Yhdistyslain mukaan yhdistyksen hallituksen tulee pitää jäsenluetteloa, josta ilmenee jäsenen nimi ja kotipaikka. Luettelo tulee kysyttäessä näyttää yhdistyksen jäsenelle, mutta ei muille.

EU:n tietosuoja-asetuksen (GDPR) mukaan voidaan henkilöstä kerätä vain tarpeellisia tietoja ja säilyttää niitä vain tarpeellisen ajan. Tarpeellisuus määräytyy yhdistyksen tarkoituksesta ja toimintamuodoista, jotka ovat määritelty säännöissä ja toimintasuunnitelmissa. Yhdistyksen tulee osoittaa, että sen keräämät tiedot ovat tarpeellisia. Kukin kerättävä tieto on arvioitava ja sen tarpeellisuus kyettävä osoittamaan.

Yhdistyksen sääntöjä laadittaessa tai uusittaessa on hyvä tarkastaa, ovatko säännöt kattavat verrattuna haluttuun toimintaan. Jos säännöissä kerrotaan, että tarkoituksena on edistää jäsenten välistä verkottumista esim. kerhoissa ja osaamisyhteisöissä, niin silloin jäsenten välisen yhteydenpidon varmistamiseksi tarvitaan yhteystiedot, joita voidaan jakaa jäsenten kesken. Yhteystietojen jakamiseen tarvitaan jäsenen suostumus. Se on hyvä pyytää ryhmään liittymisen yhteydessä ja samalla jäsenelle pitää kertoa, kuinka kauan tietoja on tarkoitus säilyttää ja miten suostumus voidaan perua.

Yhdistys voi ulkoistaa henkilötietojen käsittelytoimia kuten laskutuksen ja postituksen. Tällöin on kyse tietosuoja-asetuksen mukaisesta rekisterinpitäjän (yhdistys) ja henkilötietojen käsittelijän (toimeksisaaja) välisestä suhteesta. GDPR:ssä on määritelty velvollisuuksia henkilötietojen käsittelijälle. Asetus velvoittaa rekisterinpitäjän tekemään kirjallisen sopimuksen velvollisuuksien noudattamisesta henkilötietojen käsittelijän kanssa. Hyvin usein yhdistyksen asioita kuten jäsenmaksuja ja jäsenetuja hoitaa yhdistyksen katto-organisaatio. Silloin se on näiltä osin yhdistyksen henkilötietojen käsittelijän roolissa.

Tietosuojavaltuutetun toimiston sivuilla tietosuoja.fi on ohje ”Henkilötietojen käsittely yhdistystoiminnassa”.

Teksti: Paula Miinalainen