Suomen Lammasyhdistys ja GDPR

EU:n yleisen tietosuoja-asetuksen 2016/679 (GDPR) soveltaminen alkaa 25.5.2018. Tietosuoja-asetuksen tarkoituksena on parantaa EU-kansalaisten henkilötietojen suojaa. Henkilötietoja ovat kaikki ne tiedot, joista henkilö voidaan suoraan tai epäsuorasti tunnistaa. Tällaisia tietoja ovat esimerkiksi nimi, henkilötunnus, ikä, puhelinnumero ja osoite. Henkilörekisterejä taas ovat kaikki listat ja muut materiaalit, joissa tällaisia henkilötietoja esiintyy.

Tietosuoja-asetus vaatii Suomen Lammasyhdistys ry:ltä rekisterinpitäjänä ja tietojen käsittelijänä sitä, että laadimme henkilötietolain mukaisesti rekistereistämme tietosuoja- ja rekisteriselosteet ja noudatamme niitä tarkasti.

Henkilötietoja kerätään jäseniltä, jäsenyhdistyksiltä ja -yrityksiltä sekä Lammas & vuohi -lehden tilaajilta. Käyttötarkoitus on määriteltävä ennen tiedon keräämistä ja tietoa voidaan kerätä vain, jos tiedon käytöllä on yhdistyksen toimintaan perustuva syy. Käyttötarkoitus kerrotaan henkilöille tietoa kerättäessä ja tätä kerättyä tietoa käytetään vain tähän etukäteen määriteltyyn tarkoitukseen (esim. jäsentiedottaminen). Lisäksi on aina mahdollista pyytää lupa henkilötietojen muihin käyttötarkoituksiin (esim. mahdolliselle asiakkaalle tai lammaskerhon jäsenyydestä kiinnostuneelle luovutettavaksi).

Yhdistysavain Rekisteri -jäsenrekisteri
GDPR velvoittaa sopimaan kirjallisesti henkilötietojen käsittelystä tilanteissa, joissa yhteisö toimii henkilötietojen rekisterinpitäjänä ja yhteisö käsittelee henkilötietoja. Rekistereiden pitämiseen pitää olla laillinen peruste.

SLY kerää henkilötietoja jäsenistään ja ylläpitää jäsenrekisteriä. SLY hallinnoi rekisteriä ja käyttää rekisterin tietoja itsenäisesti. Jäsenrekisterissä tiedot säilytetään niin kauan kuin rekisteröity on yhdistyksen jäsen.

Uuden asetuksen mukaisesti tietojen käsittely tulee rajoittaa ainoastaan niille henkilöille, joilla on siihen perusteltu syy. Henkilötietoja saa siis käsitellä ainoastaan sellaiset henkilöt, jotka ovat tehneet sopimuksen henkilötietojen käsittelystä ja jonka toimenkuvassa tietojen käsittely on tarpeellista (toiminnanjohtaja).

Laillinen peruste rekisterin pitämiseen
Jäsenrekisterin laillinen peruste on yhdistyslain noudattaminen jäsenen nimen ja kotipaikan osalta. SLY:n osalta laillinen peruste on Lammas & vuohi -lehden lähettäminen ja laskuttaminen sekä jäsenyhdistysten (lammaskerhot) yhteyshenkilöiden yhteystietojen ylläpito.

On huomioitava, että sähköpostiosoitteen tai puhelinnumeron keräämiseen vaaditaan henkilökohtainen suostumus.

Ilmoitusvelvollisuus jäsenille ja jäsenten oikeudet
Yhdistys saa kerätä vain sellaisia henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta. Toisin sanoen kaikella kerätyllä tiedolla tulee olla käyttötarkoitus ja tämä tulee kertoa etukäteen julkaistussa tietosuojaselosteessa. Mikäli tiedon kerääminen ei perustu lakiin, sopimukseen, julkiseen etuun tai sääntöihin, tarvitaan henkilöltä suostumus tietojen keräämiseksi. Suostumus tulee aina pyytää kirjallisesti.

Henkilötietojen osalta rekisteröidylle jäsenelle tulee ilmoittaa, mitä tietoja kerätään, mihin käyttötarkoitukseen tietoja kerätään, mihin tietoja luovutetaan ja kauanko tietoja säilytetään.

Rekisteröidyllä jäsenellä on oikeus vaatia tietojaan korjattavaksi, mikäli niissä on virhe.

Tietosuoja-asetuksen yksi tavoitteista on, että henkilö pääsee omiin tietoihin entistä helpommin sekä hänellä on mahdollisuus tulla unohdetuksi. Rekisteröidyllä on oikeus esittää tietopyyntö siitä, mitä henkilötietoja hänestä on kerätty. Tähän tietoon tulee vastata 30 päivän sisällä. Tämä tarkoittaa sitä, että yhdistyksen pitää pystyä tarvittaessa antamaan henkilölle tiedot siitä, mitä tietoja hänestä on kerätty ja miten tietoa on käsitelty. Henkilö voi myös pyytää halutessaan, että hänen tietonsa poistetaan. Tämä tarkoittaa ennen kaikkea sellaista tietoa, mihin on pyydetty erillinen suostumus. Henkilö ei voi pyytää rekisterinpitäjää poistamaan tietoja, joilla on henkilötietoasetuksen mukainen peruste. Mikäli henkilötietojen käsittely pohjautuu jäsenen suostumukseen (esim. sähköpostiosoite), jäsenellä on oikeus peruuttaa suostumus, jolloin tiedot tulee tuhota suostumuksen alaisen tiedon osalta.

Tietoja ei ikinä saa luovuttaa ilman, että on tunnistanut kysyjää!

Vanhat ja tarpeettomat tiedot on poistettava, eli sellaiset tiedot, joita ei ole tietosuoja-asetuksen mukaisesti perusteltavaa säilöä, on tuhottava. Tällaisia ovat esimerkiksi sähköposteissa olevat henkilölistaukset ja omat muistiinpanot (tietokoneella tai paperilla).

Tietosuojaseloste GDPR jäsenrekisteristä avautuu pdf -muodossa tästä >