GDPR

Tietosuoja-asetus vaatii SRL:lta ja jäsenseuroilta rekisterinpitäjinä ja tietojen käsittelijöinä sitä, että laadimme henkilötietolain mukaisesti rekistereistämme tietosuoja- ja rekisteriselosteet ja noudatamme niitä tarkasti.

Sense-jäsenrekisterin ja siihen liitettyjen ohjelmien (tapahtumahallinta, kilpailulupien verkko-osto) tietosuojaseloste

Muu materiaali sivuun lopussa.

EU:n yleisen tietosuoja-asetuksen 2016/679 (GDPR) soveltaminen alkaa 25.5.2018. Tietosuoja-asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki ne tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero ja osoite. Henkilörekisterejä taas ovat kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.

Henkilötietoja kerätään jäseniltä ja toimintaan osallistuvilta. Käyttötarkoitus on määriteltävä ennen tiedon keräämistä ja tietoa voidaan kerätä vain, jos tiedon käytöllä on liiton ja seuran toimintaan perustuva syy. Käyttötarkoitus kerrotaan henkilöille tietoa kerättäessä ja tätä kerättyä tietoa käytetään vain tähän etukäteen määriteltyyn tarkoitukseen (esim. jäsentiedottaminen). Lisäksi on aina mahdollista pyytää lupa henkilötietojen muihin käyttötarkoituksiin (esim. kaupallinen mainonta).

Erityistä harkintaa pitää käyttää nettisivuilla julkaistavissa materiaaleissa. Huomioittehan tämän, kun julkaisette seuran nettisivuilla tietoja, jotka voidaan tulkita yksityisyyden suojaa rajaaviksi. Netissä julkaistavaa materiaalia kannattaa aina harkita erityisellä huolella lasten ja nuorten kohdalla.

Sense -jäsenrekisteri
GDPR velvoittaa sopimaan kirjallisesti henkilötietojen käsittelystä tilanteissa, joissa yhteisö toimii henkilötietojen rekisterinpitäjänä ja yhteisö käsittelee henkilötietoja. Rekistereiden pitämiseen pitää olla laillinen peruste.

SRL:n jäsenseurat keräävät henkilötietoja jäsenistään ja ylläpitävät jäsenrekisteriä. SRL hallinnoi rekisteriä ja käyttää rekisterin tietoja itsenäisesti. SRL ja sen jäsenseurat ovat yhteisrekisterinpitäjiä. Koska jäsenseurat vastaavat tietojen keräämisestä, niillä on ilmoitusvelvollisuus omille jäsenilleen. Jäsenrekisterissä tiedot säilytetään niin kauan kuin rekisteröity on seuran jäsen.

Uuden asetuksen mukaisesti tietojen käsittely tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. Henkilötietoja saa siis käsitellä ainoastaan sellaiset henkilöt, jotka ovat tehneet sopimuksen henkilötietojen käsittelystä ja jonka toimenkuvassa tietojen käsittely on tarpeellista (jäsensihteeri).

Laillinen peruste rekisterin pitämiseen
Jäsenrekisterin laillinen peruste on yhdistyslain noudattaminen jäsenen nimen ja kotipaikan osalta. SRL:n osalta laillinen peruste on jäsenetuna oleva vakuutusturva, Hippos-lehden lähettäminen, merkkisuoritusten kirjaaminen, toimihenkilöoikeudet ja jäsenten osallistuminen kilpailuihin.

On huomioitava, että sähköpostiosoitteen tai puhelinnumeron keräämiseen vaaditaan henkilökohtainen suostumus.

Kilpailut
Kilpailujärjestäjä kerää Kipan kautta jokaista kilpailua varten osallistujarekisterin, johon tulee nimi, seura ja jäsennumero. Näiden tietojen käsittelyn laillinen peruste on sopimus (osallistuminen kilpailuun). Kilpailutulokset ja rankingpisteet ovat julkisia ja voidaan julkaista mediassa. SRL vastaa osallistujarekisteristä, kun ilmoittautumiset tehdään Kipan kautta. 
Osallistujarekisterit ja ranking- ja valiomerkkipisteet säilytetään ikuisesti, koska kyseessä on kilpailuhistorian dokumentoinnista.

