Siirry sisältöön
Tietosuoja haltuun harrastustoiminnassa -hankkeen logo, jossa on tietosuojalainsäädäntöön ja lapsiin liittyvä kirjainlyhenne GDPR4CHLDRN. Tietosuoja haltuun harrastustoiminnassa -hankkeen logo, jossa on tietosuojalainsäädäntöön ja lapsiin liittyvä kirjainlyhenne GDPR4CHLDRN.
Haku
  • Suomi
    • Suomi
    • Svenska
    • English
  • Etusivu
  • Ohjeistavat materiaalit
    • Yhdistyksen hallitus
    • Valmentajat ja ohjaajat
    • Vanhemmat
    • Lapset ja nuoret
  • Materiaalipankki
    • Termipankki
    • Osaamistestit
    • Ladattavat materiaalit
    • Tietosuojaa selventävät kuvakkeet
    • Artikkelit
  • Tietoa sivustosta
  • Suomi
    • Suomi
    • Svenska
    • English
  • Etusivu
  • Ohjeistavat materiaalit
    • Yhdistyksen hallitus
    • Valmentajat ja ohjaajat
    • Vanhemmat
    • Lapset ja nuoret
  • Materiaalipankki
    • Termipankki
    • Osaamistestit
    • Ladattavat materiaalit
    • Tietosuojaa selventävät kuvakkeet
    • Artikkelit
  • Tietoa sivustosta
Haku
  1. Etusivu
  2. Yhdistyksen hallitus
  3. Mitä velvoitteita harrastustoimijalle kuuluu henkilötietojen käsittelyssä?
  4. 5. Ilmoita henkilötietojen tietoturvaloukkauksesta
Skip to page content

Yhdistyksen hallitus

  • Aloitussivu
  • Miksi henkilötietojen suoja on tärkeää?
    • 1. Tietosuoja on jokaisen perusoikeus
    • 2. Arkaluonteisia henkilötietoja on suojattava erityisen huolellisesti
    • 3. Henkilötunnusta saa käsitellä vain tarvittaessa
  • Mitä rooleja henkilötietojen käsittelyyn kuuluu?
    • 1. Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä
    • 2. Henkilötietojen käsittelijä toimii rekisterinpitäjän lukuun
  • Mitä periaatteita henkilötietojen käsittelyssä tulee noudattaa?
    • 1. Huomioi tietosuoja alusta lähtien ja kaikissa tilanteissa
    • 2. Henkilötietojen käsittelylle tarvitaan peruste
      • 2.1 Käsittelyperusteet
      • 2.2. Suostumus vaatii harrastajalta tahdonilmaisun
      • 2.3. Suostumus alaikäiseltä
    • 3. Käytä henkilötietoja vain suunniteltuihin tarkoituksiin
    • 4. Kerro henkilötietojen käsittelystä läpinäkyvästi
    • 5. Käsittele vain tarpeellisia henkilötietoja
    • 6. Käsittele vain paikkansapitäviä henkilötietoja ja oikaise virheelliset tiedot
    • 7. Huolehdi henkilötietojen käsittelyn turvallisuudesta 
    • 8. Määrittele henkilötietojen säilytysajat ja poista tarpeettomat tiedot
      • 8.1 Säilytysaika
      • 8.2 Säilytyspaikka
      • 8.3 Poistaminen
    • 9. Osoita noudattavasi tietosuojalainsäädäntöä
  • Mitä velvoitteita harrastustoimijalle kuuluu henkilötietojen käsittelyssä?
    • 1. Toteuta harrastajan erilaiset tietosuojaoikeudet
    • 2. Kuvaa harrastustoiminnan järjestäjän tekemää henkilötietojen käsittelyä selosteella käsittelytoimista
    • 3. Sovi henkilötietojen käsittelystä
    • 4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset
    • 5. Ilmoita henkilötietojen tietoturvaloukkauksesta
    • 6. Siirrä henkilötietoja EU:n ulkopuolelle vain, jos edellytykset täyttyvät
    • 7. Ohjeista ja kouluta harrastustoiminnassa mukana olevia tietosuojasta
    • 8. Hallitse henkilötietojen elinkaari suunnittelusta keräämiseen, säilytykseen ja poistamiseen
  • Mitä on hyvä huomioida valokuvien ja videoiden julkaisemisessa?
  • Mitä on hyvä huomioida terveystietojen käsittelyssä harrastustoiminnassa?
  • Mitä on hyvä huomioida henkilötietojen luovuttamisessa harrastustoiminnassa?
  • Liite 1: Suostumuslomake - Mallipohja
  • Liite 2: Sarjakuvat tietosuojasta informointiin

