EU:n tietosuoja-asetus

Julkaistu: 17.05.2018

SUOMEN JÄÄPALLOLIITTO RY.

Tälle sivulle kootaan tietoa EU:n tietosuoja-asetuksesta (GDPR) ja sen vaikutuksista seuratoimintaan. Päivitetty 22.5.2018

EU:n tietosuoja-asetus

GDPR – mistä on kyse?

GDPR (General Data Protection Regulation) tulee EU:n jäsenvaltioiden – eli myös Suomen – sovellettavaksi toukokuussa 2018. Asetuksen tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa EU:n kansalaisten yksityisyydensuojaa.

Asetus koskee kaikkia niitä Suomessa toimivia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja. Tämä tarkoittaa tietoja, jotka voidaan liittää henkilöön, esimerkiksi henkilön nimi, yhteystiedot ja kilpailutilastot. Käytännössä siis kaikki tiedot, joilla henkilö voidaan tunnistaa.

 Asetus koskee myös kaikkia jää– ja kaukalopallojoukkueita, erotuomarikerhoja ja SJPL:n piirejä, jääpalloliittoa.

GDPR:ään on syytä suhtautua vakavasti, sillä siihen liittyvien rikkomusten hallinnollinen sakko on maksimissaan 20 miljoonaa euroa tai 4 % yhtiön edellisen vuoden kokonaisliikevaihdosta, riippuen siitä kumpi näistä on suurempi.

  • The General Data Protection Regulation (GDPR) = EU:n tietosuoja-asetus
  • Asetus, ei direktiivi, eli kaikkien jäsenmaiden on pakko noudattaa
  • Astuu voimaan 25.5.2018

Tietosuoja-asetuksen tarkoituksena on ajantasaistaa tietosuojaa koskevaa sääntelyä, lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä.

GDPR:n peruskäsitteitä

Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Henkilörekisteri: Henkilötietoja sisältävä jäsennelty tietojoukko, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Rekisterinpitäjä: Luonnollinen henkilö, yhteisö, virasto, säätiö tai joku muu, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Henkilötietojen käsittelijä: Luonnollinen henkilö, viranomainen, virasto tai joku muu, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, esimerkiksi uutiskirjetyökalun toimittaja.

Rekisteröity: Rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö.

Opt-in: Henkilön itsensä antama suostumus henkilötietojensa keräämiseen ja käsittelyyn.

Tietosuojavastaava: Urheilujärjestöillä vapaaehtoinen nimitys, Tietosuojavastaava on organisaation sisäinen asiantuntija tietosuoja-asioissa sekä yhteyspiste rekisteröidyille ja valvontaviranomaisille. Vastaava on riippumaton rekisterinpitäjästä, joka aina vastaa ja hoitaa rekisterin.

 Liiton ja jäsenyhdistysten on hyvä nimetä tietosuojan yhteyshenkilö

Uudessa tietosuoja-asetuksessa henkilötietojen käsittelystä ja tietosuojasta ovat vastuussa kaikki, joilla on näppinsä pelissä. Rekisterin pitäjän lisäksi henkilötietojen käsittelijät, kuten kirjanpitäjät, it-vastaavat ja muut alihankkijat joutuvat kantamaan osan vastuusta.

Miten valmistautua?

Oikeusministeriön ja tietosuojavaltuutetun toimiston opas Miten valmistautua EU:n tietosuoja-asetukseen? (PDF)

Yhdistysten rekisterit

  • Jäsenluettelo
  • Jäsenrekisteri
  • Valmentajarekisteri
  • Koulutusrekisteri
  • Tapahtumien ilmoittautumislistat
  • Kilpailuvälinelistaus
  • Kilpailu- ja testitulokset

 Käytännössä yhdistykseltä vaaditaan seuraavia asioita:

  • Henkilötietojen käsittelyn muuttaminen uuden tietosuojalainsäädännön mukaiseksi
  • Yhdistys saa kerätä vain tietoa, mikä on välttämätöntä
  • Yhdistyksen on kerättävä suostumus jokaisen henkilön tietojenkäsittelyyn
  • Jokaisella yhdistyksellä on oltava tietosuojaseloste
  • Yhdistyksen on tehtävä tarvittavat sopimukset tietojenkäsittelystä
  • Sähköiseen suoramarkkinointiin tulee aina olla ennakkosuostumus

Henkilötietojen käsittely

Henkilötietoja saa käsitellä ainoastaan siinä tarkoituksessa, mitä varten henkilötiedot on alun perin kerätty. Jos henkilötietoja kerätään esimerkiksi tapahtumaa varten, niitä ei voida automaattisesti käyttää suoramarkkinointiin eikä luovuttaa kolmannelle osapuolelle.

