Tietosuojapolitiikka

Aalto Beer Pong ry:n tietosuojapolitiikka

Tämän dokumentin tarkoitus on välittää tietoa Aalto Beer Pong ry:n (ABP) tietosuojan periaatteet niille yhdistyksen henkilöille, jotka ylläpitävät tai käsittelevät yhdistyksen hallussa olevia henkilörekistereitä.  

 

Aalto Beer Pong ry:n hallussa on tällä hetkellä seuraavat rekisterit:

  • Jäsenrekisteri
  • Tapahtumien ilmoittautumisrekisteri

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet päivitetään tarpeen vaatiessa sekä vuosittain aina hallituksen vaihduttua, viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyillä rekisterivastaavilla tai tämän puuttuessa sihteerillä.

 

Tietosuojarekisterien käyttöoikeudet

Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on yhdistyksen toimien kannalta siihen tarvetta. Esimerkiksi koko hallitukselle ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu-/yhteyshenkilölle. Aalto Beer Pong ry:n jäsenrekisterin vastuuhenkilö on ilman erillistä päätöstä aina yhdistyksen virkaa tekevä sihteeri. Tapahtumien ilmoittautumisrekisterin vastuuhenkilö on ilman erillistä päätöstä virkaa tekevä IT-vastaava. Rekisterinpitäjä huolehtii siitä, että rekisteriin on pääsy vain asiaankuuluvilla henkilöillä.

Vastaavasti vanhalta hallitukselta tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tarvitsee pääsyä rekisteriin uuden kauden toimivirassaan. Vanhojen tunnusten poisto tulee tehdä viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyillä rekisterivastaavilla.

 

Tietojen elinkaari

Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan, kuin se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien yhdistyksen sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsen poistuu yhdistyksestä. Tietojen poistaminen tulee suorittaa kohtuullisen ajan kuluessa eli viimeistään kuukauden päästä eroamis- tai erottamispäätöksestä. Erikoistilanteessa rekisteröidyn tietoja voidaan pitää rekisterissä myös pidempään. Tällöin pidentämisen syy ilmoitetaan rekisteröidylle. Erikoistilanteella tarkoitetaan tilannetta, missä entiseltä jäseneltä on esimerkiksi saatavia tai yhdistyksen ja entisen jäsenen välillä on keskeneräinen oikeustapaus.

Tapahtumien ilmoittautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtuman osalta, mihin tiedot on kerätty. Normaalien tapahtumien osalta tämä tarkoittaa noin kahta viikkoa, jolloin mahdolliset jälkipyykit ovat saatu hoidettua.

Tapahtumiin osallistuneista voidaan kuitenkin kerätä niin kutsuttua anonyymidataa, eli osallistujien lukumääriä, liha-/kasvisruokailevien määriä ja muita tietoja jotka eivät ole linkitettyjä rekisterin dataan. Tällaiset tiedot tulee säilyttää erillisessä rekisterissä.

 

Tietosuojan tekninen varmistaminen

Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Tietoja säilytetään vain sähköisessä muodossa luotettavilla ja EU:n tietosuojalainsäädäntöä noudattavilla kolmannen osapuolen internet-palvelimilla. Rekisterien salaukset toteutetaan Aalto Beer Pong ry:n omilla salasanoilla.

Joidenkin tapahtumien ilmoittautumisrekisteriin tallennetaan tieto henkilön erikoisruokavaliosta. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Arkaluontoisen henkilötiedon tietosuojavaatimukset lainsäädännön osalta ovat huomattavasti tiukemmat kuin normaalin henkilötiedon.

 

Henkilön oikeus pyytää ja korjata tietonsa

Yksityishenkilöllä on oikeus pyytää Aalto Beer Pong ry:n toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä ja tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.

Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä tai tarkentamaan tämän pyyntöä. Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.