Säätiön hyvä tiedonhallintatapa
Kirjoittajat
Martin Löfman, juristi; Päivi Tikka, vt. toimitusjohtaja ja Liisa Suvikumpu, toimitusjohtaja – Säätiöiden ja rahastojen neuvottelukunta
Asiantuntija
Jarmo Hirvonen, Asiamies, varatuomari, Maj ja Tor Nesslingin Säätiö
Julkaisija
Säätiöiden ja rahastojen neuvottelukunta – Delegationen för stiftelser och fonder, Helsinki 2018
Päivitetty 25.6.2019
1. JOHDANTO
Yksityiset yleishyödylliset säätiöt ovat merkittävä osa suomalaista kansalaisyhteiskuntaa. Hyvin toimivat ja hallinnoidut säätiöt lisäävät tietoa ja taitoa sekä henkistä ja aineellista vaurautta yhteiskunnassamme.
Euroopan unionin uutta tietosuoja-asetusta aletaan soveltaa 25. toukokuuta 2018 alkaen, mikä luo tarvetta säätiöiden tiedonhallinnan modernisoimiselle. Säätiöiden ja rahastojen neuvottelukunnan laatima Säätiön hyvä tiedonhallintatapa auttaa säätiöitä toimimaan avoimesti ja läpinäkyvästi voimassaolevaa tietosuojasääntelyä noudattaen.
Aiemmin henkilötietojen suojauksen vaatimukset perustuivat Euroopan unionin direktiiviin ja kansallisten lainsäätäjien päättämiin yksityiskohtaisiin määräyksiin. Toukokuusta 2018 alkaen henkilötietoja suojataan samalla tavalla kaikissa unionin jäsenmaissa.
Tämän oppaan tarkoitus on selventää, mitä EU:n yleinen tietosuoja-asetus merkitsee apurahoja jakaville säätiöille ja yhdistyksille. Ohje perustuu EU:n tietosuoja-asetukseen, riippumattoman EU:n neuvoa-antavan tietosuojatyöryhmän lausuntoihin ja tietosuojavaltuutetun tuottamaan materiaaliin sekä tietosuojalain valmisteluaineistoon. Oppaassa annetaan käytännön ohjeita ja suosituksia tilanteisiin, joissa tietosuoja-asetus on otettava huomioon. Opasta tullaan päivittämään sitä mukaa, kun asetuksen ja kansallisen tietosuojalain käytännön soveltamisesta tulee uutta tietoa.
Tällä oppaalla ei voida kattaa kaikkia tietosuojaan liittyviä tilanteita, joita säätiöissä esiintyy, eikä suoraa vastausta löydy kaikkiin kysymyksiin. Opasta ei ole tarkoitettu käytettäväksi rikos- tai vahingonkorvausvastuun perusteena tai hallintoviranomaisten tai tuomioistuinten tuomioiden tai päätösten perusteluna. Uusi sääntely sisältää monia jopa ristiriitaisia oikeuksia ja velvollisuuksia, mikä vaatii säätiöissä tapauskohtaista arviointia. Säätiö joutuu lopulta aina itse ottamaan kantaa siihen, onko tiettyyn henkilötietojen käsittelyyn liittyvään toimeen asianmukainen peruste. Säätiöillä on toisistaan poikkeavia toimintaperiaatteita, joten yksityiskohtien tasolla yhteneväisiä toimintaohjeita ei ole mielekästä antaa. Keskeistä on, että säätiö dokumentoi tekemänsä toimet ja antaa niille pätevät perustelut.
Vastuu asetuksen säädösten mukaan toimimisesta on henkilörekisterin ylläpitäjällä, tämän oppaan tapauksessa säätiöllä tai rahastolla. Säätiön johdon täytyy huolehtia siitä, että henkilötietojen käsittelyyn liittyvät vastuut ja tehtävät määritellään asianmukaisesti, että henkilöstön ohjauksesta ja koulutuksesta huolehditaan ja että käytetyt tietojärjestelmät vastaavat asetuksen vaatimuksia.
Tietoturvassa, henkilötietojen suojauksessa ja henkilötietojen oikeassa käsittelyssä on viime kädessä kysymys yksityisyyden suojasta eli perusoikeudesta, josta voidaan johtaa esimerkiksi kotirauhan suoja ja luottamuksellisen viestinnän suoja. Lähtökohtaolettama on, että ihminen antaa pääsyn ja käyttöoikeuden henkilötietoihinsa vain tietylle nimetylle taholle, tiettyyn määriteltyyn tarkoitukseen aivan vastaavalla tavalla kuin luovuttaessaan kotinsa avaimen jollekulle ulkopuoliselle tarkan harkinnan jälkeen. Jos huoltomies saa kodin avaimen ja luvan yksin käydä asunnossa, hänen käyntiään rajaa tiukka tarkoitussidonnaisuus. Hän saa hoitaa asunnossa vain sovitun huoltotoimenpiteen – ei muuta – ja hän vastaa myös ovien lukitsemisesta pois lähtiessään. Sanomattakin on selvää, ettei hän saa päästää asuntoon muita ulkopuolisia tai levittää sieltä ottamiaan kuvia. Vastaavalla tavalla säätiö tai rahasto saa käyttää sille luovutettuja henkilötietoja vain tiettyyn tarkoitukseen ja sen on vastattava siitä, ettei rekisterien ja tietojärjestelmien ovia jätetä lukitsematta tai avata muille.
Vastaavasti kuin huoltomiehen huolimaton toiminta asunnossa myös säätiön huolimattomuus henkilötietojen käsittelyssä voi johtaa rikoksiin ja taloudellisiin vahinkoihin – ja jo ylimääräinen utelias tirkistelykin loukkaa epämiellyttävällä tavalla yksityisyyttä. Suojaa saavan henkilötiedon olemukseen kuuluu se, että tieto joko suoraan tai välillisesti yksilöi henkilön, jota tieto koskee. Nimi tai henkilötunnus yksilöivät henkilön suoraan, puhelinnumero ja osoite välillisesti. Pienessä rekisteröityjen henkilöiden ryhmässä yksilöintiin saattaa riittää esimerkiksi tieto sukupuolesta tai iästä. Henkilötietojen suojaa eivät saa tiedot, joiden perusteella on mahdotonta yksilöidä niiden kohdetta edes pienestä tiedossa olevasta joukosta.
