EU:n tietosuoja-asetus (GDPR)

EU:n yleinen tietosuoja-asetus (General Data Protection Regulations, GDPR) on pyrkimys yhtenäistää tietosuojaa koskeva lainsäädäntö kaikkien Euroopan unionin jäsenmaiden kesken. Tarkoituksena on ensisijaisesti vahvistaa EU:ssa asuvien henkilöiden oikeuksia omiin henkilötietoihinsa. Tietosuoja-asetus on astunut voimaan 25.5.2018.

Olemme keränneet tähän tietoa siitä, miten GDPR vaikuttaa SNJ:n ja sen jäsenyhdistysten toimintaan. Lähteenä on käytetty SNJ:n jäsensihteerin, jäsenrekisteristä vastaavan Leila Joensuun laatimaa materiaalia.

Lisätietoja ja sopimusmallit: tietosuoja(at)snj.fi

HENKILÖTIEDOT

  • Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa tai jotka jotenkin liittyvät henkilöön. Tällaisia SNJ:n käsittelemiä tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero, osoite, kuva, pankkiyhteystiedot ja koulutuksiin, kokeisiin tai muihin tapahtumiin osallistumista koskevat tiedot.
  • Henkilörekisterejä ovat kaikki sähköiset tai muut listat ja materiaalit, myös käsin kirjoittaen ylläpidetyt, joissa henkilötietoja esiintyy.
  • Sähköisiin rekistereihin kuuluvat kaikki jäsenrekisterit, kirjanpito-ohjelmat, valokuva-arkistot yms.
  • Manuaalisia rekistereitä ovat kaikki paperiarkistot ja tulostetut henkilö- ja jäsenlistat
  • "Piilorekistereitä" ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat Excel-taulukot (tietokoneella tai paperilla)

Kaikki henkilötietojen käsittelyyn liittyvät rekisterit ja toimet tulee kuvata ja dokumentoida ns. tietotilinpäätökseen. Tietosuojaseloste kotisivuilla ei riitä, vaan se on osa dokumentaatiota.

TIETOTILINPÄÄTÖS

  • Mitä sellaisia rekistereitä on, mistä henkilö voidaan yksiselitteisesti tunnistaa?
  • Miten tiedot on kerätty?
  • Miten niitä säilytetään?
  • Miten huolehditaan, että tiedot ovat oikein ja ajan tasalla?
  • Kuka pääsee käsiksi tietoihin?
  • Luovutetaanko tietoja ja jos, niin kenelle ja mihin tarkoitukseen?
  • Onko tiedon keräämiseen oikeat perusteet?
  • Kuinka kauan tietoja säilytetään?
  • Miten tiedot poistetaan?
  • Miten huolehditaan tietojen käsittelyyn liittyvästä tietoturvasta?
  • Kuka on yhteyshenkilö, jolle osoitetaan yhdistykselle tulleet henkilöiden rekisteritietoja koskevat selvityspyynnöt, korjauspyynnöt ja tietojen poistopyynnöt?
  • Kuka päättää tietojen luovuttamisesta ja poistamisesta?

Ilmoita jokaisen rekisterin kohdalla mitä tietosuojaselostetta käytetään ja liitä se osaksi tietotilinpäätöstä. Vain toiminnan kannalta tarpeellista tietoa saa kerätä ja säilyttää!

TOIMENPITEET


SOPIMUSTEN ALLEKIRJOITUS

SNJ:n jäsenrekisteriä ja/tai koekalenteria käyttävien yhdistysten välillä on tehty tietojenkäsittelysopimus. SNJ on tehnyt vastaavan sopimuksen jäsenterkisterin ja koekalenterin palveluntarjoajan kanssa.

