Monissa yhdistyksissä pohditaan vielä, mitä kaikkia asioita pitääkään kirjoittaa siihen pakolliseen selosteeseen, jonka pohjan voi kätevästi kopioida joltakin toiselta yhdistykseltä. Ja kuka on vapaaehtoinen vastuullinen, eli se henkilö joka sitten, kun jotain sattuu, “joutuu linnaan”.
Huoli pois, lakeja on muutettu jo vuosia sitten. No, aivan huolettomaksi ei voi heittäytyä. Kumottu henkilötietolaki (523/1999) vaati rekisteriselosteen laatimista ja antoi määräykset, mitä siitä vähintään piti ilmetä. Lisäksi laki antoi seikkaperäisiä ohjeita arkaluonteisten tietojen käsittelystä, käyttötapauksista, kuten sukututkimuksesta ja henkilömatrikkeleista sekä tietojen säilyttämisestä ja luovuttamisesta yms.
Tietosuojalaki (1050/2018) kumosi ja korvasi henkilötietolain. Kun laki ei enää vaadi rekisteriselosteen laatimista, mitkä sitten ovat keskeiset asiat, jotka yhdistyksen on huomioitava lakisääteistä jäsenrekisteriä ylläpitäessään?
1) Pakolliset tiedot
Yhdistyslaki (503/1989, 11§) edellyttää jäsenluettelon ylläpitämistä. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka.
Vaatimus on siis aika kevyt. Tarkoitus on vain tunnistaa jäsenet tarvittaessa. Samalla paikkakunnalla voi olla monia nimikaimoja, joiden erottamien toisestaan hoituu esimerkiksi jäsennumerolla. Yleensä tarvitaan muitakin tietoja, kuten katu- tai sähköpostiosoite, johon jäsenmaksulasku ja jäsentiedotteet voidaan toimittaa. Syntymäaika voi olla tarpeen, jos ikä vaikuttaa esimerkiksi jäsenmaksuun tai etuihin. Lisäksi yhdistys voi kerätä muita toiminnan ja palvelujen tarjoamisen takia välttämättömiä tietoja. Henkilötunnuksen tarve on harvinaista.
2) Tietosuojalaki
Tietosuojalaki täsmentää ja täydentää Euroopan parlamentin ja neuvoston antamaa yleistä tietosuoja-asetusta, joka tunnetaan yleisesti lyhenteellä GDPR.
Henkilötunnuksen keräämistä ja käyttöä on erityisesti harkittava. Henkilötunnusta saa käyttää esimerkiksi vuokraus- ja lainaustoiminnassa, mutta sitä ei saa tulostaa tarpeettomasti erilaisiin asiakirjoihin.
Yhdistyksen jäsenrekisterin hoitaja tietää henkilöistä tietoja, joita hän ei saa ilmaista muille. Esimerkiksi perhesuhteet, syntymäaika tai osoite on pidettävä salassa.
3) Tietosuoja-asetus
GDPR on sellaisenaan jäsenvaltioita velvoittava. Samoin asetus koskee aivan kaikkia yhdistyksiä, niiden koosta riippumatta. Asetus mm. antaa jäsenistölle oikeuden tarkistaa, mitä tietoja ja miksi hänestä on kerätty. Tietoihin voi pyytää korjauksia ja täydennyksiä ja tarpeettomat tiedot voi vaatia poistettavaksi. Kun tiedot tulevat tarpeettomiksi, yhdistyksen on poistettava tiedot rekisteristä ilman eri pyyntöä.
Varsinaista tietosuojavastaavaa ei tavallisen yhdistyksen tarvitse erikseen nimetä, vastuu on joka tapauksessa hallituksella. Myöskään tavanomaisen yhdistyksen ei tarvitse laatia selostetta tietojen käsittelystä. Tietosuojaperiaatteita on kuitenkin noudatettava, eli on kerättävä vain tarvittavia tietoja ja niitä on käsiteltävä ja säilytettävä lainmukaisesti, turvallisesti ja luottamuksellisesti sekä päivitettävä viipymättä. Viranomaisilla on joissakin tapauksissa lakisääteinen pääsy yhdistyksen tietoihin.
Kannattaa huomioida, että myös henkilön kuva, auton rekisterinumero, puhelinnumero, henkilökortin numero, IP-osoite ja vastaavat ovat henkilötietoja.
Yhdistys hoitaa keskeiset tietosuojaan liittyvät velvoitteensa, kun toimii seuraavasti:
1) Jäseneksi liityttäessä henkilöiltä kerätään vain välttämättömät tiedot ja samalla kerrotaan, miksi tiedot tarvitaan ja mihin niitä mahdollisesti luvan saatua luovutetaan.
2) Sähköpostia lähetettäessä osoitteet kirjataan piilokenttään tai viestit lähetetään yksitellen.
3) Jäsenrekisteri säilytetään luotettavasti, kokonaan internetistä erillään tai riittävän turvallisen (palomuuri, virustorjunta, salasanat) yhteyden takana. Kannattaa huomioida, että jäsenrekisteriä ei noin vain lähettää sähköpostilla tai tallettaa palveluun, jonka sijainti on EU:n ulkopuolella, GDPR-asetuksen ulottumattomissa.
4) Jäsenrekisteriin on pääsy vain niillä, jotka sitä ylläpitävät ja muuten tarvitsevat. Lisäksi esimerkiksi kokouksissa kaikilla jäsenillä on lakisääteinen oikeus tutustua jäsenrekisteriin. Tämä on tarpeen esimerkiksi äänioikeuden toteamiseksi.