Tietosuoja-asetuksen kulmakivet
Rekisteröidyn oikeudet
Osoitusvelvollisuus
Yksityisyydensuoja
Tietosuojaperiaatteet
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Käyttötarkoitussidonnaisuus
Tietojen minimointi
Täsmällisyys
Säilytyksen rajoittaminen
Eheys ja luottamuksellisuus
2. TIETOSUOJA JA SITÄ KOSKEVA SÄÄNTELY
Säätiöiden kohtaamia tietosuojakysymyksiä
Apurahasäätiöissä tietosuojakysymykset liittyvät erityisesti apurahanjakotoimintaan ja apurahansaajien oikeuksiin. Samalla tavalla kuin missä tahansa yhteisössä, on tietosuoja kuitenkin otettava huomioon kaikissa henkilötietoja käsittelevissä toiminnoissa.
Säätiöiden on myös kyettävä varautumaan tilanteisiin, joita asetusta laadittaessa ei ole osattu edes ennakoida. Teknologia kehittyy jatkuvasti, ja muutokset vaikuttavat tietosuojaan liittyviin vaatimuksiin huolimatta asetuksen nykyisistä sanamuodoista. Säätiöiden pitää varmistua siitä, että esimerkiksi sähköiset apurahajärjestelmät mahdollistavat henkilötietojen asianmukaisen käsittelyn ja muutenkin täyttävät asetuksen vaatimukset. Tähän liittyen on tärkeää myös selvittää järjestelmien ylläpitäjien kanssa, kuka missäkin tapauksessa on rekisterinpitäjä, jonka velvollisuus on myös huolehtia henkilötietosuojasta
Euroopan unionin tietosuoja-asetus
EU:n yleinen tietosuoja-asetus (”asetus”) on tullut voimaan 24.5.2016, ja sen soveltaminen alkoi 25.5.2018. Tietosuoja-asetuksen tarkoituksena on tietosuojaa koskevan sääntelyn ajantasaistaminen. Lisäksi se parantaa avoimuutta siitä, miten tietoja käsitellään, lisää menettelytapojen läpinäkyvyyttä sekä vahvistaa rekisteröityjen oikeuksia valvoa henkilötietojensa käsittelyä. Asetus vastaa teknologian kehitykseen ja globalisaatioon liittyviin henkilötietojen suojaamisen haasteisiin, joita syntyy esimerkiksi siirrettäessä henkilötietoja eri maiden välillä. Asetuksen tarkoituksena on myös tukea digitaalitalouden kehitystä yhdenmukaistamalla jäsenvaltioiden tietosuojaa koskevat säännökset.
Asetuksen velvoitteiden noudattamiseen kannustetaan tehokkaasti. Asetuksessa on säädetty tiukat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Valvontaviranomainen voi esimerkiksi määrätä henkilötietojen käsittelyyn liittyviä korjaavia toimenpiteitä tai hallinnollisia sakkoja.
Tietosuojalaki
Oikeusministeriö asetti toimikaudelle 17.2.2016–16.2.2018 työryhmän, jonka tavoitteena oli tarkastella silloista henkilötietolain (523/1999) toimivuutta henkilötietojen käsittelyä sääntelevänä yleislakina, arvioida erityissäännösten tarpeellisuutta ja merkitystä sekä varmistaa lainsäädännön toimivuus ja johdonmukaisuus. Työryhmä selvitti myös, millaista liikkumavaraa tietosuoja-asetus jättää jäsenvaltioiden kansalliseen lainsäädäntöön ja miten liikkumavaraa on tarkoituksenmukaista käyttää. Työryhmän tuli laatia ehdotuksensa lainsäädännön muutoksiksi hallituksen esityksen muotoon.
Henkilötietolaki ja laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottiin 1.1.2019, kun työryhmän esitys uudesta tietosuojalaista tuli voimaan. Tietosuojalaki täydentää EU:n yleistä tietosuoja-asetusta.
Tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan rinnakkain EU:n tietosuoja-asetuksen kanssa. EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista.
Uudella tietosuojalailla säädetään tietyissä kysymyksissä poikkeuksia ja täsmennyksiä EU:n tietosuoja-asetukseen. Tietosuojalailla säädetään myös valvontaviranomaisesta sekä eräistä henkilötietojen käsittelyyn liittyvistä erityistilanteista, kuten sananvapauden ja henkilötietojen suojan yhteensovittamisesta sekä tutkimuksesta.
Esimerkki tietosuojalakiin otetusta poikkeuksesta on se, että lain mukaan tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttää, että lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla on tarkistaa, että suostumus on olemassa. Suomessa lapsen ikäraja on alempi kuin yleisessä tietosuoja-asetuksessa säädetty 16 vuotta.
Säätiöille tärkeä tietosuojalakiin otettu poikkeus liittyy tieteelliseen ja historialliseen tutkimukseen. Siihen liittyvässä tilastoinnissa ja arkistoinnissa voidaan poiketa eräistä tietosuoja-asetuksesta seuraavista velvoitteista, jos poikkeaminen on tarpeellista esimerkiksi tutkimuksen tavoitteiden kannalta kts luku 3.
Poikkeukset merkitsevät muun muassa sitä, että rekisteröidyllä ei näissä tapauksissa ole esimerkiksi oikeutta tarkastaa itseään koskevia tietoja. Poikkeusten tavoitteena on ollut säilyttää ennen lain voimaantuloa voimassa oleva sääntely. Poikkeaminen rekisteröidyn oikeuksista edellyttää muun ohella, että henkilötietojen käsittelijä laatii tietosuojaa koskevan vaikutustenarvioinnin tai sitoutuu noudattamaan erityisiä käytännesääntöjä.
Myös terveyttä, seksuaalista käyttäytymistä ja suuntautumista, uskontoa sekä poliittisia näkemyksiä koskevien tietojen käsittely on jatkossakin mahdollista tutkimusta ja tilastointia varten.
Tietosuoja-asetus koskee lähtökohtaisesti elossa olevien henkilöiden tietoja. Jäsenvaltiot voivat kuitenkin säätää kuolleiden henkilöiden henkilötietojen käsittelyä koskevista säännöistä. Kansallista tietosuojalakia arvioinut työryhmä ehdotti kuitenkin, ettei asetusta Suomessa laajenneta sovellettavaksi kuolleitten henkilöiden henkilötietojen käsittelyyn.
Vaikka tietosuoja-asetus ei lähtökohtaisesti suojaakaan kuolleiden henkilöiden henkilötietoja, on huomattava, että joskus kuollutta henkilöä koskevat tiedot ovat eläviä henkilöitä koskevia henkilötietoja. Näissä tapauksissa henkilötietojen käsittelyssä on huomioitava tietosuojasäännökset.
3. HENKILÖTIETOJEN KÄSITTELYN PERUSTEET SÄÄTIÖISSÄ
- Säätiö kerää ja tallentaa henkilötietoja apurahahakemuksia vastaanottaessaan eli on rekisterinpitäjä.
