Siirry sisältöön
Tietosuoja haltuun harrastustoiminnassa -hankkeen logo, jossa on tietosuojalainsäädäntöön ja lapsiin liittyvä kirjainlyhenne GDPR4CHLDRN. Tietosuoja haltuun harrastustoiminnassa -hankkeen logo, jossa on tietosuojalainsäädäntöön ja lapsiin liittyvä kirjainlyhenne GDPR4CHLDRN.
Haku
  • Suomi
    • Suomi
    • Svenska
    • English
  • Etusivu
  • Ohjeistavat materiaalit
    • Yhdistyksen hallitus
    • Valmentajat ja ohjaajat
    • Vanhemmat
    • Lapset ja nuoret
  • Materiaalipankki
    • Termipankki
    • Osaamistestit
    • Ladattavat materiaalit
    • Tietosuojaa selventävät kuvakkeet
    • Artikkelit
  • Tietoa sivustosta
  • Suomi
    • Suomi
    • Svenska
    • English
  • Etusivu
  • Ohjeistavat materiaalit
    • Yhdistyksen hallitus
    • Valmentajat ja ohjaajat
    • Vanhemmat
    • Lapset ja nuoret
  • Materiaalipankki
    • Termipankki
    • Osaamistestit
    • Ladattavat materiaalit
    • Tietosuojaa selventävät kuvakkeet
    • Artikkelit
  • Tietoa sivustosta
Haku
  1. Etusivu
  2. Yhdistyksen hallitus
  3. Mitä velvoitteita harrastustoimijalle kuuluu henkilötietojen käsittelyssä?
  4. 4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset
Skip to page content

Yhdistyksen hallitus

  • Aloitussivu
  • Miksi henkilötietojen suoja on tärkeää?
    • 1. Tietosuoja on jokaisen perusoikeus
    • 2. Arkaluonteisia henkilötietoja on suojattava erityisen huolellisesti
    • 3. Henkilötunnusta saa käsitellä vain tarvittaessa
  • Mitä rooleja henkilötietojen käsittelyyn kuuluu?
    • 1. Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä
    • 2. Henkilötietojen käsittelijä toimii rekisterinpitäjän lukuun
  • Mitä periaatteita henkilötietojen käsittelyssä tulee noudattaa?
    • 1. Huomioi tietosuoja alusta lähtien ja kaikissa tilanteissa
    • 2. Henkilötietojen käsittelylle tarvitaan peruste
      • 2.1 Käsittelyperusteet
      • 2.2. Suostumus vaatii harrastajalta tahdonilmaisun
      • 2.3. Suostumus alaikäiseltä
    • 3. Käytä henkilötietoja vain suunniteltuihin tarkoituksiin
    • 4. Kerro henkilötietojen käsittelystä läpinäkyvästi
    • 5. Käsittele vain tarpeellisia henkilötietoja
    • 6. Käsittele vain paikkansapitäviä henkilötietoja ja oikaise virheelliset tiedot
    • 7. Huolehdi henkilötietojen käsittelyn turvallisuudesta 
    • 8. Määrittele henkilötietojen säilytysajat ja poista tarpeettomat tiedot
      • 8.1 Säilytysaika
      • 8.2 Säilytyspaikka
      • 8.3 Poistaminen
    • 9. Osoita noudattavasi tietosuojalainsäädäntöä
  • Mitä velvoitteita harrastustoimijalle kuuluu henkilötietojen käsittelyssä?
    • 1. Toteuta harrastajan erilaiset tietosuojaoikeudet
    • 2. Kuvaa harrastustoiminnan järjestäjän tekemää henkilötietojen käsittelyä selosteella käsittelytoimista
    • 3. Sovi henkilötietojen käsittelystä
    • 4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset
    • 5. Ilmoita henkilötietojen tietoturvaloukkauksesta
    • 6. Siirrä henkilötietoja EU:n ulkopuolelle vain, jos edellytykset täyttyvät
    • 7. Ohjeista ja kouluta harrastustoiminnassa mukana olevia tietosuojasta
    • 8. Hallitse henkilötietojen elinkaari suunnittelusta keräämiseen, säilytykseen ja poistamiseen
  • Mitä on hyvä huomioida valokuvien ja videoiden julkaisemisessa?
  • Mitä on hyvä huomioida terveystietojen käsittelyssä harrastustoiminnassa?
  • Mitä on hyvä huomioida henkilötietojen luovuttamisessa harrastustoiminnassa?
  • Liite 1: Suostumuslomake - Mallipohja
  • Liite 2: Sarjakuvat tietosuojasta informointiin

4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset

Harrastustoiminnan järjestäjän on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina, ennen kuin se ryhtyy käsittelemään henkilötietoja. Kun henkilötietojen käsittelyyn todennäköisesti liittyy korkea riski henkilöille, joiden tietoja käsitellään, on tehtävä tietosuojan vaikutustenarviointi. Tietosuojan vaikutustenarviointi auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

Vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä silloin, kun suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Se on tarkoitettu jatkuvaksi riskien tunnistamisen ja hallitsemisen prosessiksi. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.

