Hyvä tietosuoja on jäsenen oikeus | Ammattiliitto Pro
Valikko
  • Muut Pron verkkopalvelut
Pro+

Hyvä tietosuoja on jäsenen oikeus

26.3.2019 klo 11:07
|

Tietosuoja-asetus tuli voimaan vajaa vuosi sitten ja sitä täydennettiin vuoden 2019 alussa tietosuojalailla. – Uusia ratkottavia asioita tulee pöydälle päivittäin, eivätkä asiat ole aina yksiselitteisiä ja helppoja, kertoo liiton tietosuojavastaava.

Pro Uutiset

Eurooppalainen tietosuoja-asetus eli tuttavallisemmin GDPR tuli voimaan 25. toukokuuta 2018. Ammattiliitto Pro päivitti viime keväänä tietosuojaselosteensa ja ohjeisti myös yhdistyksiä päivittämään jäsenrekisterit asetuksen mukaiseksi kouluttamalla sekä neuvomalla.

Työ tietoturvan eteen ei loppunut toukokuuhun. Pron lakimies Pia Ahosella on takanaan ensimmäinen vuosi liiton tietosuojavastaavana. 

– Tietosuoja-asioista olen oppinut ainakin sen, että koskaan ei ole valmista, vaan tietosuojatyö on jatkuva prosessi ja yhteinen asia koko organisaatiolle.

Liiton tietosuojaryhmä tukena

Vuosi on mennyt pitkälti sopivia toimintatapoja hakiessa sekä erilaisten koulutusten, ohjeistusten ja tulkintakannanottojen parissa.

– Onneksi apunani on toiminut liiton sisäinen Tietosuojaryhmä, jossa on mukana eri toimintojen edustus, kiittelee Ahonen.

Jäsenpalvelulla, samoin kuin uusista ohjelmistoista ja tietohallinnosta vastaavilla on tietosuoja-asioissa keskeinen rooli, joka jatkuvassa organisaatio-, palvelu-, laite- ja ohjeistomyllerryksessä vain korostuu.

– Uusia ratkottavia asioita tulee pöydälle päivittäin, eivätkä asiat ole aina yksiselitteisiä ja helppoja.

Rekisterinpitäjän velvollisuudet ohjaavat toimintaa

Rekisterinpitäjänä liiton on arvioitava toimintaansa riskilähtöisesti, ja otettava henkilötietojen luottamuksellisuuden säilyttämiseksi käyttöön tarvittavat tekniset ja organisatoriset suojatoimet.

– Toisinaan on arvioitava sitä, onko riskitaso jossakin työkalussa tai toiminnossa siedettävä, vai tuleeko siitä luopua välittömästi. Tai onko jokin byrokraattiseksi koettu toimintamalli kuitenkin tietosuojasyistä välttämätön, vaikka siitä aiheutuukin toiminnalle pientä hankaluutta, selventää Ahonen.

Perustellusti voidaan päätyä vuoden päästä toisenlaiseen tulkintaratkaisuun, kun oppia saadaan lisää tai todetaan jokin malli yleisesti käytössä olevaksi ja valvovan viranomaisen hyväksymäksi malliksi.

Tietosuoja-asetuksessa säädetty osoitusvelvollisuus edellyttää tietosuoja-asioiden hyvää dokumentointia.

– Meidän on opeteltava myös siihen, että osana kehittämistyötä ja oppimisprosessia myös mahdolliset virheet ja puutteet tulee kirjata. Tietosuojatyön hallinnointia varten onkin otettu käyttöön omat työkalut ja prosessit, kertoo Ahonen.

Tietosuoja on liiton yhteinen asia

Tietosuoja on ollut suosittu aihe myös prolaisten yhdistysten ja muiden aktiivien tilaisuuksissa.

– Tietosuoja onkin koko liiton yhteinen asia. Kaikkea emme kuitenkaan saa valmiiksi hetkessä, vaan tietosuoja-asioista tiedotetaan ja koulutetaan osin eritahtisesti, Ahonen kertoo.

Ahoselle tulee säännöllisesti myös työnantajan toimintaa koskevia tietosuojakysymyksiä. Työsuhdetta koskevien tietosuojakysymysten määrä onkin lisääntynyt.

– Tämä ehkä myös osaltaan kertoo siitä, että tietosuoja-asioihin on todella havahduttu, ja perusteita eri asioille halutaan selvittää.

