Vuosi 2017 on vähintäänkin ollut täynnä GDPR:ään liittyviä tilaisuuksia, artikkeleita, kaikkea! Minun uudenvuodenlupauksiini kuuluu tuon kirjainhirviön ymmärtäminen. Tässä postauksessa kirjoitankin auki omia muistiinpanoja aiheeseen liittyen. Olen lueskellut GDPR asiaa yleisesti, mutta toki tapahtumien järjestämisen näkökulma korostuu.
GDPR (General Data Protection Regulation), eli tietosuoja-asetus tulee sovellettavaksi 25.5.2018 alkaen. Itse tietosuoja-asetus (kaikkia EU maita koskevat vähimmäisvaatimukset) on valmis, mutta kansallinen valmistelu on vielä kesken Suomessa. Asetuksen tarkoituksen on parantaa EU:n kansalaisten yksityisyydesuojaa ja yhdenmukaista EU:n sisällä tietosuojakäytäntöjä.
Eikai tämä meitä koske? Vai koskeeko? Asetus koskettaa kaikkia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja. Olitteppa siis iso pörssiyhtiö tai pieni voittoa tavoittelematon yhdistys tai jotain tältä väliltä, niin kyllä, tämä koskee teitä, kun keräätte ja käsittelette henkilörekisteriä (esim osallistujauettelo, yhdistyksen jäsenrekisteri, asiakasrekisteri jne.).
Otetaampa muutama askel taaksepäin ja kerrataan lyhyesti muutama termi jotka olennaisesti liittyvät käsiteltävään aiheeseen
Henkilötieto:
Kaikki henkilöä yksilöivä kerätty tieto. Esimerkiksi nimi, osoite, verkkotunnistetiedot. Tähän nyt pieni huomio esim. tuuli@eventilla.com on minua yksilöivä tieto, sillä että kyseessä on työsähköposti ei ole tässä kohtaa merkitystä.
Henkilörekisteri:
Joukko henkilötietoja joka on järjestetty kortistoksi, luetteloksi tai vastaavalla tavalla, automaaattisen tietojenkäsittelyn avustuksella tai ilman. Tässä kohtaa on hyvä huomata että henkilörekisteri muodostuu myös, Wordiin, Exceliin tai vaikkapa pöydälläsi olevaan lehtiöön. Haastan sinut miettimään kuinka moneen paikkaan tieto oikeastaan tallentuukaan jos kutsut, muistutat ja otat ilmoittautumiset vastaan esimerksi sähköpostilla.
Rekisterin pitäjä:
Määrittää tarkoituksen, ehdot ja tavat joilla kerättyä henkilötietoa prosessoidaan ja säilytetään. Eventillan tapauksessa meidän asiakkaamme ovat tyypillisesti rekisterin pitäjiä. Muista tutustua rekisterin pitäjän vastuisiin ja velvollisuuksiin! Huomioithan että henkilötietojen käsittely on aina suunniteltava ja dokumentoitava.
Henkilötietojen käsittelijä:
Auttaa rekisterin pitäjää prosessoimalla ja kontrolloimalla dataa rekisterinpitäjän puolesta. Esimerkiksi Eventilla on kaikki GDPR asetukset täyttävä henkilötietojen käsittelijä. Huomaathan että sinulla rekisterin pitäjänä on vastuullasi huolehtia, että myös kaikki yhteistyökumppanisi täyttävät asetuksen vaatimukset.
Rekisteröity:
Rekisterissä oleva tunnistettava luonnollinen henkilö tai tietojen perusteella tunnistettava oleva henkilö.
Rekisteriseloste
Dokumentti, josta käyvät ilmi esimerkiksi rekisterinpitäjän yhteystiedot ja ko. Rekisterissä käsiteltävät tiedot, minne tietoja luovutetaan ja tietojen suojauksen periaatteet. Tutustu asiaan tarkemmin esimerkiksi täällä http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html. Eventillasta löydät paikan rekisteriselosteelle, ja tapahtumaa luodessasi täppäät sen kätevästi luonnolliseksi osaksi tapahtumasivua.
Tietosuojaseloste
Dokumentti joka on laajennettu versio reskisteriselosteessa. Merkittävää on että tietosuojaselosteesa kerrotaan myös rekisteröidyn oikeudet.
No mitä tämä kaikki nyt ihan ihan käytännössä tarkoittaa rekisterinpitäjän (tapahtumanjärjestäjän) kannalta? Ota huomioon ainakin nämä:
- Huomioi osoittamisvelvollisuus, suunnittele ja dokumentoi asiat ennakkoon.
- Pyydä yksiselitteinen suostumus rekisteröitävältä tietojen käytöstä tai katso että toimit muutoin asetuksen mukaisesti.
- Huolehdi että henkilötietojen käsittely ja säilytys on asianmukaista. Valitse yhteistyökumppanit tarkasti. Pyydä meitä kertomaan käytännöistämme ja siitä miten me olemme varautuneet. Muista, että olet vastuussa valinnoistasi.
- Tietojen minimointi. Käytännössä miten olennaista on sukupuolen kysyminen tapahtuman järjestämisen kannalta. Millä perustelet kysymyksen? Saatko kysyä asiaa jolla ei todellisuudessa ole merkitystä. Kysy vain tarvittavat tiedot!
- Teillä on velvollisuus vastata kyselyihin kerätyistä henkilötiedoista. Tiedot on toimitettava tiivistetysti ja helposti luettavassa muodossa (käytännössä sähköisesti), ilman kuluja.
- Velvollisuus tehdä ilmoitus tietosuojarikkomuksesta 72 tunnin sisällä.
Entäpä sitten ne tapahtumaan osallistuvan (rekisteröidyn) oikeudet:
- Voit pyytää rekisterinpitäjältä tiedot omista henkilötiedoistasi ja siitä miten tietojasi säilytetään.
- Sinulla on oikeus saada tiedot ilman kuluja ja selkeästi luettavassa muodossa, ripeästi.
- Voit pyytää rekisterinpitäjää korjaamaan tietojasi
- Sinulla on oikeus pyytää tietojen siirtoa
- Oikeuksiisi kuuluu myös mahdollisuus tulla unohdetuksi (Jos ei ole ristiriitaa muiden lakien kanssa esim. kirjanpitolaki)
Postauksen alussa puhuin uudenvuodenlupauksesta, GDPR:stä ja kirjainhirviöstä. Haluan hieman korjata tätä. Ensinnäkään en halua enää puhua kirjainhirviöstä. Minun omat oikeuteni ovat jatkossa entistä kattavammin turvattuja. EU:n alueella on jatkossa yhteisesti sovitut pelisäännöt ja kaikki organisaatiot joutuvat panostamaan tietoturva-asioihinsa. Ylpeänä olen itse mukana tekemässä töitä yrityksessä, jossa me voimme jo nyt sanoa täyttävämme suurimman osan asetuksen vaatimuksista. Loppuihin teemme tarvittavat toimenpiteet toukokuuhun mennessä. Se on meidän asiakaslupauksemme Eventilllalla.
Mitä tulee siihen minun uudenvuodenlupaukseeni; Se on ymmärtää tietosuoja-asetusta ja nähdä myös sen tarjoamat mahdollisuudet. Toivon että voin myös että voin olla mukana auttamassa mahdollisimman monen tapahtumanjärjestäjän arkea vuonna 2018.
Toivotan kaikille teille erinomaista vuotta 2018!