Jos harrastustoiminnan järjestäjä ei huolehdi tarpeettomien henkilötietojen poistamisesta, riskinä on, että tietoja säilytetään useita vuosia ilman lainmukaista käsittelyperustetta. Tällöin myös esimerkiksi tietovuodon sattuessa henkilötietoja saattaa päätyä ulkopuolisille enemmän kuin silloin, jos henkilötiedot olisi poistettu asianmukaisesti, kun niitä ei enää tarvita. Harrastustoiminnan järjestäjän, kuten urheiluseuran, tulee tunnistaa, kuinka kauan erilaisia henkilötietoja on säilytettävä ja määrittää prosessi tietojen poistamiselle.
Miten henkilötietojen säilytysaika määritetään?
Joillekin henkilötiedoille on määritelty säilytysaika lainsäädännössä, kuten työsuhteeseen tai kirjanpitoon liittyville tiedoille. Tällöin henkilötietoja säilytetään laissa määritelty aika ja ne poistetaan sen jälkeen.
Kaikentyyppisille henkilötiedoille ei kuitenkaan ole määritelty tarkkaa säilytysaikaa lainsäädännössä. Tällöin rekisterinpitäjän on itse määritettävä, kuinka kauan mitäkin henkilötietoja säilytetään. Henkilötietojen säilytysajan määrittämisessä voi lähteä siitä, että rekisterinpitäjä käy ensin läpi käsittelemänsä eri henkilötiedot ja henkilötietotyypit ja tarkastelee, mihin käyttötarkoitukseen kutakin henkilötietoa missäkin yhteydessä tarvitaan. Tämän jälkeen rekisterinpitäjä voi määritellä kunkin henkilötiedon tai henkilötietotyypin säilytysajan niiden käyttötarkoituksen perusteella.
Säilytysajan määrittämisessä on hyvä huomioida esimerkiksi tilanteet, joissa harrastaja lopettaa harrastustoiminnan. Jotkin tiedot voidaan poistaa heti harrastajan lopettaessa harrastuksessa.
Arkaluonteisten henkilötietojen, kuten terveystietojen säilyttämisessä on huomioitava tiedon arkaluonteisuus, ja tiedon leviämisestä harrastajalle mahdollisesti aiheutuvat riskit. Erityisesti tämä tulee ottaa huomioon, kun kyse on alaikäisen lapsen terveystiedoista. Terveystietoja tulisi säilyttää niin, ettei sivullisilla ole pääsyä tietoihin, eikä tietoja saa luovuttaa laajemmalle joukolle kuin on tarpeellista.
Henkilötietojen säilytysaika määräytyy niiden tarkoituksen perusteella: henkilötietoja säilytetään vain niin kauan kuin se on tarpeellista tiettyyn tarkoitukseen.
Mitä pitäisi huomioida henkilötietojen säilyttämisessä?
Sähköisessä muodossa olevia henkilötietoja säilytetään erilaisissa järjestelmissä, kuten asianhallintajärjestelmissä, toiminnanohjausjärjestelmissä, sovelluksissa ja sähköisissä dokumenteissa. Sähköisessä henkilötietojen säilyttämisessä tulee varmistaa, että tietoihin on pääsy vain sellaisilla henkilöillä, joilla on oikeus käsitellä tietoja esimerkiksi työtehtävässään.
Paperilla olevat henkilötiedot tulee säilyttää sellaisessa paikassa, jossa niihin eivät pääse käsiksi sellaiset henkilöt, joilla ei ole oikeutta käsitellä niitä. Papereiden säilyttämiseen voi käyttää esimerkiksi lukollista kaappia, johon pääsevät vain henkilöt, joilla on oikeus käsitellä tietoja.
Huomioi myös henkilökunnan vaihdokset, jotta henkilöt, jotka eivät enää ole mukana toiminnassa, eivät säilytät tietoja perusteetta esimerkiksi omilla tietokoneillaan ja sähköposteissaan.
Henkilötietojen säilyttämisessä tulee huomioida, että niitä pääsevät käsittelemään vain henkilöt, joilla on oikeus käsitellä tietoja.
Milloin henkilötiedot tulisi poistaa ja miten?
Kun henkilötietojen säilytysaika on päättynyt, tulee henkilötiedot poistaa. Erityyppiset tiedot saatetaan poistaa eri tavoilla ja eri aikoihin riippuen henkilötietojen säilytysajasta.
Tiedot voidaan poistaa automaattisesti tai manuaalisesti riippuen niiden muodosta ja säilytyspaikasta. Huolehdi tietojen poistamisesta kaikista eri paikoista, joissa henkilötietoja käsitellään ja säilytetään: esimerkiksi verkkolevylle tallennetut henkilötiedot poistetaan myös ladatuista tiedostoista sekä sähköpostista. Muista poistaa myös varmuuskopiot.
Paperilla olevat henkilötiedot tulee tuhota asianmukaisesti niin, ettei tarpeettomia henkilötietoja unohdu esimerkiksi kansioihin tai kaappien perälle. Paperit voidaan tuhota esimerkiksi silppurilla tai hävittämällä tietosuojapaperille tarkoitettuun jäteastiaan.
Rekisterinpitäjän vastuulla on, ettei henkilötietoja käsitellä tarpeettoman pitkään ja ohjeistaa tietojen asianmukaisesta poistamisesta niille, jotka käsittelevät henkilötietoja harrastustoiminnassa, kuten valmentajat, ohjaajat, joukkueenjohtajat, rahastonhoitajat, vapaaehtoiset sekä huoltajat. Harrastustoiminnan järjestäjän on hyvä huomioida ohjeistuksen laatimisessa, että harrastustoiminnassa mukana olevien roolit saattavat muuttua nopeastikin.
Poista henkilötiedot, kun niiden säilytysaika on päättynyt. Poista myös varmuuskopiot.
GDPR4CHLDRN-hankkeessa laaditaan työkalupakki tietosuojalainsäädännön soveltamisen tueksi lasten ja nuorten harrastustoimintaa järjestäville yhdistyksille. Hanke tarjoaa tietoa henkilötietojen suojasta ja tietosuojaoikeuksista myös lapsille ja nuorille sekä heidän vanhemmilleen.
Tietosuoja haltuun harrastustoiminnassa
GDPR4CHLDRN-hankkeessa laaditaan työkalupakki tietosuojalainsäädännön soveltamisen tueksi lasten ja nuorten harrastustoimintaa järjestäville yhdistyksille. Hanke tarjoaa tietoa henkilötietojen suojasta ja tietosuojaoikeuksista myös lapsille ja nuorille sekä heidän vanhemmilleen.
- GDPR4CHLDRN on kaksivuotinen, elokuussa 2024 päättyvä hanke.
- Hankekoordinaattorina toimii tietosuojavaltuutetun toimisto, hankekumppaninaan TIEKE Tietoyhteiskunnan kehittämiskeskus ry.
- Hanketta rahoittaa Euroopan unionin Kansalaisuus, tasa-arvo, perusoikeudet ja arvot rahoitusohjelma (Citizens, Equality, Rights and Values programme).
Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.
