Onko jäsenrekisterisi GDPR-asetuksen mukainen?

13.6.2018

Toukokuun 25. päivä 2018 loppui EU:n tietosuoja-asetuksen (GDPR) voimaantulon siirtymäaika. Se tarkoittaa sitä, että jokaisen yhdistyksen jäsenrekisteristä on oltava tietosuojaseloste, jos sitä aiemmin ei ole ollut.  Selosteesta on käytävä ilmi rekisterin sisältöä ja säilytystä koskevia tietoja. Sama koskee myös muita yhdistyksen keräämiä ja ylläpitämiä rekistereitä, jotka sisältävät henkilötietoja.

 

Kerää jäsenrekisteriin vain oleellista tietoa ja säilytä se turvallisesti

Yhdistyslaki määrää, että jokaisen rekisteröityneen yhdistyksen täytyy pitää jäsenistään rekisteriä. Lain mukaan rekisterissä pitää vähintään olla jäsenen koko nimi ja kotipaikka. Rekisteriä on säilytettävä huolellisesti, eikä sen tietoja  saa käyttää eikä luovuttaa esim. kaupallisiin tarkoituksiin ilman jäsenten lupaa. Yhdistyksen tili-tai toiminnantarkastaja tarkastaa myös jäsenrekisterin ja jäsentilanteen toimintavuoden lopussa ja rekisteristä on poistettava sellaisten henkilöiden tiedot, jotka eivät ole yhdistyksen jäseniä. 

Joskus jäsenrekisteriin kerätään henkilötietojen lisäksi myös muuta tietoa. Joillakin yhdistyksillä saattaa olla jäsenistä myös esim. osaamistietoa  (kielitaidosta, kädentaidoista jne) sekä muuta sellaista tietoa, jota voidaan tarvita yhdistyksen toiminnassa. Myös ne tiedot ovat uuden asetuksen tarkoittamia henkilötietoja.

Jäsenrekisteriin voidaan siis kerätä jäsenistä muutakin tietoa  yhdistyslain edellyttämän minimin lisäksi, mutta tiedolla pitää olla asiallinen yhteys toimintaan.  Yhdistysten kannattaa viimeistään nyt pohtia oman jäsenrekisterin sisältöä ja poistaa sieltä epäoleelliset tiedot ja sellaisten henkilöiden henkilötiedot, jotka eivät enää ole yhdistyksen jäseniä. Samoin kannattaa pohtia rekisterin säilytyspaikka ja pääsy rekisterin tietoihin. Ketkä pääsevät ja kenelle tietoja voidaan luovuttaa. Jos yhdistys on jonkin liiton jäsenjärjestö, liitto voi sääntöihinsä vedoten kerätä jäsentietoja jäsenjärjestöiltään. Tietosuojaselosteessa pitää siinä tapauksessa mainita, mitä tietoja, millä perusteella ja minne luovutetaan.

 

Selvitä, missäpäin maailmaa jäsentietoja voidaan käsitellä

Jäsenrekisterin tietoja käytetään monissa yhdistyksissä myös jäsenkirjeisiin ja tiedottamiseen. Tähänkin saakka on jäsenkanditaateilta kannattanut kysyä, saako hänen sähköpostiosoitettaan käyttää yhdistyksen tiedotteiden postituksessa, mutta toukokuun 25. päivän jälkeen jokaiselta uudelta jäseneltä pitää kysyä suostumus jäsenpostitusten vastaanottoon ja suostumuksia on säilytettävä jossakin. Suostumusta ei tarvitse kysyä jo postitusrekisterissä olevilta jäseniltä.

Monet yhdistykset käyttävät jäsenpostituksiin jotakin nettipohjaista uutiskirjesovellusta (MailChimp jne.) jonne jäsenrekisterin tietoja siirretään postitusta varten. Kannattaa ehdottomasti selvittää, missä palveluntarjoajan palvelimet sijaitsevat? Rekisteriselosteessa nimittäin pitää mainita, käsitelläänkö henkilötietoja EU ja ETA-maiden sisällä vai myös ulkopuolella. Monessa järjestössä käytössä olevan MailChimp-uutiskirjejärjestelmän palvelimet ovat Yhdysvalloissa, eli EU-ja ETA-maiden ulkopuolella.

Tietoja asetuksesta saa Tietosuojavaltuutetun toimiston nettisivuilta, mutta myös Suomen palloliitto on tehnyt erinomaiset ohjeet jäsenseuroilleen EU:n tietosuoja-asetuksesta ja koonnut sivuilleen myös asiaan liittyviä dokumenttimalleja, mm. tietosuojaselosteesta. Kannattaa vierailla.

Tietosuojavaltuutetun toimisto:

http://www.tietosuoja.fi/fi/index/euntietosuojauudistus.html

Suomen palloliitto:

https://www.palloliitto.fi/jalkapalloperhe/palvelut-seuroille/seuran-kehittaminen/eun-tietosuoja-asetus-gdpr

Järjestöhautomon tietosuojaseloste:

https://www.jarjestohautomo.fi/ilmoittaudu-koulutuksiin/jarjestohautomon-asiakasrekister/