Siirry sisältöön
Skip to page content

8. Hallitse henkilötietojen elinkaari suunnittelusta keräämiseen, säilytykseen ja poistamiseen

Henkilötietojen käsittelyn elinkaari alkaa henkilötietojen käsittelyn suunnittelusta ja päättyy henkilötietojen poistamiseen tai arkistointiin. Tietosuoja-asiat tulee ottaa huomioon elinkaaren jokaisessa vaiheessa.

Kun henkilötietojen käsittelyä suunnitellaan, määritellään ensin henkilötietojen käsittelyn oikeusperuste ja käyttötarkoitus. Samalla otetaan huomioon henkilötietojen käsittelyn periaatteet, rekisteröidyn informointi ja oikeuksien toteuttaminen, henkilötietojen suojaustoimenpiteet sekä laaditaan riskiarviointi ja tietosuojadokumentointi, kuten seloste käsittelytoimista ja sopimus henkilötietojen käsittelystä. Lisäksi määritellään tietojen käsittelyyn liittyvät roolit ja vastuut.

Kun henkilötietoja kerätään, tulee huomioida henkilötietojen minimointi sekä täsmällisyys. Henkilötietojen käytössä on tärkeää ottaa huomioon ainakin käyttötarkoitussidonnaisuus, käyttöoikeushallinta sekä tietojen luovuttamiseen liittyvät vaatimukset.

Henkilötietojen säilytyksessä on kiinnitettävä huomiota säilytyspaikkaan ja tarvittaviin teknisiin suojaustoimenpiteisiin. Kun henkilötietojen säilytysaika on päättynyt, henkilötiedot tulee poistaa turvallisesti ja säilytysaikoja noudattaen.

Harrastustoiminnassa henkilötietojen käsittelyyn voi olla hyödyllistä määritellä prosessit esimerkiksi näihin tilanteisiin:

  • rekisteröityjen oikeuksien toteuttaminen
  • tietoturvaloukkausten havaitseminen ja ilmoittaminen niistä valvontaviranomaiselle ja rekisteröidyille
  • uusien hankintojen tekemisen yhteydessä tietosuojan vaikutustenarviointi ja henkilötietojen käsittelystä sopiminen
  • henkilötietojen kerääminen: mitä tietoja kerätään, kuka kerää, missä säilytetään ja miten ja milloin poistetaan
  • henkilötietojen poistaminen, kun henkilö lopettaa harrastustoiminnassa: mitä eri tahojen (valmentajan/ohjaajan, joukkueenjohtajan, seuran työntekijän) on huomioitava.

Esimerkki

Voimisteluseura on määritellyt prosessin henkilötietojen poistamiseen voimistelijan lopettaessa. Kun voimistelija ilmoittaa valmentajalle lopettavansa harrastuksessa, valmentaja ilmoittaa voimistelijan lopettamisesta seuran valmennuspäällikölle sekä joukkueen joukkueenjohtajalle. Joukkueenjohtaja ilmoittaa asiasta joukkueen rahastonhoitajalle. Seuran valmennuspäällikkö ilmoittaa asiasta seuran sihteerille.

Valmentaja, joukkueenjohtaja ja rahastonhoitaja poistavat tarvittavat tiedot voimistelijasta seuran antamien ohjeiden mukaisesti esimerkiksi sähköpostistaan ja paperilappusilta. Seuran valmennuspäällikkö ja sihteeri tekevät tarvittavat henkilötietojen poistot seuran toiminnanohjausjärjestelmästä ja ilmoittavat lajiliitolle, että voimistelija on lopettanut seurassa. Jotkut tiedot voimisteluseura joutuu säilyttämään lakisääteisen säilytysajan, eikä niitä voida poistaa heti.

Tietosuojan suppea muistilista harrastustoimijoiden hallituksille

  1. Tunnista harrastustoiminnan järjestäjän oma rooli henkilötietojen käsittelyssä eri yhteyksissä.
  2. Tunnista mitä henkilötietoja harrastustoiminnassa käsitellään, ketkä niitä käsittelevät ja mitkä ovat kunkin tahon roolit henkilötietojen käsittelyssä.
  3. Määrittele henkilötietojen käsittelylle tarkoitus ja käsittele henkilötietoja vain näihin tarkoituksiin. Jos vaihdat käyttötarkoitusta, tulee rekisteröidyille ilmoittaa muutoksesta ennen käsittelyn aloittamista.
  4. Määritä henkilötietojen käsittelyn perusteet henkilötietojen eri käyttötarkoituksissa.
  5. Minimoi harrastustoiminnan yhteydessä käsiteltäviä henkilötietoja. Jos henkilötietoja on pakko käsitellä, mieti tarkasti, mitkä henkilötiedot ovat tarpeellisia mihinkin tarkoitukseen.
  6. Tarkasta säännöllisesti, että harrastajien henkilötiedot ovat oikein ja korjaa väärät tiedot kaikkialta. Pyydä harrastajia ilmoittamaan, jos heidän tietonsa muuttuvat.
  7. Kerro henkilötietojen käsittelystä eri tahoille (mm. harrastajille, työntekijöille, ohjaajille, valmentajille, huoltajille, sidosryhmän edustajille). Huomioi erityisesti lapsille annettavan tiedon ymmärrettävyys.
  8. Rajoita henkilötietojen säilyttäminen minimiin: poista henkilötiedot välittömästi, kun niitä ei enää tarvita. Poista myös varmuuskopiot.
  9. Laadi prosessi rekisteröityjen oikeuksien toteuttamiselle: miten rekisteröidyt ottavat yhteyttä, kuka pyyntöihin vastaa, miten rekisteröity tunnistetaan ja miten tietosuojaoikeudet käytännössä toteutetaan.
  10. Havaitse henkilötietojen tietoturvaloukkaukset, arvioi niistä aiheutuvat riskit rekisteröidyille ja tee tarvittaessa ilmoitus valvontaviranomaiselle ja kohteeksi joutuneille henkilöille. Dokumentoi tapahtunut ja käsittelyn vaiheet.
  11. Laadi seloste henkilötietojen käsittelytoimista harrastustoiminnassa.
  12. Laadi henkilötietojen käsittelysopimukset ulkopuolisten palveluntarjoajien kanssa, kun ne käsittelevät henkilötietoja harrastustoimijan puolesta.
  13. Tunnista ja arvioi henkilötietojen käsittelystä rekisteröidyille aiheutuvat riskit. Laadi tietosuojan vaikutustenarviointi, kun riski on korkea.
  14. Ohjeista harrastustoiminnassa mukana olevia henkilötietojen käsittelystä.
7. Ohjeista ja kouluta harrastustoiminnassa mukana olevia tietosuojasta
Mitä on hyvä huomioida valokuvien ja videoiden julkaisemisessa?