Uusi tietosuojalaki täydentää asetusta

Tietosuoja-asetusta täydennettiin vuoden 2019 alussa uudella tietosuojalailla, joka kumosi henkilötietolain. Esimerkiksi työsuhteissa on siis luettava kolmea säädöstä rinnakkain: työelämän tietosuojalakia (laki yksityisyyden suojasta työelämässä), tietosuojalakia ja EU:n tietosuoja-asetusta (GDPR).

– Tämä asettaa yritysten tietosuojavastaaville omanlaisiaan haasteita kokonaisuuksien hallinnassa, ja nimenomaan tietosuoja-asioissa tarvitaankin eri toimintojen välistä yhteistyötä, Ahonen summaa.

Tietosuojalain myötä kaikki GDPR:n valvontatehtävät on keskitetty tietosuojavaltuutetulle ja työmäärän kasvaessa perustettiin kaksi uutta apulaistietosuojavaltuutetun virkaa.

Tietosuojalaissa säädetään myös henkilötunnuksen käsittelystä, salassapitovelvollisuudesta ja eräistä henkilötietojen käsittelyä koskevista poikkeuksista. Näitä poikkeuksia ovat muun muassa tietojenkäsittely tutkimus-, tilastointi- ja arkistointitarkoituksessa.

– Nämä pykälät ohjaavatkin esimerkiksi Pron omaa tutkimustoimintaa ja tietojen säilyttämistä, konkretisoi Ahonen.

Näin asioit turvallisesti 

Turvallisia asiointitapoja ovat

  • sähköinen asiointi Proplussassa (palvelupyynnöt, omien tietojen tarkistaminen),
  • ja verkkosivuilla olevien sähköisten lomakkeiden käyttö ja
  • salatun sähköpostiviestin käyttö (turvasähköposti).

Ammattiliiton jäsenyystieto samoin kuin terveydentilaa koskeva tieto on erityiseen henkilötietoryhmään kuuluva tieto, jonka käsittelyn suhteen on noudatettava erityistä varovaisuutta. Tietosuojalain 36 §:n mukainen vaitiolovelvollisuus koskee jokaista, joka henkilötietoja käsitellessään on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta tai liikesalaisuudesta.

Henkilötietojen lähettäminen suojaamattomassa sähköpostissa sisältää merkittäviä tietosuojariskejä, eivätkä suojaamattomassa sähköpostissa lähetetyt tiedot ole tietosuojavaltuutetun kannanoton mukaan suojassa sivullisilta. Myös eduskunnan oikeusasiamies on ottanut kantaa, ettei salassa pidettäviä tietoja saa lähettää suojaamattomassa sähköpostissa.

Tämän vuoksi liiton henkilöstö käyttää henkilötietoja sisältävässä viestinnässään salattua sähköpostiviestintää. Jokainen voi itse lähettää liitolle haluamansa sisältöisen sähköpostia, mutta vastaamme sinulle pääsääntöisesti turvasähköpostilla tai puhelimitse.

Henkilötietojen käsittelyn periaatteet 
Kaikkea henkilötietojen käsittelyä ohjaavat tietosuoja-asetuksen 5 artiklan periaatteet. Näitä ovat:
– Lainmukaisuus, kohtuullisuus ja avoimuus
– Käyttötarkoitussidonnaisuus
– Täsmällisyys
– Eheys ja luottamuksellisuus
– Tietojen minimointi
– Säilytyksen rajoittaminen

Tietojen oikeellisuuden varmistamiseksi suositeltavaa on kerätä tiedot ensisijaisesti henkilöstä itseltään. Toiminnan kannalta tarpeettomia tietoja ei saa kerätä, vaikka tiedot antaisi henkilö itse! Kerättävien tietojen tarpeellisuus tulee arvioida siitä näkökulmasta, mitä tarkoitusta varten tietoja kerätään ja sen tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Tietoja ei saa käyttää vastoin sitä, mitä varten ne kerätty.

Henkilötunnusta käytetään vain rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien vaatiessa, eikä sitä merkitä tarpeettomasti asiakirjoihin.

Esimerkiksi luottamusmiehet ja yhdistystoimijat saavat Proplussasta tietyin rajoituksin tietoa edustamistaan jäsenistä. Henkilötietoja sisältäviä asiakirjoja ei tule turhaan tulostaa eikä tallentaa esimerkiksi omalle koneelle. Tavallisella sähköpostilla ei lähetetä oma-aloitteisesti jäsenten henkilötietoja. Aktiiveja on ohjeistettu arvioimaan tietosuojaan liittyviä toimintatapojaan säännöllisesti.