EU-tähtien keskellä teksti GDPR. Kuvituskuva.

Onko yhdistyksesi tietosuoja kunnossa?

EU:n tietosuoja-asetuksen tavoitteena on lisätä henkilötietojen käsittelyn avoimuutta ja läpinäkyvyyttä sekä vahvistaa rekisteröidyn oikeuksia ja mahdollisuuksia valvoa henkilötietojensa käsittelyä. Tietosuoja-asetus koskee kaikkia Invalidiliiton jäsenyhdistyksiä. Yhdistyksen hallitus vastaa ylimpänä tahona lainmukaisesta henkilötietojen käsittelystä.

Henkilötiedot ja niiden käsittely

Henkilötietojen käsittelyä ovat toiminnot, jotka koskevat henkilötietojen säilytystä, siirtämistä, päivitystä, muokkaamista ja tuhoamista. Käsittely voi olla joko sähköistä (tietojärjestelmät) tai manuaalista (paperit, mapit). Henkilötietoja ovat esimerkiksi nimi, yhteystiedot, henkilötunnus, syntymäaika, tiedot tapahtumiin osallistumisesta, tiedot erikoisruokavaliosta tai tiedot jäsenlehden tilaamisesta.

Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat muun muassa terveydentilaa koskevat tiedot. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. Invalidiliitto ja sen jäsenyhdistykset voivat kuitenkin käsitellä jäsentensä terveydentilaa koskevia tietoja rekisteröidyn suostumuksen perusteella ja yhdistyksen toiminnan yhteydessä. Edellytyksenä tällöin on, että asianmukaisista suojatoimista huolehditaan, eikä henkilötietoja luovuteta yhdistyksen ulkopuolelle ilman rekisteröidyn suostumusta. Liiton laatimassa yhdistysten jäsenhakemuslomakkeessa on suostumuskohdat sekä henkilötietojen käsittelyyn että terveydentilaan liittyvien tietojen käsittelyyn.

Yhdistyksen hallituksen ja hallituksen nimeämän tietosuojasta vastaavan henkilön (voi olla esim. rekisterinhoitaja) tietosuojan tarkistuslista

  • Kartoita henkilötietojen käsittelyn nykytilanne:

-Mitä henkilötietoja yhdistyksessä käsitellään (esim. jäsenen kotiosoite, sähköpostiosoite, syntymäaika, terveydentilaan liittyvät asiat)

-Missä henkilötietoja käsitellään ja kuka niitä käsittelee (esim. tietokone, toimisto, rekisterinhoitaja, tapahtumatoimikunnan vetäjä jne.)

-Kenen tietoja käsitellään, mihin tarkoituksiin ja millä perusteella (esim. jäsenten yhteystiedot yhdistyksen tiedotusta varten, jäsenyyden kesto jäsen- ja vuosimerkkien jakamista varten, erityisruokavalio tapahtuman järjestämistä varten)

-Kuinka kauan henkilötietoja säilytetään ja miten tiedot hävitetään

-Päivitetäänkö kertynyttä tietoa systemaattisesti ja onko olemassa käytäntö tietojen poistamiseen tai tuhoamiseen (esim. tilaisuuden jälkeen erityisruokavaliot)

  • Dokumentoi tietoturva ja kartoita riskit (mm. henkilötiedot vain niihin oikeutettujen henkilöiden käytössä, paperirekistereiden käyttö, säilytys ja hävittäminen, järjestelmien tietoturva kuten virustorjunta, palomuurit, salasanat sekä näihin liittyvät riskit)
     
  • Luo toimintamalli, jolla varmistetaan, että tietosuoja-asetuksen vaatimuksia noudatetaan ja niiden asettamat velvoitteet tunnetaan sisältäen esim. sisäiset vastuut, dokumentoinnit ja koulutus
     
  • Suunnittele menettelyt rekisteröityjen oikeuksien ja pyyntöjen täyttämiseksi, kuten esimerkiksi miten vastataan tarkastusoikeuspyyntöön, kenellä on oikeus tulla unohdetuksi, kuka yhdistyksessä vastaa rekisteröityjen pyyntöihin
     
  • Tarkista, että kaikki lomakkeet, joissa kerätään henkilötietoja (esimerkiksi jäseneksi liittymislomake, suostumukset, tilaisuuksiin ja tapahtumiin ilmoittautumiset) ovat sellaisia, että rekisteröity tietää mihin tietoja käytetään ja miten tietoa käsitellään


Moni ylläolevan tarkistuslistan asioista on kuvattu Invalidiliiton yhdistyksille laatimassa tietosuojaselostemallissa:
Tietosuojaselostemalli 2018.docx 81.38 KB, DOCX

 Täältä löydät 10.11.2022 pidetyn Tietosuoja yhdistyksille -koulutuksen materiaalit:


Henkilötietojen käsittelyn periaatteita

Yhdistyksen tulee voida osoittaa noudattavansa henkilötietojen käsittelyn periaatteita.

  • Tietoja kerätään vain alkuperäistä tarkoitusta varten
  • Tietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään
  • Säilytys ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten
  • Henkilötietoja tulee säilyttää asianmukaisesti ja turvallisesti
  • Tietosuoja on huomioitava osana henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa

Tietosuojaperiaatteet on otettava tehokkaasti osaksi henkilötietojen käsittelyä sisältäviä toimintoja niiden kaikissa vaiheissa.

Lue lisää tietosuojaan liittyvistä käsitteistä täältä.
Lue lisää tietosuojasta tietosuojavaltuutetun sivulta. 

 

Jaa sosiaalisessa mediassa

Lisää aiheesta

kuvituskuva

Tietosuoja-asetukseen liittyviä käsitteitä

Alle on koottu keskeisiä tietosuoja-asetukseen liittyviä käsitteitä ja toimenpiteitä.
kuvituskuva

Muistilista tietosuoja-asetuksesta yhdistyksille

Mitä yhdistysten pitää tehdä ja mitä yhdistyksen ei tarvitse tehdä?
kuvituskuva

Mitä saa julkaista verkkosivuilla

Alle on koottu asioita, joita yhdistysten tulee muistaa julkaistessaan tietoa omilla verkkosivuillaan