Säätiöiden ja yhdistysten jäsenrekisteri ja tietosuoja

Taloushallinto
16/05/2018

Kirjoittaja Tytti Decanter

 

Tietosuoja-asetus astuu voimaan 25.5.2018. Asetuksen sisältö on tiedossa, sen tarkoituksena on yhdenmukaistaa EU:n tietosuojakäytäntöjä ja parantaa kansalaisten yksityisyydensuojaa. Asetus koskee kaikkia organisaatioita, jotka keräävät, säilyttävät ja käsittelevät henkilötietoja, olipa kyseessä sitten iso pörssiyritys, säätiö, yhdistys tai julkishallinnon organisaatio. Lähes kaikissa organisaatioissa ylläpidetään jonkinlaista henkilörekisteriä, esimerkiksi asiakas- tai jäsenrekisteriä, joten asetuksen soveltamisala on varsin laaja. Nyt on viimeistään korkea aika lähteä selvittämään mitä tietosuoja- asetus tarkoittaa omalla kohdalla. Tietosuoja-asetuksen liittyvien hallinnollisten rikkomusten sakko on huomattava, maksimissaan 20 miljoonaa euroa tai 4% edellisen vuoden kokonaisliikevaihdosta. Tässä kirjoituksessa tietosuoja-asiaa käsitellään yhdistysten ja säätiöiden jäsenrekisterin kannalta.

Yhdistyksen jäsenrekisteri on tietosuojalain mukainen henkilörekisteri

Yhdistyslain mukaan yhdistyksen jäsenistä on pidettävä jäsenrekisteriä, johon merkitään vähintään kunkin jäsenen koko nimi ja kotipaikka. Rekisteri sisältää myös usein muita yhdistyksen toiminnan kannalta oleellisia tietoja, kuten jäsenten yhteystiedot, jäsenmaksutiedot ja liittymisen ajankohta. Yhdistyksen jäsenluettelo on toukokuussa voimaan tulevan tietosuojalain mukainen henkilörekisteri. Henkilötietolain mukaan rekisterinpitäjän, eli yhdistyksen, on laadittava henkilörekisteristä rekisteriseloste. Yhdistyksen jäsenillä on oikeus tutustua jäsenluetteloon. Jäsenluetteloon on kuitenkin saatettu kerätä muutakin tietoa jäsenistöstä kuin nimi ja kotikunta, ja tässä tapauksessa tuleekin kiinnittää erityistä huomiota siihen, miten muut kuin ne henkilötiedot joihin kaikilla jäsenillä on oikeus tutustua, pidetään erillään vain tiettyä yhdistyksen käyttötarkoitusta varten kerätyistä tiedoista (esimerkiksi laskutusta tai viestintää koskevat tiedot). Henkilötietojen käsittelyn tulee olla tietosuoja- asetuksen mukaista ja kaikkien rekisterissä olevien tietojen on oltava yhdistyksen toiminnan kannalta oleellisia ja tarpeellisia tietoja.

Jäsenrekisterin ylläpitämisestä tulee vastata henkilön, jonka erityiseksi tehtäväksi on määrätty jäsenrekisteristä huolehtiminen. Kyseinen henkilö voi olla esimerkiksi yhdistyksen sihteeri, taloudenhoitaja tai muu hallituksen jäsen.  Hallituksen vastuulla on huolehtia, ettei rekisterissä ole virheellisiä, epätäydellisiä tai vanhentuneita tietoja. Rekisteritietoja on käsiteltävä huolellisesti ja lainmukaisesti, eikä jäsenen yksityisyyttä saa loukata. Asiattomilta henkilöiltä on suojattava pääsy tietoihin sekä estettävä mahdollisuus tietojen hävittämiseen, muuttamiseen, luovuttamiseen, siirtämiseen tai muuhun laittomaan käsittelyyn. Jäsenrekisteriä tulee säilyttää suojattuna salasanan takana ja ainoastaan rekisteristä vastaavan henkilön tai henkilöiden saatavilla.  Arkaluonteisia tietoja rekisteriin ei saa tallentaa, tai jos niiden tallentaminen on tarpeellista, niin tietojen tallentamiselle on oltava jäsenen nimenomainen suostumus. Rekisterin jäsenellä on oikeus saada tietää mitä tietoja hänestä on tallennettu jäsenrekisteriin. Vanhoja tietoja ei saa käsitellä eikä säilyttää, jäsenrekisterin päivityksen tulee siis tapahtua säännöllisesti.  Tietojen säilytysaikaan pitäisi myös kiinnittää huomiota, säilytysaika on esimerkiksi jäsenyyden kestoaika ja tämä pitää tuoda esille. Jäsenyyden päätyttyä tiedot hävitetään.

Kysy tarvittaessa neuvoa asiantuntijakumppanilta

Monella yhdistyksellä on meneillään jäsentietojensa osalta kartoitusvaihe, jonka jälkeen päätetään, minkälaisia muutoksia tietojenkäsittelyyn tulee tehdä. Jatkossa informaation on oltava tarkkaa ja selkeää. Tietosuoja-asetuksen voimaantulo on luonut yhdistyksille hyvän ja tarpeellisen tilaisuuden henkilötietojen käsittelyä koskevien prosessien ja järjestelmien tarkastelemiseen ja kehittämiseen.  Tietosuoja-asetukseen kannattaa nyt perehtyä huolellisesti ja sen jälkeen käydä asetus läpi kohta kohdalta miettien, mitä asetus tarkoittaa oman yhdistyksen toiminnassa käytännön tasolla. Keskusteluja voi käydä myös asiantuntijakumppanien kanssa ja kysyä heiltä neuvoja ja vinkkejä sopivien palvelu- ja järjestelmäratkaisujen osalta.

Kirjoittajasta Tytti Decanter

Taloushallinnon asiantuntija Azets