5. Ilmoita henkilötietojen tietoturvaloukkauksesta

Kuvakkeessa on suljettu riippulukko, jonka keskellä on henkilöä kuvaava symboli. Riippulukon sanka on katkennut. Kuvakkeen ympärillä on vaaleanvihreä kehys. Kuvaketta voidaan käyttää kuvaamaan sitä, että tilanteessa on kyse henkilötietojen tietoturvaloukkauksesta.

Henkilötietojen tietoturvaloukkaus tapahtuu ajan myötä melkein jokaiselle, joka käsittelee henkilötietoja. Tämän vuoksi on tärkeää, että harrastustoiminnan järjestäjä on laatinut prosessin henkilötietojen tietoturvaloukkausten käsittelyyn. Sen on varmistettava, että kaikki henkilötietojen käsittelyyn osallistuvat osaavat tunnistaa tietoturvaloukkaustilanteet ja toimia niissä sovitusti. Tietoturvaloukkauksesta pitää tietyissä tilanteissa ilmoittaa tietosuojavaltuutetun toimistolle ja kohteeksi joutuneille henkilöille.

Mikä on henkilötietojen tietoturvaloukkaus?

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi

  • hävinnyt tiedonsiirtoväline, kuten USB-tikku
  • varastettu tietokone
  • hakkerointi tai kyberhyökkäys
  • haittaohjelmatartunta
  • laskun postitus väärälle henkilölle
  • henkilötietojen katselu oikeudetta

Henkilötietojen tietoturvaloukkauksesta voi seurata esimerkiksi identiteettivarkaus tai petos, maineen vahingoittuminen tai salassa pidettävien henkilötietojen paljastuminen.

Tärkeintä on, että henkilötietojen tietoturvaloukkauksen havaitsemisen jälkeen saadaan mahdollisimman nopeasti käynnistettyä toimenpiteet, joilla vahinkoa voidaan rajoittaa. Harrastustoiminnan järjestäjän kannattaa laatia prosessi henkilötietojen tietoturvaloukkausten käsittelyyn ja nimetä etukäteen henkilö (esimerkiksi tietosuojavastaava), jonka vastuulla loukkausten selvittäminen ja dokumentointi on.

Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle?

Jos henkilötietojen tietoturvaloukkauksesta aiheutuu riski rekisteröidyille, siitä on ilmoitettava tietosuojavaltuutetun toimistolle 72 tunnin kuluessa sen ilmitulosta. Ilmoituksen voi laatia tietosuojavaltuutetun toimiston ilmoituslomakkeella verkkosivujen kautta.

Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa loukkauksen kohteena olevalle henkilölle?

Jos henkilötietojen tietoturvaloukkauksesta aiheutuu korkea riski rekisteröidyille, siitä on ilmoitettava myös loukkauksen kohteeksi joutuneelle, jotta tämä voi tehdä tarvittavia varotoimia ja varautua riskeihin, joita tietoturvaloukkaus hänelle aiheuttaa.

Tietyissä poikkeuksellisissa tilanteissa rekisterinpitäjän ei tarvitse ilmoittaa rekisteröidyille henkilötietojen tietoturvaloukkauksesta:

  • rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
  • rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
  • se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat.

Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.

Jos rekisterinpitäjä ei ole ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä.

Rekisterinpitäjällä on velvollisuus dokumentoida kaikki henkilötietojen tietoturvaloukkaukset, niiden vaikutukset sekä tehdyt korjaavat toimet. Tämä tarkoittaa sitä, että tietoturvaloukkaustilanteessa tulisi säilyttää esimerkiksi asiaan liittyvät sähköpostit ja muu yhteydenpito, ottaa talteen järjestelmän lokitiedot tapahtuman ajalta sekä kirjata ylös kaikki toimenpiteet ja henkilöt, joiden kanssa asiaa on hoidettu. On rekisterinpitäjän velvoite itse arvioida henkilötietojen tietoturvaloukkauksesta aiheutuvat seuraukset ja se, tuleeko tapahtuneesta ilmoittaa valvontaviranomaiselle ja rekisteröidylle.