Tarvittavat suojatoimenpiteet on suhteutettava henkilötietojen käsittelystä aiheutuvaan riskiin: mitä korkeampi käsittelyyn liittyvä riski on, sitä tehokkaampaa suojausta tarvitaan. Riski voi olla korkea, kun käsitellään esimerkiksi erityisiin henkilötietoryhmiin kuuluvia tietoja, lasten tietoja tai laajaa joukkoa koskevaa ja suurta määrää henkilötietoja.

Mitä tarkoitetaan riskillä?

Yleisessä tietosuoja-asetuksessa riskillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.

Riskin tasoa arvioidaan henkilötietojen käsittelyn luonteen, laajuuden, toistumisen, asiayhteyden ja tarkoitusten perusteella. Mitä laajamittaisempaa ja säännöllisempää käsittely on ja mitä arkaluonteisimmista henkilötiedoista on kyse, sitä korkeampi riski rekisteröidyille voi aiheutua. Jos yhdistys käsittelee laajamittaisesti arkaluontoisia tai erityisiin henkilötietoryhmiin sisältyviä tietoja, sen tulee laatia käsittelystä tietosuojan vaikutustenarviointi. Esimerkiksi harrastajien terveystietojen käsittelyä voi vaatia vaikutustenarvioinnin tekemisen.

Tietosuojavaltuutetun toimisto on laatinut ohjeen rekisterinpitäjien tueksi tietosuojan vaikutustenarvioinnin tekemistä varten ja yksinkertaisen Excel-kirjaamistyökalun, jota voi halutessaan käyttää vaikutustenarvioinnin tekemiseen.

Lue lisää: Vaikutustenarviointi | Tietosuojavaltuutetun toimisto

Milloin tietosuojan vaikutustenarviointi tulee laatia?

Tietosuojan vaikutustenarviointi tulee laatia, kun suunniteltu henkilötietojen käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Tällainen tilanne on käsillä esimerkiksi silloin, kun henkilötietojen käsittelyssä käytetään uutta teknologiaa, erityisiä henkilötietoja käsitellään laajamittaisesti ja kun käsitellään haavoittuvassa asemassa olevien (esim. lapset, työntekijät, ikääntyneet) henkilötietoja.

Muista

Tunnista ja arvioi henkilötietojen käsittelystä rekisteröidyille aiheutuvat riskit. Laadi tietosuojan vaikutustenarviointi, kun riski on korkea.

3. Sovi henkilötietojen käsittelystä
5. Ilmoita henkilötietojen tietoturvaloukkauksesta
Tietosuojavaltuutetun toimiston logo
TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n logo

Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.

Tietoa sivustosta

Sivustolle on koottu ohjeistavia materiaaleja, jotka tarjoavat lisätietoa henkilötietojen suojasta ja tietosuojalainsäädännöstä erityisesti 13–17-vuotiaille lapsille ja nuorille, lasten ja nuorten vanhemmille sekä harrastustoimintaa järjestäville yhdistyksille. Sivusto on toteutettu osana tietosuojavaltuutetun toimiston ja TIEKEn GDPR4CHLDRN-hanketta (2022–2024).

Palautetta sivustosta voi antaa sähköpostilla osoitteeseen tietosuoja@om.fi . Viestikentässä on mainittava tietosuojaharrastuksissa.fi, jotta palaute ohjautuu oikeaan osoitteeseen.

  • Tietosuoja sivustolla
  • Saavutettavuusseloste 
Ohjeistavat materiaalit
  • Yhdistyksen hallitus
  • Valmentajat ja ohjaajat
  • Vanhemmat
  • Lapset ja nuoret

© 2024 Tietosuojavaltuutetun toimisto ja TIEKE. Sivustolla käytetään ilmaisia Font Awesome ikoneita. Ikoneita ei ole muutettu. Lisenssi: CC BY 4.0

Touched by Hutcode