BLOGI | 6.4.2016

EU:n tietosuoja-asetus tulee, oletko valmis?

BLOGI | 6.4.2016

Martin Löfman

Juuri kun säätiöissä aletaan tottua uuteen säätiölakiin, seuraava uudistus kurkkii jo nurkan takana.

Ihan vielä ei tarvitsekaan olla… Mutta juuri kun säätiöissä aletaan tottua uuden säätiölain tuomiin muutoksiin, on jo seuraava säätiöitäkin koskeva uudistus nurkan takana. Kyseessä on EU:n tietosuoja-asetus, jonka tavoitteena on luoda Euroopan unionille yhtenäinen ja kattava tietosuojakehys. Euroopan parlamentti, neuvosto ja komissio pääsivät neuvotteluissa sopuun EU:n tietosuojauudistuksesta joulun alla 2015. Asetus sovelletaan siirtymäajan jälkeen 25.5.2018 alkaen.

Mikä EU:n tietosuoja-asetus?

Tietosuojatoimintoja sääntelee tulevaisuudessa EU-tasolla yleinen tietosuoja-asetus. Asetus on suoraan sovellettavaa oikeutta ja koskee kaikkia rekisterinpitäjiä. Rekisterinpitäjän tulee jatkossa kyetä osoittamaan tietosuojatoimintojensa lainmukaisuutta. Säätiöiden osalta tietosuojavaatimukset korostuvat tietysti sosiaali- ja terveysalalla toimivissa säätiöissä mutta myös esimerkiksi lähipiirirekisteriä ylläpitävissä säätiöissä.

Mikä muuttuu?

Tietosuojaan liittyviä kysymyksiä säätelee jatkossa EU-tasolla yleinen tietosuoja-asetus. Monet asetukseen sisältyvät velvoitteet sisältyvät tosin jo nykyisin Suomen henkilötietolakiin. Asetus on jäsenmaissa suoraan sovellettavaa oikeutta ja koskee rekisterinpitäjien kaikkia kansalaisten henkilötietojen käsittelyä. Rekisterinpitäjä voi olla luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin.

Rekisteröidyn oikeuksiin tulee parannuksia muun muassa seuraavissa tilanteissa:

  1. Pääsy omiin tietoihin helpottuu: rekisteröity saa enemmän tietoa siitä, miten hänen tietojaan käsitellään. Tämä tieto on annettava rekisteröidylle selkeällä ja ymmärrettävällä tavalla.
  2. Oikeus siirtää tiedot järjestelmästä toiseen: henkilötiedot on jatkossa entistä helpompi siirtää palveluntarjoajalta toiselle.
  3. Oikeus tulla unohdetuksi: rekisterinpitäjä poistaa tiedot omatoimisesti tai rekisteröidyn pyynnöstä, paitsi jos on olemassa jokin laillinen peruste säilyttää ne.
  4. Oikeus saada tieto omiin tietoihin kohdistuneesta tietomurrosta.

Rekisterinpitäjälle keskeisimpiä uudistuksia asetuksessa on:

  1. Selkeämpiä sääntöjä henkilötietojen käsittelijöiden vastuusta: Seurattava, että henkilötietoja käsitellään jatkuvasti turvallisella tavalla.
  2. On kyettävä osoittamaan tietosuojatoimintojensa lainmukaisuus: organisaatiolle ei riitä, että se noudattaa asetusta, vaan organisaation on pystyttävä osoittamaan, että tietosuojasäännökset huomioidaan rekisterinpitäjän toiminnassa. Tietosuoja-asetuksessa on lähdetty ns. riskipohjaisesta lähestymistavasta.
  3. Rekisterinpitäjille tulee myös ilmoitusvelvollisuus vähäistä suuremmista tietoturvaloukkauksista: Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksista kansalliselle tietosuojaviranomaiselle sekä rekisteröidylle. Tietosuojaviranomaisten toimivaltaa laajennetaan samalla, ja heille tulee huomattavia oikeuksia määrätä sanktioita (mm. sakko ja huomautus).
  4. Tietosuojavastaavan nimitysvelvollisuus laajennetaan: Tietosuojavastaava tulee nimittää ainakin, jos organisaation ydintoiminnot edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä valvontaa tai jos organisaation ydintoiminnot muodostuvat esimerkiksi rekisteröidyn rodullista tai etnistä alkuperää tai uskonnollista vakaumusta koskevien henkilötietojen laajamittaisesta käsittelystä. Tietosuojavastaavan ei tarvitse olla organisaation työntekijä, hän voi olla myös ulkopuolinen konsultti.

Mitä säätiöissä pitää ottaa huomioon?

Erityisesti sosiaali- ja terveysalalla toimivilla säätiöillä on jo nyt vaativa tietosuoja-taso. Säätiöissä on kuitenkin paljon muuta aineistoa, jonka käsittelyä uusi tietosuoja-asetus säätelee tulevaisuudessa. Uuden säätiölain myötä monissa säätiöissä ylläpidetään lähipiirirekisteriä. Lisäksi asetus koskee myös säätiöiden kaikkia muita rekistereitä esim. apurahanhakijoista ja -saajista, lahjoittajista tai työntekijöistä. Näissä rekistereissä olevien tietojen keräämiseen, käsittelyyn ja säilyttämiseen tietosuoja-asetus asettaa rajoituksia. Uudet määräykset on siis muistettava käsiteltäessä esim. arkaluontoisia tietoja apurahahakemusten käsittelyn yhteydessä tai lähipiirirekisteriä laadittaessa. Asetuksen tuomat vaatimukset suhteessa toimintakertomusraportointiin on myös tärkeä ottaa huomioon, ettei kerättyä tietoa pääse vahingossa vuotamaan toimintakertomukseen.

