Henkilötietojen käsittely yhdistyksissä

10.4.2019

Yhdistyslaki (11§) velvoittaa yhdistyksiä pitämään jäsenluetteloa. Tälle sivulle on kerätty ohjeita vanhempainyhdistysten tietosuojakäytäntöjen parantamiseksi.

Henkilötietojen käsittelyllä tarkoitetaan mm. henkilötietojen keräämistä, käsittelyä, tallentamista, säilyttämistä, siirtämistä ja luovuttamista. Kaikki henkilötietoihin kohdistetut toimenpiteet ovat henkilötietojen käsittelyä. Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Näitä ovat vanhempaintoiminnassa esim. nimi, puhelinnumero, sähköpostiosoite tai lapsen luokka-aste.

Vanhempainyhdistys on rekisterinpitäjä, joka määrittelee, mihin tarkoitukseen ja millä tavalla henkilötietoja käsitellään. Yhdistyksessä toimivat ihmiset, jotka käsittelevät henkilötietoja, ovat henkilötietojen käsittelijöitä.

Tietosuojaperiaatteet henkilötietojen käsittelyssä

Henkilötietoja on

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • käsiteltävä luottamuksellisesti ja turvallisesti
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja lainmukaista käyttötarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden.
  • päivitettävä aina tarvittaessa – epätarkat ja virheelliset tiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojen käsittelyn tarkoitusten toteuttamista varten.

Lähde: tietosuoja.fi

Tartu toimeen!

Vanhempainyhdistysten pitää voida osoittaa, että se on hoitanut tietosuojavelvoitteensa. Yhdistysten tulee suunnitella, kuvata ja dokumentoida, millä tavoin henkilötietoja yhdistyksessä käsitellään.

1. Selvittäkää, mitä henkilötietoja sisältäviä rekistereitä yhdistyksellä on

Jäsenrekisterin lisäksi yhdistykselle voi muodostua muitakin henkilötietoja sisältäviä rekistereitä (esim. tilaisuuksiin ja tapahtumiin ilmoittautumiset). Kerätkää vain tarpeellisia tietoja. Tarpeettomat henkilötietoja sisältävät tiedostot on syytä tuhota.

2. Huolehtikaa tietoturvasta ja rekisteröidyn oikeuksien toteutumisesta

Varmistakaa henkilötietojen turvallinen säilytys ja arkistointi sekä nimetkää henkilöt, kenellä on oikeus käsitellä yhdistyksen rekisteriin tallennettuja tietoja. Jotta tietoihin ei pääse kirjautumaan ulkopuoliset, on järjestelmissä / sovelluksissa hyvä käyttää kaksiosaista tunnistusta.
Yhdistyksellä tulee olla tietosuojasta vastaava henkilö tai henkilöt, jotka huolehtivat tietoturvan ja mm. tietosuojaselosteiden ajan tasalla olosta. Toimijoiden vaihtuessa on tärkeää muistaa, että myös oikeus päästä yhdistyksen rekistereihin poistetaan asiattomilta.

3. Laatikaa tarvittavat tietosuojaselosteet

Jokaisen muodostuvan rekisterin osalta tulee olla oma tietosuojaseloste, joka kuvaa yhdistyksen todellista käytäntöä henkilötietojen käsittelyssä. Tietosuojaselosteen on oltava rekisteröityjen saatavilla, esim. yhdistyksen verkkosivuilla. Mallipohja jäsenrekisterin tietosuojaselosteen löytyy alempaa verkkosivulta.