Sujuva tietojen hallinnointi yhdistyksissä tukee tietosuojan toteutumista
Harrastustoimintaa järjestävän yhdistyksen arkeen sisältyy paljon hallinnollista työtä, kun huolehditaan kirjanpidosta, seurataan toiminnan tuloksia tai ylläpidetään luetteloa yhdistyksen jäsenistä. Hallinnollinen työ tapahtuu yhä suuremmissa määrin erilaisten digitaalisten järjestelmien tukemana. Hyvä tietohallinto tekee toiminnasta sujuvampaa ja tukee tietosuojalainsäädännön noudattamista.
Ilman systemaattista tietohallintoa uhkana on, että järjestelmiä on liikaa, ja niiden käyttötavat vaihtelevat eri henkilöiden välillä. Tällöin on vaikeaa pysyä selvillä siitä, miten henkilötietoa tai muuta yhdistykselle tärkeää tietoa säilytetään ja käsitellään.
Järjestelmien ja niiden käyttötarkoitusten selvittäminen
Ensin kannattaa selvittää, mitä järjestelmiä yhdistyksellä on käytössään ja miksi. Monilla on käytössään verkkosivut, kirjanpitojärjestelmä, jäsenrekisteri ja sosiaalisen median kanavia. Jokaisen tietojärjestelmän kohdalla tulisi olla käsitys sen käyttötarkoituksesta sekä palveluntarjoajan yhteystiedoista.
Käyttötarkoituksia kannattaa pohtia huolella. Jos yhdistys on ottanut vuosien saatossa käyttöönsä paljon erilaisia järjestelmiä, saattaa niillä olla myös päällekkäisiä käyttötarkoituksia. Tällöin tulee pohtia, ovatko ne kaikki oman toiminnan kannalta välttämättömiä myös jatkossa.
Joskus yhdistyksen henkilöt saattavat käyttää henkilökohtaisia järjestelmiään tai käyttäjätilejään yhdistyksessä tehtävään työhön. Tällöin yhdistyksen voi olla vaikeaa pysyä kartalla siitä, mitä yhdistykseen liittyvää tietoa missäkin on. Tietosuojan toteutumisen kannalta on tärkeää, että yhdistyksen toimintaan liittyvät henkilötiedot säilyvät selkeästi rajatuissa järjestelmissä, joissa niitä käsitellään lainsäädännön vaatimalla tavalla.
Minkälaista tietoa järjestelmissä käsitellään?
Järjestelmien kartoituksen jälkeen kannattaa dokumentoida, minkälaista tietoa niissä käsitellään. Tietoa saatetaan käyttää esimerkiksi tulojen ja menojen tai verkkosivujen kävijämäärien seurantaan.
Tässä vaiheessa tulee tunnistaa järjestelmillä käsiteltävät henkilötiedot eli kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilön suoraan tunnistettavia henkilötietoja ovat esimerkiksi henkilötunnus, nimi ja henkilöä esittävä valokuva.
Henkilötietojen käsittelyssä on hyvä lähteä liikkeelle tunnistamalla mihin tarkoitukseen tietoja kerätään ja käsitellään, ja mihin oikeus tietojen käsittelemiseen lainsäädännön näkökulmasta perustuu. Yhdistyksen tarkoitus, säännöt ja sen harjoittama toiminta määrittävät, mitkä jäsenten henkilötiedot ovat yhdistyksen toiminnan kannalta tarpeellisia, eikä yhdistys saa kerätä tietoja jäsenistään vain varmuuden vuoksi. Jokaisen kerättävän henkilötiedon tarpeellisuus on arvioitava ja kyettävä osoittamaan erikseen.
Tietosuoja-asetuksessa on säädetty 6 perusteesta, joiden perusteella henkilötietoja voidaan käsitellä. Henkilötietojen käsittelyperuste yhdistystoiminnassa voi olla esimerkiksi rekisteröidyn suostumus, lakisääteinen velvoite tai rekisterinpitäjän oikeutettu etu. Esimerkiksi yhdistyslain 11 §:n mukaan yhdistyksen tulee pitää jäsenistään jäsenluetteloa, jossa on oltava kunkin jäsenen täydellinen nimi sekä kotipaikka. Yhdistyslain nojalla yhdistys ei siis voi kerätä muita henkilötietoja jäsenistä ja muiden tietojen keräämiselle on yhdistyksen määritettävä toinen käsittelyperuste, joka voi olla esimerkiksi suostumus.
Jos yhdistys hyödyntää kolmannen osapuolen tarjoamaa palvelua henkilötietojen käsittelyyn eli esim. käyttää jäsenrekisterin ylläpitoon tai ilmoittautumisten keräämiseen jonkin palveluntarjoajan verkkopalvelua, tulee tämän tahon kanssa tehdä sopimus henkilötietojen käsittelystä.
