Henkilötietojen käsittely Pohjoismaisessa hyvinvointikeskuksessa
Taustaa
Pohjoismainen hyvinvointikeskus on voittoa tavoittelematon julkinen yhteistyöelin, joka toimii Pohjoismaiden ministerineuvoston alaisuudessa. Pohjoismainen hyvinvointikeskus ei noudata painovapausasetusta eikä julkisuus- ja salassapitolakia. Käsittelemämme ulkoiset henkilötiedot koskevat ilmoittautumisia tapahtumiin, julkaisujen tilauksia sekä ennakkotilausten ja uutiskirjeiden lähettämistä. Henkilötietoja ei luovuteta ulkopuolisille.
Ruotsissa, Suomessa ja muualla EU:ssa astui 25.5.2018 voimaan yleinen tietosuoja-asetus, GDPR (General data Protection Regulation) Se korvasi kunkin maan henkilötietolait.
Pohjoismainen hyvinvointikeskus toimii rekisterinpitäjänä kahdessa maassa: Suomessa ja Ruotsissa. Nämä kaksi maata noudattavat EU:n tietosuoja-asetusta ja ovat ottaneet GDPR:n sisältämät säännökset osaksi kansallista lainsäädäntöään. Suomen (5.12.2018/1050) ja Ruotsin (laki (2018:218) EU:n tietosuoja-asetusta täydentävillä säännöksillä) tietosuojalaeissa kuvataan tarkemmin, kuinka GDPR:ää sovelletaan näissä maissa.
Suomessa Tietosuojavaltuutetun toimiston valvontaviranomainen, jonka tehtävänä on valvoa tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista. Ruotsissa tietosuojaviranomainen Integritetsskyddsmyndigheten toimii valvontaviranomaisena sekä valvoo GDPR:n ja Ruotsin tietosuojalain noudattamista.
Pohjoismainen hyvinvointikeskus käsittelee monikansallisia henkilötietoja kahdessa EU:n jäsenvaltiossa. Lisätietoja tästä tietojen käsittelystä löytyy (ruotsiksi) Integritetsskyddsmyndighetenin verkkosivuilla.
Henkilötietojen käsittely
Käsitellessään henkilötietoja Pohjoismainen hyvinvointikeskus noudattaa GDPR:ää asianmukaisen lainsäädännön mukaisesti niin Ruotsissa kuin Suomessa.
Henkilötiedoilla tarkoitamme kaikenlaista tietoa, joka voidaan yhdistää elävään fyysiseen henkilöön. Tällaisia tietoja ovat esimerkiksi henkilötunnukset, nimet, osoitteet, valokuvat ja tietyissä tapauksissa myös sähköiset äänitallenteet.
Lapsia koskevilla henkilötiedoilla katsotaan tietosuoja-asetuksessa olevan erityinen suojaustarve, koska lasten voi olla vaikeampi arvioida tietojensa luovuttamiseen liittyviä riskejä ja ymmärtää, mitä tietojensa suojaukseen liittyviä oikeuksia heillä on. Kuten aikuistenkin tapauksessa, myös lasten henkilötietojen käsittely edellyttää oikeudellista eli laissa säädettyä perustetta.
Jotta Pohjoismainen hyvinvointikeskus voisi noudattaa säännöstöä
- keräämme vain niitä henkilötietoja, joita tarvitsemme toimintaamme varten ja joiden kerääminen on oikeudellisesti perusteltua
- tallennamme tarvittavat ulkoiset henkilötiedot yhteiseen kontaktirekisteriin
- jokaiselle henkilötietojen käsittelylle on nimetty vastuuhenkilö
- tallennamme henkilötiedot turvallisesti voimassaolevan IT-käytännön mukaisesti.
Pidämme rekisteriä kaikesta henkilötietojen käsittelystämme. Rekisteristä käy ilmi Pohjoismaisen hyvinvointikeskuksen rekisterivastaava, tietosuoja-asioiden käsittelijä (silloin kun henkilötietojen käsittely tapahtuu Pohjoismaisen hyvinvointikeskuksen ulkopuolella), tietojenkäsittelyn kuvaus, syyt henkilötietojen keräämiseen ja tallentamiseen, henkilötietojen säilytysaika, poistomenettelyt sekä henkilötietojen käsittelyä tukevat oikeudelliset perusteet.
