GDPR-tietosuoja-asetus

Wikis > GDPR-tietosuoja-asetus

General Data Protection Requlation eli GDPR on EU:n yleinen tietosuoja-asetus (2016/679), joka tuli voimaan keväällä 2016 ja asetusta aletaan soveltaa 25.5.2018 alkaen. Palokuntayhdistykset toimivat rekisterinpitäjinä. Esimerkiksi jäsenluettelot, yhteystietolistat, sekä koulutusten, kuntotestien ja toiminnan kirjaamiseen käytetyt järjestelmät muodostavat asetuksen mukaisia henkilörekistereitä, niiden muodosta riippumatta. Siten mm. käsinkirjoitettuja jäsenluetteloitakin on pidettävä henkilörekisterinä.

Osoita asetuksen noudattaminen

Yhdistyksen tulee osoittaa, että se noudattaa asetusta. Kun asetus tulee voimaan ei enää riitä, että yhdistys noudattaa asetusta, vaan sen on myös pystyttävä dokumentaatiolla osoittamaan, että miten se on hoitanut tietosuoja- asetuksen noudattamisen. Asetuksessa asiasta käytetään termiä osoitusvelvollisuus.

Tietosuojavastaavan nimeäminen

Yhdistykseen suositellaan nimettävän tietosuojavastaava, joka varmistaa asetuksen noudattamisen yhdistyksessä ja opastaa jäsenistön asetuksen mukaiseen henkilötietojen käsittelyyn ja dokumentointitarpeisiin. Asetus ei vaadi yhdistystä nimeämään tietosuojavastaavaa, mutta suosituksemme on, että tietosuojavastaava nimetään, jolloin asetuksen noudattaminen selkeytyy. Näin toimien koko yhdistys on varmasti tietoinen kaikista asioista, jotka muuttuvat uuden asetuksen voimaantulon jälkeen.

Lisätietoja tietosuojavastaavan tehtävästä ja nimeämisestä Tietosuojavaltuutetun toimiston verkkosivuilla, linkki artikkelin lopussa.

 

Laadi tietosuojasuunnitelma

Tietosuojasuunnitelma pitää sisällään yhdistyksen toimintamallit henkilötietojen käsittelyyn. Mallit voivat olla dokumentoituja toimintaohjeita ja tarpeen mukaan prosessikuvauksia. Suunnitelman tulee pitää sisällään myös niiden tietojärjestelmien ja tietovarantojen kuvaukset, joissa on henkilötietoja. Suunnitelman tekeminen helpottaa myös osaltaan osoitusvelvollisuuden täyttämistä. Taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, on asetuksessa määritelty henkilötietojen käsittelijä. Henkilö, joka täyttää yhdistyksen harjoituksen tai hälytyksen tietoja on rinnasteinen henkilötietojen käsittelijään, joten yhdistyksen pitää nimetä kaikki henkilötietojen käsittelijät ja antaa selkeät rajat sekä ohjeet henkilötietojen käsittelystä ja tietojen luovuttamisesta edelleen.

Huolehdi rekisteröidyn oikeuksista

Oikeus nähdä omat tiedot Rekisteröidyllä on oikeus saada tietää mitä tietoa hänestä on kerätty. Tietosuoja-asetuksen mukaan henkilöillä on oikeus saada pääsy omiin henkilötietoihinsa. Myös alaikäisellä eli alle 18-vuotiaalla lapsella on tarkastusoikeus. Tämä voidaan hoitaa helpoiten antamalla jokaiselle rekisteröidylle oma käyttäjätunnus tai pyydettäessä toimittaa dokumentaatio kaikista henkilötiedoista. Oikeus tulla unohdetuksi Henkilöillä on oikeus tulla unohdetuksi. Tämä tarkoittaa rekisteröidyn oikeutta tietyin edellytyksin pyytää yhdistystä poistamaan hänestä kerättyä vanhentunutta tietoa. Henkilö pystyy myös poistamaan suostumuksensa siitä, että on antanut luvan henkilötietojensa keräämiselle, ja tämän pitää olla yhtä helppoa kuin suostumuksen antaminen. Henkilötiedot poistetaan aina pyytäessä, ellei käsittelylle ole muuta laillista perustetta. Ilmoita rekisteröidylle Rekisterinpitäjän tulee ilmoittaa rekisteröidyille helposti ymmärrettävässä muodossa esimerkiksi seuraavat kohdat ennen kuin henkilötietoja kerätään:

  • Rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on nimitetty).

Rekisterinpitäjän antama kuvaus henkilötietojen käsittelystä tulee pitää julkisesti saatavilla (esimerkiksi palokunnan ilmoitustaululla) ja sen ajantasaisuus tulee tarkistaa säännöllisesti. Ilmoita mahdollisista tietoturvaloukkauksista Yhdistyksellä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus saada tieto perustuu arviolle, onko tietovuodossa mahdollista tulla vahinkoja. Pyydä suostumus rekisteröidyltä Käyttäjiltä tulee olla suostumus henkilötietojen keräämiseen, ellei käsittelylle ole jotain muuta laissa säädettyä perustetta. Tähän vaaditaan rekisteröidyn henkilön vapaaehtoinen ja tietoinen suostumus. Yhdistys ei voi kerätä henkilötietoja ilman henkilöiden suostumusta. Alaikäisten henkilötietojen käsittelyyn tulee olla vanhempien lupa. Helpoiten asia hoidetaan antamalla rekisteröidylle omat käyttäjätunnukset järjestelmään, jossa suostumusta kysytään. Toinen vaihtoehto on pyytää kultakin rekisteröidyltä kirjallinen suostumus henkilötietojen keräämiseen.

Lomake auttaa tietosuojasuunnitelman tekemisessä

Alla olevan lomakkeen avulla voit laatia oman palokuntayhistyksesi tietosuojasuunnitelman. Lomakettaa tullaan vielä täydentämään Hakan korvaavan uuden rekisterin myötä kevään 2018 kuluessa. Muun muassa norten kanssa työskentelevien vapaaehtoisen rikostaustan selvittäminen tultaneen lisäämään rekisteritietoihin. Jos lomake ei näy, saat ladattua sen itsellesi tästä.

Lataa tiedosto (DOCX, 33KB)

Linkkejä

Tietosuojavaltuutetun toimiston verkkosivut, EU:n tietosuojauudistus
http://tietosuoja.fi/fi/index/euntietosuojauudistus.html

Kommentit

  1. Petri Jaatinen

    Toivottavaa on, että jaat kokemuksesi, havaintosi ja tuotoksesi tällää muiden PalokuntaWikiläisten käytettäväksi.

Comments are closed.