Ruoho on vihreämpää jäsenkentillä!

Tietosuojalain muutokset edistävät kilpailukykyä

Tietosuojalain muutokset ovat nousseet kiinnostavaksi ja ajankohtaiseksi aiheeksi monilla aloilla. Eija Warma on ollut haluttu asiantuntija, joka on saanut puhujapyyntöjä runsaasti. Jopa niin runsaasti, että on joutunut niitä valikoidusti hyväksymään, jotta ehtii työpaikallakin olla. Suomen Golf-liiton kutsua hän halusi noudattaa, sillä laji on vienyt myös Eijan mukanaan. – Intoa on enemmän kuin taitoa, mutta pelaamalla pääsee hienosti työasioista eroon, hän kuvaa omaa pelaamistaan. Asianajaja Eija Warma on työskennellyt 12 vuotta aiheen parissa Castren&Snellmanilla ja sitä ennen tietosuojavaltuutetun toimistossa.

Tietosuojan sääntely on ison muutoksen kourissa. Vuoden 2018 toukokuun lopulla astuu voimaan euroopanlaajuinen tietosuoja-asetus, joka merkitsee, että jokaisen EU-maan kansalliset lait poistuvat ja meille tulee yksi yhtenäinen ja samansisältöinen sääntely. Syynä muutokseen on sähköisen kaupankäynnin, sähköisten alustojen, tietomassojen ja sähköisten palveluiden nopea yleistyminen, ja uudistus on lainsäätäjän keino helpottaa ja edistää kilpailukykyä sähköisten palveluiden markkinoilla.
– Samaan aikaan sähköisten henkilötietojen määrä on lisääntynyt räjähdysmäisesti ja jokaisella meillä käytössä olevien laitteiden kyky kerätä, analysoida ja hallita tietoja on parantunut. Tietoon liittyvä arvo ja merkitys on nykypäivänä aivan uudella tasolla, kertoo Eija Warma.

Mikä muuttuu?
Kovin moni lainsäädännöllinen asia ei muutu. Tiedot, jotka ovat sääntelyn piirissä ovat yhtenevät ja tietojenkäsittelyn ydin tulee jatkossa olemaan samanlainen. Kovalla ytimellä tarkoitetaan sitä, kuka saa käsitellä henkilötietoja, mihin niitä käytetään, kenelle niitä voi luovuttaa ja miten tietoja tulee suojata. Nämä asiat pysyvät hyvin samankaltaisina kuin jo aiemman, 1990-luvulta voimassa olleen sääntelyn aikana.
Suurin muutos tulee siitä, että uuden sääntelyn velvoittaman dokumentoinnin johdosta henkilötietojen tietosuojan tasoa nostetaan korkeammalle. – Vähän enemmän tulee työtä, mutta mikään ei merkittävästi muutu, toteaa Warma.
Iso kysymys on, millä tasolla tietoja keräävät tahot nyt ovat? Eija Warman kokemusten mukaan olemme nyt 20-40 pisteen tasolla ja tavoite on 80 pisteessä. Tarvitaan siis melkoinen ryhtiliike tietosuojatoimissa. Lainsäätäjä mainitsee sertifikaatit tason osoittajana, mutta tällä hetkellä sertifiointiin johtavia määrityksiä ei vielä ole.

Henkilötietojen tietosuojan ydin
Henkilötietoja eli rekistereitä ovat kaikki sellaiset tiedot, joilla yksilö voidaan tunnistaa. Golfkentillä ne ovat seuran jäsenten tietoja, eri ryhmiksi koottuja tietoja, kuten osakkaat, naiset, juniorit, seniorit, listaus yhteistyökumppaneista, työntekijöistä jne. Golfyhteisössä jäsenrekisteriä pidetään, jotta pelaaja voidaan tunnistaa sekä omalla kentällä että vieraskentillä.
Rekisterit erotetaan toisistaan käyttötarkoituksen ja tarpeen mukaan ja yleisohje on, että käyttötarkoitus kannattaa kirjata mahdollisimman laajaksi, jotta niitä voidaan parhaiten hyödyntää. Jokainen erillinen rekisteri tulee dokumentoida, luoda siitä kuvaus, liittää mukaan ulkoisten toimijoiden rooli ja käyttötarkoitus. Sen jälkeen kyseistä rekisteriä ei saa käyttää mihinkään muuhun, kuin mikä sen rekisterin tarkoitus on.
Yhtenä esimerkkinä Eija Warma kuvaa golfyhteisön käytössä olevista rekistereistä henkilökuntarekisteriä ja pelaajarekisteriä. Näiden kahden rekisterin käyttötarkoitus on hyvin erilainen ja esimerkiksi osoitetietojen käyttäminen siten, että henkilökunnalle tarkoitetun viestin lähettämisessä käytetään pelaajarekisteristä poimittuja yhteystietoja, rikkoisi henkilörekisterilakia. Esimerkki on hyvin yksinkertaistettu, mutta kuvaa hyvin sitä, miten tarkkana jatkossa tulee olla.

