Jäseneksi

Ajankohtaista

Usein kysyttyä yhdistystoiminnasta / tietojenkäsittely

14.04.2025

Paikallisyhdistysten Liitto ry verkottaa yhdistyksiä keskenään, jolloin yhdistykset saavat tietotaitoa toisiltaan

Usein kysyttyä yhdistystoiminnasta

Tässä osiossa käydään läpi yleisimpiä yhdistystoimintaan liittyviä tietosuojakysymyksiä. Tietosuojaa yhdistystoiminnassa käsitellään laajemmin tietosuojavaltuutetun toimiston julkaisemassa Henkilötietojen käsittely yhdistystoiminnassa -oppaassa (pdf).

Tiedosto avautuu uudessa välilehdessä

Koskeeko tietosuoja-asetus pieniäkin yhdistyksiä?

Kyllä koskee. Yhdistyksen koolla ei ole merkitystä; tietosuoja-asetusta tulee noudattaa, jos yhdistys käsittelee henkilötietoja.

Lue lisää: Mikä on henkilötieto?

Saako yhdistys käsitellä tietoja, jotka koskevat jäsenten uskonnollista vakaumusta, terveyttä tai poliittisia mielipiteitä (ns. erityiset henkilötietoryhmät)?

Yhdistys voi käsitellä erityisiä henkilötietoryhmiä koskevia tietoja vain, mikäli se pystyy osoittamaan, että käsittely on perusteltua yhdistyksen toiminnan tarkoituksen kannalta ja jäsen tietää tämän. Esimerkiksi liittyessään poliittiseen yhdistykseen jäsen ymmärtää henkilötietojensa tulevan rekisteröidyksi ja jäsenyyden myös välillisesti ilmaisevan poliittisen näkemyksen. Tiedot on suojattava, eikä niitä saa luovuttaa edelleen.

Uskonnollista vakaumusta, terveyttä ja poliittisia mielipiteitä koskevat tiedot kuuluvat EU:n tietosuoja-asetuksen mukaan nk. erityisiin henkilötietoryhmiin (arkaluontoiset tiedot). Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. Lähtökohtaisesta kiellosta huolimatta erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä, kun kieltoon on säädetty poikkeus EU:n tietosuoja-asetuksessa tai erikseen muualla lainsäädännössä. Tavallisin suoraan tietosuoja-asetuksesta seuraavista poikkeuksista on rekisteröidyn nimenomainen suostumus.

Suoraan tietosuoja-asetuksesta seuraa toinenkin poikkeus, jonka perusteella yhdistystoiminnassa voidaan käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, kun kaikki seuraavat edellytykset täyttyvät:

  • Erityisiin henkilötietoryhmiin kuuluvia tietoja saa käsitellä poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä.
  • Tiedot on suojattava asianmukaisesti.
  • Käsittely voi koskea vain yhteisön jäseniä, entisiä jäseniä tai henkilöitä, joilla on yhteisöön säännölliset, yhteisön tarkoitukseen liittyvät yhteydet.
  • Tietoja ei saa luovuttaa yhteisön ulkopuolelle ilman suostumusta.

Lisäksi on otettava huomioon muun muassa se, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn on oltava perusteltua yhdistyksen toiminnan tarkoituksen kannalta.

Lue lisää: Erityisten henkilötietoryhmien käsittely

Toisinaan jo tieto yhdistyksen jäsenyydestä ilmaisee erityisiin henkilötietoryhmiin kuuluvan tiedon. Esimerkiksi poliittisten puolueiden, uskonnollisten yhdistysten tai eri sairauksiin liittyvien yhdistysten jäsentiedot voivat ilmaista erityisiin henkilötietoryhmiin kuuluvia tietoja. Kun otetaan huomioon yhdistyksen toiminnan tarkoitus, erityisiin henkilötietoryhmiin kuuluvien tietojen kerääminen voi olla perusteltua. Se edellyttää kuitenkin, että yhdistys arvioi, mitkä tiedot ovat sen toiminnan kannalta tarpeellisia ja kykenee tarvittaessa osoittamaan, miksi tiedot on kerätty. Jos yhdistys käsittelee laajamittaisesti erityisiin henkilötietoryhmiin sisältyviä tietoja, sen tulee laatia käsittelystä vaikutustenarviointi.

Lue lisää: Vaikutustenarviointi

Koskeeko informointivelvollisuus myös yhdistyksiä?

Kyllä koskee. Jo jäseneksi liityttäessä tulee jäsentä informoida henkilötietojen käsittelystä ja tietojen mahdollisista luovutuksista.

Lue lisää: Kerro käsittelystä rekisteröidylle

Kun yhdistys lähettää sähköpostia, saavatko kaikkien yhdistyksen jäsenten sähköpostiosoitteet olla näkyvissä vastaanottajakentässä?

