Tietosuoja

Päivitetty 10.1.2018

EUn tietosuoja-asetus on jo tullut voimaan, ja sitä on sovellettava 25.5.2018 mennessä. Samalla voimaan tulee myös uusi tietosuojalaki; velvoitteet tiukkenevat ja sanktiot kovenevat.

Tietosuoja-asetus on jo sellaisenaan voimassa olevaa lainsäädäntöä, se ei vaadi voimaan tullakseen kansallista lainsäädäntöä, joka vain täydentää asetusta. Tässä suhteessa asetus poikkeaa EU-direktiiveistä.

Tälle sivulle on koottu ohjeita aiheesta yhdistysten näkökulmasta. 

EU:n tietosuoja-asetus ja kansallinen tietosuojalaki pähkinänkuoressa

• Tietosuoja-asetus on tullut voimaan 25.5.2016
• Parhaillaan eletään siirtymäkautta, jonka aikana valmisteltavana kansallinen lainsäädäntö
• Asetusta sovellettava viimeistään 25.5.2018, johon mennessä myös kansallinen laki valmis.
• Aiemmin voimassa on ollut henkilötietolaki, paljon samaa, mutta velvoitteet tiukkenevat ja sanktiot kovenevat.
• Uuden asetuksen tavoitteena on varmistaa, että ihmisten oikeus henkilötietojen suojaan ja yksityisyyteen toteutuu myös digiaikana.

• Henkilötietoja ovat kaikki tiedot, joiden nojalla joku elossa oleva henkilö voidaan tunnistaa
• Asetusta sovelletaan henkilötietojen käsittelyyn, kun tiedoista muodostuu rekisteri (esim. jäsenluettelo, arkistoaineisto, museon luettelotiedot)
• Rekisterinpitäjä saa käsitellä henkilötietoja vain tietosuoja-asetuksessa säädetyillä perusteilla:

Esim. henkilön suostumus (voidaan kysyä jäseneltä liittymislomakkeessa) tai jos käsittely on tarpeen
- sopimuksen täytäntöön panemiseksi
- rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- yleistä etua koskevan tehtävän suorittamiseksi tai
- rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi

• Organisaatiolla on oltava kyky osoittaa noudattavansa asetusta (rekisteriseloste auttaa)
• Varsinkin internetiin vietävä aineisto harkittava tarkoin
• Valokuvien ja muiden henkilötietojen viemistä internetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä
• Tarpeettomia henkilötietovarantoja on syytä välttää

www.tietosuoja.fi

 

Yhdistyksen jäsenasiat

Yhdistyksen jäsenluettelo on henkilötietolaissa (toukokuusta 2018: tietosuojalaki) määritelty henkilörekisteri. Siihen on merkittävä vähintään kunkin jäsenen koko nimi sekä kotipaikka. Jäsenrekisteri sisältää usein lisäksi jäsenten yhteystiedot, jäsenmaksutietoja, jäseneksi liittymisen ajankohdan ja muita yhdistyksen toiminnan kannalta oleellisia tietoja.

Jäsenrekisteristä vastaa usein esimerkiksi yhdistyksen sihteeri, taloudenhoitaja tai muu hallituksen jäsen, jonka erityiseksi tehtäväksi on määrätty jäsenrekisteristä huolehtiminen. Hallituksen on yhdessä huolehdittava siitä, ettei luettelossa ole virheellisiä, epätäydellisiä tai vanhentuneita tietoja.

Kaikkien rekisteriin merkittävien tietojen on oltava yhdistyksen toiminnan kannalta tarpeellisia.

 

Arkaluonteiset tiedot arkistossa tai jäsenluettelossa

Rekisteriin ei saa tallentaa arkaluonteisia tietoja. Arkaluonteisina pidetään sellaisia tietoja, jotka kuvaavat henkilön rotua tai etnistä alkuperää, vakaumusta tai ammattiliittoon kuulumista, rikollista tekoa, tai rangaistusta, terveydentilaa, sairautta, vammaa tai hoitotoimenpiteitä, seksuaalista suuntautumista tai sosiaalihuollon tarvetta, tukitoimia ja muita sosiaalihuollon etuuksia.

Arkaluonteisia tietoja saa kuitenkin tallentaa rekisteriin jäsenen nimenomaisella suostumuksella. Arkaluonteiset tiedot on poistettava rekisteristä heti, kun niille ei ole enää tarvetta. 

 

Tietojen käsitteleminen ja suojaaminen

Rekisterin tietoja pitää käsitellä lain mukaisesti ja huolellisesti, eikä jäsenten yksityisyyttä saa loukata. Kerättävät ja käsiteltävät tiedot on suojattava asiattomalta pääsyltä tietoihin sekä tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä ja muulta laittomalta käsittelyltä. 

Kullakin henkilöllä on oikeus saada tietää, mitä tietoja hänestä itsestään on rekisteriin tallennettu. Tietojen suojaaminen luovuttamiselta tarkoittaa sitä, ettei rekisterin henkilötietoja saa luovuttaa muille.

Henkilötietolaki määrää myös vaitiolovelvollisuudesta. Mikäli rekisteriä hallitessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saamiaan tietoja saa ilmaista sivulliselle.

 

Rekisteriseloste pakollinen jokaisesta henkilörekisteristä

Rekisterinpitäjän on henkilötietolain mukaan laadittava henkilörekisteristä rekisteriseloste. Rekisteriselosteen on sisällettävä seuraavat asiat:

  • rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
  • henkilötietojen käsittelyn tarkoitus
  • kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
  • mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle
  • kuvaus rekisterin suojauksen periaatteista

Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Valmiita lomakkeita ja ohjeet rekisteriselosteen tekoon saa sähköisenä Tietosuojavaltuutetun toimistosta. Rekisteriselosteen voi sijoittaa esimerkiksi järjestön verkkosivuille.

Lähde: HYY:n järjestöwiki ja Henkilötietolaki / Finlex.fi

Tietosuojavaltuutetun malli rekisteriselosteesta

Yhteyshenkilö Kotiseutuliitossa: järjestöpäällikkö Liisa Lohtander