Tietosuojaselosteen mallipohja yhdistyksille

Tämä tietosuojaselosteen mallipohja on tehty vastaamaan EU:n yleisen tietosuoja-asetuksen mukaisia määräyksiä, jotka liittyvät rekisterinpitäjien velvoitteisiin informoida rekisteröityjä henkilötietojen käsittelystä. Vaikka informointivelvoitteen voi mahdollisesti hoitaa muullakin menetelmällä kuin selosteella, on silti suositeltavaa tehdä kaikista henkilötietorekistereistä omat tietosuojaselosteensa ja saattaa selosteet kaikkien rekisteröityjen saataville.

Tietosuojaselosteen yleinen mallipohja

[Rekisterin nimi] tietosuojaseloste

1. Rekisterinpitäjä

Kirjoita tähän kohtaan rekisterinpitäjän nimi, osoite, sähköpostiosoite ja puhelinnumero. Mainitse tässä kohtaa myös, jos rekisteri on yhteisrekisteri jonkin toisen rekisterinpitäjän kanssa. Esimerkiksi keskitetty jäsenrekisteri voi olla sellainen, jos järjestön eri yhdistykset käyttävät samaa rekisteriä omien jäsentensä osalta.

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Jos yhdistyksessä on valittu tietosuojavastaava, kirjoitetaan hänen tietonsa tähän. Muussa tapauksessa on nimettävä joku muu, keneen rekisteriä koskevissa asioissa voi olla yhteydessä. Ilmoita kyseisen henkilön nimi- ja yhteystiedot.

3. Rekisterin nimi

Esim. FinFami ry:n jäsenrekisteri

4. Rekisteröidyt

Kirjoita tähän, minkälaisista henkilöryhmistä rekisteri koostuu. Esimerkiksi jäsenrekisteri voi sisältää suorat jäsenet, kannatusjäsenet ja kunniajäsenet.

5. Rekisterin pitämisen ja henkilötietojen käsittelyn perusteet ja käyttötarkoitus

Kirjoita tähän, mihin oikeus henkilötietojen käsittelyyn perustuu. Osoita, että vähintään yksi seuraavista käsittelyn perusteista täyttyy:

  • Lakiin perustuva velvoite
  • Oikeutettu etu
  • Sopimus
  • Henkilön itsensä antama suostumus
  • Elintärkeä etu
  • Julkinen tehtävä

Kuvaile tähän myös konkreettisesti henkilötietojen käyttötarkoitus. Käyttötarkoitus kannattaa määritellä sen mukaan, mihin yhdistys katsoo tulevaisuudessa tarvitsevansa henkilötietoja. Jos et nyt käytä tietoja esimerkiksi jäsentutkimuksen tekemiseen, mutta saatat ehkä joskus tulevaisuudessa käyttää, kannattaa jo nyt tietosuojaselosteessa mainita tästäkin käyttötarkoituksesta.

Huomioi kuitenkin tietojen käsittelyn minimointivaatimus! Vain sellaisia tietoja voidaan kerätä ja käsitellä, joille on jokin perusteltu tarkoitus.

6. Käsiteltävät henkilötiedot

Erittele tähän kohtaan kaikki tiedot, joita rekisteröidyistä kerätään rekisteriin (esim. nimi- ja yhteystiedot). Huomioi jälleen käsittelyn minimointivaatimus.

7. Säännönmukaiset tietolähteet

Kirjoita tähän, mistä lähteistä rekisteröityjen tietoja kerätään. Tietolähteitä voivat olla mm. rekisteröidyt itse tai luovutukset muista rekistereistä.

8. Tietojen luovutus ja siirtäminen

Tähän on kirjattava kaikki vastaanottajatahot, joille tietoja siirretään, sekä luovutusten perusteena olevat käyttötarkoitukset. Esim. jäsenrekisteristä luovutetaan tietoja FinFami ry:lle (keskusliittoon) Labyrintti-lehden tilaajarekisteriin.

Jos nykyisten luovutusten sijasta tai lisäksi on syytä tulevaisuudessa luovuttaa tietoja tahoille, jotka eivät ole vielä tiedossa, kannattaa tähän kirjata periaatteet, jonka mukaan tietoja voidaan luovuttaa. Esim. “tietojen luovutuksia voidaan tehdä rekisteröityjen suostumuksella”, “voimme luovuttaa tietoja tutkimuskäyttöön”.

Tietosuojaselosteessa on myös mainittava, jos tietoja luovutetaan EU/ETA-alueen ulkopuolelle. Mainitse, mihin maihin tietoja siirretään ja tarkista, että maat ovat EU:n hyväksymiä. Mainitse myös, jos ette siirrä tietoja EU/ETA-maiden ulkopuolelle.

9.  Tietojen suojaus

Kirjoita tähän tekniset suojausmekanismit, joilla henkilötiedot pidetään turvassa. Näitä voivat olla mm. käyttäjätunnukset ja salasanat, palomuurit, kaappien lukitseminen, jne.