Lisäksi tietoa saa kerätä vain tarpeellisen määrän. Se voi joissakin tapauksissa tarkoittaa suurtakin tietomäärää, mutta kerääjän täytyy pystyä perustelemaan, miksi tiedot kerätään.

Rekisteröidyn oikeudet

 Jokaisella on jatkossa oikeus saada kopio rekisterissä olevista henkilötiedoistaan ja oikaista niitä.

Oikeus poistaa tietoja ja tulla kokonaan unohdetuksi sekä rajoittaa omien tietojen käsittelyä (ei absoluuttinen oikeus).

Oikeus tulla informoiduksi henkilötietojen tietoturvaloukkauksista

Esimerkiksi yhdistyksen jäsen voi pyytää selvitystä, minkälaisia henkilötietoja hänestä on kerätty ja mihin tarkoitukseen. Rekisterin pitäjän täytyy pystyä reagoimaan selvityspyyntöihin kuukauden kuluessa.

Yhdistyksille tulee nykyistä tarkempi informointivelvollisuus. Informaation on jatkossa oltava tarkkaa, selkeää ja ymmärrettävää.

 Vanhentuneita tietoja ei saa käsitellä eikä säilyttää. Jäsenrekisteriä ja muita yhteystietolistoja täytyy siis päivittää säännöllisesti.

– Merkittävää on tietojen säilytysaika. Jollain tavalla pitäisi pystyä kertomaan, että tietoja säilytetään esimerkiksi jäsenyyden ajan.

 Suostumus

 Seurojen on kerättävä suostumus henkilöiden tietojenkäsittelyyn ja se on pyydettävä ennen kuin tietoja käsitellään. Suostumuksen on oltava vapaaehtoinen, yksilöity ja yksiselitteinen. Se on annettava selkeästi kirjallisesti tai sähköisesti, eikä sitä voi antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Alle 16-vuotiaiden henkilötietojen käsittely edellyttää vanhempainvastuunkantajan suostumusta.

Yksilöllisen suostumuksen pyytäminen:

  • Henkilö suostuu omien / lapsensa (alle 16-vuotiaat) henkilötietojen tietosuojaselosteen mukaiseen käsittelemiseen
  • Voi olla kirjallinen suostumuslomake tai sähköinen lomake
  • Suostumus peruttavissa
  • Samassa yhteydessä myös mahdollista pyytää lupa suoramarkkinointiin (erikseen ruksittava kohta)
  • Seuran pitää pystyä tarvittaessa osoittamaan, milloin ja missä yhteydessä suostumus on annettu

Palloliiton malli https://www.palloliitto.fi/sites/default/files/Palloliitto/suostumus_henkilotietojen_kasittelyyn_spl.pdf

Suoramarkkinointi kuluttajille vaatii luvan

Suoramarkkinoinnin perussääntöjen mukaan kuluttajalle ei saa lähettää markkinointiin liittyviä tekstiviestejä tai sähköposteja ilman vastaanottajan suostumusta. Alle 16-vuotiaille ei saa lähettää sähköistä suoramarkkinointia ilman vanhempien lupaa.

Tietoturvaloukkaus 

Vakavasta tietoturvaloukkauksesta on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa. Jos esimerkiksi verkkoon lipsahtaa henkilötietoja, henkilötietoja tuhoutuu/häviää, luvaton luovuttaminen, muuttaminen tai hakkerit murtautuvat tiedostoihin, on kolme vuorokautta aikaa tehdä asianmukainen ilmoitus. Vakavissa tilanteissa myös rekisteröidyille on ilmoitettava tietoturvaloukkauksesta selkeästi ja ilman aiheetonta viivyttelyä.

SJPL tietosuojakäytäntö 2018

Tietosuojakäytäntö seuroille

mallilauseke

salassapitosopimuspohja seuroille

Olympiakomitean Rainer Anttilan kokoama tietopaketti EUn uudesta tietosuoja-asetuksesta ja sen vaikutuksesta seuratoimintaan

Rekisteriseloste (pdf, 0.39 Mt)

Rekisteriselosteen täyttöohjeet (pdf, 0.01 Mt)

Rekisteriseloste (Word) (doc, 0.05 Mt)
Tietosuojaseloste on laajennettu rekisteriseloste, jossa lisäksi informoidaan rekisteröidyn oikeuksista.

Tietosuojaseloste (pdf, 0.4 Mt)

Tietosuojaselosteen täyttöohjeet (pdf, 0.02 Mt)

Tietosuojaseloste (Word) (doc, 0.05 Mt)

Tieteellisessä tutkimuksessa voidaan käyttää erityistä rekisteriselostetta.

Tieteellisen tutkimuksen rekisteriseloste (pdf, 0.59 Mt)

Tieteellisen tutkimuksen rekisteriseloste (Word) (doc, 0.07 Mt)
Tieteellisen tutkimuksen rekisteriselosteen täyttöohjeet (pdf, 0.02 Mt)