Jäsenrekisteri, tietosuojalaki, rekisteriseloste

Päivitetty 20.4.2018

Yhdistyslain mukaan yhdistyksen on pidettävä jäsenistään luetteloa, joka on henkilörekisteri. Rekisterinpitäjän on puolestaan henkilötietolain mukaan laadittava henkilörekisteristä rekisteriseloste.

EUn tietosuoja-asetus on jo tullut voimaan, ja sitä on sovellettava 25.5.2018 mennessä. Samalla voimaan tulee myös uusi tietosuojalaki; velvoitteet tiukkenevat ja sanktiot kovenevat.

Tietosuoja-asetus on jo sellaisenaan voimassa olevaa lainsäädäntöä, se ei vaadi voimaan tullakseen kansallista lainsäädäntöä, joka vain täydentää asetusta. Tässä suhteessa asetus poikkeaa EU-direktiiveistä.

Tälle sivulle on koottu ohjeita aiheesta yhdistysten näkökulmasta.


 

Yhdistyksen jäsenasiat

Yhdistyksen jäsenluettelo on henkilötietolaissa (toukokuusta 2018: tietosuojalaki) määritelty henkilörekisteri. Siihen on merkittävä vähintään kunkin jäsenen koko nimi sekä kotipaikka. Jäsenrekisteri sisältää usein lisäksi jäsenten yhteystiedot, jäsenmaksutietoja, jäseneksi liittymisen ajankohdan ja muita yhdistyksen toiminnan kannalta oleellisia tietoja.

Jäsenrekisteristä vastaa usein esimerkiksi yhdistyksen sihteeri, taloudenhoitaja tai muu hallituksen jäsen, jonka erityiseksi tehtäväksi on määrätty jäsenrekisteristä huolehtiminen. Hallituksen on yhdessä huolehdittava siitä, ettei luettelossa ole virheellisiä, epätäydellisiä tai vanhentuneita tietoja.

Kaikkien rekisteriin merkittävien tietojen on oltava yhdistyksen toiminnan kannalta tarpeellisia.


 

Arkaluonteiset tiedot

Rekisteriin ei saa tallentaa arkaluonteisia tietoja. Arkaluonteisina pidetään sellaisia tietoja, jotka kuvaavat henkilön rotua tai etnistä alkuperää, vakaumusta tai ammattiliittoon kuulumista, rikollista tekoa, tai rangaistusta, terveydentilaa, sairautta, vammaa tai hoitotoimenpiteitä, seksuaalista suuntautumista tai sosiaalihuollon tarvetta, tukitoimia ja muita sosiaalihuollon etuuksia.

Arkaluonteisia tietoja saa kuitenkin tallentaa rekisteriin jäsenen nimenomaisella suostumuksella. Arkaluonteiset tiedot on poistettava rekisteristä heti, kun niille ei ole enää tarvetta. Arkaluonteisia tietoja ovat esimerkiksi henkilötunnukset ja ruoka-aineallergiat. Jälkimmäisen voi kiertää pyytämällä terveystiedoiksi katsottujen allergioiden sijaan jäseniä ilmoittamaan erityisruokavalionsa.


 

Tietojen käsitteleminen ja suojaaminen

Rekisterin tietoja pitää käsitellä lain mukaisesti ja huolellisesti, eikä jäsenten yksityisyyttä saa loukata. Kerättävät ja käsiteltävät tiedot on suojattava asiattomalta pääsyltä tietoihin sekä tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä ja muulta laittomalta käsittelyltä. Jäsenrekisteriä on syytä säilyttää salasanan takana ja vain rekisteristä vastaavan henkilön saatavilla.

Kullakin jäsenellä on oikeus saada tietää, mitä tietoja hänestä itsestään on jäsenrekisteriin tallennettu. Tietojen suojaaminen luovuttamiselta tarkoittaa sitä, ettei jäsenrekisterin henkilötietoja saa luovuttaa edes yhdistyksen muille jäsenille.

Henkilötietolaki määrää myös vaitiolovelvollisuudesta. Mikäli jäsenrekisteriä hallitessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saamiaan tietoja saa ilmaista sivulliselle.

Yhdistyksen jäsenillä on kuitenkin oikeus tietää muiden jäsenten nimet ja kotipaikat. Tällaista tietoa voidaan tarvita muun muassa silloin, kun yhdistyksen säännöt määräävät yhdistyksen kokouksen voivan kokoontua tietyn määrän jäsenistöstä sitä vaatiessa.


