Henkilötietojen käsittelyn oikeusperusteet yhdistystoiminnassa


Etusivu / Blogi / Henkilötietojen käsittelyn oikeusperusteet yhdistystoiminnassa

Onko yhdistyksen jäsenyys sopimus? Vai perustuuko jäsenten henkilötietojen käsittely lakisääteisen velvoitteen lisäksi esimerkiksi yhdistysviestintää ja jäsenpalveluja toteutettaessa oikeutettuun etuun? vai molempiin? Minkälaiseen henkilötietojen käsittelyyn tarvitaan rekisteröidyn suostumus?  Pitääkö uutiskirjeen tilaajilta kysyä uudestaan haluavatko edelleen aikaisemmin itse tilaamansa kirjeen?

Yhdistykset ja muut yleishyödylliset toimijat kuten muutkin organisaatiot ovat valmistautuneet tietosuoja-asetuksen voimaan tuloon tiiviisti viime kuukaudet. Yhdistyksissä päänvaivaa ovat erityisesti aiheuttaneet käsittelyn oikeusperusteet eri tilanteissa sekä henkilötietojen elinkaaren määrittäminen.

Tietosuoja-asetuksessa on tyhjentävä luettelo perusteista, joilla ihmisten henkilötietoja saa käsitellä. Mikäli luettelosta ei löydy tilanteeseenne soveltuvaa perustetta, ei sellaista henkilötietoja ei saa käsitellä. Tämä edellyttää, että jokainen organisaatio tunnistaa millä perusteella henkilötietoja käsitellään.

Yhdistystoiminnassa tulevat kysymykseen lakisääteisen velvoitteen (Lakisääteinen velvoite Art 6 kohta 1 c: Käsittely on lainmukaista, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi – Yhdistyksen velvollisuus pitää jäsenluetteloa) lisäksi seuraavat oikeusperusteet henkilötietojen käsittelylle:

Kun henkilö liittyy yhdistyksen jäseneksi, hän sitoutuu noudattamaan yhdistyksen sääntöjä. Sopimusajattelu yhdistyksen ja jäsenen välillä juontaa varmasti tästä. Jäsenellä on tiettyjä velvollisuuksia ja oikeuksia. Yhdistys käsittelee jäsentietojaan mm. jäsenpalveluja ja jäsenviestintää varten. Mielestäni voidaan myös tulkita, että jäsentietojen käsittelyn osalta oikeusperuste on lakisääteinen velvoite ja oikeutettu etu.

Yhdistykset käsittelevät myös muiden kuin jäsentensä henkilötietoja järjestäessään monenlaista tärkeää ja hienoa toimintaa; vertaisryhmiä, tapahtumia, koulutuksia, valmennuksia ja paljon muuta. Näissä yhteyksissä, toiminnan järjestämiseen liittyvässä henkilötietojen käsittelyssä, oikeusperusteeksi tulee sopimus ja siihen saattaa liittyä myös oikeutettuja etuja. Kerättäessä ja käsiteltäessä toimintaan osallistuvien terveystietoja täytyy huomioida, että nämä ovat arkaluonteisia henkilötietoja ja näiden käsittelyyn tulee pyytää erikseen rekisteröidyn suostumus.

Päivitin jakamaani jäsenrekisterin tietosuojaselostemallia vielä tältä osin ja toimitan uuden kaikille sitä pyytäneille.

Keskustelen mielelläni lisää tietosuoja-asioista ja niihin liittyvistä kysymyksistä.