Yhdistykset kyllä tuntevat velvollisuutensa, mutta henkilötietojen käsittelyn käytännöissä riittää kehittämistä. Tämä kävi ilmi, kun GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hanke kartoitti alkukyselyssään nuorten, heidän vanhempiensa sekä harrastusyhdistysten näkemyksiä tietosuojasta.
”Harrastusyhdistyksillä on arkensa keskellä tietosuojasta huolehtimisen lisäksi paljon muitakin hallinnollisia asioita. Silloin voi tuntua siltä, että resurssit eivät riitä kaikkeen”, kertoo TIEKEn Mikko Eloholma.
Tietosuojavaltuutetun toimiston ja TIEKEN kaksivuotinen hanke onkin laatimassa seuroille ja yhdistyksille käytännönläheistä työkalupakkia, joka tukee tietosuojalainsäädännön soveltamista ja noudattamista harrastustoiminnan arjessa. EU:n vuonna 2018 sovellettavaksi tullut yleinen tietosuoja-asetus määrittää pelisäännöt siihen, miten henkilötietoja on ylipäätänsä mahdollista käsitellä. Lainsäädännön mukaan lasten henkilötietojen käsittelyyn on kiinnitettävä erityistä huomiota.
Myös valokuvat ja videot voivat olla henkilötietoa
Yhdistykset käsittelevät henkilötietoja usein huomaamattaan.
”Alkukyselymme perusteella esimerkiksi lasten ja nuorten valokuvien ja videoiden julkaisu herättää paljon kysymyksiä. Myös valokuvat ja videot, joista henkilö on tunnistettavissa, ovat henkilötietoja, jota tietosuojalainsäädäntö koskee. Lapsilla ja heidän vanhemmillaan saattaa myös olla eri käsitykset omasta yksityisyydestään kuin seuran vetäjillä”, Eloholma pohtii.
Kyselyssä yhdeksi huolenaiheeksi nousivat tiedot lasten ja nuorten allergioista ja terveydestä.
”Ne ovat tärkeitä vaikkapa turnausmatkoilla. Asianmukaisilla henkilöillä pitäisi olla tiedot käytössään lasten turvallisuuden näkökulmasta.”
Ei kuitenkaan ole tietosuojalainsäädännön mukaista, että kaikilla yhdistyksen toimijoilla olisi pääsyä allergiatietoihin, jotka sisältyvät erityisiin henkilötietoryhmiin. Rekisterinpitäjänä yhdistys on velvollinen määrittelemään, miten sen hallussa olevia henkilötietoja käsitellään ja arvioimaan esimerkiksi keiden sen alaisuudessa toimivien henkilöiden tehtävien hoidon kannalta on tarpeen käsitellä jäsenten henkilötietoja ja missä laajuudessa.
Jo osallistujan nimellä tehty ilmoittautuminen harjoituksiin on henkilötietoa, muistuttaa Eloholma.
”Se voi tuntua pieneltä asialta, mutta laki takaa kaikille oikeuden omien henkilötietojensa suojaan. Lähtökohta on se, että henkilötietojen käsittelylle pitää aina olla lainmukainen peruste, kuten suostumus.”
Pienestä asiasta voi tulla suuri asia etenkin tilanteissa, joissa on voimassa oleva lähestymiskielto tai henkilöllä on voimassa oleva turvakielto. Yhdistystoiminnan järjestäjällä ei useinkaan ole tietoja edellä mainituista, jolloin auttaa, kun muistetaan tietosuojan asettamat vaatimukset aina, kun henkilötietoja käsitellään.
Yhdistyksille suunnatulla oppaalla eteenpäin
Mikä on Eloholman neuvo yhdistyksen vastuuhenkilölle, jota henkilötietojen käsittely mietityttää?
”Ensimmäinen askel olisi perehtyä yhdistyksen velvollisuuksiin, ja tähän tarkoitukseen esimerkiksi tietosuojavaltuutetun toimiston 10-sivuinen ohje on hyvä lähtökohta. Yhdistyksen nykytilanteen ymmärtämiseksi kannattaa istua alas ja oppaan pohjalta selvittää mitä henkilötietoja me käsittelemme, miksi ja missä järjestelmissä tiedot ovat.”
Kun henkilötietojen käsittelyn vastuut ja prosessit on kerran selkeästi määritelty, säästyy paljolta päänvaivalta pulmatilanteissa.
”Kun asiat ajatellaan läpi etukäteen, voi olla levollisemmin mielin ja tietää miten toimia, jos esimerkiksi vanhemmat kysyvät lisätietoa henkilötietojen käsittelystä.”
Erityisten henkilötietoryhmien käsittely
Allergiatiedot ovat terveystietoja, jotka tietosuojalainsäädännössä luokitellaan erityisiksi henkilötietoryhmiksi. Erityisiä henkilötietoryhmiä on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille.
Erityisiä henkilötietoryhmiä voi käsitellä suoraan tietosuoja-asetuksen perusteella esimerkiksi silloin, jos rekisteröity on antanut nimenomaisen suostumuksen kyseisten henkilötietojen käsittelyyn.
Tietosuoja haltuun harrastustoiminnassa
GDPR4CHLDRN-hanke tarjoaa lapsille ja nuorille sekä heidän vanhemmilleen tietoa henkilötietojen suojasta ja tietosuojaoikeuksista. Hankkeessa kehitetään heille suunnattuja materiaaleja ja tietosuojaan liittyviä käsitteitä selventäviä kuvakkeita. Lisäksi lasten ja nuorten harrastustoimintaa järjestäville seuroille ja yhdistyksille laaditaan työkalupakki tietosuojalainsäädännön soveltamisen ja noudattamisen tueksi.
- GDPR4CHLDRN on kaksivuotinen, elokuussa 2024 päättyvä hanke.
- Hankekoordinaattorina toimii tietosuojavaltuutetun toimisto, hankekumppaninaan TIEKE Tietoyhteiskunnan kehittämiskeskus ry.
- Hanketta rahoittaa Euroopan unionin Kansalaisuus, tasa-arvo, perusoikeudet ja arvot rahoitusohjelma (Citizens, Equality, Rights and Values programme).
Euroopan unionin rahoittama. Tämän julkaisun sisältö edustaa vain kirjoittajien näkemyksiä ja he ovat niistä yksin vastuussa. Euroopan unioni tai Euroopan komissio eivät ole vastuussa tämän julkaisun sisällöstä.
