Ylläpitääkö osastonne omaa sähköpostilistaa? Säilytättekö tapahtumaosallistujien listoja? Ylläpidättekö jotain muuta markkinointilistaa?
Mikäli osastolla on käytössä omia (Ankkuri-jäsenrekisterin ulkopuolisia) sähköpostilistoja tai se ylläpitää pysyväluonteista listaa esim. eri tapahtumiin tai matkoille osallistuneista henkilöistä, muodostuu näistä tiedoista henkilörekisteri ja osasto on ko. henkilörekisterin ylläpitäjä ja sen tulee noudattaa EU:n tietosuoja-asetusta henkilötietojen käsittelyssä. Vastuu osaston henkilörekisteristä ja sen käytön lainmukaisuudesta on osaston luottamushenkilöillä.
Alla annamme ohjeita osastoille oman henkilörekisterin ylläpitämiseen, mutta lisäksi osaston tulee tutustua virallisiin EU:n tietosuoja-asetusta koskeviin ohjeisiin: http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html
Noudata EU:n tietosuoja-asetuksen tietosuojaperiaatteita
Osaston on huolehdittava siitä, että EU:n tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa henkilötietojen käsittelyvaiheissa. Tietosuojaperiaatteiden mukaan henkilötietoja on:
- käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
- käsiteltävä luottamuksellisesti ja turvallisesti
- kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten (käyttötarkoitussidonnaisuus)
- kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden (tietojen minimointi)
- päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä (tietojen täsmällisyys)
- säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (tietojen säilytyksen rajoittaminen)
- rekisterinpitäjän osoitusvelvollisuus.
=> Eli älkää säilyttäkö kenestäkään mitään turhaa tietoa ja poistakaa tiedot heti, kun ette niitä enää tarvitse. Kertokaa myös kuinka kauan tietoja säilytätte.
Henkilörekisteristä on laadittava tietosuojaseloste
Osaston pitää sen laatia henkilörekisteristään tietosuojaseloste:
- joka tulee julkaista osaston omalla kotisivulla, mikäli osastolla on kotisivu.
- joka on esitettävä sähköpostilistalle liittyville/tapahtumaan ilmoittautuville henkilöille (oltava linkitettynä ilmoittautumislomakkeeseen/tapahtumailmoitukseen)
- joka on pyydettäessä esitettävä rekisterissä oleville henkilöille
Olemme laatineet osastojen avuksi Tietosuojaselosteen mallipohjan, jota voitte hyödyntää laatiessanne osastonne oman henkilötietorekisterin tietosuojaselostetta.tietosuojaselostemalli-suomi-venaja-seuran-osastoille-8-5-2018 (word-tiedosto). Vastuu tietosuojaselosteesta ja sen lainmukaisuudesta on osastolla itsellään.
Rekisteröidyiltä on oltava lupa ja heidän on voitava helposti erota rekisteristä
Jokaiselta sähköpostilistalle tai muulle osaston ylläpitämään henkilörekisteriin liitetyltä henkilöltä pitää olla lupa siihen. Lupa täytyy pystyä todistamaan. Ja jokaisen listalla/henkilörekisterissä olevan henkilön on voitava siitä helposti erota ja osaston pitää huolehtia, että se pyydettäessä poistaa kaikilta listoilta/henkilörekisteristä ja mahdollisilta varakopioilta, sitä haluavan henkilön tiedot. Oikeus henkilötietojen käsittelyyn voi syntyä myös oikeutetun edun kautta esim. jos henkilö on ostanut osastolta matkan.
Henkilötietojen käsittely on dokumentoitava ja ohjeistettava
Tietosuojaselosteen lisäksi osaston on käytävä läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoiva ne ja varmistettava, että toimintatavat ovat nykyisen henkilötietolain mukaisia. Lisäksi osaston tulee laatia toimintatavoista käyttöehdot, joita jokaisen luottamushenkilön, joka käsittelee henkilörekisterin henkilötietoja pitää sitoutua noudattamaan. Osaston on pyydettäessä pystyttävä esittämään viranomaiselle tietosuojaseloste, henkilötietojen käsittelystä laadittu selvitys ja käyttöehdot sekä rekisterin käyttäjien allekirjoittamat sitoumukset.
Tietojenkäsittelysopimusten solmiminen
Mikäli osasto hyödyntää henkilötietojen käsittelyyn muita henkilötietojärjestelmiä kuin Ankkuri-jäsenrekisteriä, pitää sen solmia henkilötietojärjestelmän toimittajan kanssa Tietojenkäsittelysopimus (Data Processing Agreement, DPA), jossa vastaanottaja sitoutuu noudattamaan EU:n tietosuoja-asetusta ja turvaamaan tiedot. Suurin osa järjestelmätoimittajista on laatinut vakiosopimukset tätä varten tai liittänyt ko. sopimuksen perusehtoihinsa.
Mikäli osasto lähettää oman henkilörekisterin henkilötietoja Venäjälle (tai muille kolmansille osapuolille esim. hotelleille), pitää tämä käydä selkeästi ilmi tietosuojaselosteesta, tiedot on lähettävä vahvasti suojattuina, ja osastolla pitää olla vastaanottajan kanssa laadittuna sopimus siitä, että vastaanottaja käsittelee henkilötietoja EU:n tietosuoja-asetuksen mukaisesti.