Muistilista tietosuoja-asetuksesta yhdistyksille

Mitä yhdistysten pitää tehdä ja mitä yhdistyksen ei tarvitse tehdä?

Mitä yhdistyksen pitää tehdä?



1. Kartoitettava henkilötietojen käsittelyn tilanne

  • Mitä henkilötietoja käsitellään?
  • Ovatko kaikki tiedot tarpeellisia?
  • Mihin tarkoituksiin tietoja käsitellään?
  • Miten rekisteröityjen oikeuksia toteutetaan?
  • Kuinka kauan henkilötietoja säilytetään?
  • Miten tiedot hävitetään?
  • Päivitetäänkö kertynyttä tietoa systemaattisesti ja onko olemassa käytäntö tietojen poistamiseen tai tuhoamiseen?


2. Luotava sisäiset rakenteet, joilla varmistetaan, että tietosuoja-asetuksen vaatimuksia noudatetaan

Esimerkiksi märitellään vastuualueet ja tehdään tarvittava dokumentointi
Tuntevatko kaikki henkilötietojen käsittelyyn osallistuvat yhdistyksen edustajat asetuksen asettamat velvoitteet?

 

3. Otettava käyttöön tietosuojaperiaatteet toteuttavia toimenpiteitä

Esimerkiksi tarpeettomien tietojen tuhoaminen
 

4. Suunniteltava menettelyt rekisteröityjen oikeuksien ja pyyntöjen täyttämiseksi

  • Miten vastataan esimerkiksi tarkastusoikeuspyyntöön?
  • Kenellä on oikeus tulla unohdetuksi?
  • Kuka yhdistyksessä vastaa rekisteröityjen pyyntöihin?
  • Laadittava asetuksen edellyttämät tietosuojaselosteet / informointikäytännöt
     

5. Dokumentoitava kaikki olennaiset toimenpiteet

Toteuttaa osoitusvelvollisuutta ja dokumentaatiossa voidaan perustella tulkintaan liittyvät valinnat.

Hieman pidempi muistilista yhdistyksille:

GDPR muistilista.docx 35.54 KB, DOCX

 

Mitä yhdistyksen ei tarvitse tehdä?

 

1. Ei tarvitse lopettaa henkilötietojen käsittelyä tai hävittää rekistereitä

Tietoja tulee käsitellä tietosuoja-asetuksen edellytysten ja periaatteiden mukaisesti
Tarpeettomat tiedot tulee hävittää!

2. Ei tarvitse laatia selostetta kaikille fyysisille rekistereille, jos käyttötarkoituksen ovat samat

Jäsenrekisterin tietosuojaseloste voi kattaa esimerkiksi nettijäsenrekisteriin, Excel-tiedostoon kerättyyn ilmoittautumislistaan ja mappiin kerättyihin sopimuksiin sisältyvät tiedot, koska kaikkien käyttötarkoitus liittyy yhdistyksen jäsenyyteen.

3. Ei tarvitse lopettaa viestintää jäsenille

Suoramarkkinointiin tulee kuitenkin pyytää nimenomainen suostumus.

 

 

 

Jaa sosiaalisessa mediassa