Tietosuoja on tärkeä osa yhdistyksen hallintoa
Lasten henkilötietoja pitää lain mukaan käsitellä erityisen huolellisesti. Kun urheiluseura tai yhdistys on omaksunut tietosuojasta huolehtimisen osaksi omaa toimintaansa, on vanhempien kysymyksiin jälkikasvunsa henkilötietojen käsittelystä helpompaa vastata.
Yhdistykset kyllä tuntevat velvollisuutensa, mutta henkilötietojen käsittelyn käytännöissä riittää kehittämistä. Tämä kävi ilmi, kun GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hanke kartoitti alkukyselyssään nuorten, heidän vanhempiensa sekä harrastusyhdistysten näkemyksiä tietosuojasta.
”Harrastusyhdistyksillä on arkensa keskellä tietosuojasta huolehtimisen lisäksi paljon muitakin hallinnollisia asioita. Silloin voi tuntua siltä, että resurssit eivät riitä kaikkeen”, kertoo TIEKEn Mikko Eloholma.
Tietosuojavaltuutetun toimiston ja TIEKEN kaksivuotinen hanke onkin laatimassa seuroille ja yhdistyksille käytännönläheistä työkalupakkia, joka tukee tietosuojalainsäädännön soveltamista ja noudattamista harrastustoiminnan arjessa. EU:n vuonna 2018 sovellettavaksi tullut yleinen tietosuoja-asetus määrittää pelisäännöt siihen, miten henkilötietoja on ylipäätänsä mahdollista käsitellä. Lainsäädännön mukaan lasten henkilötietojen käsittelyyn on kiinnitettävä erityistä huomiota.
Myös valokuvat ja videot voivat olla henkilötietoa
Yhdistykset käsittelevät henkilötietoja usein huomaamattaan.
”Alkukyselymme perusteella esimerkiksi lasten ja nuorten valokuvien ja videoiden julkaisu herättää paljon kysymyksiä. Myös valokuvat ja videot, joista henkilö on tunnistettavissa, ovat henkilötietoja, jota tietosuojalainsäädäntö koskee. Lapsilla ja heidän vanhemmillaan saattaa myös olla eri käsitykset omasta yksityisyydestään kuin seuran vetäjillä”, Eloholma pohtii.
Kyselyssä yhdeksi huolenaiheeksi nousivat tiedot lasten ja nuorten allergioista ja terveydestä.
”Ne ovat tärkeitä vaikkapa turnausmatkoilla. Asianmukaisilla henkilöillä pitäisi olla tiedot käytössään lasten turvallisuuden näkökulmasta.”
Ei kuitenkaan ole tietosuojalainsäädännön mukaista, että kaikilla yhdistyksen toimijoilla olisi pääsyä allergiatietoihin, jotka sisältyvät erityisiin henkilötietoryhmiin. Rekisterinpitäjänä yhdistys on velvollinen määrittelemään, miten sen hallussa olevia henkilötietoja käsitellään ja arvioimaan esimerkiksi keiden sen alaisuudessa toimivien henkilöiden tehtävien hoidon kannalta on tarpeen käsitellä jäsenten henkilötietoja ja missä laajuudessa.
Jo osallistujan nimellä tehty ilmoittautuminen harjoituksiin on henkilötietoa, muistuttaa Eloholma.
”Se voi tuntua pieneltä asialta, mutta laki takaa kaikille oikeuden omien henkilötietojensa suojaan. Lähtökohta on se, että henkilötietojen käsittelylle pitää aina olla lainmukainen peruste, kuten suostumus.”
Pienestä asiasta voi tulla suuri asia etenkin tilanteissa, joissa on voimassa oleva lähestymiskielto tai henkilöllä on voimassa oleva turvakielto. Yhdistystoiminnan järjestäjällä ei useinkaan ole tietoja edellä mainituista, jolloin auttaa, kun muistetaan tietosuojan asettamat vaatimukset aina, kun henkilötietoja käsitellään.
Yhdistyksille suunnatulla oppaalla eteenpäin
Mikä on Eloholman neuvo yhdistyksen vastuuhenkilölle, jota henkilötietojen käsittely mietityttää?
”Ensimmäinen askel olisi perehtyä yhdistyksen velvollisuuksiin, ja tähän tarkoitukseen esimerkiksi tietosuojavaltuutetun toimiston 10-sivuinen ohje on hyvä lähtökohta. Yhdistyksen nykytilanteen ymmärtämiseksi kannattaa istua alas ja oppaan pohjalta selvittää mitä henkilötietoja me käsittelemme, miksi ja missä järjestelmissä tiedot ovat.”
Kun henkilötietojen käsittelyn vastuut ja prosessit on kerran selkeästi määritelty, säästyy paljolta päänvaivalta pulmatilanteissa.
”Kun asiat ajatellaan läpi etukäteen, voi olla levollisemmin mielin ja tietää miten toimia, jos esimerkiksi vanhemmat kysyvät lisätietoa henkilötietojen käsittelystä.”
Kirjoittaja
Petja Partanen