- Apurahanhakija tai -saaja on rekisteröity.
- Apurahajärjestelmän ylläpitäjä on henkilötietojen käsittelijä.
Säätiö toimii asetuksen, hyvän tiedonhallinnan periaatteiden ja hyvän henkilötietojenkäsittelytavan mukaisesti. Tietosuoja koskee kaikkia säätiön keräämiä, tallettamia, käyttämiä, käsittelemiä ja luovuttamia henkilötietoja. Henkilötiedoksi lasketaan asetuksen piirissä kaikki sellainen, mistä ihminen voidaan yksilöidä ja tunnistaa. Henkilötietojen käsittelylle on aina oltava laissa säädetty käsittelyn oikeusperuste. Käsittelyn oikeusperusteista säädetään tietosuoja-asetuksen 6 artiklassa. Käsittelyperusteita on kuusi: suostumukseen, sopimukseen, lakiin, rekisteröidyn suojaamiseen, julkiseen tehtävään tai oikeutettuun etuun pohjautuvat perusteet. Apurahoja jakavissa säätiöissä näistä perusteista tulevat kyseeseen lähinnä suostumus, sopimus ja oikeutettu etu, joskus myös yleinen etu (esimerkiksi tutkimuksen ja arkistoinnin tapauksissa, ks. alla Käsittelyn oikeusperuste eräissä tapauksissa).
Tietosuoja-asetuksen mukaan oikeutettu etu syntyy silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde eli rekisteröity on vaikkapa rekisterinpitäjän asiakas tai tämän palveluksessa. Tietosuojavaltuutetun tulkinnan mukaan apurahanhakijat voidaan katsoa säätiön asiakkaiksi, joiden henkilötietoja säätiö voi käsitellä oikeutetun edun perusteella.
Henkilötietojen käsittely ei kuitenkaan ole sallittua, jos henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät oikeutetun edun. Tilanteen arvioiminen jää rekisterinpitäjän itsensä tehtäväksi. Valvontaviranomainen tai tuomioistuin arvioi viime kädessä henkilötietojen käsittelyn lainmukaisuuden myös käsittelyn oikeusperusteen osalta.
Käytettäessä suostumusta henkilötietojen käsittelyperusteena, tarkoitetaan rekisteröidyn suostumuksella mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä lausumaa tai toimenpidettä, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn – esimerkiksi hakulomakkeen suostumuslausekkeen aktiivista hyväksymistä. Rekisteröity ei voi antaa suostumusta vaikenemalla tai jättämällä reagoimatta johonkin rekisterinpitäjän toimenpidepyyntöön. Myöskään valmiiksi rastitettu valintaruutu sähköisessä lomakkeessa ei riitä suostumuksen ilmaisemiseen. Rekisterinpitäjän pitää pystyä osoittamaan annetun suostumuksen olemassaolo, ja suostumuksen on katettava kaikki käsittelytarkoitukset.
Käsittelyn oikeusperuste eräissä tapauksissa
Henkilötietoja saa tietosuojalain 4 §:n mukaan käsitellä myös jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, jos
- kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden;
- käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi;
- käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden; tai
- henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.
Erityiset henkilötietoryhmät
Erityisten henkilötietoryhmien, kuten etnisen alkuperän tai ammattiliiton jäsenyyden käsittely, on lähtökohtaisesti kielletty. Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, jos 6 artiklassa säädetyn perusteen lisäksi jokin tietosuoja-asetuksen säädetty peruste täyttyy. Erityisten henkilötietoryhmien osalta suostumuksen käsittelyyn on oltava nimenomainen. Nimenomaiseen suostumukseen liittyy korostettu yksilöinnin ja tarkan ilmaisun vaatimus. Lisäksi suostumuksen on yleensä oltava kirjallinen ja siitä pitää ilmetä, minkälaiseen henkilötietojen käsittelyyn suostumus on annettu.
Tietosuojalain 6 §:ään on sisällytetty poikkeus, jonka mukaan erityisten henkilötietoryhmien tietojen käsittelykielto ei sovelleta tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn, eikä tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta.
Käsiteltäessä henkilötietoja yllä tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on kuitenkin toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat muun muassa toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty ja käsittely perustuu asianmukaiseen tutkimussuunnitelmaan sekä tietosuojaa koskevan vaikutustenarvioinnin laatiminen.
Henkilötunnuksen käsittely
Kansallisen tietosuojalain 29 §:n mukaan henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:
- laissa säädetyn tehtävän suorittamiseksi;
- rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai
- historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
Tavallinen käytäntö suomalaisten säätiöiden keskuudessa on, että henkilötunnusta ei pyydetä apurahan hakuvaiheessa, vaan vasta apurahapäätöksen jälkeen, apurahan maksamista varten, niiltä hakijoilta, joille apuraha on myönnetty.
Henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.
4. HENKILÖTIETOJEN KÄSITTELYN PROSESSI APURAHOJEN JAOSSA
Säätiö käsittelee apurahojen hakuun ja jakoon liittyviä henkilötietoja seuraavan prosessin mukaan:
- Tietojen kerääminen:
Säätiö kerää henkilötietoja ottaessaan vastaan apurahahakemuksia.- Tässä yhteydessä säätiö ilmoittaa luvussa 7 mainitut tiedot apurahanhakijalle.
- Suostumukset
Jos säätiö käyttää suostumusta henkilötietojen käsittelyperusteena, suostumus on saatava jo tietojen keräämisen yhteydessä. Säätiö määrittelee, mitä tietoja apurahanhakijasta tarvitaan apurahahakemusten asianmukaista arviointia varten ja millaista suostumusta apurahanhakijalta pitää vaatia.- Säätiö voi tässä yhteydessä muun muassa pyytää luvussa 11 mainitun suostumuksen julkistaa apurahansaajiensa nimet verkossa.
- Asiakirjahallinto
Säätiö järjestää asiakirjahallintonsa siten, että asetuksen vaatimukset apurahahakemusten käsittelylle, käsittelijöiden määrän rajoittamiselle ja tietojen säilyttämiselle täyttyvät koko käsittelyprosessin (kohdat 1-7) aikana. Hyvällä asiakirjahallinnolla säätiö varmistaa myös sen, että apurahahakijan (rekisteröidyn) oikeudet toteutuvat; tietopyyntöihin vastataan asianmukaisesti, virheelliset tiedot oikaistaan ja pyydettäessä tiedot poistetaan. - Tietojen käsittely
Tietojen varsinaista käsittelyä tapahtuu hakemuksia arvioitaessa ja apurahojen maksua järjestettäessä. Tässä vaiheessa säätiö huolehtii siitä, että vain oikeutetut henkilöt pääsevät tietoja käsittelemään ja että tietoja käsitellään vain siinä laajuudessa kuin arvioinnin tekemiseksi on tarpeen.
