EU:n tietosuoja-asetus

EU:n tietosuoja-asetuksen vaikutukset Salibandyliiton jäsenseuroille

Viimeksi päivitetty 21.6.2018 09:24

Salibandyliiton GDPR-uutiskirje seurakäyttäjille (Huom! PDF-versiossa linkit eivät toimi)


Tälle sivulle on koottu tietoa EU:n tietosuoja-asetuksesta (GDPR) ja sen vaikutuksista Salibandyliiton jäsenseurojen toimintaan.

Mikä on GDPR?

  • The General Data Protection Regulation (GDPR) = EU:n tietosuoja-asetus
  • Asetus, ei direktiivi, eli kaikkien jäsenmaiden on pakko noudattaa
  • Astui voimaan 25.5.2018
  • Sakot rikkomuksista jopa 20 miljoonaa euroa tai 4 % liikevaihdosta

GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on uusi henkilötietojen käsittelyä sääntelevä laki, jota sovelletaan kaikissa EU-maissa 25.5.2018 alkaen. GDPR antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä. GDPR täydentyy kansallisella tietosuojalailla, josta perustuslakivaliokunta on antanut lausuntonsa 9.5.2018.

Miksi tietosuojalait muuttuvat?
Uuden lainsäädännön tavoitteena on parantaa henkilötietojen suojaa ja tietosuojaoikeuksia, vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin, yhtenäistää tietosuojasääntelyä kaikissa EU-maissa ja edistää digitaalisten sisämarkkinoiden kehittymistä.

EU:n tietosuoja-asetuksen (GDPR) mukainen henkilötietojen käsittely seuroissa
Henkilötietoja on pitänyt käsitellä huolellisesti jo aikaisemminkin. Esimerkiksi jäsenrekisterin rekisteriseloste on täytynyt olla julkisesti luettavissa verkkosivuilla tai tietojärjestelmässä, missä henkilötietoja tallennetaan ja käytetään. EU:n tietosuoja-asetuksen siirtymäajan päättyessä 24.5.2018 kuitenkin on joitakin uusia erityistä huomiota vaativia asiakokonaisuuksia.
”Monet periaatteet säilyvät ennallaan, mutta tietosuoja-asetus tuo myös uusia tietosuojaa ja henkilötietojen käsittelyä koskevia velvoitteita, joihin rekisterinpitäjien ja henkilötietojen käsittelijöiden on valmistauduttava. Tietosuoja-asetuksen rikkomisesta voi seurata muun muassa sakkoja tai henkilötietojen käsittelykielto.

Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on myös pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.”
Lähde: tietosuoja.fi.

Valmistautuessasi tietosuoja-asetukseen:
1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.
HUOM! Urheiluseuroissa ei tarvitse.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia. Tietosuojavastaavan suosittelema excel-pohja löytyy täältä.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.
Peruste pitää olla jokin alla olevista:
-    sopimus
-    rekisteröidyn suostumus
-    rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu
-    rekisterinpitäjän lakisääteinen velvoite
-    elintärkeiden etujen suojaaminen
-    yleinen etu ja julkinen valta
 Lue lisää tästä.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.
HUOM! Mikään järjestelmän suojaaminen ei auta, jos ihminen ”vuotaa”. Ihminen on aina riski. Tärkeää on osaamisen ja tietoisuuden lisääminen, huolimattomuusvirheiden tekninen estäminen ja tahallisten tietovuotojen havaitseminen ja torjunta.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.
Rekisteröidyn oikeudet:
-    Oikeus saada pääsy henkilötietoihin
-    Oikeus tietojen oikaisemiseen
-    Oikeus tietojen poistamiseen
-    Oikeus käsittelyn rajoittamiseen
-    Vastustamisoikeus
-    Oikeus siirtää tiedot järjestelmästä toiseen

6. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista. Lue tarkemmin tietoturvaloukkauksista täältä.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.
HUOM! Jos toimii vain Suomessa, valvontaviranomainen on tietosuojavaltuutettu.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.
HUOM! Tällä on merkitystä erityisesti, jos seura hankkii pelaajien puolesta pelipassit (lisenssit) ja/tai ryhmävakuutuksen (ryhmäpassi/ryhmälisenssi). Huomioi myös, täyttääkö seuran käytössä oleva jäsenrekisteri GDPR:n vaatimukset.

