Nimenhuuto ja EU:n tietosuoja-asetus (GDPR)
Uusi EU:n laajuinen tietosuoja-asetus astuu voimaan toukokuussa 2018. Asetus määrää erityisesti henkilötietojen keräämisestä, käsittelystä ja suojaamisesta. Asetus koskee yritysten lisäksi yhdistyksiä. Kantavana ajatuksena on, että ihminen omistaa omat tietonsa, ja hänellä on sanavaltaa siihen missä ja mitä tietoja hänestä säilytetään. Monet valveutuneet urheiluseurat ovatkin kyselleet asetuksen vaikutuksesta toimintaansa.
Meillä Suomessa on jo aiemmin ollut hyvä henkilötietolaki, eikä GDPR tuo juurikaan uutta sisältöä henkilötietolakia noudattaneille. GDPR:n muutokset täsmentävät vaatimuksia ja antavat viranomaisille mahdollisuuden sakottaa lain rikkojia. Suomessa asetettiin työryhmä pohtimaan GDPR-asetuksen ympärillä tehtäviä lainsäädäntötehtäviä ja erillislain muuttamista. Kesällä 2017 he antoivat työryhmämuistionsa, missä esitettiin kansallisen tietosuojalain säätämistä. Tämä korvaisi nykyisen henkilötietolain.
Ohessa lisätietoa kattavasta selvityksestämme GDPR:n vaikutuksesta käyttäjiimme. Olennaisin tieto on, että Nimenhuuto täyttää GDPR:n vaatimukset. Olemme suomalainen, jo alunperin meikäläisen hyvän henkilötietolain alainen palvelu, ja vuodesta 2016 olemme ottaneet erityisesti GDPR:n huomioon palvelun kehityksessä. Tarjoamme nyt ja vastaisuudessa palvelua, joka on luotettava, tietoturvallinen ja lainmukainen, sekä auttaa osaltaan seuroja täyttämään viranomaisvaatimukset.
Yhdistykset vs kaveriporukat
Tietosuoja-asetus ei aseta velvollisuuksia yksityisille henkilöille. Ihminen saa edelleen pitää "henkilörekisteriä" eli vaikka sukulaisten nimiä ja puhelinnumeroita kännykässään. Jos teillä on oman kaveriporukan kanssa treenivuoro ja joukkueen tiedot Nimenhuudossa, niin mikään ei muutu: teidän ei tarvitse tehdä rekisteriselostetta tai valita tietosuojavastaavaa.
Monet urheiluseurat sen sijaan ovat rekisteröityjä yhdistyksiä. Yhdistys pitää asetuksen tarkoittamaa rekisteriä jäsenistään ja on velvollinen kertomaan rekisterissä oleville muun muassa, mitä tietoja rekisterissä on tallessa, minkä takia ja miten tiedot on kerätty. Yhdistyksellä pitää siis olla tietosuojaseloste.
Yhdistys tai urheiluseura on rekisterinpitäjä. Nimenhuuto on tässä tapauksessa henkilötietojen käsittelijä. Henkilötietojen käsittelijänä meidän vastuullamme on huolehtia erityisesti tietoturvasta ja mm. siitä, että asianosaiset voivat tarkastaa ja halutessaan poistaa omat tietonsa.
Urheiluseuran tai yhdistyksen toiminta
Nimenhuutoa toiminnassaan käyttävä yhdistys pääsee helpolla. Urheiluseuran tai yhdistyksen täytyy ylläpitää tietosuojaselostetta, jossa kerrotaan muun muassa jäsenrekisterissä olevat tiedot ja niiden käyttötarkoitus. Nimenhuutoa käytettäessä selosteeseen tulee lisätä vain esimerkiksi:
- Seura käyttää suomalaista Nimenhuuto.com-palvelua joukkueiden tapahtumista (esim. harjoitukset) tiedottamiseen ja tapahtumiin ilmoittautumiseen.
- Tätä varten Nimenhuuto.com käsittelee osaa seuran henkilötiedoista. Käsiteltävät tiedot on listattu Nimenhuudon sivulla.
- Nimenhuudossa olevat tiedot on huolellisesti suojattu palvelun tietosuojaselosteen mukaisesti.
Nimenhuudon tietokannat sijaitsevat EU-alueella, eikä henkilötietoja siirretä EU:n ulkopuolelle. Joukkueiden manageri-jäsenet voivat listata ja ylläpitää henkilötietoja joukkueen Nimenhuuto-sivulla (valikon kohta Pelaajalista), ja tarvittaessa poistaa henkilön tiedot Nimenhuudosta napin klikkauksella. Nimenhuutoon lisättyjä henkilötietoja ei anneta kolmansille osapuolille.
Tietosuoja-asetus edellyttää tietojen ajantasalla pitämistä. Tässä auttaa Nimenhuudon automatisointi: esimerkiksi jos joku yhteystieto (esim. sähköposti) ei enää toimi, toimimattomuus on merkattu, eikä tietoa enää käytetä. Yhdistyksen on kätevä käydä nämä läpi ja mahdollisesti poistaa henkilöt tai päivittää uudet tiedot.
Tietojen tarkastaminen ja poistaminen
Nimenhuudon käyttäjä voi tarkastaa omat tietonsa kirjautumalla omilla tunnuksillaan joukkueen sivuille ja valitsemalla valikosta oman nimen kohdalta Oma profiili. Samalla sivulla tietoja voi muuttaa ja tallentaa uudet tiedot. Oma profiili -sivun tiedot ovat sekä käyttäjän itsensä että joukkueen manageri-jäsenten luettavissa ja muokattavissa.
Samalla sivulla on Poista oma profiilisi-nappi, jolla saa poistettua omat henkilötietonsa Nimenhuudon tietokannoista. Huom. poistettuja tietoja ei saa enää takaisin, joten klikkaile poistonappia varovasti.
Tietojen julkisuus
Nimenhuudon palvelimet on huolellisesti suojattu ja tietokantaan pääsy rajattu tällä hetkellä vain kahdelle palvelun työntekijälle. Henkilötietojen näkyminen riippuu joukkueen asetuksista, joita joukkueen managerit voivat säätää.
Oletusarvoisesti "julkista" eli kaikille näkyvää henkilötietoa joukkueessa ovat joukkueen jäsenten nimet. "Puolijulkista" ovat joukkueen muille jäsenille näkyvät yhteystiedot ja puhelinnumerot—sekä tietenkin IN/OUT-ilmoittautumisesi ja lisäämäsi tapahtumat. Tällaisille ryhmän sisällä näkyville tiedoille hyvä nimitys voisi olla "puolijulkiset" tiedot muistutuksena siitä, että ryhmän kokoonpano voi muuttua. Tiedot eivät sikäli ole "salaisia", vaan uudet joukkueen uudet jäsenet näkevät nämä tiedot myös. Vain käyttäjälle itselleen näkyvää tietoa ovat sitten mm. se, mihin kaikkiin joukkueisiin käyttäjä kuuluu ja onko käyttäjä ostanut mobiilisovelluksen tilausta.
Tapahtumien, viestien ja tiedostojen julkisuudesta voivat päättää sekä kyseisten tietojen lisääjä että joukkueen managerijäsenet.