Juuri kun säätiöissä aletaan tottua uuteen säätiölakiin, seuraava uudistus kurkkii jo nurkan takana.

Ihan vielä ei tarvitsekaan olla… Mutta juuri kun säätiöissä aletaan tottua uuden säätiölain tuomiin muutoksiin, on jo seuraava säätiöitäkin koskeva uudistus nurkan takana. Kyseessä on EU:n tietosuoja-asetus, jonka tavoitteena on luoda Euroopan unionille yhtenäinen ja kattava tietosuojakehys. Euroopan parlamentti, neuvosto ja komissio pääsivät neuvotteluissa sopuun EU:n tietosuojauudistuksesta joulun alla 2015. Asetus sovelletaan siirtymäajan jälkeen 25.5.2018 alkaen.

Mikä EU:n tietosuoja-asetus?

Tietosuojatoimintoja sääntelee tulevaisuudessa EU-tasolla yleinen tietosuoja-asetus. Asetus on suoraan sovellettavaa oikeutta ja koskee kaikkia rekisterinpitäjiä. Rekisterinpitäjän tulee jatkossa kyetä osoittamaan tietosuojatoimintojensa lainmukaisuutta. Säätiöiden osalta tietosuojavaatimukset korostuvat tietysti sosiaali- ja terveysalalla toimivissa säätiöissä mutta myös esimerkiksi lähipiirirekisteriä ylläpitävissä säätiöissä.

Mikä muuttuu?

Tietosuojaan liittyviä kysymyksiä säätelee jatkossa EU-tasolla yleinen tietosuoja-asetus. Monet asetukseen sisältyvät velvoitteet sisältyvät tosin jo nykyisin Suomen henkilötietolakiin. Asetus on jäsenmaissa suoraan sovellettavaa oikeutta ja koskee rekisterinpitäjien kaikkia kansalaisten henkilötietojen käsittelyä. Rekisterinpitäjä voi olla luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin.

Rekisteröidyn oikeuksiin tulee parannuksia muun muassa seuraavissa tilanteissa:

1. Pääsy omiin tietoihin helpottuu: rekisteröity saa enemmän tietoa siitä, miten hänen tietojaan käsitellään. Tämä tieto on annettava rekisteröidylle selkeällä ja ymmärrettävällä tavalla.
2. Oikeus siirtää tiedot järjestelmästä toiseen: henkilötiedot on jatkossa entistä helpompi siirtää palveluntarjoajalta toiselle.
3. Oikeus tulla unohdetuksi: rekisterinpitäjä poistaa tiedot omatoimisesti tai rekisteröidyn pyynnöstä, paitsi jos on olemassa jokin laillinen peruste säilyttää ne.
4. Oikeus saada tieto omiin tietoihin kohdistuneesta tietomurrosta.

Rekisterinpitäjälle keskeisimpiä uudistuksia asetuksessa on:

1. Selkeämpiä sääntöjä henkilötietojen käsittelijöiden vastuusta: Seurattava, että henkilötietoja käsitellään jatkuvasti turvallisella tavalla.
2. On kyettävä osoittamaan tietosuojatoimintojensa lainmukaisuus: organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa. Tietosuoja-asetuksessa on lähdetty ns. riskipohjaisesta lähestymistavasta.
3. Rekisterinpitäjille tulee myös ilmoitusvelvollisuus vähäistä suuremmista tietoturvaloukkauksista: Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksista kansalliselle tietosuojaviranomaiselle sekä rekisteröidylle. Tietosuojaviranomaisten toimivaltaa laajennetaan samalla, ja heille tulee huomattavia oikeuksia määrätä sanktioita (mm. sakko ja huomautus).
4. Tietosuojavastaavan nimitysvelvollisuus laajennetaan: Tietosuojavastaava tulee nimittää ainakin, jos organisaation ydintoiminnot edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä valvontaa tai jos organisaation ydintoiminnot muodostuvat esimerkiksi rekisteröidyn rodullista tai etnistä alkuperää tai uskonnollista vakaumusta koskevien henkilötietojen laajamittaisesta käsittelystä. Tietosuojavastaavan ei tarvitse olla organisaation työntekijä, hän voi olla myös ulkopuolinen konsultti.

Mitä säätiöissä pitää ottaa huomioon?

Erityisesti sosiaali- ja terveysalalla toimivilla säätiöillä on jo nyt vaativa tietosuoja-taso. Säätiöissä on kuitenkin paljon muuta aineistoa, jonka käsittelyä uusi tietosuoja-asetus säätelee tulevaisuudessa. Uuden säätiölain myötä monissa säätiöissä ylläpidetään lähipiirirekisteriä. Lisäksi asetus koskee myös säätiöiden kaikkia muita rekistereitä esim. apurahanhakijoista ja -saajista, lahjoittajista tai työntekijöistä. Näissä rekistereissä olevien tietojen keräämiseen, käsittelyyn ja säilyttämiseen tietosuoja-asetus asettaa rajoituksia. Uudet määräykset on siis muistettava käsiteltäessä esim. arkaluontoisia tietoja apurahahakemusten käsittelyn yhteydessä tai lähipiirirekisteriä laadittaessa. Asetuksen tuomat vaatimukset suhteessa toimintakertomusraportointiin on myös tärkeä ottaa huomioon, ettei kerättyä tietoa pääse vahingossa vuotamaan toimintakertomukseen.

Miten säätiöissä kannattaa valmistautua?

Tulevaan muutokseen kannattaa valmistautua jo nyt. Henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja muuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa.

1. Tee tietosuojakartoitus!
   • Tietääkö säätiön henkilöstö ja johto tietosuojavaatimuksista?
2. Selvitä, millaista aineistoa säätiössä käsitellään tällä hetkellä ja miten sitä käsitellään sekä miten tiedotetaan rekisteröidylle
   • Hakemukset, lähipiiri, työntekijät ym.
3. Kenen vastuulle tietosuoja-asiat kuuluvat säätiössäsi?
   • Pitäisikö nimittää tietosuojavastaava jo nyt?
4. Hoida kartoituksessa esiin tulleet puutteet kuntoon
   • mm. kouluttautumalla.

Neuvottelukunta järjestää jäsenkunnalle tietosuojakoulutusta tulevana syksynä; siitä lisätietoa myöhemmin. Olkaa mielellään yhteydessä, jos kirjoitus aiheuttaa pohdiskeltavaa säätiössänne!

http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/kysymyksiajavastauksia.html

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf