GDPR: Asiaa tietosuojapäivityksestä

EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Uuden sääntelyn myötä seuran on käsiteltävä entistä huolellisemmin harrastajan henkilötietoja. Uudistuksen myötä seuran tulee pystyä todentamaan kirjallisesti, että se pystyy noudattamaan tietosuoja-asetuksen määräyksiä.

Tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyssä noudatetaan asetusta. Asetuksessa tarkoitettu henkilötietojen käsittelijä vastaa oman käsittelynsä asetuksenmukaisuudesta. Tämä tarkoittaa sitä, että asetus koskee sekä seuraa että henkilötietojen rekisterin ylläpitäjää.

GDPR on vahvasti huomioituna M&V Softwaren toiminnassa ja tietosuojakehityksessä. Seuramapin kaikki palvelimet sijaitsevat Suomen rajojen sisällä Ficolo Oy:n konesalissa. Konesali täyttää VAHTI 2/2013 tason 3 vaatimukset sekä tietoturvan osalta VAHTI 2/2010 tason 3 vaatimukset. Seuramapin tietokannoissa olevia tietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Palvelun toimittajana toimimme henkilötietojen käsittelijänä, toteuttaen tietosuojahallintajärjestelmän prosesseja.

Alla on listattu tärkeimpiä asioita, joita pohtimalla voit valmistautua paremmin tulevaan tietosuojapäivitykseen.

Henkilötietojen nykytilan kartoitus seurassa
* Mitä henkilötietoja käsitellään ja mitä tarkoitusta varten
* Miten henkilötietoja käsitellään ja missä vaiheessa rekisteröityjä informoidaan asiasta
* Onko henkilötietojen käsittely ulkoistettu ja kuinka niiden turvallisuudesta huolehditaan
Henkilötietojen käsittelyn periaatteet ja laillisuus
* Henkilötietoja tulee kerätä tiettyä ja nimenomaista tarkoitusta varten. Henkilötietojen keräämisen osalta on siis määriteltävä, mitä varten niitä kerätään ja määritellään. Urheiluseuroissa tämä nimenomainen syy voi olla esimerkiksi joukkueen johtaminen tai laskutuksen hoitaminen.
* Henkilötiedot tulee säilyttää muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin tietojen käsittelyn puolesta on tarpeellista.
* Rekisterinpitäjällä on edellytys informoida rekisteröityjä ymmärrettävällä tavalla tietojen käsittelystä.
* Rekisteröidyn henkilön tulee antaa seuralle suostumus omien henkilötietojensa säilyttämisestä ja käsittelystä. Käytännössä tämä tarkoittaa esimerkiksi tiedon kysymistä nettisivuilla ja ruudun rastittamista hyväksyttäessä. Suostumus tulee pystyä myös purkamaan, milloin tahansa rekisteröity niin haluaa.

Rekisterinpitäjän velvollisuudet
* Osoitusvelvollisuus. Henkilötietojen käsittelyn tulee olla suunniteltua ja dokumentoitua, jonka lisäksi huomiota tulee kiinnittää henkilöstön sisäiseen ohjeistukseen.
* Seloste henkilötietojen käsittelystä
* Tietosuojavaatimusten täyttyminen toimintoja ulkoistettaessa
* Rekisteröidyn oikeus saada informaatiota tiedoista ja rekisteröidyn oikeus päästä käsiksi tietoihin. Esimerkiksi oikeus saada tietää käsittelyn tarkoitus, henkilötietojen säilytysaika, sekä tieto mahdollisesta henkilötietojen luovutuksesta eteenpäin
* Oikeus tietojen oikaisemiseen ja poistamiseen henkilötietorekisteristä

Lisää aiheesta löydät esimerkiksi osoitteesta:

Tietopaketti yrityksille: EU:n yleinen tietosuoja-asetus ja tietosuojalaki