Eivät pääsääntöisesti saa. Sähköposti on lähetettävä niin, että osoitteet ovat piilokopiokentässä eivätkä näy muille jäsenille, ellei yhteystietojen näkymiseen ole erityistä syytä (esimerkiksi jäsenet voivat liittyä vapaaehtoiseen keskusteluryhmään tai sähköpostilistalle, jossa muiden tiedot ovat näkyvillä).

Miten säilytetään ja käytetään jäsenrekisteriä?

Jäsenrekisteriä säilytetään huolellisesti suojattuna joko laitteella, joka on kokonaan erillään internetistä, tai hyvän palomuuri- ja virustorjuntaohjelmiston suojaamana.

Kenellä on pääsy jäsenrekisteriin?

Pääsy jäsenrekisteriin tulee olla niillä yhdistyksen toimihenkilöillä, joiden tehtävien hoidon kannalta tämä on tarpeen. Myös yhdistyksen jäsenellä on yhdistyslain mukaan oikeus tutustua jäsenluettelon tietoihin.

Onko kattojärjestöllä oikeus päästä yhdistyksen jäsentietoihin?

Ei ilman erityisperustetta.

Sovelletaanko tietosuoja-asetusta, jos henkilötiedot eivät muodosta rekisteriä?

Henkilötietojen käsittelyssä on noudatettava tietosuoja-asetuksen vaatimuksia, kun

  • käsittely on kokonaan tai osittain automaattista (tietoja käsitellään IT-järjestelmien avulla) tai
  • tiedot muodostavat rekisterin osan.

Rekisteri tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein. Tietojoukko voi olla keskitetty tai hajautettu sekä toiminnallisin tai maantieteellisin perustein jaettu.

Voiko jäsen vaatia tietojensa poistamista?

Jäsenellä on tietyissä tilanteissa oikeus saada tietonsa poistetuksi. Joskus yhdistyksellä voi olla oikeus säilyttää tiedot tai julkaista ne, vaikka jäsen on vaatinut tietojen poistamista. Yhdistyksen tulee suunnitella tiedotustoimintansa sellaiseksi, että jäsen tietää menettelytavat mahdollisissa ristiriitatilanteissa.

Lue lisää: Oikeus poistaa tiedot

Milloin toimivalta tietojen käsittelyyn päättyy, kun yhdistyksen toimihenkilö vaihtuu?

Toimivalta käsitellä jäsenten tietoja päättyy, kun toimihenkilön asema yhdistyksessä lakkaa. Toimihenkilön on luovutettava hallussaan oleva henkilötietoaineisto, eikä hän saa ottaa siitä itselleen kopioita.

Voiko yhdistyksen jäsenille kohdistaa markkinointia?

Yhdistys saa tiedottaa toiminnastaan jäsenille, eikä tiedottamista pidetä suoramarkkinointina. Jäsentietoja ei saa luovuttaa kolmannelle osapuolelle suoramarkkinointitarkoituksiin ilman jäsenen lupaa.

Saako yhdistys käyttää henkilötunnusta jäsentiedoissa?

Yleensä ei. Poikkeuksena on tilanne, jossa jäsen on antanut henkilötunnuksen käyttöön suostumuksensa, käsittelystä on säädetty lailla tai on olemassa muu erityisen tärkeä syy yksiselitteiseen yksilöimiseen, eikä yksilöintiä voi tehdä muutoin kuin henkilötunnuksen avulla.

Millä erotetaan yhdistyksen samannimiset jäsenet toisistaan?

Syntymävuosi, jäsennumero tai vastaava riittää. Lisäksi nimen perään voidaan lisätä yksilöintiä helpottava lisätunnus (Mikko Mallikas X erotukseksi Mikko Mallikas Y:stä).

Kuka on rekisterinpitäjä ja kuka henkilötiedon käsittelijä?

Rekisterinpitäjä päättää itsenäisesti henkilötietojen käsittelystä. Henkilötietojen käsittelijä saa käsitellä jäsentietoja vain siinä laajuudessa ja sillä tavoin kuin rekisterinpitäjän kanssa on sovittu.

Lue lisää: Henkilötietojen käsittelijät

Mitä tulee huomioida ulkoistettaessa esimerkiksi jäsenlaskujen lähettäminen ulkopuoliselle?

Ulkoistamisesta tulee tehdä sopimus, jossa huomioidaan tietosuoja-asetuksen vaatimukset. Ulkoistaminen ei poista yhdistyksen vastuuta.

Lähde: Tietosuojavaltuutetun toimistoyhdistystoiminnasta

Arkisto

Avainsanoja