- Säätiö ylläpitää luvussa 9 mainittua selostetta vastuullaan olevista käsittelytoimista
- Tietojen säilyttäminen
Apurahojen jaon jälkeen säätiö säilyttää kerätyt tiedot asianmukaisesti ja määrittelee tiedoille säilytysajan. - Tietopyyntöihin vastaaminen
Säätiö laatii valmiiksi periaatteet ja menettelytavat, joilla se vastaa rekisteröityjen tai tietosuojavaltuutetun pyyntöihin ja vaatimuksiin rekisteriensä sisältöä koskien. - Tietojen hävittäminen
Apurahapäätösten tekemisen jälkeen säätiö arvioi, onko tarvetta ja asetuksen mukaisia perusteita rahoittamatta jääneiden apurahahakemusten säilyttämiseksi. Jos ei, hakemukset hävitetään. Rahoitusta saaneille hakemuksille määritellään säilytysaika, jonka jälkeen ne hävitetään.
5. TIETOJEN ELINKAAREN HALLINTA
Säätiö suunnittelee apurahahakuihin ja -myöntöihin liittyvät toimenpiteet, käsittelyprosessit ja niihin liittyvät asiakirjat asetuksen ja hyvän tiedonhallintatavan näkökulmasta. Prosessin kuvauksessa kerrotaan:
- miten apurahan haku tulee vireille ja miten siitä tiedotetaan
- mitä toimenpiteitä käsittelyvaiheisiin liittyy
- miten apurahojen myöntämisestä päätetään
- mitä asiakirjoja ja tietoja missäkin vaiheessa syntyy, kertyy tai hankitaan
- miten asiakirjoja ja tietoja käsitellään, talletetaan, rekisteröidään ja säilytetään sekä
- miten apurahapäätöksistä tiedotetaan.
6. SÄÄTIÖISSÄ KÄSITELTÄVÄT HENKILÖTIEDOT JA NIIDEN MUODOSTAMAT REKISTERIT
Apurahasäätiöiden henkilörekisterit ovat useimmiten apurahajärjestelmien muodostamia. Lähettäessään apurahahakemuksia hakijat luovuttavat säätiölle itseään koskevia henkilötietoja, joista muodostuu laissa ja asetuksessa tarkoitettu rekisteri.
Säätiöillä on – yritysten tapaan – myös muita asetuksessa tarkoitettuja rekistereitä esimerkiksi työntekijöistä tai yhteistyökumppaneista. Muita mahdollisia rekistereitä voi muodostua myös lahjoittajista ja säätiön lähipiiriin kuuluvista tahoista. Markkinointia tai muuta tiedotusta varten käytetyt, henkilötietoja sisältävät postitus- ja yhteystietolistat muodostavat niin ikään asetuksen tarkoittaman rekisterin.
Jokaisen rekisterin käsittelemistä varten vaaditaan asianmukainen käsittelyperuste, oli kyseessä sitten markkinointi-, lähipiiri-, henkilöstö- tai mikä tahansa muu henkilötietoja sisältävä rekisteri. Jos rekisteröitynyt on itse tilannut esimerkiksi säätiön uutiskirjeen, käsittelyperusteena käsittelyyn on henkilön itsensä antama suostumus: hän on tilannut uutiskirjeen ja haluaa sen antamaansa sähköpostiin tai postiosoitteeseen.
Muiden kuin tilauksen (suostumuksen) perusteella muodostettujen rekistereiden, esimerkiksi postituslistojen, osalta on edelleen jossain määrin epäselvää, millaisia perusteita henkilötietojen käsittelylle asetus antaa. Aikaisemmin voimassa olleen henkilötietolain mukaan esimerkiksi suoramainontaan tai mielipide- ja markkinatutkimuksiin saa kerätä ja tallettaa henkilötietoja, jollei rekisteröity ole kieltänyt sitä ja jos henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen. Rekisteri ei kuitenkaan saa tietosisältönsä vuoksi vaarantaa rekisteröidyn yksityisyyden suojaa tai sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä, eikä rekisteriä saa käyttää rekisteröidyn työtehtäviin liittyvän informaation lähettämiseen.
Jokaisessa säätiössä erikseen arvioitava, minkälaisten viesti- tai postituslistojen ylläpitämiselle on olemassa asianmukainen peruste.
7. REKISTERINPITÄJÄN VELVOLLISUUDET
Asetuksen 24 artiklan 1 kohdassa määritellään rekisterinpitäjän vastuu tietosuoja-asetuksen noudattamisen osalta: ”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.”
Tietosuoja-asetuksessa rekisterinpitäjän velvoitteiden määräytymiseen on omaksuttu riskiperusteinen lähestymistapa. Tämä tarkoittaa, että velvoitteet ja asianmukaiset suojatoimet on suhteutettava henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Tällä pyritään välttämään matalariskisen toiminnan ylisääntelyä ja suhteuttamaan tarpeelliset toimenpiteet riskin suuruuteen.
Henkilötietojen käsittelyketju tulee varmistaa siten, että vain tietoon oikeutetut voivat käyttää ja käsitellä tietoja. Säätiö rekisterinpitäjänä huolehtii tarpeellisista toimenpiteistä suojatakseen henkilötiedot asiattomalta pääsyltä tietoihin ja muulta laittomalta käsittelyltä. Käytännössä suojaustoimenpiteisiin voi kuulua esimerkiksi suojattujen tiedonsiirtoyhteyksien käyttö, salasanoin suojatut tietokannat ja paperisten arkistojen säilyttäminen lukituissa tiloissa.
Rekisterinpitäjän on tehtävä perusteellinen arvio henkilötietojen käsittelyyn liittyvistä riskeistä. Asetuksessa riskeillä tarkoitetaan rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa identiteettivarkauteen, petokseen, taloudellisiin menetyksiin tai sosiaaliseen vahinkoon. Riskit ovat tavanomaista korkeampia esimerkiksi silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja, heikossa asemassa olevien tietoja tai kun apurahojen hakuprosessin yhteydessä käsitellään suuria määriä henkilötietoja ja käsittely koskee suurta rekisteröityjen määrää.
