudessa tietosuoja-asetuksessa on tarkemmat säännöt suostumuksen pyytämisestä
Suostumuksen tulee olla henkilön vapaavalintainen, yksilöity ja tietoinen tahdonilmaisu.
Yksilöity: suostumuksen tulee perustua riittävään informaatioon toimiensa merkityksestä ja tietojen käsittelyn tarpeesta. Suostumus ei syrjäytä tarpeellisuusvaatimusta. Tietosuojavaltuutettu on katsonut, ettei suostumusta voi antaa toisen puolesta. Suostumuksen tulee olla dokumentoitu. Näin ollen sähköpostitse toimitettu lupa riittää mutta samalla tulee varmistaa lähettäjän oikeellisuus.

13. Mitä mahdetaan tehdä tapauksissa, jolloin tietojenkäsittelylupaa tai vastausta siihen ei saada? Ei kai maksaneita jäseniä voi listoilta poistaakaan?
Yhdistyksen jäsenrekisteri on lain mukaan pakollinen. Muiden tietojen tallettaminen perustuu yhdistyksen toimintaa perustuvaan oikeutettuun etuun ja sääntöihin. Luvan saaminen vaikuttaa lähinnä mahdollisuuksiin markkinoida.

14. Pitääkö jokaiselta jäseneltä pyytää nyt erikseen kuittaus sähköpostiosoitteen käytöstä?
Yhdistyksen jäsenrekisteri on lain mukaan pakollinen. Muiden tietojen tallettaminen perustuu yhdistyksen toimintaa perustuvaan oikeutettuun etuun ja sääntöihin. Katso tietosuojavaltuutetun ohjeet.

15. Jos kyllä niin, miten ne vastaukset tulisi dokumentoida?
16. Entä muutokset ja niitten dokumentointi?
17. Ylipäätään mikä on osoitusvelvollisuuteen liittyvä dokumentaation tekemiseen liittyvä ohje?
Asetus ei ota kantaa dokumentointitapaan. Tarvittaessa rekisterinpitäjän pitää pystyä osoittamaan rekisteröidyn suostumus. Hyvä tapa on kirjata henkilötietojen käyttö seuran sääntöihin.

18. Meillä on netin kautta täytettävät hakemukset: jäsenhakemus, talvitelakointi-, venepaikka-, komerovuokraus. Mitä näissä hakemuksissa tulee ottaa huomioon? Mitä niissä saa kysyä ja mitä pitää kysyä? Voiko niihin liittää tietosuojaan liittyvän kysymyksen ja onko se pätevä vai tuleeko lähettää erillinen kysely asiasta?
Ohjeistetaan erikseen myöhemmin. Suositellaan tässä vaiheessa lisäämään hakemukseen teksti, jossa hakemuksen jättämällä hakija hyväksyy tietojen tallentamisen ja käytön.

19. Mitä asioita GDPR:n käsittelyprosessiin tulee kirjata? Tuleeko tästä jokin alustava versio seuroille muokattavaksi omaan käyttöön?
Ohjeistetaan erikseen myöhemmin.

20. Kuka voi olla tietosuojavastaava? Mitä tähän tehtävään vaaditaan?
Katso tietosuojavaltuutetun ohjeet (http://www.tietosuoja.fi/fi/index/materiaalia/oppaat.html, TIETOSUOJAVASTAAVAN TOIMENKUVA, TEHTÄVÄT JA ASEMA Päivitetty 27.07.2010). Ohje on tällä hetkellä voimassa, mutta päivittynee uuden lain voimaantulon yhteydessä.

21. Kysyisin vielä, eroavatko yhdistys ja yritys tässä tietosuoja-asiassa jollain tavalla vai voidaanko niihin molempiin soveltaa samalla lailla GDPR:ää. Jos eroja on, niin laittaisitteko ystävällisesti myös siitä tietoa.
Periaatteessa ei. Luonnollisesti rekisterinpitäjän koko vaikuttaa soveltamiseen.