Muistilista tietosuoja-asetuksesta yhdistyksille

Mitä yhdistysten pitää tehdä ja mitä yhdistyksen ei tarvitse tehdä?

Mitä yhdistyksen pitää tehdä?

1. Kartoitettava henkilötietojen käsittelyn tilanne:
Mitä henkilötietoja käsitellään?
Ovatko kaikki tiedot tarpeellisia?
Mihin tarkoituksiin tietoja käsitellään?
Miten rekisteröityjen oikeuksia toteutetaan?
Kuinka kauan henkilötietoja säilytetään?
Miten tiedot hävitetään?
Päivitetäänkö kertynyttä tietoa systemaattisesti ja onko olemassa käytäntö tietojen poistamiseen tai tuhoamiseen?

2. Luotava sisäiset rakenteet, joilla varmistetaan, että tietosuoja-asetuksen vaatimuksia noudatetaan
Esimerkiksi märitellään vastuualueet ja tehdään tarvittava dokumentointi
Tuntevatko kaikki henkilötietojen käsittelyyn osallistuvat yhdistyksen edustajat asetuksen asettamat velvoitteet?

3. Otettava käyttöön tietosuojaperiaatteet toteuttavia toimenpiteitä
Esimerkiksi tarpeettomien tietojen tuhoaminen

4. Suunniteltava menettelyt rekisteröityjen oikeuksien ja pyyntöjen täyttämiseksi
Miten vastataan esimerkiksi tarkastusoikeuspyyntöön?
Kenellä on oikeus tulla unohdetuksi?
Kuka yhdistyksessä vastaa rekisteröityjen pyyntöihin?
Laadittava asetuksen edellyttämät tietosuojaselosteet / informointikäytännöt

5. Dokumentoitava kaikki olennaiset toimenpiteet
Toteuttaa osoitusvelvollisuutta ja dokumentaatiossa voidaan perustella tulkintaan liittyvät valinnat, koska TULKINNANVARAISUUKSIA ON VIELÄ PALJON!

Hieman pidempi muistilista yhdistyksille:

GDPR muistilista.docx 35.54 KB, DOCX

 

Mitä yhdistyksen ei tarvitse tehdä?

1. Ei tarvitse lopettaa henkilötietojen käsittelyä tai hävittää rekistereitä
Tietoja tulee käsitellä tietosuoja-asetuksen edellytysten ja periaatteiden mukaisesti
Tarpeettomat tiedot tulee hävittää!

2. Ei tarvitse laatia selostetta kaikille fyysisille rekistereille, jos käyttötarkoituksen ovat samat
Jäsenrekisterin tietosuojaseloste voi kattaa esimerkiksi nettijäsenrekisteriin, Excel-tiedostoon kerättyyn ilmoittautumislistaan ja mappiin kerättyihin sopimuksiin sisältyvät tiedot, koska kaikkien käyttötarkoitus liittyy yhdistyksen jäsenyyteen.

3. Ei tarvitse lopettaa viestintää jäsenille
Suoramarkkinointiin tulee kuitenkin pyytää nimenomainen suostumus.

 

 

 

Jaa sosiaalisessa mediassa