Miten tietosuoja-asetus vaikuttaa sydänyhdistyksiin?

18.5.2018

TOIMEKSI | EU:n yhteinen tietosuoja-asetus (GDPR) astuu täysimittaisesti voimaan 25.5.2018

Mikä se on ja miten se vaikuttaa sydänyhdistyksiin?

GDPR (The General Data Protection Regulation) on tietosuoja-asetus, jonka tarkoituksena on yhtenäistää tietosuojakäytäntöjä ja helpottaa jokaisen EU:n kansalaisen omien henkilötietojen tallentamisen ja käytön seuraamista.

Nyt on aika pohtia läpi oman yhdistyksen käytäntöjä henkilötietojen käsittelyn osalta. Miten tapahtumiin kerätään ilmoittautumiset? Mitä osallistujalistalle tehdään tapahtuman jälkeen? Mitkä kaikki tiedot pitää antaa jäsenelle, jos hän pyytää nähtäväksi hänestä tallennetut henkilötiedot?

Tässä tiivistetysti, miten tietosuoja-asetus vaikuttaa sydänyhdistyksiin:

1. Henkilötietoja on käsiteltävä tietosuoja-asetuksen mukaisesti ja asetuksen noudattaminen pitää pystyä osoittamaan.

Yhdistyksen hallituksen pitää pystyä osoittamaan, että tietosuoja-asiat on huomioitu toiminnassa. Käykää asiaa läpi hallituksen kokouksessa. Pohtikaa, onko teidän yhdistyksenne toiminnassa otettu huomioon tietosuoja-asiat kuten henkilötietojen kerääminen tapahtumiavarten ja tietojen hävittäminen.

Suomen Sydänliitto vastaa siitä, että jäsenrekisteri Kilta toimii tietosuoja-asetuksen mukaisesti.

Jäsenyhdistyksenä te olette jäsenrekisterin rekisterinpitäjä. Rekisterinpitäjänä teidän pitää käsitellä tietoja luottamuksellisesti. Muistakaa, että myös henkilötietolistat, jotka on otettu Killasta esimerkiksi sähköpostiin tai Exceliin ovat henkilötietorekisterejä, joita tulee käsitellä luottamuksellisesti.

Kiinnittäkää erityishuomiota lasten henkilötietojen käsittelyyn. Lasten henkilötietojen antaminen on heidän huoltajiensa vastuulla. Muistakaa siis esimerkiksi
tapahtumailmoittautumisissa pyytää lupa lapsen huoltajalta allekirjoituksella.

2. Vain tarvittavat henkilötiedot on lupa kerätä ja arkaluonteiset tiedot on hävitettävä tapahtumien jälkeen.

Miettikää, mitkä henkilötiedot ovat oleellisia tietoja tapahtumaa varten ja kerätkää vain ne. Henkilötietoja saavat käsitellä vain ne, jotka tarvitsevat niitä tehtävän hoitamiseksi. Valitkaa vaikka tapahtumiin retki-/matkavastaava, joka saa nähdä osallistujien arkaluonteiset tiedot, muille tietoja ei kuulu näyttää.
Miettikää, mitä henkilötiedoille tapahtuu tapahtuman jälkeen. Jos tietojen säilyttämiselle ei ole mitään syytä, tiedot pitää hävittää. Muistakaa kuitenkin, että osa kerätyistä tiedoista pitää säilyttää. Tällaisia ovat esimerkiksi maksullisille kursseille ja retkille osallistuneiden maksutiedot.
Arkaluonteiset henkilötiedot, joihin kuuluvat esimerkiksi terveystiedot ja ruoka-aineallergiat, tulee hävittää, kun niitä ei enää tarvita. Jos teillä on toistuvia tapahtumia samalle ryhmälle, silloin tietojen säilyttäminen seuraavaan tapahtumaan asti on perusteltua. Henkilön pitää kuitenkin tietää, että hänen arkaluonteisia tietojaan säilytetään.

3. Kaikilla rekisteröidyillä on oikeus tarkistaa omat tietonsa ja oikeus tulla unohdetuksi.

Kuka vain yhdistyksen jäsen voi pyytää nähtäväksi, mitä tietoja hänestä on rekisteröity ja pyytää kaikkien omien tietojen poistamista. Miettikää hallituksen kanssa valmiiksi, missä kaikkialla yhdistys säilyttää henkilötietoja, kuten jäsenrekisteritietoja ja tapahtumiin ilmoittautumisia.
Onko jäsenrekisteristä poimittu erillisiä listoja Exceleihin? Säilytetäänkö vanhoja tapahtuman osallistumislistoja sihteerin autotallissa? Kaikki tiedot, joista henkilö on tunnistettavissa, pitää pystyä näyttämään ja poistamaan pyydettäessä.

Asetusta ei tarvitse kuitenkaan säikähtää! Maalaisjärki on yhä toimivan yhdistystoiminnan perusta. Jos henkilötietojen kerääminen ja säilyttäminen on perusteltua, silloin tietoja saa kerätä ja säilyttää. Omia toimintatapoja on kuitenkin hyvä tarkastella kriittisesti, olisiko jossain tietojen käsittelyn vaiheessa parannettavaa?

Jos yhdistyksellä ei ole muita henkilörekistereitä kuin Kilta-jäsenrekisteri, yhdistyksen ei tarvitse tehdä mitään ylimääräisiä toimenpiteitä tietosuoja-asetuksen noudattamiseksi, koska liitto hoitaa jäsenrekisterin ja siihen liittyvät tietosuoja-asiat yhdistyksesi puolesta.

Me tuemme yhdistyksiä uuden tietosuoja-asetuksen haltuunotossa. Keräämme kevään ja kesän aikana kaiken yhdistyksille tarpeellisen tiedon tietosuoja-asetuksesta verkkosivuillemme, joka löytyy osoitteesta www.sydanliitto.fi/tietosuoja. Sivustolle tulee myös paljon hyödyllisiä käytännön esimerkkejä. Seuratkaa siis sivustoa!