Miten säätiöissä kannattaa valmistautua?

Tulevaan muutokseen kannattaa valmistautua jo nyt. Henkilötietojen käsittelyyn liittyvien toimintatapojen läpikäynti ja muuttaminen uutta asetusta vastaavaksi on hyvä aloittaa ajoissa.

  1. Tee tietosuojakartoitus!
    • Tietääkö säätiön henkilöstö ja johto tietosuojavaatimuksista?
  2. Selvitä, millaista aineistoa säätiössä käsitellään tällä hetkellä ja miten sitä käsitellään sekä miten tiedotetaan rekisteröidylle
    • Hakemukset, lähipiiri, työntekijät ym.
  3. Kenen vastuulle tietosuoja-asiat kuuluvat säätiössäsi?
    • Pitäisikö nimittää tietosuojavastaava jo nyt?
  4. Hoida kartoituksessa esiin tulleet puutteet kuntoon
    • mm. kouluttautumalla.

Neuvottelukunta järjestää jäsenkunnalle tietosuojakoulutusta tulevana syksynä; siitä lisätietoa myöhemmin. Olkaa mielellään yhteydessä, jos kirjoitus aiheuttaa pohdiskeltavaa säätiössänne!

http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/kysymyksiajavastauksia.html

http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

BLOGI | 12.6.2017

Verotusko muuttumassa oikeudenmukaiseksi?

Verokeskustelu on viime aikoina jatkunut kiivaana, kun useat eri tahot ovat esittäneet muutosehdotuksia verotukseen. Suomessa on totuttu siihen, että veroehdotukset tehdään kilpailukyvyn sekä valtiontulojen lisäämiseksi, mutta nyt ollaan liikkeellä jopa oikeudenmukaisuuden nimessä.

Lue koko artikkeli >

BLOGI | 21.3.2017

Tilinpäätös vuoden 2016 säätiösääntelystä on yhtaikaa yli- ja alijäämäinen

Vuosi 2016 toi paljon uutta sääntelyä ja ohjeistusta säätiöiden noudatettavaksi. Epäselvät tulkinnat ylläpitävät epävarmuutta vielä 2017. Silti kansalaisyhteiskunta Suomessa voi hyvin moniin maihin verrattuna.

Lue koko artikkeli >

UUTINEN | 8.12.2016

Rahanpesun ja terrorismin rahoittamisen estäminen säätiöissä ja yhdistyksissä

Rahanpesulainsäädännön kokonaisuudistus tuo uusia vaatimuksia rahanpesun ja terrorismin rahoittamisen estämiseksi. Uudistuksen tärkeimmät muutokset koskevat todellisten edunsaajien tuntemista sekä niiden rekisteröimistä. Vaikutukset säätiöihin ja yhdistyksiin ovat kaiken kaikkiaan suhteellisen pienet.

Lue koko artikkeli >

UUTINEN | 14.10.2016

Minäkö jäävi? Esteellisyyssäännöt säätiöissä ja yhdistyksissä

Esteellisyyssäännökset säätiöiden ja yhdistysten osalta eroavat toisistaan mutta merkittävästi myös hallintolaissa tarkoitetusta esteellisyydestä. Säätiöissä on selvästi kiinnitetty entistä enemmän huomiota esteellisyyteen uuden säätiölain voimaantulon jälkeen. Hyvä niin, koska esteellisyyden sääntelyä onkin tiukennettu uudessa laissa. Säätiölain lisäksi Säätiön hyvä hallinto -opas ohjaa esteellisyyden arviointia.

Lue koko artikkeli >

BLOGI | 4.5.2016

Joukkoistamalla parannusta joukkorahoituslakiin

Uusi joukkorahoituslaki ja vaikuttavuussijoitukset voivat avata hyviä mahdollisuuksia säätiöille uudistaa tukimuotojaan.

Lue koko artikkeli >

BLOGI | 6.4.2016

EU:n tietosuoja-asetus tulee, oletko valmis?

Juuri kun säätiöissä aletaan tottua uuteen säätiölakiin, seuraava uudistus kurkkii jo nurkan takana.

Lue koko artikkeli >

BLOGI | 4.3.2016

Ollako arvonlisävelvollinen vai ei?

Hakeutuminen arvonlisä- eli alv-velvolliseksi on monelle yleishyödylliselle yhteisölle, siis myös säätiölle, taloudellisesti järkevää.

Lue koko artikkeli >

BLOGI | 3.2.2016

Kertomus toiminnasta – kauhutarina vai onnellinen loppu?

Tervetuloa Säätiöiden ja rahastojen neuvottelukunnan ensimmäiseen ”Säätiöille lain lukua” -blogikirjoitukseen.

Lue koko artikkeli >