EU:n tietosuojauudistus GDPR tulee voimaan 25.5.2018. Se koskee henkilötietojen turvallista käsittelyä. Tietosuoja-asetuksen määräykset koskevat myös taiteilijoita, esimerkiksi silloin, kun taiteilija lähettää sähköpostilistalle tietoa näyttelyistä tai postittaa teoksia asiakasrekisteriin merkityille asiakkailleen.
Tietosuoja-asetuksen piirissä ovat kaikki, jotka käsittelevät henkilötietoja. Vain puhtaasti henkilökohtainen tai kotitaloutta koskeva toiminta on suljettu asetuksen soveltamisalan ulkopuolelle. Ammatinharjoittamiseen liittyvä toiminta kuuluu GDPR:n alaan riippumatta siitä, missä muodossa toimintaa harjoitetaan.
Henkilötietoja käsittelevän on pystyttävä osoittamaan, että tietosuojaa noudatetaan. Tämä tarkoittaa sitä, että henkilötietojen käsittelyyn liittyvät prosessit ja tietosuojan käytännön toteuttaminen tulee dokumentoida.
Myös taiteilijan on kyettävä osoittamaan, millä perustein henkilötietoja käsitellään ja millä perustein viestintää toteutetaan tietylle henkilölle. Viestinnän on oltava kohdennettua, perusteltua ja läpinäkyvää. Esimerkiksi sähköpostilistan on oltava jäsennelty ja selkeä: se ei voi koostua sekalaisista listoista tai massasta kontakteja, joiden alkuperä on unohtunut.
Ohjeet taiteilijalle, joka ammattia harjoittaessaan käsittelee henkilötietoja:
- Selvitä, mitä henkilötietoja sinulla on ja miten niitä käsittelet. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Millaisia henkilötietoja keräät, mistä ne saat, missä niitä säilytetään ja mihin niitä luovutetaan?
Henkilötieto: kaikki tiedot, jotka voidaan liittää luonnolliseen henkilöön ja joilla tämä voidaan suoraan tai epäsuorasti tunnistaa, esim. henkilön nimi, henkilötunnus, kuva, sähköpostiosoite, puhelinnumero, postiosoite, pankkiyhteystiedot.
Käsittely: henkilötietoihin kohdistuvaa toimintaa, esim. tietojen keräämistä, tallentamista, järjestämistä, säilyttämistä, luovuttamista, yhdistämistä, poistamista tai tuhoamista
- Selvitä, millä perusteella käsittelet henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste. Määritele tarkasti etenkin suostumukseen perustuvien tietojen käsittelyn tarkoitus.
Lainmukaiset perusteet: suostumus, sopimus, oikeutettu etu
Suostumus: jokaiselta henkilöltä on saatava suostumus tietojenkäsittelyyn. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Se on annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisesti tai sähköisesti, eikä sitä voi antaa valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta, esim. sähköpostiin vastaamatta. Suostumuksen antamisen yhteydessä on kerrottava, että suostumuksen voi peruuttaa milloin tahansa.
Silloin, kun henkilötietoja käytetään muuhun tarkoitukseen kuin mihin ne on saatu, ei tietojen käyttö ole lainmukaista.
- Arvioi riskit ja suojaa tiedot
Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy toiminnassasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä (esim. palomuuri, lukollinen ovi)
- Informoi rekisteriin merkittyjä henkilöitä laatimalla tietosuojaseloste
Rekisteröidyn saataville tulee toimittaa henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä ja helposti ymmärrettävässä muodossa. Erityisesti on arvioitava, saako rekisteröity näin helposti ja yksiselitteisesti kokonaiskuvan henkilötietojensa käsittelystä silloin, kun henkilötietoja käsitellään useampaan kuin yhteen tarkoitukseen.
Tietosuojaselosteeseen kirjoitetaan mm. tiedot taiteilijasta, yhteystiedot, mitä tietoja taiteilijan asiakas-, markkinointi- tms. rekisteri sisältää, mihin tarkoitukseen tiedot on kerätty ja millä perusteella tietoja käsitellään, kuvataan tietojen poistamisen määräajat ja siirretäänkö tietoja mahdollisesti kolmansille tai kolmansiin maihin, miten tietoja suojataan (ovi lukossa, palomuuri ym.)
Tietosuojaselosteesta tulee selvitä, miten rekisterissä oleva henkilö voi käyttää tietosuoja-asetukseen liittyviä oikeuksiaan eli miten rekisteröityjen mahdollisiin pyyntöihin vastataan. Rekisteröidyllä on oikeus
- saada tietoa siitä, kuka käsittelee tietoja, minne tietoja luovutetaan ja minkä vuoksi tietoja luovutetaan,
- tarkistaa kerätyt tiedot ja päivittää ne ajan tasalle,
- vastustaa tietojen käsittelyä mm. asiakasviestinnän ja sähköisen suoramarkkinoinnin suhteen,
- saada tietonsa poistetuksi rekisteristä.
Tietosuojaselosteen muotoa ei asetuksessa ole määritelty. Olennaista on se, että rekisteröity saa tarvittavat tiedot henkilötietojen käsittelystä ja siihen liittyvistä oikeuksistaan. Asetuksessa ei ole myöskään määritelty sitä tapaa, jolla seloste tulee rekisteröidylle toimittaa. Selosteen tulee kuitenkin olla rekisteröidyn saatavilla.
Tiivistetysti: Käsittele vain tietoja, jotka on lainmukaisesti hankittu, käsittele niitä huolellisesti ja säilytä niitä vain sen ajan, kun niitä tarvitset, poista vanhentuneet tiedot ja suojele tietoja lainvastaiselta käytöltä, dokumentoi henkilötietojen käsittelyyn liittyvä prosessi ja pidä rekisteriin merkityt henkilöt informoituina!
Lisätietoja: