Euroopan unionin uusi tietosuoja-asetus merkitsee muutoksia myös jäsenrekistereitä ylläpitäville ammattiliittojen alayhdistyksille.

Nykyisen henkilötietolain korvaava asetus astuu voimaan vuoden 2018 toukokuussa.

– Mitään hirveän suuria muutoksia ei ole tiedossa, jos yhdistys on käsitellyt jäsenrekisterissään olevia tietoja nykyisen lainsäädännön mukaan. Joitakin uusia velvoitteita uudistus tuo muassaan, Ammattiliitto Pron kehittämispäällikkö ja juristi Pia Ahonen huomauttaa.

Mikä on rekisterin nykytola?

Puuhaa riittää muun muassa jäsenrekisteriin tallennettujen henkilötietojen kartoituksessa. Rekisterin ylläpitäjän täytyy käydä läpi, millaisia tietoja jäsenistä on tallennettu. Rekisterissä saisi olla vain tietoja, jotka ovat tarpeellisia yhdistyksen toiminnan kannalta. Samoin jäsentietojen virheettömyys pitää tarkistaa.

– Selvittää täytyy myös se, onko henkilötietojen käsittely kaikin puolin asianmukaista ja turvallista. Siihen asetus ei ota kantaa, missä muodossa jäsenrekisterin pitäisi olla. Perinteinen paperiarkisto käy ihan yhtä hyvin kuin digitaaliseen muotoon tallennettu, Ahonen sanoo.

Rekisterissä saisi olla vain tietoja, jotka ovat tarpeellisia yhdistyksen toiminnan kannalta.

Yhdistyksen pitää selvittää myös, millaisia mahdollisia tietoturvariskejä sen jäsenrekisterin hallinnassa on.

Rekisterin pitäjällä on uuden asetuksen mukaan myös osoitusvelvollisuus. Yhdistyksen on pystyttävä osoittamaan, että se käsittelee jäsentensä henkilötietoja asetuksen mukaisesti.

Jäsenen oikeudet vahvistuvat

Asetus vahvistaa tavallisen jäsenen oikeuksia. Vastaisuudessa jäsenellä on oikeus tarkistaa häntä koskevat tiedot ja korjata tiedoissa olevat mahdolliset virheet. 

Yhdistystä vaihtaessaan jäsen taas voi halutessaan pyytää vanhaa yhdistystä siirtämään rekisterissään olevat tiedot uuteen järjestöönsä.

Jäsenellä on myös oikeus tulla unohdetuksi. Tämä tarkoittaa sitä, että yhdistyksestä eroava tai jo eronnut jäsen voi vaatia, että yhdistys pyyhkii kaikki häntä koskevat tiedot rekisteristään pois.

Sakkoja säännösten rikkojille

Asetuksessa on sääntelyä myös mahdollisten tietoturvaloukkausten varalle. Jos jäsenrekisterin tietoja on joutunut vääriin käsiin, on sen ylläpitäjällä velvollisuus ilmoittaa tietoturvaloukkauksesta viranomaisille sekä niille jäsenille, joita loukkaus koskee.

Jos rekisterin ylläpito on olennainen osa yhdistyksen toimintaa, pitää yhdistyksen nimetä erikseen tietosuojavastaava. Myös ammattiyhdistysten pitäisi tällainen vastaava nimetä.

– Uutta on myös se, että jos rekisterin ylläpito on olennainen osa yhdistyksen toimintaa, pitää yhdistyksen nimetä erikseen tietosuojavastaava. Tulkitsisin niin, että myös ammattiyhdistysten pitäisi tällainen vastaava nimetä, Ahonen arvioi.

Jos yhdistys ei noudata asetuksen määräyksiä, voi seurauksena olla sakko. Sakosta määrää ensi keväästä lähtien uusi tietosuojavirasto, joka korvaa nykyisen tietosuojavaltuutetun toimiston.

– Sakot voivat olla aika tuntuviakin, Ahonen sanoo.

Tulkinnat elävät vielä

Uuden asetuksen tarkoituksena on yhdenmukaistaa henkilötietojen käsittelyä koskevaa sääntelyä ja viranomaisvalvontaa eri EU-maissa. Samoin tarkoitus on vastata alati etenevän digitalisaation mukanaan tuomiin riskeihin ja vahvistaa yksilön oikeuksia.

Pron Pia Ahonen tähdentää, että yhdistysten kannattaa seurata uudesta tietosuoja-asetuksesta ja sen tulkinnoista käytävää keskustelua. Tulkinnat saattavat vielä elää. Samoin Suomi muokkaa vielä ensi vuoden mittaan kansallista lainsäädäntöään EU:n asetuksen mukaiseksi.

– Ammattiliitto Pro tiedottaa yhdistyksille muutoksista tarkemmin keväällä ja aiheesta on myös suunnitteilla koulutusta yhdistysaktiiveille, Ahonen lupaa.

Pron jäsenet pääsevät ilmoittautumaan kirjautumalla linkistä Proplussaan:

25.4.2018 |  Tietosuoja-asetus tutuksi -webinaari
26.4.2018 |Tietosuoja tutuksi -webinaari