fi | sv | eng

Henkilötietojen käsittelyn oikeusperusteet yhdistystoiminnassa

21.05.2018, 13:07

Onko yhdistyksen jäsenyys sopimus? Vai perustuuko jäsenten henkilötietojen käsittely lakisääteisen velvoitteen lisäksi esimerkiksi yhdistysviestintää ja jäsenpalveluja toteutettaessa oikeutettuun etuun? vai molempiin? Minkälaiseen henkilötietojen käsittelyyn tarvitaan rekisteröidyn suostumus?  Pitääkö uutiskirjeen tilaajilta kysyä uudestaan haluavatko edelleen aikaisemmin itse tilaamansa kirjeen?

Yhdistykset ja muut yleishyödylliset toimijat kuten muutkin organisaatiot ovat valmistautuneet tietosuoja-asetuksen voimaan tuloon tiiviisti viime kuukaudet. Yhdistyksissä päänvaivaa ovat erityisesti aiheuttaneet käsittelyn oikeusperusteet eri tilanteissa sekä henkilötietojen elinkaaren määrittäminen.

Tietosuoja-asetuksessa on tyhjentävä luettelo perusteista, joilla ihmisten henkilötietoja saa käsitellä. Mikäli luettelosta ei löydy tilanteeseenne soveltuvaa perustetta, ei sellaista henkilötietoja ei saa käsitellä. Tämä edellyttää, että jokainen organisaatio tunnistaa millä perusteella henkilötietoja käsitellään.

Yhdistystoiminnassa tulevat kysymykseen lakisääteisen velvoitteen (Lakisääteinen velvoite Art 6 kohta 1 c: Käsittely on lainmukaista, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi – Yhdistyksen velvollisuus pitää jäsenluetteloa) lisäksi seuraavat oikeusperusteet henkilötietojen käsittelylle:

  • Suostumus (Art 6 kohta 1 a): Käsittely on lainmukaista, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.
  • Sopimuksen toteuttamiseen liittyvä tarve (Art 6 kohta 1 b): Käsittely on lainmukaista, kun käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
  • Oikeutettu etu (Art 6 kohta 1 f): Käsittely on lainmukaista, kun käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Kun henkilö liittyy yhdistyksen jäseneksi, hän sitoutuu noudattamaan yhdistyksen sääntöjä. Sopimusajattelu yhdistyksen ja jäsenen välillä juontaa varmasti tästä. Jäsenellä on tiettyjä velvollisuuksia ja oikeuksia. Yhdistys käsittelee jäsentietojaan mm. jäsenpalveluja ja jäsenviestintää varten. Mielestäni voidaan myös tulkita, että jäsentietojen käsittelyn osalta oikeusperuste on lakisääteinen velvoite ja oikeutettu etu.

Yhdistykset käsittelevät myös muiden kuin jäsentensä henkilötietoja järjestäessään monenlaista tärkeää ja hienoa toimintaa; vertaisryhmiä, tapahtumia, koulutuksia, valmennuksia ja paljon muuta. Näissä yhteyksissä, toiminnan järjestämiseen liittyvässä henkilötietojen käsittelyssä, oikeusperusteeksi tulee sopimus ja siihen saattaa liittyä myös oikeutettuja etuja. Kerättäessä ja käsiteltäessä toimintaan osallistuvien terveystietoja täytyy huomioida, että nämä ovat arkaluonteisia henkilötietoja ja näiden käsittelyyn tulee pyytää erikseen rekisteröidyn suostumus.

Päivitin jakamaani jäsenrekisterin tietosuojaselostemallia vielä tältä osin ja toimitan uuden kaikille sitä pyytäneille.

Keskustelen mielelläni lisää tietosuoja-asioista ja niihin liittyvistä kysymyksistä.

Maarit Päivike
lakimies, SOSTE

Kommentointi

Otsikko:
Nimi:
Kommentti:
 

Yhdistyksen tietosuojalomake

Nimi: Virpi Tarkiainen

Kiitos tulkinnoistasi ja tarkennuksista. Tilaan Epilepsialiittoon uuden yhdistysten tietosuojalomakkeen :) Lomakkeen voi toimittaa virpi.tarkiainen@epilepsia.fi

23.05.2018, 09:33

Tietosuojalaki

Nimi: Leena Nieminen

Hei, pyydän tietosuojaselostemallin osoitteeseen leena.nieminen(at) uniliitto.fi

23.05.2018, 17:59

Tietosuojaselostemallin tilaus

Nimi: helja.sairisalo@yvpl.fi

Tilaisin mallin ym osoitteeseen.

25.05.2018, 21:07