Vuoden 2018 toukokuussa voimaan astuva EU-tietosuoja-asetus, tuttavallisemmin GDPR, ja sen kotimainen käytäntöönpano, tietosuojalain uudistus alkavat pikkuhiljaa olla ajankohtaista pohdittavaa myös yhdistyspuolella. Jos seura käsittelee jäsentensä henkilötietoja hyvien tapojen ja nykylainsäädännön mukaisesti ei kurottavaa välttämättä ole paljoakaan. Jos nykylain noudattamisesta on laistettu, voi edessä olla suurempi savotta.
Tässä kohtaa on hyvä muistuttaa että kirjoittaja ei ole lakimies, tai minkään muun alan asiantuntia tai välttämättä edes kokolailla järkevä yhteiskunnan osanen. Jos lakiasiat kiinnostavat kannattaa ottaa itse selvää tai turvautua asiantuntijoihin. Allaoleva on lähinnä omaa tulkintaani aiheesta.
Yksinkertaistettuna EU:n GDPR asetus ja kansallinen tietosuojalaki määrittelevät ne syyt ja keinot, joilla yritykset ja yhteisöt voivat käsitellä henkilötietoja. Yhdistysmaailmassa tämä koskee lähinnä jäsenrekisteriä, yrityspuolella kuvioon astuvat mukaan ainakin markkinointi-, rekrytointi ja henkilöstörekisterit. Siis kaikki rekisterit, joihin tallennetaan fyysisiä henkilöitä jollain tasolla yksilöiviä tietoja.
Lakinivaskan taustaa
EU:n asetuksesta ja sen kansallisesta soveltamisesta puhutaan tässä tekstissä yhtenä ryppäänä sen kummemmin erottelematta. Asiasta kiinnostneelle kuitenkin taustoitettakoon, että EU:n asetus (termin selitys wikipediassa) tulee osaksi kansallista lainsäädäntöä sellaisenaan, mutta GDPR:n tapauksessa asetuksen joissain kohdissa on pelivaraa, jonka puitteissa voidaan tehdä kansallisia tarkennuksia. Asetuksen pohjalta Oikeusministeriön asettama työryhmä on tehnyt eduskunnalle esityksen uudesta kansallisesta tietosuojalaista (jonka kaikki parisataa sivua sisältöä löytyvät täältä).
Yrityspuolella media ja eräät muut tahot ovat pelotlleet muistuttaneet GDPR:n täydestä käytäntöönpanosta jo vuoden päivät. Asetus on sinäänsä ollut jo voimassa keväästä 2016, mutta rapsuja laiminlyönneistä aletaan jakamaan vasta siirtymäajan jälkeen 25.5.2018. Sen tarkoitus on kuitenkin kuluttajan vinkkelistä hyvä: yhtenäistää tietosuojakäytäntöjä ja ottaa huomioon yhteiskunnan digitalisaation mukanaan tuomat riskit henkilötietojen käsittelylle.
Mitä GDPR käytännössä tarkoittaa?
Jos metsästysseura on rekisteröity yhdistys koskee tietosuoja-asetus sen harjoittamaa rekisterinpitoa (yksinkertaistettuna: henkilötietojen omistamista) ja henkilötietojen käsittelyä (tietojen tallentamista, poistamista, muuttamista ja lukemista). Rekisterinpidolta ei voida välttyä, sillä yhdistyslaki velvoittaa rekisteröidyn yhdistyksen ylläpitämään jäsenluetteloa.
Seuran hallitus on viime kädessä vastuussa henkilötietojen käsittelyn lainmukaisuudesta, ja jos asiaa ei vielä ole nostettu esille hallituksen kokouksissa, kannattaa työ aloittaa pikaisesti.
Seuran sisäisessä selvitystyössä kannattaa mielestäni pohtia ainakin seuraavia asioita:
- Mitä henkilötietoja tallennetaan rekisteriin yhdistyslain veloittamien täyden nimen ja kotipaikan lisäksi
- Miksi henkilötietoja käsitellään
- Miten niitä käsitellään ja kenen toimesta
- Rekisteriselosteiden päivittäminen tai kirjoittaminen
- Millä keinoin varmistetaan, että tiedot eivät päädy asiattomien käsiin
- Miten toimitaan jos edellinen uhka toteutuu
Alla on yleistä pohdintaa edellisiin metsästysseuralle ominaisen toiminnan kannalta.
Tallennettavat henkilötiedot ja syyt niiden käsittelyyn
Kaikki yhdistykset tallentavat jäsentensä nimet ja kotipaikat rekisteriin, koska yhdistyslaki edellyttää sitä. Näiden tietojen osalta käsittelyn edellytykset täyttyvät käsittääkseni yksiselitteisesti (6 artikla, kohta 1c).
Edellisten lisäksi rekisteriin tyypillisesti tallennettaneen jäsenten puhelinnumeroita, posti- ja sähköpostiosoitteita yhteydenpitoa varten. Näiden tietojen tallentamiseen syy voi olla esimerkiksi yhdistyksen virallisista kokouksista tiedottaminen tai muu yhteydenpito. Lisäksi voidaan tallentaa esimerkiksi jäsenen metsästäjänumero tai eri jaostojen jäsenyydet, tai muita kiinnostuksen kohteita.
Lisätietojen tallentaminen voi olla tarpeen esimerkiksi 6 artiklan kohdan 1b toteuttamiseksi tai jos se ei päde, niin vähintään rekisteröidyn suostumuksella. Suuressa seurassa yksittäisten suostumusten hakeminen voi toki olla työlästä.
