Nykyinen henkilötietolaki korvaantuu uudella EU:n yleisellä tietosuoja-asetuksella 25.5.2018. Uusi Tietosuoja-asetus korostaa henkilöiden yksityisyyden suojaan liittyviä oikeuksia. Rekisterinpitäjän on entistä huolellisemmin ja vakavammin suhtauduttava henkilötietojen käsittelyyn niin, että yksityisyyden suoja toteutuu.
Diakoniassa käsitellään henkilötietoja monessa eri laajuudessa aina yksittäisistä tapahtumailmoittautumisista arkaluontoisten tietojen pitkäaikaiseen säilyttämiseen saakka. Tietosuojan toimenpiteet ovat kohtaamiemme henkilöiden suojaksi. Oleellista on pysähtyä hetkeksi tarkastelemaan toimintatapojaan ja kirjata ne ylös.
Henkilötietojen käsittelyn pääperiaatteet
Henkilötietoja tulee käsitellä seuraavien periaatteiden mukaisesti:
- Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
- Käyttötarkoitussidonnaisuus – henkilötietojen keräämisen tulee olla suhteessa toimintaan, jota varten sitä kerätään. Ei kerätä tietoja varmuuden vuoksi eikä varastoon, vaan perusteltavissa olevaa käyttöä varten.
- Tietojen minimointi – kerätään ja talletetaan vain tarpeellinen, asianmukainen ja olennainen tieto
- Täsmällisyys – huolehditaan siitä, että tallennetut henkilötiedot ovat ajantasaisia
- Säilytyksen rajoittaminen – ajallisesti vain käyttötarkoitukseen nähden tarpeellinen aika
- Eheys ja luottamuksellisuus – asianmukainen turvallisuus, jossa huomioidaan sekä tekniset ratkaisut että organisaation toimintatavat
Asetuksen muutos on oiva syy tarkastella omia toimintatapoja ja tehdä tarvittavia täsmennyksiä. Useimmat perusperiaatteet ovat samoja kuin jo tähän saakka. Uusi asetus korostaa edellä mainittujen periaatteiden lisäksi aktiivista tiedottamista. Henkilölle, jonka tietoja käsittelemme, tulee kertoa mm. mihin käyttötarkoitukseen tietoja kerätään, kuinka niitä säilytetään ja milloin ne poistetaan.
Kolmiloikalla maaliin
Tietosuoja-asetuksen vaatimusten täyttäminen ei edellytä ihmeellisiä tai ylitsepääsemättömiä ponnisteluja. Asetus ei estä meitä tekemästä työtämme eikä sen vuoksi tarvitse lopettaa toimintatapoja. Toisaalta meidän ei tule noin vain jatkaa ”niin kuin aina ennen on tehty”. Uusi asetus velvoittaa myös meitä.
- Kartoitus. Pysähdy miettimään, millaisia henkilötietoja työhösi sisältyy. Mitä tarkoitusta varten tietoja keräät, missä niitä säilytät, milloin hävität tiedot? Ovatko nämä toimintatavat jo suoraan uuden asetuksen periaatteiden mukaisia, vai pitäisikö joitakin toimintatapoja muokata? Millä tavalla?
- Henkilötietojen käsittelyohje omalle väelle. Kirjaa, millä tavalla toimitte henkilötietojen osalta siten, että uuden asetuksen periaatteet toteutuvat. Mitä tietoja kerätään, mitä tarkoitusta varten, millä tavalla, miten asianosaisille ihmisille kerrotaan henkilötietojen käsittelystä, miten tietoja säilytetään, ketkä pääsevät tietoja katselemaan, milloin tiedot poistetaan.
- Tietosuojaselosteet ihmisille, joiden henkilötietoja käsitellään. Korvaa aiemman rekisteriselosteen. Tietosuojaselosteen tehtävänä on kertoa henkilörekistereistä, joita diakoniatyöhön kertyy henkilötietojen myötä. Aiemmin riitti, että tietosuojaseloste oli kirjoitettu ja löytyi jostakin, esim. kirkkoherranvirastosta. Uusi asetus edellyttää, että henkilötietojen keräämisestä aktiivisesti kerrotaan. Tietosuojaselosteen voi kirjoittaa toimintatavoittain, esim. ns. asiakastyöhön yksi, vapaaehtoistoimintaan toinen ja tapahtuma / leiri-ilmoittautumisia varten kolmas.
Oikeusperuste määrittelee luvan kerätä ja käsitellä henkilötietoja
Henkilötietojen keräämiselle tarvitaan aina oikeusperuste. Tavallisimmat oikeusperusteet diakoniatyössä ovat:
- Oikeutettu etu. Henkilötietoa tarvitaan, jotta toiminta (diakoniatyön avustustoiminta tms.) voidaan toteuttaa.
- Sopimus. Kun henkilö, jonka tietoja talletetaan, ja seurakunta tekevät (vapaamuotoisenkin) sopimuksen, ja sen toteuttamiseksi tarvitaan henkilötietoja. Esim. leirin, retken tai koulutuksen järjestäminen.
Kummassakaan näistä ei kysytä henkilön suostumusta, vaan hänelle kerrotaan, mihin tarkoituksiin ja miten hänen henkilötietojaan käsitellään.
- Suostumus. Jos mikään muu oikeusperuste ei sovellu, voidaan käyttää suostumusta. Tällöin henkilöltä pyydetään suostumus henkilötietojen käsittelyyn yhtä tai useampaa tarkoitusta varten. Tätä tulisi käyttää vasta viimesijaisena, eli ensisijaisesti perusteena on joko oikeutettu etu tai sopimus.
Terveystiedot nauttivat erityistä suojelua, sillä ne on määritelty arkaluonteisiksi tiedoiksi, joiden käsittely ilman erityistä perustetta on kiellettyä. Tällainen luvan antava erityinen perustelu on esim. terveys- tai sosiaalihuollollinen hoito salassapitovelvollisuuden alaisen ammattilaisen toimesta. Eli esimerkiksi leiriä varten voi edelleen kerätä tietoa sellaisista sairauksista, jotka voivat vaikuttaa leirillä oloon, kunhan näitä tietoja käsittelee tai niiden käsittelystä vastaa vaitiolovelvollinen työntekijä.
Oikeus tulla unohdetuksi ja muut rekisteröidyn oikeudet
Tietosuoja-asetuksen 3. luvussa säädetään rekisteröidyn oikeuksista. Näitä ovat muun muassa oikeus tulla informoiduksi itseään koskevien henkilötietojen käsittelystä, oikeus saada pääsy omiin tietoihinsa, oikeus tietojen oikaisemiseen, oikeus tietojen poistamiseen (oikeus tulla unohdetuksi), oikeus henkilötietojensa käsittelyn rajoittamiseen ja oikeus siirtää tiedot järjestelmästä toiseen.
Useimmat näistä on helppo toteuttaa, kun tietosuojaseloste ja käsittelyohje on asianmukaisesti laadittu ja toiminta on näiden periaatteiden mukaista.
Lisätietoja, ohjeita, lomakepohjia, tukea ja apua on saatavilla
Kirkon Tietosuojasivusto: http://nuotta.evl.fi
Valitse etusivulta Tietosuoja. Lomakkeiden mallipohjat löytyvät kohdasta Miten edetä tietosuojatyössä.
Julkisen alan tietosuojasivusto: http://arjentietosuoja.fi