Mitä tietoja organisaationi on kerrottava heille, joiden henkilötietoja aiomme käsitellä?
Ilmoita avoimesti ja selkeästi vähintään:
(Alla oleva lista toimii pohjana seuran selosteelle henkilötietojen käsittelystä)
•    organisaatiosi nimi, yhteystiedot ja mahdollisen tietosuojavastaavan yhteystiedot
•    mitä tietoja organisaatiosi aikoo käsitellä
•    mihin tarkoitukseen organisaatiosi käsittelee henkilötietoja
•    henkilötietojen käsittelyn oikeusperuste
•    kuinka kauan tietoja säilytetään
•    mikä toinen organisaatio tai henkilö voi saada tiedot
•    siirretäänkö henkilötietoja EU:n ulkopuolelle
•    henkilön tietosuojaoikeudet
•    oikeus tehdä valitus tietosuojaviranomaiselle
•    oikeus milloin tahansa peruuttaa suostumus, jos käsittely perustuu suostumukseen
•    tiedot automaattisesta päätöksenteosta ja käsittelyyn liittyvästä logiikasta.
Lue lisää: Informointikäytännöt

Mitä tietosuojaperiaatteilla tarkoitetaan?
Tietosuojaperiaatteiden mukaan henkilötietoja on
•    käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
•    käsiteltävä luottamuksellisesti ja turvallisesti
•    kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
•    kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
•    päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
•    säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietosuojaperiaatteita on noudatettava henkilötietojen käsittelyn kaikissa vaiheissa. Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuojaperiaatteita.

Salibandyliiton suositukset jäsenrekistereihin ja mallidokumenttien tuottamiseen ja jakamiseen
Salibandyliitto suosittelee noudattamaan tietosuojavaltuutetun ohjeita ja malleja.
Lue lisää Olympiakomitean uutisesta 14.5.2018

Urheiluun/seuratoimintaan suunnattuja mallidokumentteja löytyy tällä hetkellä mm. Palloliiton Internet-sivuilta.

Salibandyliitto odottaa, että kansallinen tietosuojalaki on hyväksytty ennen kuin julkaisee mallidokumentteja ja/tai suosittelee jäseneuroille erityisiä toimintatapoja tietosuojaan liittyen. Kilpailutoimintaan ja pelaajien tietojen julkisuuteen liittyen Salibandyliitto odottaa, että Olympiakomitea informoi urheilun tietosuojakäytänteen sisällöstä.

Salibandyliitto suosittelee jäsenseuroilleen sähköisen jäsenrekisterin käyttämistä. Salibandyliiton jäsenetu on GDPR:n vaatimusten mukainen Suomisport, joka toimii myös jäsenrekisterinä.

Salibandyliiton jäsenetu on ilmainen Suomisportin jäsenrekisteriominaisuus. Ottaessaan Suomisportin käyttöön Salibandyliiton jäsenseura voi hoitaa Suomisportissa seuran jäsenmaksun, kausimaksut, tapahtumailmoittautumiset jne. Suomisportin käyttöönotto on seuralle tapa saada henkilötietojenkäsittelyasiat uuden asetuksen vaatimusten mukaisiksi. Suomisport on GDPR:n mukainen, eli henkilö (esim. seuran jäsen) hallinnoi itse omia tietojaan. Suomisport kertoo rekisteröityjälle asetuksen mukaisesti tietojen käytöstä ja käsittelystä toiminnoittain.

