tietosuojaOhjeita vihreille paikallisyhdistykselle
Sivustolle kootaan tietosuojaan ja EU:n tietosuoja-asetukseen liittyviä tietoja vihreiden jäsenyhdistysten ja piiri- sekä liittojärjestöjen käytettäväksi. Tieto ei ole suoraan sovellettavissa muille yhdistyksille. Ehdotuksia ja toiveita voi lähettää järjestöpäällikölle , katja.hintikainen(at)vihreat.fi.
Vihreän yhdistyksen 5 ensimmäistä askelta, joilla hoitaa tietosuoja kuntoon
EU:n tietosuoja-asetus (GDPR) astui voimaan 25.5.2018. Alla seuraa ohjeistus siitä, miten pienikin vihreä yhdistys voi laittaa tietosuojatilanteensa kuntoon. Sivustolta löydät myös paljon lisätietoja, vinkkejä ja pohjia.
Nimetkää tietosuojayhdyshenkilö. Nimetkää yhdistyksenne hallituksesta yksi henkilö, esimerkiksi sihteeri tai mahdollinen jäsenvastaava tietosuojayhdyshenkilöksi (tietosuojavastaava on puolueen toimihenkilö, tätä nimitystä ei saa käyttää).
Laittakaa jäsenrekisteri turvalliseen paikkaan eli pilvipalveluun. Turvallinen paikka on esimerkiksi yhdistykselle luotu erillinen Google Drive -tili (ei yksityishenkilön nimellä oleva oma tili, vaan esim. paikkakunnanvihreat@gmail.com) tai muu tietosuoja-asetusta noudattava pilvipalvelu. Säilyttäkää jäsenrekisteriä vain ja ainoastaan salasanalla suojatussa paikassa Google Drivessa ja antakaa tilin salasana käyttöön vain sovituille henkilöille (esim. hallituksen jäsenet). Nämä henkilöt ovat niitä, jotka ovat oikeutettuja jäsentietojen käsittelyyn. Google Drive on tietosuojan kannalta hyväksytty ja esim. yksityishenkilön tietokonetta tai sähköpostia/pilvipalvelua huomattavasti turvallisempi tallennuspaikka.
Poistakaa vanhat jäsenmaksuraportit sähköpostistanne, tietokoneiltanne, muista pilvipalveluista yms. Samalla kannattaa poistaa kaikki muut henkilötietoja sisältävät tiedostot, tai siirtää ne Google Drivelle, jos tietoja vielä tarvitaan (kuitenkin poistaa ylimääräiset tiedot).
Tehkää kopio jäsenrekisteriselosteen mallista (https://tinyurl.com/vihrea-tietosuojaseloste), johon päivitätte tiedot ohjeiden mukaan ja kirjaatte valitsemanne tietosuojayhteyshenkilön nimen (jatkossa tätä dokumenttia päivitetään tarvittaessa). Seloste hyväksytään seuraavassa mahdollisessa hallituksen kokouksessa, lisätään nettisivuille ja lisäksi siitä lähetetään kopio piirin toiminnanjohtajalle tiedoksi.
Jatkossa yhdistyksen hallituksen tulee vuosittain esim. järjestäytymiskokouksessaan huolehtia tietosuojasta
vaihtamalla Google Driven salasana vuosittain ja pitämällä huolta, että se on vain sovituilla henkilöillä
poistamalla vanhentuneet jäsentiedot jäsenrekisteristä, esim. 2 vuotta jäsenmaksun maksamatta olleet henkilöt toteamalla heidät eronneiksi
valitsemalla säännöllisesti uusi tietosuojayhdyshenkilö ja perehdyttämällä hänet yhdistyksen tietosuojaselosteisiin sekä käytäntöihin
huolehtia myös muiden henkilötietojen ajantasaisuudesta ja vanhojen tietojen poistamisesta
Ensin on tärkeintä keskittyä tietosuoja-asioissa kannaltamme tärkeimpään eli jäsenrekisteriin kirjattuihin tietoihin: jäsenyys poliittisessa puolueessa katsotaan arkaluonteiseksi tiedoksi. Aktiiveista, luottamushenkilöistä ja muista ihmisistä koottujen tietojen tietosuojan varmistaminen on seuraava askel, joka aloitetaan vasta kun jäsenyystietojen suoja on varmasti kunnossa.
Jäsentietojen merkityksen voi mieltää esimerkin kautta: jäsentiedot ovat kuin arvokas maljakko, jonka jäsenemme ovat lainanneet meille käytettäväksi yhdistyksen toiminnassa. Saamme käyttää tietoja, mutta meidän tulee säilyttää ja käsitellä niitä huolellisesti ja mikäli jäsen niin pyytää, tulee meidän antaa tiedot pois käytöstämme (eli poistaa jäsenrekisteristä).