Kirjoita tähän myös kaikki organisatoriset suojauskeinot. Näitä voivat olla mm. henkilöstön sisäiset rajoitukset tai varmuuskopiointi.

10. Tietojen käsittelyn kesto

Kuvaile tähän tietojen käsittelylle määritelty kesto tai sen periaatteet (esim. jäsenrekisterissä jäsenyyden kesto). Mainitse erikseen tietojen säilytyksen kesto, jos tietoja täytyy muun käsittelyn loputtua edelleen säilyttää määrätyn aikaa (esim. osallistujalistat kirjanpitoaineistossa kirjanpitolain mukaan 6 vuotta).

11. Tietojen käsittelijät

Kirjaa tähän kaikki tahot, jotka rekisterinpitäjien lisäksi käsittelevät rekisteriä ja sen tietoja (esim. tietojen säilytyksestä vastaavat palveluntarjoajat). Tähän kohtaan on hyvä myös lisätä klausuuli, joka mahdollistaa tietojen käsittelyn ulkoistuksen tulevaisuudessa. Esim. “Voimme ulkoistaa henkilötietojen käsittelyn osittain kolmannelle osapuolelle, jolloin takaamme sopimusjärjestelyin, että henkilötietoja käsitellään voimassa olevan tietosuojalainsäädännön mukaisesti ja muutoin asianmukaisesti.”

12. Automaattinen päätöksenteko ja profilointi

Kirjoita tähän sisältääkö tietojenkäsittely automaattista päätöksentekoa tai profilointia vai ei.

Profilointi tarkoittaa henkilötietojen automaattista käsittelyä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia. Automaattisesta päätöksenteosta on kyse, kun kyse on pelkästään automaattiseen henkilötietojen käsittelyyn perustuvasta päätöksenteosta ja tehtävillä päätöksillä on oikeusvaikutuksia tai tällaiset päätökset muuten vaikuttavat rekisteröityyn merkittävästi.

Jos kyseessä rekisteriin liittyy profilointia tai automaattista päätöksentekoa, tutustu lisätietoihin tietosuojavaltuutetun toimiston sivuilla.

13. Rekisteröityjen oikeudet

Informoi tässä kohtaa rekisteröityjä heille kuuluvista oikeuksista. Jokaisella rekisteröidyllä on tietojensa käsittelyä koskeva:

  • Tarkastusoikeus eli oikeus tarkistaa rekisteriin tallennetut henkilötiedot. Jos tiedoissa ilmenee virheellisyyksiä tai puutteita, voi rekisteröity pyytää korjaamaan tai täydentämään tiedot oikeiksi.
  • Vastustamisoikeus eli oikeus vastustaa henkilötietojensa käsittelyä, mikäli rekisteröity kokee, että henkilötietoja on käsitelty lainvastaisesti tai ilman asianmukaista oikeutta.
  • Poisto-oikeus eli oikeus pyytää poistamaan rekisteriin tallennettuja tietoja. Rekisteröidyllä on lisäksi oikeus rajoittaa tietojen käsittelyä.
  • Tiedonsiirto-oikeus eli oikeus siirtää tietojaan järjestelmästä toiseen.
  • Valitusoikeus eli oikeus tehdä valitus tietosuojavaltuutetulle, jos rekisteröity kokee, että henkilötietojen käsitelyssä on rikottu voimassa olevaa tietosuojalainsäädäntöä.

Rekisterinpitäjä voi kieltäytyä toteuttamasta vastustamista tai poistoa koskevaa pyyntöä ainoastaan laissa säädetyin perustein. Mikäli rekisterinpitäjä ei suostu rekisteröidyn vaatimuksiin, on rekisteröidyllä oikeus tehdä valitus tietosuojavaltuutetulle. Rekisteröidyllä on myös oikeus vaatia, että kiistanalaisten tietojen käsittelyä rajoitetaan siksi aikaa, kunnes asia saadaan ratkaistuksi.

14. Yhteydenotot

Kerro, miten rekisteröityjen tulee tarvittaessa lähestyä rekisterinpitäjää.

Esim. Kaikki tätä selostetta koskevat yhteydenotot ja pyynnöt tulee esittää kirjallisesti tai henkilökohtaisesti kohdassa kaksi (2) nimetylle yhteyshenkilölle.

15. Muutokset tietosuojaselosteessa

Kerro tässä, millä ehdoilla ja menettelyllä aiotte tehdä tarvittaessa muutoksia tietosuojaselosteeseen.

Esim. Mikäli muutamme tätä selostetta, laitamme muutokset näkyville selosteeseen päivättyinä. Mikäli muutokset ovat merkittäviä, voimme informoida näistä myös muulla tavoin, kuten sähköpostitse tai laittamalla sivuillemme asiasta ilmoituksen. Suosittelemme, että käytte säännöllisesti sivuillamme ja huomioitte mahdolliset muutoksemme selosteessa.

Print Friendly, PDF & Email

Oliko tämä artikkeli hyödyllinen?

Related Articles