Kuluja seuralle syntyy ainoastaan maksuliikenteestä. Hinta/maksutapahtuma on 1,32 euroa ja se kohdentuu Maksuturvalle, Vincitille sekä Olympiakomitealle. HUOM! Toiminnon käyttöönotto edellyttää Maksuturvan sopimusta ja Maksuturvan sopimus edellyttää voimassa olevaa Y-tunnusta. Kun seuralla on Y-tunnus, sopimuksen pystyy luomaan sähköisesti Suomisportin sisällä olevan toiminnon kautta.

Kuten liiton lisenssien hankinnassa, jäsenet (alaikäisten osalta heidän vanhempansa/huoltajansa) täyttävät itse tietonsa osoitteessa www.suomisport.fi ja maksavat jäsen-, koulutus- kausi-  ja pelipassimaksunsa (lisenssit) verkkomaksuna.

  • Osallistujat käyvät ilmoittautumassa ja maksamassa tapahtumat omatoimisesti.
  • Seuran ei tarvitse laskuttaa, seurata maksuja yms. ja se saa osallistujalistan automaattisesti.
  • Samalla seuralle syntyy jäsenten itse ylläpitämä jäsenrekisteri, joka on GDPR-yhteensopiva
  • Jäsenet pääsevät itse muokkaamaan tietojaan, osoitetiedot päivittyvät postin järjestelmästä automaattisesti, eikä seuran jäsenrekisterin ylläpitäjän tarvitse tehdä tietojen päivityksiä
  • Työmäärä seurassa vähenee merkittävästi
  • Seura voi luoda maksullisia ja maksuttomia tapahtumia, esim. leirit, kilpailut, pikkujoulut ja kokoukset Suomisportissa

Käy ainakin seuraavat asiat läpi seuran toiminnassa:

  • tarkista, mitä henkilötietoja seuran toimintaan osallistuvilta kerätään, minne ne tallennetaan ja kauanko niitä säilytetään, onko seuran jäsenrekisteri GDPR:n vaatimusten mukainen?
  • listaa henkilöryhmät, joiden tietoja kerätään ja tallennetaan sekä henkilötiedot
  • varmista, onko kaikki kerättävä tieto tarpeellista ja onko sille asetuksen mukainen peruste
  • huolehdi, että tarpeettomat tiedot tuhotaan
  • kirjoita kirjallinen kuvaus henkilötietojen keräämisestä ja tallentamisesta, miten henkilötietoja käsitellään ja miten niiden käsittelyn turvallisuus ja huolellisuus on hoidettu.
  • tee tarvittaessa salassapitosopimukset niiden seuran toimihenkilöiden (vapaaehtoisia tai työntekijöitä) kanssa, jotka käsittelevät henkilötietoja, etenkin terveyteen liittyviä tietoja
  • mieti, missä kaikissa tilanteissa henkilötietoja kerätään ja miten (mm. uudet harrastajat, kerhot, ryhmäpassien /ryhmävakuutusten hankkimisen valtuutus jne.)
  • huolehdi toimijoiden koulutuksesta ja tukimateriaaleista, että osaavat toimia oikein kerhoryhmien, leiriryhmien, joukkueiden jne. kanssa
  • hankkiiko seura pelaajien puolesta lisenssejä (pelipasseja) tai ryhmäpasseja? Jos hankkii, seuran henkilötietojen käsittelyn kuvauksessa tulee olla lauseke tietojen sääntömääräisestä luovuttamisesta, ja alaikäisten lasten kohdalla vanhemmilta tulee saada kirjallinen valtuutus
CraftDecensEerikkiläFixusLIDLOsuuspankkiSector AlarmSMTSokos HotelsSubwayTeho sportTuplaUnihocVeikkausViking LineVW-HyötyautotXZ

Käytämme sivustollamme evästeitä ja muita vastaavia tekniikoita. Tallennettavista tiedoista voit lukea tietosuojaselosteesta.