Viimeisin muutos: 25.5.2018

Akateeminen jaloviinaseura

Tietosuojapolitiikka

11. Toukokuuta 2018

Tämän dokumentin tarkoitus on välittää tietoa Akateemisen jaloviinaseuran (Jallu) tietosuojan periaatteista niille seuran henkilöille, jotka ylläpitävät tai käsittelevät seuran hallussa olevia henkilörekistereitä.

Seuran hallussa on tällä hetkellä seuraavat rekisterit:

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua, viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa sihteerillä.

Tietosuojarekisterien käyttöoikeudet

Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on seuran toimien kannalta siihen tarvetta. Esimerkiksi koko hallitukselle tai kaikilla toimihenkilöille ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu/yhteyshenkilölle. Seuramme vastuuhenkilö on ilman erillistä päätöstä aina virkaa tekevä sihteeri.

Vastaavasti vanhalta hallitukselta ja toimihenkilöiltä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan.

Vanhojen tunnusten poisto tulee tehdä viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa sihteerillä.

Tietojen elinkaari

Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan, kuin se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien seuran sen hetkisten jäsenten tiedot, ja tiedot tulee poistaa sitä mukaa kun jäsen poistuu seurasta.

Tapahtumien ilmoittautumisrekisterin ja tavaroiden (kuten haalarimerkit, pelipaidat, ym.) myyntirekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellisuutta sen asian osalta, mihin tiedot on kerätty. Normaalien juhlien osalta tämä tarkoittaa noin kahta viikko, jolloin mahdolliset jälkipyykit on saatu hoidettua. Myytyjen tavaroiden tiedot tulee poistaa myös noin kahden viikon kuluttua luovutus- tai lähettämispäivästä.

Tapahtumiin osallistuneista voidaan kerätä nk. anonyymidataa, eli osallistujien lukumääriä, liha/kasvisruokailevien määriä ja muita tietoja, jotka eivät ole linkitettyjä rekisterin dataan. Samoin myytyjen tavaroiden lukumääriä voidaan kerätä. Tällaiset tiedot tulee säilyttää erillisessä rekisterissä.

Tietosuojan tekninen varmistaminen

Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Tällä hetkellä seuran rekisterit säilytetään Google:n palvelimella G Suite palvelun kautta, missä pääsy tietoihin on rajoitettu henkilökohtaisella käyttäjätunnuksella ja tietojen salauksella.

Tapahtumien ilmoittautumisrekisteriin tallennetaan tieto henkilön erikoisruokavaliosta. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun taas erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Arkaluontoisen henkilötiedon tietosuojavaatimukset lainsäädännön osalta ovat huomattavasti tiukemmat.

Henkilön oikeus pyytää ja korjata tietonsa

Yksityishenkilöllä on oikeus pyytää Jallun toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä, tapahtumarekisteristä ja myyntirekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.

Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä.

Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.