EU:n yleistä tietosuoja-asetusta (GDPR) alettiin soveltaa käytäntöön 25.5.2018. Suomessa saatettiin voimaan uusi tietosuojalaki 5.12.2018. Tietosuojalaki täydentää yleistä tietosuoja-asetusta. Vaikka nämä lait ja asetukset ovat olleet voimassa jo pari vuotta, tietosuoja-asiat herättävät edelleen kysymyksiä.
Tietosuoja-asetuksen tavoitteena on parantaa EU-kansalaisten oikeusturvaa sekä vahvistaa EU:n sisämarkkinaa yhtenäistämällä henkilötietojen käsittelyyn liittyvä lainsäädäntö ja varmistamalla henkilötietojen liikkuvuus alueella. Asetus vahvistaa viranomaisvaltuuksia ja lisää rekisterien pitäjien ja henkilötietojen käsittelijöiden vastuita. Tietosuoja on kansalaisten perusoikeus.
Tietosuoja-asetus ja tietosuoja-asiat herättävät edelleen paljon kysymyksiä ja pohdintaa asiakkaissamme, joten haastattelimme näihin aiheisiin liittyen Vitec Avoinen tietosuojavastaavaa Mikko Kauttua. Mikko on jo vuosien ajan toiminut osana Avoinen tietosuojatiimiä ja ollut kokonaisvaltaisesti mukana kehittämässä tietosuoja-asioita yrityksessämme.
Pyrimme tässä haastattelussa nostamaan esille muutamia yleisisiä kysymyksiä, jotka ovat tulleet esiin asiakkaiden kanssa keskustellessamme. Asiakaspalvelussa vastailemme tietosuojakysymyksiin parhaamme mukaan ja tarvittaessa ohjaamme niitä eteenpäin Mikon ja tietosuojatiimimme käsiteltäviksi.
Mitkä ovat ensimmäisiä asioita, joita järjestöjen ja yhdistysten täytyy ottaa huomioon henkilötietojen käsittelyssä?
- Lähtökohta on, että järjestön tulee tietää se, mitä henkilötietoa järjestön toiminnan yhteydessä käsitellään ja missä näiden henkilötietojen käsittely tapahtuu. Henkilötiedon käsittelylle tulee olla aina peruste. Rekisteröidyillä pitää olla myös selkeä käsitys siitä, mitä henkilötietoa heistä kerätään ja miten sitä käsitellään. Kaikki henkilötietojen käsittelyyn liittyvät asiat on dokumentoitava osoitusvelvollisuuden täyttämiseksi.
Saako henkilötietoa käsitellä EU-alueen ulkopuolella?
- Tietosuoja-asetuksen tarkoituksena on suojata EU-kansalaisten henkilötietojen käsittely EU:ssa ja sen ulkopuolella. Henkilötietojen siirtäminen EU:n ulkopuolelle on sallittua, mutta tällöin tulee pystyä takaamaan EU:n lainsäädäntöä vastaava tietosuojan taso. Tietosuoja-asetuksen tarkoitus ei ole estää tiedon liikkumista, vaan määritellä sille pelisäännöt, jotka suojaavat EU-kansalaisten perusoikeuksia.
Mitä osoitusvelvollisuus käytännössä tarkoittaa?
- Osoitusvelvollisuus tarkoittaa sitä, että pelkkä asioiden oikein tekeminen ei riitä, vaan se on myös pystyttävä todistamaan. Tässä auttaa dokumentointi. Kannattaa siis dokumentoida kaikki henkilötietojen käsittelyyn liittyvät prosessit, päätökset, katselmoinnit jne. Mitä kattavammin asiat on dokumentoitu, sitä helpompaa on viranomaisten kanssa toimiminen.
Mitkä ovat tärkeimpiä asioita henkilötietojen turvallisessa käsittelyssä?
- Ensinnäkin pitää tietää, missä kaikissa järjestelmissä henkilötietoa käsitellään. Usein järjestöillä on käytössä jokin jäsenrekisterisovellus. Monesti henkilötietoja kuitenkin käsitellään myös tämän varsinaisen rekisterin ulkopuolella, kuten esimerkiksi Excel-tiedostoissa tai sähköposteissa. Varsinaisen jäsenrekisterin prosessien lisäksi olisi hyvä tunnistaa nämä apuprosessit ja huolehtia myös niiden osalta tietojen turvallisesta käsittelystä.
On tärkeää, että henkilötietoihin on pääsy vain sellaisilla henkilöillä, jotka henkilötietoja käsittelevät. Henkilötietojen käsittelyyn osallistuvat henkilöt tulee kouluttaa siten, että heillä on valmiudet käsitellä henkilötietoja turvallisesti. Henkilötietoa sisältävien järjestelmien osalta on syytä huolehtia hyvän salasanapolitiikan noudattamisesta. Mahdollisuuksien mukaan on hyvä käyttää myös pelkkää salasanaa vahvempia tunnistautumistapoja. Enemmän vinkkejä käyttäjätilien yksityisyyden turvaamiseen löytyy tästä blogitekstistä.
Saako henkilötietoa lähettää sähköpostilla?
- Arkaluontoista henkilötietoa (kuten esimerkiksi henkilötunnuksia) ei tulisi koskaan lähettää sähköpostilla. Sähköposti voi kuitenkin olla joissain tapauksissa turvallinen lähetystapa. Yleisimmin tämä toteutuu silloin kun sähköpostia lähetetään organisaation sisällä käyttäjältä toiselle ja käytetään samaa sähköpostijärjestelmää.
Jos sähköpostia lähetetään organisaation ulkopuolelle, on sähköposti usein salaamaton ja kaikkien siirtopolulla olevien vapaasti luettavissa. Tällöin henkilötiedon suojaus ei aina toteudu riittävällä tasolla. Kannattaa siis aina harkita tarkkaan henkilötietojen lähettämistä sähköpostilla ja etsiä vaihtoehtoisia suojattuja lähetystapoja niiden toimittamista varten.
Tässä on vielä listattuna muutamia sovelluksiamme, joita voidaan liittää esimerkiksi jäsenrekisterien yhteyteen ja sitä kautta parantaa tietosuojan tasoa järjestöissä:
Avoine SSO
Jos haluat lisätietoa näistä sovelluksista ja niiden käyttöönotosta, myyntipäällikkömme Mikko Mantere antaa mielellään lisätietoja puhelimitse numerossa 040 0200 505 tai sähköpostitse osoitteessa myynti@avoine.fi.