Usein kysyttyä yhdistystoiminnasta

Kyllä koskee. Yhdistyksen koolla ei ole merkitystä; tietosuoja-asetusta tulee noudattaa, jos yhdistys käsittelee henkilötietoja.

Lue lisää: Mikä on henkilötieto?

Yhdistys voi käsitellä erityisiä henkilötietoryhmiä koskevia tietoja vain, mikäli se pystyy osoittamaan, että käsittely on perusteltua yhdistyksen toiminnan tarkoituksen kannalta ja jäsen tietää tämän. Esimerkiksi liittyessään poliittiseen yhdistykseen jäsen ymmärtää henkilötietojensa tulevan rekisteröidyksi ja jäsenyyden myös välillisesti ilmaisevan poliittisen näkemyksen. Tiedot on suojattava, eikä niitä saa luovuttaa edelleen.

Uskonnollista vakaumusta, terveyttä ja poliittisia mielipiteitä koskevat tiedot kuuluvat EU:n tietosuoja-asetuksen mukaan nk. erityisiin henkilötietoryhmiin (arkaluontoiset tiedot). Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. Lähtökohtaisesta kiellosta huolimatta erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa tai erikseen muualla lainsäädännössä. Tavallisin suoraan tietosuoja-asetuksesta seuraavista poikkeuksista on rekisteröidyn nimenomainen suostumus.

Suoraan tietosuoja-asetuksesta seuraa toinenkin poikkeus, jonka perusteella yhdistystoiminnassa voidaan käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, kun kaikki seuraavat edellytykset täyttyvät:

• Erityisiin henkilötietoryhmiin kuuluvia tietoja saa käsitellä poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä.
• Tiedot on suojattava asianmukaisesti.
• Käsittely voi koskea vain yhteisön jäseniä, entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoitukseen liittyvät yhteydet.
• Tietoja ei saa luovuttaa yhteisön ulkopuolelle ilman suostumusta.

Lisäksi on otettava huomioon muun muassa se, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn on oltava perusteltua yhdistyksen toiminnan tarkoituksen kannalta.

Lue lisää: Erityisten henkilötietoryhmien käsittely

Toisinaan jo tieto yhdistyksen jäsenyydestä ilmaisee erityisiin henkilötietoryhmiin kuuluvan tiedon. Esimerkiksi poliittisten puolueiden, uskonnollisten yhdistysten tai eri sairauksiin liittyvien yhdistysten jäsentiedot voivat ilmaista erityisiin henkilötietoryhmiin kuuluvia tietoja. Kun otetaan huomioon yhdistyksen toiminnan tarkoitus, erityisiin henkilötietoryhmiin kuuluvien tietojen kerääminen voi olla perusteltua. Se edellyttää kuitenkin, että yhdistys arvioi, mitkä tiedot ovat sen toiminnan kannalta tarpeellisia ja kykenee tarvittaessa osoittamaan, miksi tiedot on kerätty. Jos yhdistys käsittelee laajamittaisesti erityisiin henkilötietoryhmiin sisältyviä tietoja, sen tulee laatia käsittelystä vaikutustenarviointi.

Lue lisää: Vaikutustenarviointi

Kyllä koskee. Jo jäseneksi liityttäessä tulee jäsentä informoida henkilötietojen käsittelystä ja tietojen mahdollisista luovutuksista.

Lue lisää: Kerro käsittelystä rekisteröidylle

Eivät pääsääntöisesti saa. Sähköposti on lähetettävä niin, että osoitteet ovat piilokopiokentässä eivätkä näy muille jäsenille, ellei yhteystietojen näkymiseen ole erityistä syytä (esimerkiksi jäsenet voivat liittyä vapaaehtoiseen keskusteluryhmään tai sähköpostilistalle, jossa muiden tiedot ovat näkyvillä).

Jäsenrekisteriä säilytetään huolellisesti suojattuna joko laitteella, joka on kokonaan erillään internetistä, tai hyvän palomuuri- ja virustorjuntaohjelmiston suojaamana.

Pääsy jäsenrekisteriin tulee olla niillä yhdistyksen toimihenkilöillä, joiden tehtävien hoidon kannalta tämä on tarpeen. Myös yhdistyksen jäsenellä on yhdistyslain mukaan oikeus tutustua jäsenluettelon tietoihin.

Ei ilman erityisperustetta.

Henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen vaatimuksia, kun

• käsittely on kokonaan tai osittain automaattista (tietoja käsitellään IT-järjestelmien avulla) tai
• tiedot muodostavat rekisterin osan.

Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty tai hajautettu sekä toiminnallisin tai maantieteellisin perustein jaettu.

Jäsenellä on tietyissä tilanteissa oikeus saada tietonsa poistetuksi. Joskus yhdistyksellä voi olla oikeus säilyttää tiedot tai julkaista ne, vaikka jäsen on vaatinut tietojen poistamista. Yhdistyksen tulee suunnitella tiedotustoimintansa sellaiseksi, että jäsen tietää menettelytavat mahdollisissa ristiriitatilanteissa.

Lue lisää: Oikeus poistaa tiedot

Toimivalta käsitellä jäsenten tietoja päättyy, kun toimihenkilön asema yhdistyksessä lakkaa. Toimihenkilön on luovutettava hallussaan oleva henkilötietoaineisto, eikä hän saa ottaa siitä itselleen kopioita.

Yhdistys saa tiedottaa toiminnastaan jäsenille, eikä tiedottamista pidetä suoramarkkinointina. Jäsentietoja ei saa luovuttaa kolmannelle osapuolelle suoramarkkinointitarkoituksiin ilman jäsenen lupaa.

Yleensä ei. Poikkeuksena on tilanne, jossa jäsen on antanut henkilötunnuksen käyttöön suostumuksensa, käsittelystä on säädetty lailla tai on olemassa muu erityisen tärkeä syy yksiselitteiseen yksilöimiseen, eikä yksilöintiä voi tehdä muutoin kuin henkilötunnuksen avulla.

Syntymävuosi, jäsennumero tai vastaava riittää. Lisäksi nimen perään voidaan lisätä yksilöintiä helpottava lisätunnus (Mikko Mallikas X erotukseksi Mikko Mallikas Y:stä).

Rekisterinpitäjä päättää itsenäisesti henkilötietojen käsittelystä. Henkilötietojen käsittelijä saa käsitellä jäsentietoja vain siinä laajuudessa ja sillä tavoin kuin rekisterinpitäjän kanssa on sovittu.

Lue lisää: Henkilötietojen käsittelijät

Ulkoistamisesta tulee tehdä sopimus, jossa huomioidaan tietosuoja-asetuksen vaatimukset. Ulkoistaminen ei poista yhdistyksen vastuuta.

Lue lisää: Henkilötietojen käsittelijät