Henkilötietoja kerättäessä toimitettavat tiedot
Säätiö kerää henkilötietoja tyypillisesti siinä vaiheessa, kun apurahanhakijat täyttävät hakemuksensa. Asetuksen mukaisesti rekisterinpitäjän on henkilötietoja saadessaan toimitettava rekisteröidylle kaikki seuraavat tiedot:
- rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot
- mahdollisen tietosuojavastaavan yhteystiedot
- henkilötietojen käsittelyn tarkoitus sekä käsittelyn oikeusperuste
- rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi
- henkilötietojen vastaanottajat tai vastaanottajaryhmät
- ilmoitus, mikäli rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle – ja selostus tietosuojan riittävyydestä
Lisäksi rekisterinpitäjän on henkilötietoja saadessaan toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi:
- henkilötietojen säilytysaika – tai vähintäänkin säilytysajan määrittämiskriteerit
- rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista, poistamista tai käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
- oikeus peruuttaa suostumus, milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten
- oikeus tehdä valitus valvontaviranomaiselle
- onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus, onko rekisteröidyllä velvollisuus toimittaa henkilötiedot ja mitkä ovat tietojen antamatta jättämisen mahdolliset seuraukset
- tieto siitä, tekeekö rekisterinpitäjä automaattista päätöksentekoa sekä tiedot automaattiseen käsittelyyn liittyvästä logiikasta, merkittävyydestä ja mahdollisista seurauksista rekisteröidylle
Apurahanhakijoiden täytyy siis olla tietoisia yllä mainituista asioista jo toimittaessaan henkilötietojaan säätioille. Sen vuoksi säätiöiden on mainittava tiedot hakuohjeistuksensa yhteydessä. Tiedot voidaan antaa osana tietosuojaselostetta (kts. Luku 9). Asetuksen asettaman vaatimuksen täyttymiseksi ei riitä, jos tiedot toimitetaan hakemuksen jättämisen jälkeen.
Vaikutustenarviointi
Rekisterinpitäjällä on tietyissä olosuhteissa velvollisuus laatia tietosuojaa koskeva vaikutustenarviointi. Tietosuoja-asetuksen mukaan vaikutustenarviointi on pakollinen vain, jos käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Todennäköinen korkea riski syntyy käsittelyssä, joka liittyy rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen arviointiin tai pisteytykseen. Rekisterinpitäjien on jatkuvasti arvioitava ja ennakoitava käsittelytoimiensa aiheuttamia riskejä.
Asetuksessa määritellään vähimmäisvaatimukset tietosuojaa koskevalle vaikutustenarvioinnille. Nämä ovat:
- kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista
- arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta
- arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä
- suunnitellut toimenpiteet
- riskeihin puuttumiseksi
- sen osoittamiseksi, että asetusta on noudatettu
Asetuksessa ei vaadita tietosuojaa koskevan vaikutustenarvioinnin julkaisemista, vaan julkituonnista päättää rekisterinpitäjä. Rekisterinpitäjien on kuitenkin syytä harkita vaikutustenarvioinnin julkaisemista ainakin osittain. Julkaistavana versiona voi olla vaikkapa arvioinnin yhteenveto ja keskeiset päätelmät.
Tietotilinpäätös
Tietotilinpäätös on organisaation laatima vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä. Tietotilinpäätöstä voidaan hyödyntää yhtenä keinona tietosuoja-asetuksen osoitusvelvollisuuden (”accountability”) täyttämiseksi, eli osoituksena siitä, että asetuksen vaatimuksia noudatetaan.
8. REKISTERÖIDYN OIKEUDET
Rekisterinpitäjän velvollisuutena on turvata rekisteröidyn oikeudet. Säätiöiden on varmistuttava siitä, että henkilötietojen käsittelyyn liittyvät prosessit ja tietojärjestelmät sopeutetaan tietosuoja-asetuksen tuomiin muutoksiin myös rekisteröityjen oikeuksien osalta.
Asetuksessa on säädetty uusista rekisteröidyn oikeuksista. Ne vastaavat kuitenkin suurelta osin rekisteröidyn aikaisempia oikeuksia, mutta asetuksessa oikeuksien toteuttamiseen liittyvä sääntely on yksityiskohtaisempaa.
Oikeus saada läpinäkyvää informaatiota henkilötietojen käsittelystä
Rekisterinpitäjän on pyydettäessä toimitettava rekisteröidylle kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.
Rekisterinpitäjän on kuukauden kuluessa pyynnön vastaanottamisesta kerrottava rekisteröidylle, mihin toimenpiteisiin tehdyn pyynnön johdosta on ryhdytty. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on mahdollisuuksien mukaan toimitettava sähköisesti, paitsi jos rekisteröity toisin pyytää.
Ilmoittaminen ja pääsy henkilötietoihin
Asetuksen nojalla rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista sekä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja. Rekisteröidyllä on myös oikeus saada pääsy henkilötietoihinsa ja tieto käsittelyn tarkoituksesta, henkilötietojen suunnitellusta säilytysajasta tai säilytysajan määrittämiskriteereistä.
Apurahanhakijalla on lähtökohtaisesti oikeus saada jäljennös kaikista itseään koskevista tiedoista, mutta useimmat apurahasäätiöt eivät perinteisesti ole luovuttaneet hakijoille tietoja apurahahakemusten arvioitsijoiden tai lausunnon antajien kommenteista. Jos säätiö ei anna kirjallisia arvioita tai lausuntoja hakijoille, on asia mainittava ja perusteltava säätiön tietosuojaselosteessa. Tilanteessa voi tehdä esimerkiksi punnintaa lausunnonantajan ja apurahansaajan etujen välillä. On perusteltua tulkita, että lausunnon antajan etu (oikeus antaa rehellinen mielipide, joka päätyy vain apurahojen jaosta päättävien tietoon) ohittaa tässä yksittäisessä tapauksessa apurahanhakijan edun.
Säätiöiden kannattaa joka tapauksessa kertoa hakijoille apurahapäätösten teon yleiset kriteerit. Säätiöt voivat myös esimerkiksi ottaa käyttöön pisteytysjärjestelmän, jossa hakijoille annetaan hakemusten saamat yleisarvosanat mutta ei vapaamuotoisia kommentteja.
Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi
Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötietonsa täydennetyiksi.
Rekisteröidyllä on oikeus tulla unohdetuksi eli saada henkilötietonsa poistetuiksi sillä edellytyksellä, että jokin seuraavista perusteista täyttyy:
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin,
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta,
- henkilötietoja on käsitelty lainvastaisesti
Edellä mainittua ei kuitenkaan sovelleta, mikäli käsittely on tarpeen esimerkiksi sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi tai yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ja mikäli poisto-oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti.
Jos velvollisuus tietojen poistamiseen kuitenkin syntyy rekisterinpitäjän julkistettua henkilötiedot, rekisterinpitäjän on ilmoitettava muille henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihinsa liittyvät linkit tai henkilötietojensa kopiot. Rekisterinpitäjä on myös velvollinen ilmoittamaan tietojen poistamisesta kaikille niille tahoille, joille tiedot on toimitettu tai julkistettu.
Oikeus siirtää tiedot järjestelmästä toiseen
Tietojen siirtäminen järjestelmästä toiseen mahdollistaa sen, että rekisteröidyt voivat saada antamansa tiedot, käyttää niitä uudelleen ja siirtää tiedot toiselle rekisterinpitäjälle (joko samalla tai eri alalla toimivalle). Tämä oikeus voi myös tarkoittaa apurahanhakijan pyyntöä siirtää henkilötietonsa toiselle säätiölle. Tietojen siirto-oikeutta ei apurahanhakijalla kuitenkaan lähtökohtaisesti ole silloin, kun käsittely tapahtuu oikeutetun edun perusteella, toisin kuin niissä tapauksissa, jossa tietoja käsitellään sopimuksen tai suostumuksen perusteella.
Oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot. Oikeutta ei siis voi rajoittaa vain niihin henkilötietoihin, jotka rekisteröity on antanut suoraan esimerkiksi sähköisellä lomakkeella. Siirto-oikeus ei koske tietoja, jotka rekisterinpitäjä tuottaa, eli säätiöissä esimerkiksi apurahahakemusten arvioijien laatimia lausuntoja.
Tiedot on voitava siirtää jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista ja mikäli käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan sähköisesti. Tietojen siirtämisen tekniset mahdollisuudet on arvioitava tapauskohtaisesti. Rekisterinpitäjälle ei saa syntyä velvoitetta ylläpitää tietojenkäsittelyjärjestelmiä, jotka ovat teknisesti yhteensopivia muiden rekisterinpitäjien järjestelmien kanssa.
Rekisterinpitäjät toimivat rekisteröidyn puolesta silloin, kun henkilötiedot siirretään suoraan toiselle rekisterinpitäjälle. Jos tiedot lähettävä rekisterinpitäjä ei itse valitse vastaanottajaa, lähettäjä ei ole vastuussa siitä, että tiedot vastaanottava rekisterinpitäjä noudattaa tietosuojalainsäädäntöä.
Säätiöiden on asetuksen mukaan toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on siirtopyynnön perusteella ryhdytty. Tiedot toimitetaan ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Monimutkaisissa tapauksissa siirtoaika voidaan pidentää enintään kolmeen kuukauteen, jos rekisteröidylle on ilmoitettu viivästyksen syistä kuukauden kuluessa alkuperäisestä pyynnöstä.
Neuvottelukunta suosittelee, että säätiöt määrittelevät suojatoimia sen varmistamiseksi, että rekisteröidyn etu toteutuu. Säätiöt voivat esimerkiksi varmistaa, että siirretyt henkilötiedot ovat rekisteröidyn toiveen mukaisia. Tämä voidaan tehdä pyytämällä rekisteröidyltä vahvistus joko ennen siirtoa tai jo silloin, kun alkuperäinen suostumus käsittelyyn annetaan tai sopimus tehdään. Neuvottelukunta suosittelee myös, että säätiöt ja niiden sidosryhmät kehittävät yhteensopivia menettelytapoja, jotta oikeus tietojen siirtämiseen järjestelmästä toiseen voidaan täyttää.
Vastustamisoikeus
Asetus takaa rekisteröidylle oikeuden vastustaa henkilötietojensa käsittelyä tietyissä tilanteissa. Vastustamisoikeus liittyy vain osaan käsittelyperusteista. Se kattaa käsittelyn, joka perustuu esimerkiksi yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän oikeutetun edun toteuttamiseen. Tällöin esimerkiksi apurahansaaja voi vastustaa itseään koskevien henkilötietojen käsittelyä markkinointitarkoituksiin.
Rekisterinpitäjä ei vastustamistilanteissa saa jatkaa henkilötietojen käsittelyä, jollei pysty osoittamaan, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Vastustamisoikeus on saatettava rekisteröidyn tietoon viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
Automatisoidut yksittäispäätökset ja profilointi
Asetuksen mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai muita merkittäviä vaikutuksia. Rekisteröidyllä on oikeus vaatia, että tiedot käsittelee luonnollinen henkilö sekä oikeus esittää oma kantansa asiaan ja riitauttaa tehty päätös.
Tästä periaatteesta saa poiketa esimerkiksi silloin, kun päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen. Säätiöt voivat siis käsitellä apurahahakemuksia automaattisesti, jos siihen on saatu suostumus. Mikäli lopullisen päätöksen apurahojen jaosta kuitenkin tekee ihminen, joka ottaa huomioon myös muita tekijöitä, päätöksen ei katsota perustuneen ainoastaan automaattiseen käsittelyyn. Säätiöissä apurahaprosessiin sisältyy käytännössä aina viimeistään loppuvaiheessa ihmisen tekemä arviointi ja säätiön toimielimen tekemä päätös, jolloin ei ole kyse pelkästä automaattisesta käsittelystä.
9. SELOSTE KÄSITTELYTOIMISTA JA TIETOSUOJASELOSTE
Tietosuoja-asetuksen mukaan rekisterinpitäjien ja henkilötietojen käsittelijöiden on pääsääntöisesti ylläpidettävä selostetta vastuullaan olevista henkilötietojen käsittelytoimista. Velvollisuus tarkoittaa käytännössä sitä, että rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva tekemänsä henkilötietojen käsittelytoimet. Seloste auttaa rekisterinpitäjää ja käsittelijää paitsi osoittamaan henkilötietojen käsittelytoimet, myös noudattamaan lainsäädäntöä. Selosteella on näin ollen läheinen yhteys osoitusvelvollisuuteen siitä, että käsittelytoimet ovat asetuksen mukaisia. Seloste käsittelytoimista on organisaation sisäinen asiakirja. Se toimii apuvälineenä henkilötietojen käsittelyn hahmottamisessa, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti.
Selosteen on asetuksen mukaan oltava kirjallisessa muodossa; myös sähköinen muoto kelpaa. Seloste on pyydettäessä toimitettava viranomaiselle. Asetuksen voimaantultaessa voimassa ollut henkilötietolaki, ja sen mukaisen rekisteriselosteen tietosisältö vastaa hyvin pitkälti yleisen tietosuoja-asetuksen mukaisen selosteen sisältöä. Näin ollen on edelleen mahdollista käyttää tietosuojavaltuutetun rekisteriselosteen kaltaista lomakepohjaa asetuksen mukaisen velvoitteen täyttämiseksi, kunhan tietosisältö on päivitetty vastaamaan kyseisen artiklan vaatimuksia.
