Tämän dokumentin tarkoitus on välittää tietoa Maisema-arkkitehtuurin opiskelijayhdistys Vista ry:n tietosuojan periaatteista niille yhdistyksen henkilöille, jotka ylläpitävät tai käsittelevät yhdistyksen hallussa olevia henkilörekistereitä.

Yhdistyksen hallussa on tällä hetkellä seuraavat rekisterit:

  • Jäsenrekisteri
  • Tapahtumien ilmottautumisrekisteri
  • Yhdistyksen toimijoiden rekisteri

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua, viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on (hallituksen jäsenistä) nimetyllä rekisterivastaavalla tai rahastonhoitajalla.

Tietosuojarekisterien käyttöoikeudet

Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on yhdistyksen toimien kannalta siihen tarvetta. Esimerkiksi koko hallitukselle tai kaikille toimihenkilöille ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu-/yhteyshenkilölle. Yhdistyksemme vastuuhenkilö on ilman erillistä päätöstä aina virkaa tekevä varapuheenjohtaja.

Vastaavasti vanhalta hallitukselta ja toimihenkilöitä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan.

Vanhojen tunnusten poisto tulee tehdä viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on puheenjohtajalla, nimetyllä rekisterivastaavalla ja sihteerillä.

Tietojen elinkaari

Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan kun se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien yhdistyksen sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsen poistuu yhdistyksestä.

Tapahtumien ilmottautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtuman osalta, mihin tiedot on kerätty.

Tapahtumiin osallistuneista voidaan kuitenkin kerätä nk. anonyymidataa, eli osallistujien lukumääriä, liha-/kasvisruokailevien määriä ja muita tietoja jotka eivät ole linkitettyjä rekisterin dataan. Tälläiset tiedot tulee säilyttää erillisessä rekisterissä.

Tietosuojan tekninen varmistaminen

Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Drivessä säilytettäviin rekistereihin on pääsy vain virkaa tekevällä hallituksella. Vanhoilta hallituslaisilta tulee poistaa pääsy kansioon kauden loputtua.

Tapahtumien ilmottautumisrekisteriin tallennetaan tieto henkilön erikoisruokavaliosta. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Arkaluontoisen henkilötiedon tietosuojavaatimukset lainsäädännön osalta ovat huomattavasti tiukemmat. Tämän takia vain tapahtumien järjestäjät näkevät tällaisten tapahtumien ilmoittautumistiedot, ja ilmoittautumislomakkeet luodaan erilliseen Drive-kansioon.

Henkilön oikeus pyytää ja korjata tietonsa

Yksityishenkilöllä on oikeus pyytää Vistan toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä ja tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.

Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä.

Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.