Ads 468x60px

sunnuntai 5. maaliskuuta 2017

Lahden kisoista kiiltäviä mitaleita ja useita henkilörekistereitä

Suomalaiset ovat urheilukansaa, ja jokainen urheilija on meille sankari – etenkin sellainen urheilija kuin Iivo Niskanen, joka hiihti Lahdessa komeaan 15 kilometrin perinteisen hiihtotavan maailmanmestaruuteen. Tietosuoja-aiheita ei kuitenkaan sovi unohtaa edes urheiluhuumassa.

Tietosuojatiimimme juristit innostuivat Lahdessa käytävistä kisoista melkein yhtä paljon kuin Sports Advisory -toimialamme asiantuntijat, kun oivalsimme, kuinka suuria henkilötietomääriä tällaisissa urheilutapahtumissa käsitellään.

Asiakastyössä olemme usein todistaneet tilanteita, joissa asiakkaiden on hankalaa hahmottaa henkilötietojen käsittelyn asetelmien perusteita osana omaa toimintaansa. Jokseenkin yleinen, mutta virheellinen, käsitys koskien henkilörekistereitä on se, että henkilörekisterit muodostuisivat organisaation teknisten järjestelmien asettamien rajojen mukaisesti. Tosiasiassa kuitenkin yhden ja saman henkilörekisterin tietoja voi olla tallennettuna useille erilaisille alustoille. Joskus jo pelkän henkilörekisterin olemassaolon tunnistaminen on voinut olla asiakkaalle hankalaa.

Henkilötietolain mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla tai joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

EU:n yleisessä tietosuoja-asetuksessa, jota aletaan soveltaa 25.5.2018 alkaen, puhutaan henkilörekisterin sijaan ainoastaan rekisteristä. Sillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Perusajatus tietosuoja-asetuksessa ja henkilötietolaissa on sama: henkilötietorekisteri muodostuu käyttötarkoituksensa vuoksi yhteenkuuluvista tiedoista (ns. looginen kokonaisuus), joista luonnollinen henkilö on suoraan tai epäsuorasti tunnistettavissa.

Edellä esitetyn määritelmän valossa esimerkiksi Lahden urheilukisojen yhteydessä voisi muodostua käyttötarkoituksensa vuoksi yhteenkuuluvista henkilötiedoista seuraavia rekistereitä: ilmoittautuneet ja osallistuneet urheilijat, kilpailutulokset, tiedot urheilijoiden doping-testaukseen ja tuloksiin liittyen, tiedot taustajoukoista, kuten huoltajista ja valmentajista sekä tiedot liput hankkineista asiakkaista eli yleisöstä ja oheistapahtumien kävijöistä. Monelle saattaa tulla yllätyksenä se, että lähtökohtaisesti myös kisalähetysten tallenteista voi muodostua henkilörekisteri! Näin ollen esimerkiksi Iivo Niskanen on maailmanmestaruuteen hiihtäessään tallentunut paitsi historiankirjoihin, myös lukuisiin henkilörekistereihin.

Henkilörekisterillä on aina rekisterinpitäjä, jolla on velvollisuus järjestää henkilötietojen käsittely asianmukaisesti. Rekisterinpitäjä on vastuussa henkilötietojen käsittelystä. Rekisterinpitäjällä tulee olla tietojen käsittelemiselle käsittelyperuste. Lisäksi rekisterinpitäjän on huolehdittava rekisteröityjen oikeuksien toteutumisesta. Esimerkiksi Iivo Niskasella on oikeus muun muassa tarkistaa millaisia tietoja hänestä tällaisiin rekistereihin on tallennettu ja vaatia mahdollisesti virheellisiä tietoja oikaistavaksi tai määrätyin edellytyksin tiettyjä tietoja poistettavaksi. Tosin EU:n yleisen tietosuoja-asetuksen mukainen ”oikeus tulla unohdetuksi” tuskin ulottunee esimerkiksi urheilijoiden kisatuloksiin.

Rekisterinpitäjyyttä määritettäessä tulisi pohtia, mikä taho päättää henkilötietojen käsittelyn tarkoitukset ja keinot ja minkä tahon käyttöä varten henkilörekisteri perustetaan. Henkilörekisterillä voi olla myös useampi rekisterinpitäjä, joiden yhteisiin tarkoituksiin kyseinen henkilörekisteri on perustettu.

Esimerkiksi doping-testauksia tehdään yleensä ennen määrättyjä kisoja tai niiden aikana kyseisiä kisoja silmällä pitäen, mutta testeissä kärähtäneille urheilijoille langetettavat seuraamukset ulottuvat kyseisiä kisoja pidemmällekin. Mikä taho tai toimija päättää henkilötietojen käsittelyn tarkoituksista ja keinoista testausten ja testitulosten osalta? Onko rekisterinpitäjänä lajiliitto tai testausorganisaatio, yksittäinen kisajärjestäjä vai useampi taho yhdessä? Käytännössä lienee kuitenkin mahdotonta järjestää rekisteri siten, että kaikki potentiaaliset määrätyn lajin kilpailujärjestäjät ja muut intressitahot toimisivat yhdessä rekisterinpitäjinä. Olettaisimme, että esimerkiksi kilpailukieltorekisterinpitäjä olisi todennäköisesti lajiliitto, ja muut tahot käsittelisivät tällaisia tietoja henkilötietojen käsittelijöinä rekisterinpitäjän puolesta ja lukuun tai sitten asianmukaisen ja lailliseen luovutusperusteeseen perustuvan luovutuksen saaneina itsenäisinä rekisterinpitäjinä omiin käsittelytarkoituksiinsa.

Rekisterinpitäjällä on oikeus käsitellä keräämiään tietoja ainoastaan, jos käsittelylle on asianmukainen käsittelyperuste. Esimerkiksi doping-testauksessa olisi hyvä miettiä, kannattaako testitulosten käsittely toteuttaa rekisteröidyn suostumuksella, joka on periaatteessa yksi mahdollinen henkilötietojen käsittelyn oikeusperuste. Suostumuksen tulisi kuitenkin olla vapaaehtoinen ja peruutettavissa oleva tahdonilmaisu. Testaustilanteessa suostumuksen vapaaehtoisuuden osoittaminen voi olla ongelmallista, koska näytteen antaminen on usein edellytyksenä kilpailuun osallistumiselle. Lisäksi jos esimerkiksi kilpailukieltoja koskevia tietoja annettaisiin muille toimijoille henkilötietojen luovutuksena, rekisteröidyn suostumus tuskin kannattaa käsittelyperusteena, sillä tällöin kilpailija voisi peruuttaa alkuperäiselle rekisterinpitäjälle antamansa suostumuksen ja näin estää tietojensa luovuttamisen edelleen.

Tietosuoja ja henkilötietojen käsittelyä koskevat pohdinnat ulottavat siis vaikutuksensa kaikkialle – mukaan lukien urheiluun! Tietosuojaa ei pääse karkuun edes hiihtoladuilla, ja myös maailmanmestareilla on oikeus henkilötietojensa suojaan.

Charlotta Henriksson ja Emma Swahne

Ei kommentteja:

Lähetä kommentti