Selosteen on käsitettävä kaikki seuraavat tiedot:
- rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
- käsittelyn tarkoitukset
- kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
- henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat
- tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat
- mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
- mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista
Vaaditut tiedot voidaan ryhmitellä seuraavasti:
Pakolliset tiedot
- rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
- käsittelyn tarkoitukset
- kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
- henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat
Tarvittaessa annettavat tiedot
- tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat
Mahdollisuuksien mukaan annettavat tiedot
- eri tietoryhmien poistamisen suunnitellut määräajat
- yleinen kuvaus asetuksen tarkoitetuista teknisistä ja organisatorisista turvatoimista
Asetuksen mukaan velvollisuus ylläpitää selostetta ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää – poikkeuksina kuitenkin seuraavat tilanteet: käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu erityisiin tietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.
Neuvottelukunta suosittelee, että säätiöt joka tapauksessa laativat tekemistään käsittelytoimista selosteet. Tietosuojavaltuutetun toimiston verkkosivulla on julkaistu asiasta ohje Näin laadit tietosuoja-asetuksen edellyttämän selosteen käsittelytoimista.
Tietosuojaseloste
Säätiön tulee laatia tietosuojaseloste, joka julkaistaan säätiön verkkosivulla. Jos apurahahaku tapahtuu verkossa, on tietosuojaseloste julkaistava haun yhteydessä. Tietosuojaselosteen avulla rekisterinpitäjä täyttää velvollisuutensa antaa rekisteröidylle riittävästi informaatiota. Selosteessa eritellään luvussa 7 mainitut henkilötietoja kerättäessä toimitettavat tiedot, ja selosteen avulla hoidetaan asetuksen artiklan 12 vaatima läpinäkyvä informointi, viestintä ja yksityiskohtaisten tietojen anto rekisteröidyn oikeuksista. Lisäksi selosteessa kerrotaan artiklan 14 mukaisesti, miten menetellään silloin, kun henkilötietoja ei ole saatu rekisteröidyltä itseltään, vaan tiedot on saatu tai kerätty jostain muualta. Tietosuojaseloste voi myös sisältää muuta tietoa säätiön soveltamista menettelytavoista sekä tietoja käsittelytoimien selosteesta.
10. HENKILÖTIETOJEN LUOVUTTAMINEN TOISILLE OSAPUOLILLE
Apurahamyöntöjen luovuttaminen muille säätiöille
Apurahanhakijalta voidaan pyytää suostumusta siihen, että tieto hänelle myönnetystä apurahasta voidaan luovuttaa toiselle säätiölle. Säätiöiden keskinäisen tiedonvaihdon edistämistä ja päällekkäisten apurahamyöntöjen välttämistä varten apurahojen hakulomakkeisiin voidaan lisätä valittavaksi kohta: ”Apurahanhakija antaa suostumuksensa siihen, että tieto hänelle myönnetystä apurahasta ja sen määrästä voidaan luovuttaa toiselle säätiölle, josta hän on hakenut apurahaa.” Henkilölle, jolta suostumusta pyydetään, tulee antaa harkinnan pohjaksi tieto kaikesta suunnitellusta henkilötietojen käsittelystä eli myös luovuttamisesta ulkopuolisille (jos tietoja luovutetaan: mitä tietoja luovutetaan, kenelle ja mihin käyttötarkoituksiin). Tietoja luovutetaan vain siinä määrin kuin on tarpeen.
Apurahansaajien tietojen luovuttaminen viranomaisille
Apurahapäätösten teon jälkeen säätiö on tietyin edellytyksin velvollinen ilmoittamaan apurahansaajien henkilötiedot ja apurahojen suuruudet eläkevakuutusyhtiölle ja verottajalle. Näiden tietojen luovuttamisesta kerrotaan henkilötietojen käsittelytoimia dokumentoivassa selosteessa.
11. APURAHAMYÖNTÖJEN SÄHKÖINEN JULKAISEMINEN
Luottamus säätiöihin perustuu niiden toiminnan avoimuuteen ja läpinäkyvyyteen. Apurahoja myöntäessään säätiöt noudattavat määrittelemiään rahoituskriteerejä ja saattavat ne avoimesti hakijoiden ja muiden tiedoksi.
Neuvottelukunta suosittaa, että säätiöt julkistaisivat apurahansaajiensa nimet painetun toimintakertomuksen lisäksi myös kotisivuillaan. Säätiö voi perustella apurahansaajien nimien julkistamista yleisellä edulla; yhteiskunnan täytyy saada tietää, mihin säätiöt omaisuuttaan käyttävät. Säätiö voi myös pyytää apurahansaajilta suostumuksen nimien julkaisemiseen. Tällöin hakulomakkeeseen lisätään kohta, jolla apurahansaaja myöntää luvan julkaista nimensä verkossa. Tieto nimien julkistamisesta on joka tapauksessa kerrottava tietosuojaselosteessa.
Apurahansaajien nimien ja hankkeiden otsikoiden julkaisemisen tarkoitus on viestiä säätiön toiminnasta ja alan kehittämisestä. Apurahansaajien nimien julkistamisella ehkäistään myös epäilyksiä niin säätiöiden lähipiirien suosimisesta kuin liian suppeasta yleishyödyllisyydestä. Apurahanhakijoiden listat sen sijaan ovat luottamuksellisia.
Vastaan saattaa tulla yksittäisiä tilanteita, joissa tutkijan nimen julkaiseminen ei esimerkiksi tutkimusaiheen arkaluontoisuuden takia ole ihanteellista. Säätiöissä tiedetään parhaiten, milloin nimien julkaisematta jättäminen on asiallisesti perusteltua, ja asian arvioinnin perusteina käytetään muun muassa tasa-arvon ja syrjimättömyyden periaatteita. Säätiöillä ei ole velvollisuutta julkistaa kaikkia nimiä verkossa.
Säätiön ohjeissa apurahanhakijalle kerrotaan, miten myönnetyistä apurahoista tiedotetaan. Tyypillisesti säätiö lähettää myönteisistä päätöksistä henkilökohtaisen kirjeen tai sähköpostin sekä julkistaa luettelot apurahansaajista verkkosivuillaan ja painetussa vuosikertomuksessaan. Kielteisistä päätöksistä voi tiedottaa harkinnanvaraisesti.
Säätiön virallisessa toiminta- tai vuosikertomuksessa kerrotaan aina kaikkien apurahansaajien nimet. Oikeus tulla mainitsematta jätetyksi koskee lähinnä verkkoympäristöä.