Mitä toimia edellytetään rekisterin pitäjältä?
Rekisterin käyttö tulee miettiä sen elinkaaren kautta ja kaikki suunnittelu ja dokumentointitoimet tulee olla tehtynä ennen kuin rekisteriä ryhdytään käyttämään. Eija Warman esittelemä listaus toimista, jotka on tehtävä jokaisen rekisterin osalta on pitkä ja kattava ja ainakin ensisilmäyksellä työläs. Eija muistuttaakin, että aiemmin mainittu käyttötarkoituksen kirjaus laajaksi vähentää hallinnollisia toimia. – On ilman muuta selvää, että rekisterien tekninen suojaus ja käyttäjätunnusten salaaminen on oltava kunnossa, hän muistuttaa.

Täsmennyksiä henkilötietoihin
Uuden teknologian johdosta henkilöt voidaan nykyisin tunnistaa monella eri tavalla. Nimi, osoite, yhteystiedot ovat normaalia arkea, uutta ovat käyttämiemme laitteiden meistä antamat tiedot, joilla meidät voidaan tunnistaa. Tieto voi myös olla muussa muodossa, kulunvalvontakortti, jossa on kuva ja kaikki kuvatallenteet kuuluvat sääntelyn piiriin, samoin äänitallenteet.

Rekisterinpitäjä on kaikesta vastuussa
Rekisterinpitäjä on taho, joka tarvitsee, kerää ja käyttää henkilötietoja. Uusi asetus korostaa rekisterinpitäjän ”tilintekovelvollisuutta”, eli toiminnan tulisi olla mahdollisimman läpinäkyvää. Tällöin kuka tahansa rekisteristä tietoja kysyvä näkee, että dokumentaatio on kunnossa ja asiat muutoinkin säännösten mukaisia. Tällainen dokumentti on esimerkiksi rekisteriseloste, jolla kuvataan mitä tietoa rekisterissä on, mikä on sen käyttötarkoitus, kenelle niitä luovutetaan, tietoturvaperiaatteet jne., ja tällainen seloste tulee laatia jokaisesta rekisteristä erikseen.

Rekisterin käsittelijän määritys
Rekisterinpitäjällä on usein tarve postittaa tai muutoin lähettää viestiä kohderyhmälleen. Tällöin esimerkiksi seuralehden postituksessa kirjapainosta tulee rekisterin käsittelijä. Näiden kolmansien tahojen kanssa, joita käsittelijöiksi kutsutaan tulee olla kirjalliset sopimukset, jotka täyttävät asetuksen minimivaatimukset. Sopimuskulttuuri on siis uusi velvoite, jonka tuleva asetus määrää. Nyt on siis oikea aika tunnistaa tällaiset kumppanit ja käydä sopimukset läpi.

Yksilön oikeudet
Jokaisella henkilöllä, joka on rekisterissä on oikeus omaan tietoonsa. Kuka tahansa tällainen henkilö voi pyytää nähtäväkseen ne tiedot, jotka rekisterissä ovat. Vaikkapa Nexgolfia ajatellen, jokainen näkee omat tietonsa jo nyt omilla tunnuksillaan. Jokaisen golfyhteisön tulee pohtia löytyykö vastaavia tietoja henkilöstä myös muista käytössä olevista ohjelmista ja tallenteista.
Jokainen rekisterissä oleva henkilö voi kieltää tietojensa käytön markkinointiin. Tällainen ominaisuus Nexgolfissa jo on, samoin eBirdie-sovelluksessa. Henkilö voi myös pyytää tietojensa poistamista ja näin tapahtuukin, esim. henkilön lopettaessa jäsenyytensä golfseurassa tai vaihtaessa seuraa. Golfliiton verkkopalvelu on tässä avainroolissa. Tietojen poistaminen silloin, kun henkilö on seuran jäsen ei ole mahdollista eikä tarpeellista, koska tietoja tarvitaan pelaamisen hallinnointiin.
Pelaajien profilointiin ja automatiikkaan liittyy erityisvaatimuksia. Informointivelvoitteen vahvistuminen on iso asia asetuksessa.

Asetukseen valmistautuminen
Omien rekisterien siivous ja ajan tasalle saattaminen merkitsee niiden parempaa hyödyntämistä. – Tietosuoja-asetus on joustava ja mahdollistava, ei niinkään kieltävä, kuvaa Eija Warma. Markkinointi ja tiedottaminen on edelleen sujuvaa kunhan ne on dokumenteissa avoimesti kerrottu ja henkilön suostumus saatu. – Kun rekistereistä tulee aiempaa laadukkaampia on sillä positiivista merkitystä myös golfseuran toiminnalle, hän päättää.

Tietosuojakoulutusta antoi asianajaja Eija Warma, Castren&Snellmanilta.

Liity postituslistalle

SGK-LAKINEUVONTA
Suomen luontoystävällisin golfkenttä
BirdieTime
Matkailun teemanumero 2-18
Golfkenttien Some-näkyvyys
takaisin ylös