Asetuksen 5 artikla määrittää henkilötietojen käsittelyn periaatteet. Tiivistettynä, tiedot on kerättävä selkeää tarkoitusta varten, tietoa ei saa käyttää mihinkään muuhun kuin määritettyyn tarkoitukseen, säilyttää vain vähimmäisajan, mitään ylimääräistä tietoa ei saa kerätä ”huvin vuoksi” ja rekisterinpitäjän pitää tehdä parhaansa tietojen pitämiseksi ajan tasalla. Tiedon keräämisen pitää myös olla läpinäkyvää, eli rekisteröidylle pitää kertoa mitä ja miksi tietoa kerätään.
Rekisterinpitäjä on velvollinen osoittamaan että periaatteita on noudatettu, joten pohdinnat on syytä kirjata paperille.
Jäsenrekisterin hallinta
Mikäli kaikki käsittely tehdään seuran oman väen toimesta ja tieto pysyy EU:n rajojen sisäpuolella on rekisterin hallinta lain vinkkelistä kohtuullisen suoraviivaista, mutta monella seuralla on varmasti käytössään jäsenrekisteriohjelmisto. Samalla se tarkoittaa sitä, että seura on ulkoistanut osan jäsenrekisterinsä käsittelystä kolmannelle osapuolelle.
Rekisterinpitäjänä yhdistys on velvollinen varmistamaan, että jäsenrekisteriohjelmiston ylläpitäjä toteuttaa oman käsittelynsä lainmukaisesti. Helpoiten se varmistetaan vierailemalla ohjelmiston ylläpitäjän verkkosivuilla tai jos sieltä ei löydy perinpohjaista selostetta yrityksen suhtautumisesta tietosuojalain uudistukseen, ottamalla yhteyttä asiakaspalveluun. Jos aspassa ei vielä tässä vaiheessa vuotta tiedetä GDPR:stä, on syytä alkaa kartoittamaan uutta jäsenrekisterisovellusta.
Seuran sisällä olisi hyvä tehdä päätös siitä, ketkä seuran hallituksessa käsittelevät jäsenrekisterin tietoja ja millaisia toimenpiteitä kukin rekisterissä saa suorittaa (29 artikla).
Rekisterin hallintaan liittyy myös se, miten pitkään tietoja säilytetään, miten varmistetaan että ne tuhotaan kun tietoja ei enää tarvita ja miten esimerkiksi jäsenhakemukset käsitellään. Jäsenhakemukset saattavat muodostaa oman rekisterinsä – tähän olisi hyvä saada jonkun asiantuntijan tulkinta, sillä muodostavathan yrityspuolella työnhakijatkin oman rekisterinsä.
Läpinäkyvyys ja rekisteriselosteiden runoilu
Oletetaan että metsästysseura kerää kaiken tiedon rekisteröidyltä itseltään. Tälläisessä tapauksessa asetus velvoittaa kertomaan rekisteröidylle seikkaperäisesti miten ja miksi tietoja kerätään ja käsitellään. Nämä voi olla järkevintä kirjata verkkosivuille jäsenhakemuksen jättämisen yhteyteen.
Lisäksi 30 artikla velvoittaa rekisterinpitäjän ja käsittelijän ylläpitämään rekisteriselostetta. Tämä on toki jo nykylainsäädännössäkin, mutta GDPR voi aiheuttaa muutoksia nykyisiin selosteisiin.
Tietoturva ja tietomurrot
Rekisterinpitäjän ja käsittelijän on tehtävä kaikkensa, ettei henkilötietojen käsittelystä aiheudu riskiä rekisteröidylle. Mikäli rekisteri eksyy vääriin käsiin on siitä ilmoitettava tietosuojaviranomaisille ja melkoisella todennäköisyydellä myös rekisteröidyille (artiklat 33 ja 34). Muutenkin rekisterinpitoon on suhtauduttava huolellisuudella, sillä onhan metsästysseuran jäsenrekisteri samalla lista kotitalouksista, joista suurella todennäköisyydellä löytyy rikollisia kiinnostavia tuliaseita.
Yhteenvetona
Kuten alussa mainitsin, ylläoleva ei ole kattava selvitys GDPR:n sisällöstä vaan se on tarkoitettu lähinnä yleisluontoiseksi pohdinnaksi lain mahdollisista vaikutuksista metsästysseuran toimintaan.
Asetus on kohtalaisen monimutkainen ja ilman syvempää perehtymistä lakiasioihin on vaikea todeta mitkä toimenpiteet ovat riittäviä lainmukaiseen yhdistystoimintaan. Kattojärjestöillä on lakimiehiä palkkalistoillaan ja toukokuun lähestyessä veikkaisin, että eri he sivistävät jäsenyhdistyksiään lakiasoiden selvittelyssä.
Tietosuoja-asetus tulee varmasti jättämään jälkensä yhdistysmaailmaan. Rekisterinpito ja lakiasiat ovat harvan yhdistyksen ydintoimintaa ja lakimuutos lienee monelle seuralle ensimmäinen pakollinen askel yhdistysbyrokratiaan ja lakikoukeroihin.
Tarkemman perehtymisen aiheeseen voi aloittaa vaikka tutustumalla Tietosuojavaltuutetun toimiston ohjeeseen ”Miten valmistautua EU:n tietosuoja-asetukseen”.