Yhdistyksen ja sen tietoja käsittelevien toimihenkilöiden välinen tietojenkäsittelijän sopimus ei ole pakollinen. SNJ on toimittanut sopimusmallin, jota voi käyttää tai muokata edelleen. Myös kevyempi salassapitosopimus riittää, erityisesti satunnaisille talkoilijoille.
Kaikki, jotka yhdistyksessä käsittelevät henkilötietoja, allekirjoittavat yhdessä yhden ja saman sopimuksen. Esimerkiksi SNJ:n hallitus ja toimihenkilöt ovat kaikki allekirjoittaneet mallin mukaisen sopimuksen.

TIETOSUOJASELOSTE KOTISIVUILLE

Kotisivuille lisättävä tietosuojaseloste kattaa kaikki käytettävät rekisterit, ei pelkästään jäsenrekisteriä. Mallia voi ottaa SNJ:n tietosuojaselosteesta. Tietosuojaselosteen on oltava kaikkien nähtävillä yhdistyksen kotisivuilla.

LIITY JÄSENEKSI -LOMAKE

Jos yhdistyksen kotisivuilla on lomake, jolla voi liittyä jäseneksi, tulee lomakkeeseen lisätä viittaus tietosuojaselosteeseen esimerkiksi näin: "Suomen Noutajakoirajärjestö käsittelee henkilötietoja tietosuoja-asetuksen mukaisesti. Tietosuojaselosteeseen pääset tutustumaan täällä."

Erillistä suostumusta jäsentietojen luovuttamiseen ei tarvita, mikäli niitä ei käytetä esim. suoramarkkinointiin tai luovuteta kolmannelle osapuolelle. Mikäli näin tehdään, on tälle lisättävä oma kohtansa  (kts. SNJ:n koekalenteri). Suostumus saadaan tallennettua myös jäsenrekisteriin, joten se ei estä jäseneksi liittymistä.

Huomaa, että yhdistyksellä on yhdistyslain mukaan velvollisuus pitää jäsenrekisteriä, joten siihen ei tarvita erilistä suostumusta.

RODUNOMAISET KOKEET

SNJ:n rodunomaisten kokeiden koekalenterissa on kohdat ilmoittautumisen ehtojen hyväksymiselle sekä henkilötietojen käsittelylle.

KOULUTUKSET JA MUIDEN LAJIEN KOKEET

On hyvä pohtia, mitä tapoja kerätä henkilötietoja yhdistyksellä on käytössä nyt ja mitä käytetään jatkossa. Koe- ja koulutusilmoittautumisten yhteyteen voi lisätä saman tekstin kuin SNJ:n koekalenterissa. Tarvikemyynnin yhteyteen voi lisätä viittauksen tietosuojaselostukseen.
On myös hyvä pohtia, miten tietoja jatkossa jaetaan. SNJ siirtyi pelkistä edelleenlähetysosoitteista (forward) sähköpostilaatikoihin, joiden palveluntarjoajalla on tietosuoja-asiat dokumentoituna. SNJ tallentaa dokumentit Yhdistysavaimen työhuoneeseen, johon on pääsy vain tietojenkäsittelijän sopimuksen allekirjoittaneilla. Myös Yhdistysavaimella on tietosuoja-asiat dokumentoitu.

PYYNTÖ SAADA OMAT TIEDOT

Henkilöllä on oikeus saada tietää, mitä tietoja yhdistys hänestä säilyttää. Pyynnön on tultava kirjallisesti allekirjoitettuna, ja henkilö on tunnistettava (esim. henkilötodistus). Tietoja ei koskaan lähetetä sähköpostitse, vaan ne postitetaan. Tulosteeseen kerätään kaikki tiedot, ellei niitä erityisesti pyydetä vain esim. jäsenrekisteristä.
Henkilöllä on myös oikeus tulla unohdetuksi, eli hänen niin pyytäessään on kaikki yhdistyksen hänestä säilyttämän tiedot poistettava. Tämä koskee vain tietoja, joita ei lain mukaan tule säilyttää tiettyä aikaa (esim. kirjanpitoa varten). Pyyntö tulla unohdetuksi tulee toimittaa kuten edellä.

 

SNJ:n koekalenteri: ilmoittautumisen ehdojen hyväksyminen sekä suostumus henkilötietojen käsittelyyn