Mihin keräämiämme henkilötietoja käytetään?
Keräämme henkilötietoja vain tiettyjä nimenomaisia ja laillisia tarkoituksia varten. Tiettyyn nimenomaiseen tarkoitukseen kerättyjä tietoja ei siis voida käyttää kokonaan toisiin tarkoituksiin. Keräämme henkilötietoja postituksia, kutsuja, toimien täyttämistä, palkanlaskentaa ja henkilöstöhallintoa varten, uutisten lähettämiseksi toimittajille ja seuraajille sekä tietojen lähettämiseksi veroviranomaisille ja vakuutuskassalle.
Miten keräämme henkilötietoja ja käsittelemme niitä
Pohjoismainen hyvinvointikeskus kerää henkilötietoja Lyytin kautta verkkosivustollamme tehdyistä ilmoittautumisista tapahtumiin tai uutiskirjeidemme ja muiden julkaisujemme tilauksista. Tämä tapahtuu rekisteröitymisen kautta verkkosivustollamme. Suostumuksen edellyttävien henkilötietojen keräämistä osalta suostumus annetaan ilmoittautumisen tai tilauksen tekemisen yhteydessä. Pohjoismaisen hyvinvointikeskuksen henkilötietojen käsittelyrekisterissä ilmoitetaan oikeudellinen peruste tietojen keräämiselle ja sille, miten hyväksyntä (vaadittaessa) annetaan. Rekisterissä ilmoitetaan myös, kuka vastaa henkilötietojen käsittelystä. Kukaan ei saa kerätä henkilötietoja ilman vastaavan hyväksyntää.
Lime on Pohjoismaisen hyvinvointikeskuksen kontaktitietokanta, jossa säilytetään ja ylläpidetään yhteyshenkilöitämme koskevia tietoja. Työkalun avulla voi hallinnoida luetteloita, etsiä yhteyshenkilöitä ja lähettää kohdennettuja viestejä eri kanavien kautta. Limen avulla kerätään henkilötietoja tietokantaan, jotta kaikki työssään henkilötietoja tarvitsevat Pohjoismaisen hyvinvointikeskuksen työntekijät voisivat käsitellä ja etsiä yhteyshenkilöitämme koskevia merkityksellisiä tietoja helpommin.
Säilyttäminen
Kerättyjen tietojen säilytyspaikka riippuu rekisterin säännöistä. Sama koskee tietojen säilytysajan pituutta. Säilytysajan pituuteen vaikuttavat esimerkiksi lait ja määräykset, kuten kirjanpitolaki. Pohjoismainen hyvinvointikeskus ei koskaan säilytä henkilötietoja pidempään kuin on tarpeen. Käsiteltävien eri henkilötietojen säilytysajat käyvät ilmi henkilötietojen käsittelyrekisteristä. Siitä käy niin ikään ilmi, poistetaanko tiedot automaattisesti tietyn ajan jälkeen.
Säilyttämisestä ja turvallisuudesta säädetään Pohjoismaisen hyvinvointikeskuksen käyttämien henkilötietojen käsittelijöiden osalta siten, että sopimuksissa toteutuvat GDPR ja voimassa oleva lainsäädäntö.
Tiedonpoisto-oikeus ja kantelut tietosuojaviranomaisille
Henkilöillä on oikeus tutustua itseään koskeviin tietoihin ja saada virheelliset tiedot oikaistuiksi. Heillä on myös oikeus peruuttaa suostumuksensa keräämiseen ja saada tietonsa poistetuiksi, ellei sille ole mitään laillista estettä. Jos henkilö katsoo, että Pohjoismainen hyvinvointikeskus käsittelee hänen tietojaan tietosuoja-asetuksen vastaisesti, hän voi tehdä kantelun Ruotsin Integritetsskyddsmyndigheten-tietosuojaviranomaiselle tai Suomen Tietosuojavaltuutetun toimistolle.