Henkilötietorekisterin uudet vaatimukset asettavat rajoituksia rekisterin tallennukselle. Rekisterin tulee olla, erikoistilanteita lukuunottamatta, tallennettu EU:n sisälle ja pääsyä rekisteriin tulee rajoittaa entistä tarkemmin. Lisäksi tallennusalustan tulee olla turvallinen tietoturvaltaan. Muista toteutustapaa valitessasi suhteuttaa rekisterien koko valitsemaasi tapaan - Tietosuoja-asetuksen periaatteena on kohtuullisuus, joten pienimuotoiseen rekisteriin ei tarvitse käyttää valtavasti vaivaa.
Alla eri tapoja hyvine ja huonoine puolineen miten tallentamisen, käytön ja keräämisen voi toteuttaa.
EU:n uuden tietosuoja-asetuksen ydinasia on parantaa EU:n kansalaisten oikeutta omiin henkilötietoihinsa. Laissa on 99 artiklaa, ja se on EU lainsäädännön tapaan monin kohdin ympäripyöreästi kuvattua ja vaikeaselkoista. Lain vaatimukset kuitenkin skaalaavat kerättyjen henkilötietojen määrän, keräystarkoituksen sekä tietojen arkaluontoisuuden mukaan. Tämän ansiosta normaalille yhdistykselle lain noudattaminen ei ole ylitsepääsemätön este.
Henkilötietojen oikeaoppista käsittelyä määrittävät lain 5 artiklassa määritetyt periaatteet. Rekisterinpitäjän, tässä tapauksessa yhdistyksen, on pystyttävä viranomaisen pyynnöstä osoittamaan, että periaatteita on noudatettu yhdistyksen rekisterien kohdalla.
Tämän lisäksi laki määrittää rekisteröidylle oikeuden pyytää rekisterinpitäjältä hänestä kerätyt tiedot itselleen nähtäväksi ja korjattavaksi. Rekisteröity voi myös pyytää tietojen poistoa.
Henkilötietoja tulee käsitellä seuraavien periaatteiden mukaisesti:
Tietosuoja-asetuksen noudattaminen pienehköllä yhdistyksellä jakaa kolmeen kokonaisuuteen:
Rekisterien säilytys elektronisessa muodossa tulee toteuttaa niin, että
a) Vain nimetyt henkilöt pääsevät rekisteriin käsiksi. Tämä voidaan toteuttaa käyttäjätunnushallinnalla niin, että kaikille tietoja käsitteleville henkilöille myönnetään oma, henkilökohtainen käyttäjätunnus. Yhteisen tunnuksen käyttö voi olla mahdollista esimerkiksi Otaxin säilytyksessä, mikäli tunnuksen itsensä käyttö edellyttää jotain henkilökohtaista (Otaxin kohdalla henkilökohtaisilla privaattiavaimilla).
b) Mikäli tieto tallennetaan sijaintiin missä yhdistyksen lisäksi toimii korkeamman käyttöoikeuden omaavia tahoja, kuten pilvipalveluissa tai Otaxissa, tulee tiedot salata näiltä henkilöiltä. Tässä tapauksessa toimikausittain vaihdettava, yhdistyksen oma yhteinen salasana riittää. Tiedot voidaan salata esimerkiksi exceltaulukoiden tukemalla salasanalla, tai paketoimalla tiedot salasanasuojatun zip/7z paketin sisään.
c) Tietojen eheys varmistetaan. Ulkopuolisen tahon ylläpitämässä palvelussa tämä todennäköisesti täyttyy heidän toimestaan, mutta asia olisi hyvä varmistaa palvelun tiedoista.
