Euroopan Unionin GDPR-asetus käsittelee tietosuojaa ja on tärkeä myös yhdistystoimijoille. Käytännössä asetus määrittelee, että ihmisistä kerättäviä henkilötietoja pitää käsitellä asiallisesti. Jokaisella on oikeus tietää: millaista tietoa kerätään sekä miten ja missä kerättyjä tietoja käsitellään ja säilytetään. Henkilötietojen keräämiseen ja käyttöön pitää kysyä aina lupa.
Ota GDPR-asetus huomioon yhdistystoiminnassa
GDPR-asetus on yhdistyksille tärkeä aihe, koska yhdistyslain mukaan jokaisella rekisteröityneellä yhdistyksellä on vastuu pitää yllä jäsenrekisteriä. Jäsenrekisteri tarkoittaa, että jokaisesta yhdistyksen jäsenestä on tallennettu vähintään henkilön koko nimi sekä kotipaikka. Yhdistys voi kerätä myös muuta tietoa jäsenistään, mutta kaikilla tiedolla pitää olla yhteys järjestön toimintaan.
Jäsenrekisteri tarkastetaan joka vuoden päätteeksi. Hallituksen vastuulla on poistaa yhdistyksen kannalta epäoleelliset henkilötiedot sekä sellaisten henkilöiden tiedot, jotka eivät enää ole yhdistyksen jäseniä.
Jäsenrekisterin tiedot sekä muut yhdistyksen jäsenistä kerätyt tiedot kuuluvat GDPR-asetuksen piiriin. Käytännössä yhdistyksen tulee määritellä se, miten henkilötietoja käsitellään sekä viestiä siitä selkeästi jäsenilleen.
Valmistele yhdistyksellesi tietosuojaseloste
Tietosuojaseloste on se dokumentti, jonka avulla yhdistys määrittelee jäsenilleen, miten henkilötietoja käytetään. Siitä käy ilmi mitä henkilötietoja kerätään sekä missä ja miten niitä käytetään ja säilytetään. Tietosuojaselosteen suunnittelussa kannattaa hyödyntää jo valmiita malleja, mutta ennen sen laatimista kannattaa pohtia seuraavia asioita:
1. Jäsenrekisterin sisältö ja tietojen säilytys. Kuka ylläpitää tietokantaa, missä se fyysisesti sijaitsee ja keillä on oikeus tarkastella tietoja? Nämä tiedot on määriteltävä tietosuojassa yksityiskohtaisesti.
2. Jäsentietojen käyttäminen kaupallisiin tarkoituksiin. Jos yhdistys tekee yhteistyötä esimerkiksi yrityksen kanssa, on jäseniltä kysyttävä lupa tietojen välittämiseen. Kaupallinen yhteistyö voi tarkoittaa esimerkiksi jäsenten nimen välittämistä ravintolaan alennuksen saamiseksi.
3. Kattojärjestöt ja muut yhdistykset. Jos yhdistys kuuluu johonkin kattojärjestöön tai verkostoon, on hyvä pohtia, millaista tietoa yhdistys välittää eteenpäin. Hyvä esimerkki on yhdistyksen paikallisosaston jäsenrekisterin välittäminen kattojärjestölle. Tietosuojaselosteessa pitää siinä tapauksessa mainita, mitä tietoja luovutetaan ja minne, sekä tietojen jakamisen perusteet.
4. Yhdistyksen postituslistat ja niiden käyttö. Tietosuojaselosteessa tulee mainita, miten yhteystietoja käytetään viestinnässä ja markkinoinnissa. Esimerkiksi yhdistyksen uutiskirjeiden lähettämiseen pitää kysyä lupa kaikilta vastaanottajilta.
5. Käytettävät ohjelmat ja sovellukset. Käyttääkö yhdistyksesi viestinnässä apuna esimerkiksi MailChimp-ohjelmaa? Sovelluksen palvelimet ovat Yhdysvalloissa. Käytännössä tämä tarkoittaa sitä, että jäsenrekisterin tietoja tallennetaan palvelimen avulla EU- ja ETA-maiden ulkopuolella, mikä pitää mainita erikseen tietosuojaselosteessa. Tällainen tarkastus kannattaa tehdä myös muille yhdistyksen käyttämille sovelluksille ja niiden palvelimille.
Tuemme yhdistyksiä myös tietosuojaan liittyvissä kysymyksissä. Maksutonta neuvontaa saat ottamalla yhteyttä asiantuntijoihimme!