Tietosuoja-asetus tuli voimaan 24.5.2016 ja sitä sovelletaan 25.5.2018 alkaen. Henkilötietojen käsittelyn on tuolloin oltava tietosuoja-asetuksen mukaista. Tietosuoja-asetuksen voimaantulo on luonut organisaatioille erinomaisen apuvälineen henkilötietojen käsittelyä koskevien prosessien ja järjestelmien tarkastelemiseen ja kehittämiseen.
Kirjoittaja Mirja Kattilakoski on lakimies ja varatuomari Asianajotoimisto Fenno Oy:ssä. Asianajotoimisto Fenno on kokenut ja nuorekas, uudelta pohjalta rakennettu yritys, joka tuo jämäkän, modernin ja innovatiivisen otteen lakiasioiden hoitoon. Fennon asiantuntijat avustavat muun muassa yhdistyksiä ja yrityksiä työsuhteiden ja sopimusten lainmukaisuuden varmistamisessa, hallinnossa ja päätöksenteossa. Osana hallinnollista tukea Fennon asiantuntijat avustavat henkilötietojen käsittelyn lainmukaisuuden varmistamisessa, rekisterinpitäjän velvollisuuksien selventämisessä sekä käsittelijä – rekisterinpitäjä suhteeseen liittyvien sopimusten laatimisessa.
Saatettaessa toimintaa vastaamaan tietosuoja-asetuksen velvoitteita, on syytä selvittää missä kaikkialla henkilötietoja säilytetään ja mitä henkilötietoja ylipäätään on kerättynä ja tallennettuna. Tyypillistä on, että henkilötietoja löytyy useista eri järjestelmistä. Henkilötietoja säilytetään usein myös paperisina ja myös näiden tietojen osalta selvitystyö saattaa olla tarpeen. Aina ei ole myöskään selvää kenellä on pääsy henkilötietoihin tai ketkä kaikki tietoja käsittelevät. Myös näiden selvittäminen asioiden järjestämiseksi on tärkeää.
Yhdistykset ovat velvollisia pitämään toiminnastaan jäsenluetteloa, johon on merkittävä jäsenen nimi ja kotikunta. Kaikilla yhdistyksen jäsenillä on oikeus tutustua jäsenluetteloon. Jäsenluetteloihin saatetaan kerätä myös muuta tietoa jäsenistöstä ja siinä vaiheessa tuleekin kiinnittää huomiota siihen, miten muut kuin ne henkilötiedot joihin kaikilla yhdistyksen jäsenillä on oikeus tutustua, pidetään erillään tiedoista, jotka on tarkoitettu vain yhdistyksen käyttöön tiettyä käyttötarkoitusta, esimerkiksi laskutusta tai viestintää varten.
Pääsy keskitettyyn jäsenrekisteriin on myös paikallistason yhdistyksillä. Jäsenrekisteri on siis usean eri tahon käytettävissä samaa käyttötarkoitusta varten. Tällöin on syytä pohtia, onko rekisterinpitäjä tässä tapauksessa yhdistys vai paikallisyhdistys vai ovatko he yhdessä tietosuoja-asetuksen 26 artiklassa tarkoitettuja yhteisrekisterinpitäjiä. Tähän arviointiin vaikuttaa se kuka määrittää käsittelyn tarkoitukset ja keinot. Jos rekisteriä käyttävät tahot yhdessä määrittelevät edellä sanotut tarkoitukset ja keinot, on kyse 26 artiklan tarkoittamista yhteisrekisterinpitäjistä. Yhteisrekisterinpitäjät määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön. Jos kyseessä on yhteisrekisterinpitäjiä koskeva tilanne, on järjestelyistä käytävä ilmi rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Rekisteröidyllä on oikeus saada tieto näistä keskeisistä järjestelyistä.
Jäsenrekisterin suojauksessa tulee teknisen suojauksen lisäksi kiinnittää huomiota siihen, miten rekisterin käyttö on ohjeistettu eri käyttäjille. Asetus velvoittaa kiinnittämään huomiota ohjeistuksen laatimiseen ja rekisterin käyttäjien kouluttamiseen.
Jotta tiedot rekisterissä olisivat oikeita ja virheettömiä, on rekisterinpitäjän edun kannalta suositeltavaa kerätä tiedot rekisteröidyltä itseltään ja velvoittaa heidät ilmoittamaan mahdolliset muutokset rekisterinpitäjälle. Tarpeettomien henkilötietojen keräämistä tulee välttää ja jokaisen henkilötiedon kohdalla on tarpeen arvioida tiedon tarpeellisuus. Esimerkiksi yhdistyksen, jonka tarkoituksena on harjoittaa lasten ja nuorten liikunnan tukemista, voi olla tarpeen miettiä onko tarpeellista kerätä jäsenten ammattia koskevaa tietoa. Joskus tällaisen tiedon keräämiselle on olemassa peruste ja tarpeellisuusarvioinnin oikea suorittaja on rekisterinpitäjä itse, omien tarpeidensa lähtökohdista. Tiedon on oltava tarpeellista suhteessa siihen tarkoitukseen mihin sitä kerätään ja sen tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.
Joskus rekisteröidyt ilmoittavat itsestään enemmän tietoja kuin on pyydetty tai on tarpeen. Tällaisissa tilanteissa tiedot on syytä poistaa, jos niiden tallentamiselle ei ole perustetta. Esimerkiksi koulutuksia järjestettäessä saattaa ilmoittautumisen yhteydessä olla tarpeen kerätä tietoja ihmisten ruoka-aineallergioista. Jotta tarpeellisuusvaatimus täyttyisi, on rekisterinpitäjän arvioitava, onko edellytyksiä tallettaa tällaista terveydentilaa koskevaa sensitiivistä tietoa vai onko tieto syytä poistaa.
Tietosuoja-asetus asettaa henkilötietojen käsittelylle raamit ja vähimmäisedellytykset. Tärkeää on kuitenkin pitää mielessä, että rekisterinpitäjä itse tuntee oman toimintansa ja tarpeensa parhaiten. Näiden tarpeiden ja asetuksen velvoitteiden yhteensovittamisella taataan henkilötietojen asianmukainen ja turvallinen käsittely.
Kirjoittaja:
Mirja Kattilakoski, lakimies, varatuomari
Asianajotoimisto Fenno Oy
Puhelin: 0400 254 704
Sähköposti: : mirja.kattilakoski@fennolaw.fi