Käytettäessä omaa tallennusmediaa, kuten yhdistyksen omaa palvelinta, tulisi tiedoista tehdä säännölliset, automaattiset varmuuskopiot. Varmuuskopioiden tulee sijaita erillisellä fyysisellä tallennusmedialla. Esimerkiksi RAID 1 teknologian käyttö ja sähköpostihälytyksen asettaminen hajoamisista yleisosoitteeseen (esimerkiksi hallitus@yhdistys.fi , tärkeintä on, että sähköposti ei ole henkilöriippuvainen) on hyvin riittävä toteutus.
d) Käyttäjätunnusten ja salasanojen palautus varmistetaan. On äärimmäisen tärkeää, että jäsenrekisteri ei tuhoudu salasanojen kadotessa. Jos yhdistyksellä on kassakaappi, root-oikeuksien salasanaa voidaan säilyttää siellä. Muutoin rekisterivastaavan koti riittää, jos tieto ei ole ylenpalttisen esillä. Salasanan säilytys palvelimen vieressä tai näyttöön teipattuna on ehdottoman laitonta.
Rekisteröidylle tulee ilmoittaa rekisteröitymishetkellä rekisteriin kerättävistä tiedoista, niiden käyttötarkoituksesta, säilytyksen periaatteista, valitusoikeudesta ja monesta muusta asiasta. Tältä sivulta löytyvät esimerkkidokumentit tietosuojaselosteista sisältävät kaiken tarvittavan. Huomaa, että käyttäessäsi esimerkkidokumentteja sinun tulee varmistaa, että yhdistyksesi oikeasti toteuttaa kaikki siinä mainitut toimenpiteet. Mikäli osa asioista on teille mahdottomia toteuttaa, niitä ei tule luvata. Tietosuojaselosteeseen viittaava linkki rekisteröintivaiheessa täyttää tehokkaasti tämän vaatimuksen.
Rekisteröity voi vaatia rekisterinpitäjää luovuttamaan hallussaan olevat tiedot hänestä. Vaatimukseen vastaaminen tulee toteuttaa kohtuullisessa ajassa, korkeintaan kuukaudessa, ja ilmaiseksi. Rekisteröityä voidaan vaatia tunnistamaan itsensä paremmin, mikäli luovutettavat ovat mittavia tai arkaluontoisia.
Mikäli pyyntö on kohtuuton, esimerkiksi suljetusta kuvagalleriasta pyydettäessä kaikkia henkilöstä itsestään olevia kuvia, voidaan tarkastuksesta pyytää kohtuullinen veloitus tai pyytää rekisteröityä tarkentamaan pyyntöään. Tämänkaltaiset tilanteet kannattaa kuitenkin ratkoa tapauskohtaisesti, ja tarvittaessa pyytää tietosuojavaltuutetulta apua tilanteen ratkaisemiseen, mikäli rekisteröity on yhteistyökyvytön.
Huomaa, että tietosuojaseloste on pakollinen vasta rekisterinpitäjän ylittäessä 250 työntekijän rajan. Lain vaatimukset rekisteröidyn informoinnista voidaan toteuttaa myös muilla tavoin, mikäli välttämättä haluaa näin tehdä.
Rekisterinpitäjän osoitusvelvollisuus voidaan toteuttaa niin ikään dokumentaatiolla. Tältä sivulta löytyvä tietosuojapolitiikkamalli antaa hyvän pohjan sille, miten periaatteita voidaan noudattaa. Politiikan laatimisessa tulee noudattaa samaa kuin tietosuojaselosteessakin, eli vain asiat joita rekisterinpitäjä aikoo toteuttaa, tulee sinne kirjata.
Tietosuoja-asetuksen sanktiot voivat vaikuttaa astronomisen kookkailta; 20 miljoonaa euroa tai 4% organisaation globaalista liikevaihdosta per rikkomus. Sanktioiden suuruudesta johtuen julkiskeskustelussa on päässyt valloilleen myyjän markkinat, missä lakiasiaintoimistot ja ohjelmistotalot tuottavat kallista konsultaatiota avuksi organisaation turvaksi. Todellisuudessa kuitenkaan sanktiot kohtuullistetaan rikkomusten aiheuttamaan haittaan. Yhdistystasolla sanktiot tulevat todennäköisesti olemaan huomautus Suomen tietosuojavaltuutetulta.
Mikäli yhdistyksellänne on vielä avoimia kysymyksiä mihin vastausten löytäminen on vaikeaa, voitte varata ajan AYY:n IT-asiantuntijan kanssa keskusteluun. Aikaa pääset varaamaan täältä: https://doodle.com/poll/4zp45pc5m7n54dhe