Huomenna esimerkiksi suomalaisten yhdistysten pitää viimeistään ottaa huomioon voimaan astuva EU:n yleinen tietosuoja-asetus GDPR (General data protection regulation), joka määrittelee, miten henkilötietoja saa ja pitää käsitellä.

Asetus koskee viranomaisten ja hallintoelinten lisäksi kaikkia organisaatioita, jotka keräävät henkilötietoja. Henkilötiedoiksi lasketaan tiedot, joilla joku tietty ihminen voidaan yksilöidä, ja tällaisia ovat esimerkiksi nimet, osoitteet, terveystiedot tai sähköpostiosoitteet.

Suomen yhdistyslaki velvoittaa yhdistyksiä ylläpitämään jäsenluetteloa, joten asetus vaatii toimenpiteitä kaikilta suomalaisilta yhdistyksiltä. Lisäksi se koskee esimerkiksi sähköpostilistojen ylläpitäjiä, asunto-osakeyhtiöitä ja monia pienyrityksiä.

Miten asetusta sitten noudatetaan? Useita sosiaali- ja terveysalan yhdistyksiä asian tiimoilta kouluttaneen lakimies Maarit Päivikkeen mukaan organisaation pitää ensin kirjata ylös sisäinen dokumentaatio, jossa käydään läpi, mitä henkilötietoja yhdistys kerää ja miten se niitä käsittelee. Dokumentaatiossa suunnitellaan, miten tietoturvasta pidetään huolta ja perustellaan, mihin juuri kerättyjä tietoja käytetään.

Muutosten pitää myös näkyä tiedonkeruussa: esimerkiksi jäsenlomakkeet pitää päivittää kertomaan, mitä tiedoilla tehdään.

Kun organisaatio tietää, mitä se aikoo tehdä henkilötiedoilla, sen tulee Päivikkeen mukaan kertoa asiasta ihmisille, joiden henkilötietoja sillä on. Ihmisten tulee saada selvää siitä, mitkä tiedot organisaatiolla on ja mihin niitä käytetään.

Olennaista asetuksessa on se, että organisaatiot saavat käyttää tietoja ainoastaan siihen tarkoitukseen, johon ne on kerätty. Esimerkiksi tapahtuman osallistujille ei siis automaattisesti saa lähettää sähköposteja uusista tapahtumista, ellei tällaisesta mahdollisuudesta ole kerrottu tietoja kerättäessä.

STT