Tietosuojasta teoriassa ja käytännössä

Jokainen yhdistys joutuu ylläpitämään jäsenrekisteriä. Laki vaatii keräämään jäseniltä vähintään koko nimen ja kotipaikan. Yleensä kerätään lisäksi ainakin yhteystietoja (osoite, sähköposti, puhelin), joka on perusteltua yhteyden pitämiseksi, jäsentiedotteiden ja kokouskutsujen lähettämiseksi. Tämä on selvää erityisesti, jos tiedot kerätään jäseniltä itseltään. Syntymäaika, sukupuoli, ammatti, siviilisääty, harrastukset ja muut lisätiedot vaativat keräämistä varten tosiasiallisen syyn. Kaikkien tietojen kohdalla keräämisen tarpeellisuus on pystyttävä perustelemaan. Tällainen syy voi olla jäsenetujen liittyminen johonkin tietoon. Syntymäajalla voi olla merkitystä, jos jäsenillä on ikään liittyviä oikeuksia. Pääsääntöisesti etujen tulisi kuitenkin koskea jokaista jäsentä. Henkilötunnusta ei tavallisella yhdistyksellä ole yleensä syytä lainkaan kerätä.

Henkilörekisteriä ja henkilötietojen käsittelyä koskee EU:n tietosuoja-asetus (GDPR)  ja Tietosuojalaki (1050/2018). Lainsäädäntö on tehty huomioiden yritysten, viranomaisten ja vastaavien toimijoiden laajat tarpeet monipuoliseen tietojenkäsittelyyn, mutta yhtä lailla laki koskee myös pieniä yhdistyksiä.
GDPR:n voimaantulon yhteydessä liikkui paljon väärää tietoa. Yhdistykset kauhistelivat, saako vuosikokousta varten kysyä osallistujien allergioita. Toki kysyä saa ja vastaaminen on vapaaehtoista. Tässä tapauksessa annettuja lisätietoja ei saa kuitenkaan käyttää muutoin kuin vuosikokouksen järjestelyissä eikä säilyttää sen jälkeen. Tietosuojan suhteen tehtiin myös paljon tarpeettomia toimenpiteitä, joista osa vain kopioimalla olemassa olevia ratkaisuja sen paremmin pohtimatta mikä soveltuu juuri tähän tapaukseen.

Rekisteriselosteen vaati kumottu Henkilötietolaki (523/1999). Rekisteriseloste oli tekninen kuvaus rekisteristä ja sen sisällöstä. Tietosuojaseloste on rekisteriselostetta laajempi esitys, joka kuvaa miksi tietoja kerätään ja miten niitä käsitellään. Tietosuoja-asetus vaadi sen paremmin rekisteriselostetta kuin tietosuojaselostettakaan, mutta edellyttää, että rekisteröityjä on informoitava henkilötietojen käsittelystä. Informoiminen hoituu kätevästi tietosuojaselosteen avulla. Kuitenkin jo tietoja kerättäessä on tavalla tai toisella selvitettävä, kuka, mitä ja miksi kysyy, kuinka tiedot voi tarkistaa, virheet korjata ja miten tiedot saa kokonaan poistettua.

Henkilötietolaki kumottiin 2019 alusta, jolloin tuli voimaan Tietosuojalaki. Tietosuojalaki määrää esimerkiksi vaitiolovelvollisuuden, joka koskee kaikenlaista tietojen hyödyntämistä, ei pelkästään puhumista. Esimerkiksi sukututkimuksessa ei saa hyödyntää jäsenrekistereitä tai rekistereihin liittyvissä toimissaan muuten saamiaan tietoja.

Monet yhdistykset esittävät Tietosuojaselosteessaan, että tietoja ei luovuteta EU -alueen ulkopuolelle eli tietosuoja-asetusten ulottumattomiin. Sama yhdistys lähettää rekisteristä tietoja tai kokonaisia rekisterin kopioita ilmaissähköposteilla (esim. gmail, hotmail, outlook, google docs), joiden palvelimet ovat tämän alueen ulkopuolella. Näin toiminta on epäilyttävästi itse tehtyjen sääntöjen vastaista. Tietoja EU:n ulkopuolelle saa luovuttaa vain, jos siihen on laillinen syy sekä siirrosta on informoitu rekisteröityjä. Ylipäätään tietojen lähettäminen salaamattomana sähköpostilla on sama kuin lähettäisi tietoja postikortilla. Henkilötietojan kohdalla on oltava erityisen huolellinen myös, että tiedot ovat oikein ja vastaanottaja on oikea.

Vaihtoehtoja näille ”lainsuojattomille” ja turvaltaan heikoille palveluille on Googlen maksullinen palvelu tai eurooppalainen, tiedon salaamisen mahdollistava sähköpostipalvelu, kuten sveitsiläinen ProtonMail tai saksalainen Tutanota. Paras vaihtoehto on hankkia suomalainen ja Suomessa toimina palvelu sivutila ja sähköposti, esimerkiksi sivutila tai pelkkä sähköposti Domainhotellista.

P.P.T.  (se odotettu uusi bloggaaja)

PS. Tarkoitus on jatkossa kerätä näitä lakiasioita yhteisen otsikon alle valikkoon. Palautetta ja terveisiä saa laittaa tämän suvuston ylläpitäjien kautta.