GDPR

TIETOSUOJA-ASETUS

Suomen ja Euroopan unionin tietosuojalait ovat uudistumassa. EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU:n jäsenmaissa. Tietosuoja-asetusta (General Data Protection Regulation = GDPR) sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn.

Uuden lainsäädännön tavoitteena on mm. parantaa henkilötietojen suojaa ja rekisteröityjen oikeuksia, yhtenäistää tietosuojasääntelyä kaikissa EU-maissa sekä vastata uusiin digitalisaatioon ja globalisaatioon liittyviin tietosuojakysymyksiin.

Keskeistä ja uutta tietosuoja-asetuksessa on muun muassa riskiperusteinen lähestymistapa ja rekisterinpitäjän osoitusvelvollisuus. Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy. Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuoja-asetusta. Henkilötietojen käsittely on suunniteltava ja dokumentoitava.


TIETOSUOJA-ASETUKSEEN VALMISTAUTUMINEN (LUE LISÄÄ OSOITUSVELVOLLISUUDESTA TÄÄLTÄ)

Valmistautuessasi tietosuoja-asetukseen:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.


Pesäpalloliitto ei ota kantaa yksityiskohtaisiin, yksittäistä organisaatiota koskeviin kysymyksiin EU:n yleisen tietosuoja-asetuksen soveltamisesta ja tulkinnasta. Tehtävämme on antaa jäsenseuroille yleistä ohjausta ja neuvontaa. Mikäli sinulla on kysyttävää henkilötietojesi käsittelystä niiden rekistereiden osalta, joissa Pesäpalloliitto toimii rekisterinpitäjänä (esim lisenssirekisteri Sense Sport), ole yhteydessä sähköpostitse Anriika Heinoseen, anriika.heinonen(at)pesis.fi. Tarvittaessa seura voi kysyä neuvoa tietosuojavaltuutetun toimistolta.

Linkkejä: 

Tietosuojavaltuutetun sivuilla: https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuoja-asetus-ei-edellyta-entisen-kaltaista-rekisteri-tai-tietosuojaselostetta

Olympiakomitean sivuilla: Hyvä tietosuoja lisää luottamusta urheiluseuraan

Sense Sport rekisteriseloste

Henkilötieto = Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim nimi, henkilötunnus, kuva)
Henkilötietojen käsittely = Henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä.
Rekisterinpitäjä = Luonnollinen tai oikeushenkilö, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot
Rekisteriseloste =  Henkilötietolaissa määritelty asiakirja, joka jokaisen rekisterinpitäjän on laadittava ja pidettävä jokaisen saatavilla. Mallipohja löytyy täältä. 
Tietosuojaseloste = Rekisterinpitäjän antama informaatio siitä, miten se menettelee haltuunsa saamiensa henkilötietojen käsittelyssä, mitkä ovat rekisteröidyn oikeudet ja miten oikeudet toteutetaan. Mallipohja löytyy täältä. 
Tilivelvollisuus = Rekisterinpitäjä vastaa ja sen on pystyttävä osoittamaan, että asetusta on noudatettu ("Accountability")