Lisätietoa henkilötietojen käsittelyn vaatimuksista löydät esimerkiksi tietosuojavaltuutetun toimiston yhdistyksille suunnatusta oppaasta. GDPR4CHLDRN-hankkeessa tullaan kesällä 2024 verkossa julkaisemaan yhdistyksille työkalupakki tietosuojalainsäädännön soveltamisen ja noudattamisen tueksi .
Käyttöoikeuksien hallinta ja käyttäjien perehdytys
Kaikkea tietoa ei ole tarkoituksenmukaista jakaa kaikille yhdistyksen toimintaa järjestäville. Käyttöoikeuksien tulisi olla vain niillä, jotka niitä oikeasti tehtäviensä takia tarvitsevat. Pääkäyttäjällä tarkoitetaan henkilöä, jolla on laajimmat oikeudet järjestelmässä, ja siten myös oikeus lisätä muita käyttäjiä tai poistaa heiltä käyttöoikeuksia. Muut käyttäjät ovat henkilöitä, joilla on toimenkuvansa vuoksi käyttöoikeudet järjestelmään. Joissakin palveluissa ja sosiaalisen median alustoilla erilaisia käyttöoikeuksia voi olla useita.
Yhdistyksen kannattaa määritellä prosessi sille, miten tarpeettomaksi käyneitä käyttöoikeuksia poistetaan ja uusia lisätään. Jos esimerkiksi urheiluseuran joukkueenjohtaja lopettaa toimintansa seurassa, miten varmistetaan, että hänellä ei enää ole pääsyä joukkueen jäsenten henkilötietoihin? Jos pääkäyttäjä lopettaa toimintansa seurassa, miten huolehditaan uuden pääkäyttäjän valitsemisesta ja lisäämisestä ennen aiemman pääkäyttäjän käyttöoikeuksien poistamista?
Yhteiset toimintatavat tietoturvan tukena
Käyttöoikeuksien kartoittamisen yhteydessä on luontevaa sopia yhteiset pelisäännöt järjestelmien käytölle. Arkisena esimerkkinä voi olla sähköpostien lähettäminen yhdistyksen toiminnassa: Minkälaisia liitetiedostoja viesteihin saa lisätä? Miten huolehditaan siitä, että viestien vastaanottajien tietoja tai muita henkilötietoja ei viestinnän ohessa jaeta tarpeettoman laajasti?
Tietoturvalla tarkoitetaan keinoja, joilla suojataan tietoaineistot ja tietojärjestelmät. Tietoturva on yksi tietosuojan toteuttamisen keino. Tietoturva voi pettää esimerkiksi silloin, jos ulkopuolinen pääsee kirjautumaan yhdistyksen järjestelmään liian heikon salasanan vuoksi, tai jos yhdistyksen hallituksen jäsen hävittää tietokoneensa tai kännykkänsä, jossa on yhdistyksen toiminnan kannalta tärkeää tietoa tai pääsyoikeuksia yhdistyksen tileille.
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Jos tietoturvaloukkauksen seurauksena vaarantuu henkilötietoja, tulee arvioida riskejä ja tarvittaessa ilmoittaa loukkauksesta valvontaviranomaisena toimivalle tietousojavaltuutetun toimistolle. Lue lisää henkilötietojen tietoturvaloukkauksista täällä.
Tietoturvaa tuetaan mm. riittävän vahvoista salasanoista sekä henkilötietoja sisältävistä asiakirjoista huolehtimalla ja käytettäviä ohjelmistoja säännöllisesti päivittämällä. Usein sanotaan, että valtaosa tietoturvariskeistä toteutuu huolimattomuuden tai inhimillisen virheen seurauksena. Siksi yhteisistä toimintatavoista sopiminen on avainasemassa tietoturvankin kannalta.
Yhteisten pelisääntöjen sopiminen ja jalkauttaminen
Varsinkin suuremmissa yhdistyksissä tietohallinnosta voi kehkeytyä laaja kokonaisuus, jonka hallitsemisessa on omat haasteensa. Asian äärelle kannattaa pysähtyä ensin rajatulla kokoonpanolla, esimerkiksi yhdistyksen hallituksen kesken. Kun käytettävät järjestelmät, käyttöoikeudet ja toimintatavat ovat selvillä, voidaan luoda ohjeet myös uusien toimijoiden perehdytykselle. Esimerkiksi uuden valmentajan tai ohjaajan aloittaessa hänet on tällöin mahdollista perehdyttää selkeästi ja yhteisten pelisääntöjen mukaisesti.
Kirjoittaja
Mikko Eloholma
Mikko Eloholma toimii digiosaamisen vauhdittajana TIEKEllä