 

Kotiseutuarkistot ja tietosuoja

Kotiseutuarkistojen vastaanottamissa ja säilyttämissä yhdistysarkistoissa on mm. jäsenluetteloita. Tällöin kotiseutuarkisto toimii rekisterinpitäjänä näiden suhteen niin kauan, kuin ne sisältävät edelleen elossa olevien henkilötietoja. Kotiseutuarkistojen tulee siis mm. laatia tietosuoja-asetuksen edellyttämä seloste käsittelytoimista näiden osalta. Jokaisen yhdistysarkiston jokaisesta erillisestä jäsenluettelosta ei tarvitse tehdä erillistä omaa selostetta käsittelytoimista, vaan tietosuojavaltuutetun sivuilta löytyy Excel-taulukko, jota voi hyödyntää aineistoihin sisältyvien manuaalisten jäsenluetteloiden yms. henkilörekistereiden selosteiden laatimiseksi.

Kotiseutuarkisto toimii itse rekisterinpitäjänä mm. laatimiensa aineistoja koskevien hakemistojen suhteen, silloin kun on kyse manuaalista henkilörekistereistä tai sähköisestä henkilötietojen käsittelystä (esim. johonkin järjestelemään viedyt henkilöarkistonmuodostajien nimet tai kotiseutuarkiston henkilöarkistojen luettelo nettisivuilla), mutta myös haltuunsa yleisen edun mukaisessa arkistointitarkoituksessa arkistoidun aineiston suhteen.

Jäsenluetteloiden lisäksi voi erilaisissa arkistoissa olla toki muitakin elävien henkilöiden tietoja sisältäviä henkilörekistereitä, mutta yhdistysten jäsenluetteloita ainakin löytyy todennäköisesti jokaisesta kotiseutuarkistosta.

Kotiseutuarkistoissa kannattaa myös noteerata, että ainakaan tietosuojalakiesitykseen ei sisältynyt yleistä lupaa arkistoille ja museoille viedä aineistoaan koskevaa eläviä henkilöitä koskevaa henkilötietoja sisältävää metatietoa internetiin. Jos tätä lupaa ei ole lopullisessakaan laissa, ei ole itsestään selvää, voivatko kotiseutuarkistot luetella yleisissä tietoverkoissa hallussaan olevia arkistoja koskevaa sellaista tietoa, joka sisältää elävien henkilötietoja.


 

Rekisteriseloste pakollinen henkilörekistereistä

Rekisterinpitäjän on henkilötietolain mukaan laadittava henkilörekisteristä rekisteriseloste. Tämä koskee siis myös yhdistysten jäsenluetteloita. Rekisteriselosteen on sisällettävä seuraavat asiat:

  • rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot
  • henkilötietojen käsittelyn tarkoitus
  • kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä
  • mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle
  • kuvaus rekisterin suojauksen periaatteista

Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Valmiita lomakkeita ja ohjeet rekisteriselosteen tekoon saa sähköisenä Tietosuojavaltuutetun toimistosta. Rekisteriselosteen voi sijoittaa esimerkiksi järjestön verkkosivuille.

Lähde: HYY:n järjestöwiki ja Henkilötietolaki / Finlex.fi

Suositus, jokaisen yhdistyksen tulisi laatia: Tietosuojavaltuutetun malli rekisteriselosteesta

Yhteyshenkilö: järjestöpäällikkö Liisa Lohtander
 


 

EU:n tietosuoja-asetus ja kansallinen tietosuojalaki pähkinänkuoressa

Kooste pdf-muodossa

• Tietosuoja-asetus on tullut voimaan 25.5.2016
• Parhaillaan eletään siirtymäkautta, jonka aikana valmisteltavana kansallinen lainsäädäntö
• Asetusta sovellettava viimeistään 25.5.2018, johon mennessä myös kansallinen laki valmis.
• Aiemmin voimassa on ollut henkilötietolaki, paljon samaa, mutta velvoitteet tiukkenevat ja sanktiot kovenevat.
• Uuden asetuksen tavoitteena on varmistaa, että ihmisten oikeus henkilötietojen suojaan ja yksityisyyteen toteutuu myös digiaikana.

• Henkilötietoja ovat kaikki tiedot, joiden nojalla joku elossa oleva henkilö voidaan tunnistaa
• Asetusta sovelletaan henkilötietojen käsittelyyn, kun tiedoista muodostuu rekisteri (esim. jäsenluettelo, arkistoaineisto, museon luettelotiedot)
• Rekisterinpitäjä saa käsitellä henkilötietoja vain tietosuoja-asetuksessa säädetyillä perusteilla:

Esim. henkilön suostumus (voidaan tarvittaessa kysyä jäseneltä liittymislomakkeessa) tai jos käsittely on tarpeen
- sopimuksen täytäntöön panemiseksi
- rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi
- yleistä etua koskevan tehtävän suorittamiseksi tai
- rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi

• Organisaatiolla on oltava kyky osoittaa noudattavansa asetusta (rekisteriseloste auttaa)
• Varsinkin internetiin vietävä aineisto harkittava tarkoin
• Valokuvien ja muiden henkilötietojen viemistä internetiin voidaan pitää henkilötietolain tarkoittamana automaattisena tietojenkäsittelynä
• Tarpeettomia henkilötietovarantoja on syytä välttää

www.tietosuoja.fi
 

Klikkaa kuva isommaksi: