Tietosuoja-asetus palokunnissa

Palokuntayhdistyksiä koskee vuonna 2016 voimaan tullut EU:n tietosuoja-asetus (GDPR= General Data Protection Requlation).

Palokuntayhdistykset toimivat rekisterinpitäjinä. Esimerkiksi jäsenluettelot, yhteystietolistat sekä koulutusten, kuntotestien ja toiminnan kirjaamiseen käytetyt järjestelmät muodostavat asetuksen mukaisia henkilörekistereitä, niiden muodosta riippumatta. Siten mm. käsinkirjoitettuja jäsenluetteloitakin on pidettävä henkilörekisterinä.

Tietosuojan muistilista

  1. Kartoita yhdistyksesi hallussa olevat henkilötiedot.
  2. Varmista, että yhdistykselläsi on lainmukainen peruste tallennettujen tietojen käsittelyyn.
  3. Nimeä tietosuojavastaava.
  4. Laadi tietosuojasuunnitelma henkilötietojen käsittelystä.
  5. Varmista, että henkilötietojen käsittelyyn osallistuvat tuntevat tietosuoja-asetuksen vaatimukset ja yhdistyksen ohjeet.
  6. Rajaa käyttö- ja pääsyoikeudet tiedostoihin, joissa käsitellään henkilötietoja.
  7. Huolehdi henkilötietojen ajantasaisuudesta.

Osoita asetuksen noudattaminen

Yhdistyksen tulee osoittaa, että se noudattaa asetusta. Ei riitä, että yhdistys noudattaa asetusta, vaan sen on pystyttävä dokumentaatiolla osoittamaan, miten tietosuoja-asetuksen noudattaminen on hoidettu. Asetuksessa asiasta käytetään termiä osoitusvelvollisuus.

Tietosuojavastaavan nimeäminen

Yhdistykseen suositellaan nimettävän tietosuojavastaava, joka varmistaa asetuksen noudattamisen yhdistyksessä ja opastaa jäsenistön asetuksen mukaiseen henkilötietojen käsittelyyn ja dokumentointitarpeisiin. Asetus ei vaadi yhdistystä nimeämään tietosuojavastaavaa, mutta suosituksemme on, että tietosuojavastaava nimetään, jolloin asetuksen noudattaminen selkeytyy.

Laadi tietosuojasuunnitelma

Tietosuojasuunnitelma pitää sisällään yhdistyksen toimintamallit henkilötietojen käsittelyyn. Mallit voivat olla dokumentoituja toimintaohjeita ja tarpeen mukaan prosessikuvauksia. Suunnitelman tulee pitää sisällään myös niiden tietojärjestelmien ja tietovarantojen kuvaukset, joissa on henkilötietoja. Suunnitelman tekeminen helpottaa osoitusvelvollisuuden täyttämistä.

Palo­kun­ta­yh­dis­tys toi­mii asetuksessa määriteltynä re­kis­te­rin­pi­tä­jä­nä. Yh­dis­tyk­sen jä­se­net ja työn­te­ki­jät, jot­ka kä­sit­te­le­vät henkilötietoja ovat rekisterinpitäjän alaisuudessa toimivia henkilöitä. Yh­dis­tyk­sen pi­tää an­taa sel­ke­ät ra­jat ja oh­jeet henkilötietojen kä­sit­te­lys­tä ja tie­to­jen luo­vut­ta­mi­ses­ta. Rekisterinpitäjän ulko­puo­li­nen taho, joka käsit­te­lee hen­ki­lö­tie­to­ja re­kis­te­rin­pi­tä­jän lu­kuun, on ase­tuk­ses­sa mää­ri­tel­ty hen­ki­lö­tie­to­jen kä­sit­te­li­jä. Yhdistyksen tulee tehdä mahdollisten henkilötietojen käsittelijöiden kanssa kirjallinen sopimus.

Huolehdi rekisteröidyn oikeuksista

Oikeus nähdä omat tiedot

Rekisteröidyllä on oikeus saada tietää, mitä tietoa hänestä on kerätty. Tietosuoja-asetuksen mukaan henkilöillä on oikeus saada pääsy omiin henkilötietoihinsa. Myös alaikäisellä eli alle 18-vuotiaalla lapsella on tarkastusoikeus. Tämä voidaan hoitaa helpoiten antamalla jokaiselle rekisteröidylle oma käyttäjätunnus tai pyydettäessä toimittaa dokumentaatio kaikista henkilötiedoista.

Tiedot tulee tarkistaa vähintään vuosittain ja vanhentuneet sekä tarpeettomat tiedot tulee poistaa.

Oikeus tulla unohdetuksi

Henkilöillä on oikeus tulla unohdetuksi. Tämä tarkoittaa rekisteröidyn oikeutta tietyin edellytyksin pyytää yhdistystä poistamaan hänestä kerättyä vanhentunutta tietoa. Henkilö pystyy myös poistamaan suostumuksensa siitä, että on antanut luvan henkilötietojensa keräämiselle, ja tämän pitää olla yhtä helppoa kuin suostumuksen antaminen. Henkilötiedot poistetaan aina pyytäessä, ellei käsittelylle ole muuta laillista perustetta.

Ilmoita rekisteröidylle

Rekisterinpitäjän tulee ilmoittaa rekisteröidyille rekisterinpitäjän ja tietosuojavastaavan yhteystiedot (mikäli tietosuojavastaava on nimitetty) ennen kuin henkilötietoja kerätään.

Rekisterinpitäjän antama kuvaus henkilötietojen käsittelystä tulee pitää julkisesti saatavilla (esimerkiksi palokunnan ilmoitustaululla) ja sen ajantasaisuus tulee tarkistaa säännöllisesti.

Ilmoita mahdollisista tietoturvaloukkauksista

Yhdistyksellä on velvollisuus ilmoittaa henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa. Oikeus saada tieto perustuu arviolle, onko tietovuodossa mahdollista tulla vahinkoja.

Pyydä suostumus rekisteröidyltä

Käyttäjiltä tulee saada suostumus henkilötietojen keräämiseen, ellei käsittelylle ole jotain muuta laissa säädettyä perustetta. Tähän vaaditaan rekisteröidyn henkilön vapaaehtoinen ja tietoinen suostumus. Yhdistys ei voi kerätä henkilötietoja ilman henkilöiden suostumusta. Alaikäisten henkilötietojen käsittelyyn tulee olla vanhempien lupa. Helpoiten asia hoidetaan antamalla rekisteröidylle omat käyttäjätunnukset järjestelmään, jossa suostumusta kysytään. Toinen vaihtoehto on pyytää kultakin rekisteröidyltä kirjallinen suostumus henkilötietojen keräämiseen.

Lomake auttaa tietosuojasuunnitelman tekemisessä

SPEK on laatinut lomakkeen (Word), jonka avulla voit laatia oman palokuntayhdistyksesi tietosuojasuunnitelman. Lomaketta on päivitetty 1.1.2019.