Lue lisää: Tietoturvaloukkaukset |Tietosuojavaltuutetun toimisto.

Esimerkki

Tennisvalmentajat pitivät kuukausittaisen kokouksensa tennishallin kahviossa. Kahviossa ei ollut kokouksen aikana muita henkilöitä, mutta yhdeltä valmentajalta oli jäänyt epähuomiossa pelaajien terveystietoja sisältävä paperi kahvion pöydälle kokouksen päätyttyä. Kahviossa seuraavana päivänä tennisvuoronsa jälkeen istuskellut porukka löysi paperilapun ja vei sen kahvion myyjälle. Kahvion myyjä kertoi tapahtuneesta tennisseuran puheenjohtajalle.

Tennisseura arvioi, että rekisteröidyille eli pelaajille saattaa aiheutua tapahtuneesta korkea riski, koska kahvion pöydälle jäänyt paperi sisälsi pelaajien terveystietoja, eikä tennisseura tiedä, kuinka moni on voinut nähdä lapun. Tennisseura ilmoitti tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja henkilöille, joiden tietoja paperi sisälsi.

Mitä tietoja valvontaviranomaiselle tulee antaa tietoturvaloukkauksesta?

Valvontaviranomaiselle tehtävän tietoturvaloukkausilmoituksen tulee sisältää vähintään seuraavat seikat:

  1. kuvattava tapahtunut henkilötietojen tietoturvaloukkaus, mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
  2. tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  4. kuvattava toimenpiteet, joita rekisterinpitäjä on toteuttanut tapahtuneen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutuksien lieventämiseksi.

Jos edellä mainittuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

Mitä tietoja rekisteröidyille tulee antaa tietoturvaloukkauksesta?

Loukkauksen kohteeksi joutuneelle henkilölle ilmoitetaan tapahtuneesta yksinkertaisella ja selkeällä kielellä seuraavat seikat:

  1. mitä on tapahtunut
  2. mitkä ovat tietoturvaloukkauksen todennäköiset seuraukset henkilöille
  3. mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt tietoturvaloukkauksen vuoksi ja mitä toimenpiteitä se on tehnyt mahdollisten haittavaikutusten lieventämiseksi
  4. tietosuojavastaavan yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa.

Muista

Havaitse henkilötietojen tietoturvaloukkaukset, arvioi niistä aiheutuvat riskit rekisteröidyille ja tee tarvittaessa ilmoitukset valvontaviranomaiselle ja kohteeksi joutuneille henkilöille. Dokumentoi tapahtunut ja loukkauksen käsittelyn vaiheet.

4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset
6. Siirrä henkilötietoja EU:n ulkopuolelle vain, jos edellytykset täyttyvät
Tietosuojavaltuutetun toimiston logo
TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n logo

Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.

Tietoa sivustosta

Sivustolle on koottu ohjeistavia materiaaleja, jotka tarjoavat lisätietoa henkilötietojen suojasta ja tietosuojalainsäädännöstä erityisesti 13–17-vuotiaille lapsille ja nuorille, lasten ja nuorten vanhemmille sekä harrastustoimintaa järjestäville yhdistyksille. Sivusto on toteutettu osana tietosuojavaltuutetun toimiston ja TIEKEn GDPR4CHLDRN-hanketta (2022–2024).

Palautetta sivustosta voi antaa sähköpostilla osoitteeseen tietosuoja@om.fi . Viestikentässä on mainittava tietosuojaharrastuksissa.fi, jotta palaute ohjautuu oikeaan osoitteeseen.

  • Tietosuoja sivustolla
  • Saavutettavuusseloste 
Ohjeistavat materiaalit
  • Yhdistyksen hallitus
  • Valmentajat ja ohjaajat
  • Vanhemmat
  • Lapset ja nuoret

© 2024 Tietosuojavaltuutetun toimisto ja TIEKE. Sivustolla käytetään ilmaisia Font Awesome ikoneita. Ikoneita ei ole muutettu. Lisenssi: CC BY 4.0

Touched by Hutcode