etusivuotsikko2

fShare
5

Henkilötietojen käsittelyyn huolellisuutta ja tarkkuutta

Euroopan Unionin tietosuoja-asetus tulee voimaan 25.5.2018 ja kansallisenkin säädöstön sisältö on selvillä. Järjestökentällä on siten päivitettävä toimintatavat tietosuoja-asetuksen mukaisiksi. Mitä sen soveltamisalueelle kuuluu? Uutta tietosuoja säännöstöä sovelletaan aina, kun henkilötietoja käsitellään järjestön tai yrityksen tai muun toimijan tietojärjestelmissä. Soveltamisaluetta on manuaalinen käsittely, kuten jäsen- tai osanottajarekisteri tai sen osa. Siten se koskee käytännössä kaikkia järjestöjä ja muita eri toimijoita, vaikka olisi vain yksikin osanottaja tai toimihenkilö. Jääkö sitten yhtään mitään tuon ulkopuolelle? Sinne jää henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa olevat omat tietokannat.

Järjestöväen keskuudessa on ilmennyt jonkin verran epätietoisuutta yksityiskohtien soveltamisessa. Edelleenkin pätee se, että terveen järjen käyttö yksittäisissä tilanteissa on paikallaan, kunhan menettely on säädösten reunaehtojen mukainen ja perusteltu. Henkilötietoja liikkuu kaikissa pienimmistä suurimpiin järjestöihin, joten on tärkeää kartoittaa ja dokumentoida nykytilanne siitä, minkälaisia henkilötietoja yhdistyksessä käsitellään, miten tiedot on kerätty ja mihin niitä luovutetaan. Henkilötiedoksi määritellään kaikenlaiset henkilöä koskevat tiedot, jotka voidaan liittää häneen. Henkilötietoa on myös kuva, joka voidaan liittää kyseiseen henkilöön eli jos tiedon perusteella voidaan tietää tai saada selville, kenestä on kyse.

Henkilötiedon keräämisen ja tallentamisen yhteydessä on syytä kartoittaa ja dokumentoida tietojen käyttötarkoitus ja käsittelyn perusta. Siinä tulee ratkaistavaksi samalla tietojen tarpeellisuus perusteluineen. Lähtökohtana on käyttötarkoitussidonnaisuus, jolloin tietoa on kerätty tiettyä laillista käyttötarkoitusta varten eikä sitä saa käsitellä määriteltyjen tarkoitusten kanssa yhteensopimattomalla tavalla. Miten tämän vääntäisikään arkitoimintoon sijoitettuna? Esimerkiksi voi ottaa tapauksen, kun olemme tehneet tapahtuman toteuttamiseksi siinä mukana olleiden toimijoiden osoitelistan, johon toimijat ovat antaneet suostumuksensa. Tuo lista on käytössä vain kyseisen tapahtuman toteuttamisen tarpeisiin. Sitä ei voida luovuttaa vaikkapa jonkin konsertin markkinoinnin käyttöön. Listan säilyttämisperusteissa voidaan mainita tapahtuman jälkeisen säilyttämisen osalta perusteena vaikkapa samankaltaisen seuraavan tapahtuman ja säilyttämisajaksi siihen saakka. Asiasta on listaa koottaessa kerrottu rekisteriin merkityille. Nämä säilyttämisajat ovat joiltakin osin ongelmallisia ja niistä voidaan tehdä määräaikainen ratkaisu.

Mistä nyt onkaan kysymys? Onko varminta olla keräämättä mitään henkilötietoja? Kyllä jatkossakin henkilötietoja voidaan kerätä ja niitä järjestöelämäkin tarvitsee. Koko uudistuksen tavoite on parantaa yksilön suojaa ja sehän on ihan hyvä juttu. Nyt luodaan käytänteitä tietoyhteiskunnan olosuhteisiin. Lähtökohta on, että tietoja saa kerätä perustellusti tarpeellisen määrän. Periaatteena on tietojen minimointi eli kerättävän tiedon tulee olla asianmukaista ja olennaista sekä rajoitettu siihen, mikä on tarpeen kyseisen käyttötarkoituksen kannalta. Ehtona on dokumentointi, miten tietoja käsitellään. Jos tietoja kerätään esimerkiksi jotakin tapahtumaa varten, niitä ei voida käyttää automaattisesti mihinkään muuhun tarkoitukseen. Yksi merkittävä lisä on siinä, että on määriteltävä tietojen säilytysaika, joten vanhentuneita tietokantoja ei saa käsitellä eikä säilyttää ilman perusteluja. Esimerkiksi yhteystietolistojen rakentamisen yhteydessä pitää olla ratkaisu siitä, miten siinä olevia tietoja tullaan käyttämään ja säilyttämään. Yksi kysymys on tässä yhteydessä arkistointiin liittyvä. Tässä saattaa tulla näkökulmien yhteensovittamisen tarpeita henkilötietokantojen säilyttämisen ja arkistoinnin välillä.

Voimaan tulevaan henkilötietojen tietosuojaan syntyy sekä yleisesti että järjestökohtaisesti vastuunjakoa selkeyttävä rakenne. Siihen kuuluu rekisterinpitäjä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tämä rekisterinpitäjä on ensisijaisessa vastuussa kuten esimerkiksi työnantaja henkilöstönsä tietojen rekisteristä tai yhdistys jäsenrekisteristään ja mahdollisista muista rekistereistään ja aineistoistaan, joissa käsittelee henkilötietoja. Henkilötietojen käsittelijä on rekisterinpitäjän lukuun toimiva taho, jonka tehtäviin kuuluu käytännön tietojen käsittely. Käsittelijän vastuu on tässä uudessa tilanteessa kasvamassa. Käsittelijä siis käsittelee tietoja eli tämä taho toteuttaa toimintoja, jotka kohdistetaan henkilötietoihin. Ne ovat siis käytännön tietojen keräämistä, tallentamista, säilyttämistä, muokkaamista, hakemista, kyselemistä ja tarvittaessa edelleen toimittamista esimerkiksi keskusrekisteriin, yhdistelyä ja poistamista. Toisin sanoen aina kun henkilötietoja käytetään, niitä käsitellään.

Mitä on tehtävä?

Järjestön on syytä hahmottaa kokonaiskuva henkilötietojen käsittelyn nykytilasta. Siihen kuuluu myös tehtävien määrittely ja tästä vastaavan tahon täsmentäminen. Käsittelyn arviointiin kuuluu selvittää, kenen tietoja käsitellään, mihin tarkoituksiin ja millä perusteella sekä luovutetaanko tai siirretäänkö henkilötietoja oman organisaation ulkopuolelle ja kuinka kauan tietoja säilytetään. Säilytysajoissa erityyppisten tietojen säilytysajoissa voi olla poikkeamia. Käsittelyyn kuuluu ratkaisut, miten ja missä yhteydessä henkilötietoja kerätään ja millaisessa muodossa se toteutetaan. On myös huomioitava tietoturva sekä riskienhallinta. Yksi hetimiten toteutettava ratkaisu on se, miten informaatiovelvoitteet täytetään eli rekisteriselosteiden toteuttaminen. Erityinen huomio on kiinnitettävä siihen, että rekisteröidyllä on selkeä käsitys siitä, mihin tarkoituksiin hänen henkilötietojaan käsitellään. Järjestöelämässä on sen moninaisuuden vuoksi luonnollista, että henkilötietoja voidaan käsitellä useissa eri tarkoituksissa. Siksi pitää hahmottaa mahdollisimman tarkoin tietojen käsittelyn nykytilaa. Tärkeintä on nyt se, että asiaan tartutaan.