Näillä 5 askeleella pääsette alkuun, mutta tietosuoja tulee mieltää yksittäisen tehtävän sijaan osaksi yhdistyksen normaalia toimintaa: vuosittain on tarkistettava, että a) säilyttämänne tiedot ovat ajan tasalla, b) suojassa ulkopuolisilta ja c) mitään tietoa ei säilytetä turhaan.
Kysyttävää?
Lähetä sähköpostia otsikolla Tietosuoja piirisi toiminnanjohtajalle.
Seuraavat askeleet:
Muun kuin jäsentietojen tietosuojan parantaminen
Siirrythän tähän vaiheeseen vasta kun jäsenyystiedot ovat varmasti kunnossa. Nyt yhdistys voi alkaa kartoittaa muuta tietosuojaansa ja henkilötietojen käsittelyä:
1. Kaikki henkilötietoja sisältävät asiat siirretään pilvipalveluun. Siirtäkää kaikki yhdistyksen tiedot, listat ja tiedostot, joissa on mitään henkilötietoja, turvalliseen pilvipalveluun kuten Google Driveen. Henkilötietoja ovat tunnistettavat nimet (joskus pelkkä etunimi riittää), sähköpostiosoitteet ja jopa tunnistettavat valokuvat.
Pilvipalvelu on hyvä sekä tietosuojan että tiedon löytämisen kannalta; jos henkilö kysyy mitä tietoja hänestä yhdistyksellä on, tiedonhakuun riittää nimen kirjoittaminen palvelun hakukenttään.
2. Kaikki vanhat, turhat ja ylimääräiset henkilötiedot poistetaan. Kaikki tarpeeton tieto poistetaan: menneiden tapahtumien osallistujalistat, vapaaehtoisten listat, ehdokasehdotusten listat, vanhojen työnhakujen hakijoiden tiedot ja tiedostot jne. Säilytettävistä tiedoista poistetaan kaikki ylimääräinen eli kaikki tieto, jonka säilyttämiselle ei ole erityistä syytä. Poistakaa myös turhat/vanhentuneet sähköpostilistat.
3. Huolehditaan pilvipalvelun käyttöoikeudet ja salasanat kuntoon. Tiedot voivat olla samalla Drivella kuin jäsentiedot, mutta huolehdittehan, että käyttöoikeudet ovat vain tietoja oikeasti tarvitsevilla henkilöillä (esim. kaikilla hallituksen jäsenillä ei tarvitse olla pääsyä jäsentietoihin). Huolehtikaa salasanan vaihtamisesta vähintään vuosittain.
4. Päätetään mitä tietoja säilytetään ja miksi. On hyvä tehdä yksi taulukko, jossa on listattu, mitä rekistereitä yhdistyksellä on käytössä, päättää siinä miten tietoja kerätään, käytetään, säilytetään ja poistetaan. Sen pohjalta voidaan tehdä tietosuojaselosteet, ja linkittää ne taulukkoon. Näin pysyy kokonaiskuva siitä, mitä rekistereitä ja tietoja yhdistyksellä on hallussaan.
5. Tehdään tietosuojaselosteet henkilörekistereistä. Pohjat löydät tämän sivuston Selostemallit -osiosta.
6. Tärkeintä on noudattaa tietosuojaselosteita:
kerätä vain sovitut ja tarpeelliset tiedot
säilyttää ja käyttää tietoja vain ilmoitetulla tavalla
poistaa tiedot viimeistään selosteessa mainitun säilytysajan jälkeen
vastata tietopyyntöihin kuukauden kuluessa, varmistuen kuitenkin siitä, että kysyjä on todella kuka väittää olevansa
7. Tietosuoja-asiat tarkistetaan vähintään vuosittain, esim. hallituksen vaihtuessa. Varmistakaa, että vanhat ja turhat tiedot on poistettu, käyttöoikeudet päivitetty, uudet vastuuhenkilöt ohjeistettu ja tietosuojaselosteet ja muut käytännöt ajan tasalla.
HUOM! Henkilötietoja ei missään nimessä saa antaa kenellekään ulkopuoliselle! Kysyjälle ei saa edes kertoa, löytyykö kysytty henkilö puolueen/piirin/yhdistyksen jäsen(maksu)rekistereistä tai muista kuin julkisista tiedoista. Kyselyihin vastataan vain, jos ollaan täysin varmoja siitä, että kysyjä kysyy omia tietojaan tai yhdistyslain mukaisesti hänen nähtäväkseen kuuluvia tietoja (= yhdistyksen jäsenillä on kokouksen koollekutsumista varten oikeus tarkastella yhdistyksen jäsenluetteloa eli jäsenten nimien luetteloa esim. yhdistyksen tiloissa esiteltynä ilman mahdollisuutta käyttää tietoja väärin).
Jos kaipaat ohjeistuksia, koulutusta tai apua tietosuoja-asioihin, ethän epäröi kysyä! Apua saat helpoiten oman piirisi vihreiden työntekijöiden kautta.