12. HENKILÖTIETOJEN ARKISTOINTI JA HÄVITTÄMINEN
Arkistot syntyvät toiminnan tuloksena ja sivutuotteena. Arkistoon kuuluvat asiakirjat ovat joko saapuneet säätiölle, syntyneet sen tehtävien hoidossa tai ovat sen laatimia. Alkuperäiset asiakirjat voivat olla paperisia tai sähköisiä. Asiakirjahallinnon periaatteet kannattaa kirjata siten, että ne ohjaavat säätiön toimintaa koskevien tietojen vastaanottamista, tuottamista, tallentamista, säilytysarvon määrittelyä (mikä tieto on arkistoinnin arvoista) ja sen varmistamista, että tiedot ovat käytettävissä siihen tarkoitukseen, jota varten ne on kerätty ja tallennettu. Arkistointia taas ohjaa säätiön itsensä laatima arkistonmuodostussuunnitelma tai arkistointiohje.
Sähköisesti tuotettu tieto myös säilytetään sähköisesti. Vain pysyvästi säilytettävä aineisto tulostetaan tarvittaessa paperille. Säätiön hyvän hallinnon suositusten mukaisesti kielteisten apurahapäätösten osalta säätiön on harkittava, voidaanko hakemukset hävittää heti vai onko hakemusten tallentamiseen syytä historiatietojen säilyttämisen tai valvonnallisten syiden vuoksi. Myönnettyjen apurahojen osalta säätiön täytyy voida tarkistaa hakemuksen tietoja rahoitettavan hankkeen päättymiseen ja siitä raportointiin saakka. Myönteisiin päätöksiin johtaneet hakemukset säilytetään vähintään kymmenen vuotta apurahan käytöstä saadun raportin jälkeen.
Asetuksen hengen mukaan kaikille tiedoille pitää määritellä tallennusaika. Jos tarkan ajan ilmoittaminen ole mahdollista, ainakin tallennusajan määrittämiskriteerien täytyy olla selvillä. Määräajan kuluttua tiedot poistetaan verkosta ja paperilla olevat tiedot tuhotaan. Tiedon säilyttämisen tarpeellisuus on aina perusteltava – jos säilyttämisperustetta ei voida määritellä, tieto hävitetään. Tietoja ei pidä säilyttää ”varmuuden vuoksi”. Henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten säädettävien määräaikojen noudattaminen on varmistettava menettelysäännöillä.
13. TIETOTURVALOUKKAUS
Tietosuoja-asetuksessa rekisteripitäjän uutena velvollisuutena on ilmoittaa henkilötietojen tietoturvaloukkauksista tietosuojaviranomaiselle ja rekisteröidylle. Tietoturvaloukkauksella tarkoitetaan henkilötietojen vahingossa tapahtuvaa tai lainvastaista tuhoamista, häviämistä, muuttamista, luvatonta luovuttamista taikka pääsyä tietoihin.
Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys. Myös henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä.
Ilmoituksessa tietoturvaloukkauksesta on kuvattava tapahtunut tilanne ja sen todennäköiset seuraukset sekä mahdollisuuksien mukaan rekisteröityjen ryhmät ja arvioidut lukumäärät. Lisäksi on kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut tietoturvaloukkauksen johdosta ja tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Tietoturvaloukkauksesta on myös ilman aiheetonta viivytystä ilmoitettava rekisteröidyille, jos luonnollisten henkilöiden oikeuksille ja vapauksille koituu korkea riski. Rekisteröidyille tehtävässä ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä muun muassa henkilötietojen tietoturvaloukkauksen luonne ja sen todennäköiset seuraukset.
Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, niiden vaikutukset sekä toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että asetuksen tietoturvaloukkaukseen liittyviä sääntöjä on noudatettu.
Tietoturvavaltuutettu on ehdottanut, että organisaatioissa tulisi suunnitella, miten mahdollinen tietoturvaloukkaus tunnistetaan, ilmoitetaan, selvitetään ja dokumentoidaan, jotta organisaatio pystyy toimimaan tehokkaasti vahingon minimoimiseksi ja toimintakykyisyyden palauttamiseksi. Eri tilanteita varten tulisi laatia toimintaohjelmat, minkä lisäksi tulisi huolehtia henkilöstön osaamisesta kriisitilanteessa.
Lisätietoja tietosuojasta ja hyvästä tietojenkäsittelytavasta antaa tietosuojavaltuutetun toimisto.
www.tietosuoja.fi
14. MÄÄRITELMÄT
Hallinnollinen sakko
Valvontaviranomainen voi määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle sakon tietosuoja-asetuksen vaatimusten laiminlyönnistä. Sakon suuruus määräytyy rikkomuksen luonteen perusteella. Sakko ei ole luonteeltaan rikosoikeudellinen.
Henkilötieto
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus, kuva, biometrinen tai geneettinen tieto). Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Henkilötietojen erityiset tietoryhmät, ”arkaluonteiset henkilötiedot”
Tiedot, joista ilmenee etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettisiä tietoja, terveyttä koskevia tietoja tai seksuaaliseen käyttäytymiseen liittyviä tietoja. Erityisiä tietoryhmiä koskeva käsittely on erikseen säänneltyä.
Henkilötietojen käsittelijä
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.
Henkilötietojen käsittely
Kaikenlaiset toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, käyttö, luovuttaminen, levittäminen tai saattaminen muutoin saataville, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen ja hävittäminen.
Henkilötietojen tietoturvaloukkaus
Tietoturvaloukkaus, jonka seurauksena on henkilötietojen lainvastainen käsittely. Loukkauksesta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai saanti.
Osoitusvelvollisuus
Osoitusvelvollisuuden (”accountability”) avulla organisaation tulee kyetä osoittamaan, että se on huolehtinut seuraavista henkilötietojen käsittelyn osa-alueista:
- lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- käyttötarkoitussidonnaisuus
- tietojen minimointi
- täsmällisyys
- säilytyksen rajoittaminen ja
- eheys ja luottamuksellisuus.
Eräs keino osoittaa tämä on toteuttaa edellisten tietojen perusteella laadittava tietotilinpäätös.
Rekisterinpitäjä
Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa märittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Oletusarvoinen tietosuoja
Rekisterinpitäjän tulee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt, jotta mm.
- oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
- tietoja ei kerätä eikä säilyttää suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
- Henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville
- taataan rekisteröityjen oikeuksien toteutuminen
Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun.
Tietosuoja
Yksityisyyden suojaaminen henkilötietoja käsiteltäessä.