Henkilötietojen käsittely – ohje toimihenkilöille

Suomen Marsuyhdistys

Henkilötietojen
käsittely – ohje toimihenkilöille

Henkilötietoja tulee:

 Käsitellä
lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi

 Käsitellä
luottamuksellisesti ja turvallisesti

 Kerättä ja käsitellä
tiettyä, nimenomaista ja laillista tarkoitusta varten

 Kerätä vain
tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden

 Päivittää aina
tarvittaessa ? epätarkat ja virheelliset henkilötiedot on poistettava tai
oikaistava viipymättä

 Säilyttää muodossa,
josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen
tietojenkäsittelyn tarkoitusten toteuttamista varten.

Mieti käsitteletkö toimitehtävissäsi henkilötietoja ja
noudata henkilötietojen käsittelyssä ohjeen neuvoja. Henkilötietona pidetään
mitä tahansa tietoja, jotka voidaan yhdistää johon kuhun henkilöön ja joista
henkilö voidaan suoraan tai epäsuorasti tunnistaa, esim. nimi, henkilötunnus,
puhelinnumero, osoite.

Yksityisyyden suoja on perusoikeus. Käsittele henkilötietoja
huolellisesti riippumatta siitä, onko kyse sähköisesti, suullisesti tai
paperilla käsiteltävistä tiedoista ja muista tietojen suojaaminen sivullisilta.

Käsittele henkilötietoja aina kun mahdollista alkuperäisessä
tietojärjestelmässä. Älä siirrä henkilötietoja tarpeettomasti alkuperäisen
järjestelmän ulkopuolelle esim. excel-taulukkoihin tai word-tiedostoihin. Jos
on tarpeellista käsitellä henkilötietoja alkuperäisen järjestelmän
ulkopuolella, tutustu alla olevaan ohjeeseen 1.

Kun yhdistys tai toimihenkilö aloittaa uuden henkilötietojen
käsittelyä edellyttävän projektin (esim. uusi koulutus), suunnittele henkilötietojen
käsittelyn koko elinkaari (kerääminen, hyödyntäminen, muokkaaminen, tuhoaminen)
ennen kuin ryhdyt keräämään henkilötietoja. Projektin henkilötietojen
käsittelytapa tulee lähettää yhdistyksen hallitukselle tiedoksi.

Minimoi henkilötiedot ja mieti mitä henkilötietoja
oikeastaan tarvitsee kerätä ja tallentaa. Vältä henkilötunnuksen tarpeetonta
käsittelyä.

Uusissa projekteissa, kuten koulutuksissa, muista informoida
henkilöitä, joiden tietoja kerätään ennen kuin ryhdyt keräämään henkilötietoja.
Lainsäädännössä on tarkkaan määritelty se, mitä rekisteröidyille täytyy kertoa.
Käytä mallipohjia henkilöiden informointiin.

Käsittele henkilötietoa vain siihen mihin se on tarkoitettu.
Henkilötiedon käsittelyllä pitää olla aina ennalta määritelty peruste ja
käyttötarkoitus, voit tarkistaa EU:n tietosuoja-asetuksen mukaiset perusteet
tietosuojavaltuutetun sivulta.

Tuhoa tarpeeton ja vanhentunut henkilötieto – Älä säilytä
henkilötietoja varmuuden vuoksi.

Säilytä henkilötiedot turvallisesti. Tietoja ei saa jättää
pöydälle vaan ne tulee pitää lukitussa kaapissa, salattuna kannettavalla
tietokoneella tai ulkoisilla muistivälineillä kuten muistitikuilla. Katso
TOP-10 tietoturvavinkkien ohjeet salauksesta. Älä anna henkilötietoja kenelle
tahansa. Henkilötietoja saavat käsitellä vain ne, joiden toimitehtäviin se
kuuluu.

Pidä henkilötiedot ajan tasalla.

Siirrä henkilötiedot turvallisesti ja varmista
vastaanottaja. Jos lähetät luottamuksellisia tai salassa pidettäviä
henkilötietoja sähköpostilla, muista lähettää viesti salattuna sähköpostina tai
aineisto salattuna liitteenä. Älä lähetä salasanaa sähköpostilla.

Ilmoita henkilötiedoille mahdollisesta tapahtuneesta
vahingosta tai epäilyttävästä toiminnasta hallitukselle heti

Erityiset ohjeet

1.Jäsenrekisteri

Jäsenluetteloon on merkittävä vähintään kunkin jäsenen koko
nimi sekä kotipaikka. Jäsenluettelo sisältää usein käytännössä myös jäsenten
yhteystiedot, jäsenmaksutietoja, jäseneksiliittymisajankohdan ja muita
yhdistyksen toiminnan kannalta oleellisia tietoja. Kaikkien jäsenluetteloon
merkittävien tietojen on myös oltava yhdistyksen toiminnan kannalta
tarpeellisia.

Jäsenluettelon tietoja pitää käsitellä lain mukaisesti ja
huolellisesti, eikä jäsenten yksityisyyttä saa loukata. Kerättävät ja
käsiteltävät tiedot on suojattava asiattomalta pääsyltä tietoihin sekä tietojen
hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä ja muulta
laittomalta käsittelyltä. Jäsenrekisteriä on siis syytä säilyttää esimerkiksi
salasanan takana ja vain rekisteristä vastaavan henkilön saatavilla

Kullakin jäsenellä on kuitenkin oikeus saada tietää, mitä
tietoja hänestä itsestään on jäsenrekisteriin tallennettu. Tietojen suojaaminen
luovuttamiselta tarkoittaa sitä, ettei jäsenrekisterin tietoja saa luovuttaa
edes yhdistyksen muille jäsenille. Henkilötietolaki määrää myös
vaitiolovelvollisuudesta.

Yhdistyksen jäsenillä on kuitenkin oikeus tietää muiden
jäsenten nimet ja kotipaikat. Tällaista tietoa voidaan tarvita muun muassa
silloin, kun yhdistyksen säännöt määräävät yhdistyksen kokouksen voivan
kokoontua tietyn määrän jäsenistöstä (esimerkiksi 1/10) sitä vaatiessa.

Jäsenrekisteri voidaan toteuttaa sähköisesti, esim.
excelillä.  Jäsenrekisterin tulee olla
salatussa tiedostossa.

2. Rekisteriseloste

Yhdistyksen tietosuojan rekisteriselosteen sisältää
sewuraavat asiat:

1) rekisterinpitäjän ja tämän edustajan nimi ja yhteystiedot

2) henkilötietojen käsittelyn tarkoitus

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin
liittyvistä tiedoista tai tietoryhmistä

4) mihin tietoja säännönmukaisesti luovutetaan ja
siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle

5) kuvaus rekisterin suojauksen periaatteista.

Rekisteriseloste pidetään jokaisen saatavilla.
Rekisteriseloste sijoitetaan yhdistyksen verkkosivuille.