Jäsenrekisteristä siirtyvät Kipaan ne kilpailijat, jotka ovat maksaneet lisenssin (historia jää tulosten myötä). Toimihenkilöistä siirtyvät jäsennumero, nimi, osoite, puhelin ja sähköposti sekä oikeudet ja oikeuksien loppupäivämäärä. Kilpailijalta siirtyy tietona henkilötiedot, yhteystiedot, syntymäaika, lisenssityyppi, maksupäivämäärä ja seura. Lisäksi kilpailija täydentää Kipassa tilinumeron palkintoja ja palautuksia varten, saajan nimi ja hänen HETU/LY-tunnus. Mahdolliset rangaistukset kirjataan Kipaan. Kisaa järjestävä taho näkee kilpailijasta vain nimen, jäsennumeron, seuran ja yhteystiedot. Toimihenkilö valitaan nimen perusteella ja samassa yhteydessä näkyy toimihenkilön jäsennumero.

Ilmoitusvelvollisuus jäsenille ja jäsenten oikeudet
Seura saa kerätä vain sellaisia henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti.

Henkilötietojen osalta rekisteröidylle jäsenelle tulee ilmoittaa, mitä tietoja kerätään, mihin käyttötarkoitukseen tietoja kerätään, mihin tietoja luovutetaan ja kauanko tietoja säilytetään.

Rekisteröidyllä jäsenellä on oikeus vaatia tietojaan korjattavaksi, mikäli niissä on virhe.

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Rekisteröidyllä on oikeus esittää tietopyyntö siitä, mitä henkilötietoja hänestä on kerätty. Tähän tietoon tulee vastata 30 päivän sisällä. Tämä tarkoittaa sitä, että seuran pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä, mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tietonsa poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa, mihin on pyydetty erillinen suostumus. Henkilö ei voi pyytää rekisterinpitäjää poistamaan tietoja, joilla on henkilötietoasetuksen mukainen peruste. Mikäli henkilötietojen käsittely pohjautuu jäsenen suostumukseen (esim. sähköpostiosoite), jäsenellä on oikeus peruuttaa suostumus, jolloin tiedot tulee tuhota suostumuksen alaisen tiedon osalta.

Tietoja ei ikinä saa luovuttaa ilman, että on tunnistanut kysyjää!

Vanhat ja tarpeettomat tiedot on poistettava, eli sellaiset tiedot, joita ei ole tietosuoja-asetuksen mukaisesti perusteltavaa säilöä, on tuhottava. Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).

EU:n tietosuojauudistuksen (GDPR) myötä myös SRL ja sen jäsenseurat sekä kilpailujärjestäjät ovat velvollisia tekemään uudistuksia tietosuojan osalta. Tämä vaatii useita toimenpiteitä seuroilta, kilpailujärjestäjiltä ja SRL:lta.

SRL:n ja jäsenseurojen sekä kilpailujärjestäjien tehtävät:
1. SRL laatii jäsenrekisteristä tietosuojaselosteen. Tietosuojaselosteesta henkilö näkee, miten hänen henkilötietojaan käsitellään ja millaisia oikeuksia hänellä on.
2. SRL laatii yhteisrekisterin pitämisestä sopimuksen jokaisen jäsenseuran kanssa.
3. SRL laatii selvityksen tietojen siirtämisestä ja määrittelee jokaiselle käsittelytoimelle ja tiedonsiirrolle laillisen perusteen, esimerkiksi osoitteiston toimittaminen Hippos-lehden kustantajalle.
4. SRL laatii ilmoituksen, joka toimitetaan jäsenille. 
5. SRL tekee Kipaan tarvittavat muutokset, joilla kerätään tietoja ja jotka tarvitsevat kilpailijan suostumuksen.
6. SRL luo menettelyn, jolla voidaan toimittaa rekisteröidylle jäsenelle hänestä kerätyt tiedot. Jäsen pitää pystyä tunnistamaan luotettavasti ja hänelle pitää toimittaa tiedot pyydetyssä muodossa.
7. SRL luo menettelyn, jolla voidaan poistaa suostumuksen alaisia tietoja sitä pyydettäessä.
8. SRL laatii ohjeet ja malliselosteet toimenpiteiden toteutusta varten, jäsensihteereille ja muille rekisteritietoja käsitteleville henkilöille. Lähetämme seuroille tiedotteita, joissa on informaatiota ja liitteenä pohjia.

Urheilulle tärkeitä soveltamisohjeita kirjataan Urheilun omaan käytännesääntöön, joka ilmestyy Olympiakomitean toimesta vuoden 2018 lopulla.

Hyödyllisiä linkkejä