HYY:n Vihreät ry:n tietosuojapolitiikka


Tämän dokumentin tarkoitus on välittää HYY:n Vihreät ry:n tietosuojan periaatteet niille yhdistyksen henkilöille, jotka ylläpitävät tai käsittelevät kerhon hallussa olevia henkilörekistereitä.


Yhdistyksen hallussa ovat tällä hetkellä seuraavat rekisterit:
- Jäsenrekisteri
- Tapahtumien ilmoittautumisrekisteri

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua.

Tietosuojarekistereiden käyttöoikeudet
Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on yhdistyksen toiminnan kannalta siihen tarvetta. Esimerkiksi koko hallitukselle tai kaikille toimihenkilöille ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu- / yhteyshenkilölle. Yhdistyksen vastuuhenkilö on ilman erillistä päätöstä aina virkaa tekevä sihteeri.

Vastaavasti vanhalta hallitukselta ja toimihenkilöitä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan. 

Tietojen elinkaari
Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan, kun se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien yhdistyksen sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsenyys yhdistyksessä lakkaa. 
Tapahtumien ilmottautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtuman osalta, mihin tiedot on kerätty. Normaalien tapahtumien osalta tämä tarkoittaa noin kahta viikkoa, jolloin mahdolliset jälkipyykit on saatu hoidettua. 

Tietosuojan tekninen varmistaminen
Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Tällä hetkellä yhdistyksen rekisterit säilytetään EU:n tietosuoja-asetusta noudattavan kolmannen osapuolen internet-palvelimilla tai tiedoista vastuussa olevan henkilön tietokoneella. Pääsy tietoihin on rajoitettu salasanalla ja tietojen salaamisella.

Henkilön oikeus pyytää ja korjata tietonsa
Yksityishenkilöllä on oikeus pyytää HYY:n Vihreiden toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä että tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.
Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä.

Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.


Data Protection Policy of the Helsinki University Greens


The purpose of this document is to convey the Helsinki University Green’s data protection principles to those persons in the association who maintain or process personal data files in the club’s possession.

The association currently has the following filing systems in its possession:
- List of members
- Event sign-up register
This document and the privacy statements of the filing systems mentioned above must be updated annually when the Board and officials have changed.

Access to the filing systems
Restricting access to the filing systems has a significant role in the prevention of problems related to data protection. Access should only be given to people who need it for the association’s activities to run properly. For instance, instead of giving access to the entire Board or all officials at the beginning of the term it should only be given to the contact person and the person in charge of the filing system. The person in charge of the matter in the association is always the acting secretary, with no separate decision needed.

Correspondingly, access should be removed from the old Board and officials as soon as the new term begins, unless it is clear that the person in question will need to have access to the filing system in the position they hold during the new term.

Data life cycle
Data in the filing systems should only be stored for as long as they serve their purpose. The list of members should naturally have data on all current members of the association, and data should be erased as memberships in the association end.
In the case of the event sign-up register, data must be erased when they can no longer be considered necessary for the event for which the data were collected. For regular events, this amounts to around two weeks, when any possible post-event issues have been dealt with.

Technical securing of data protection
Besides access rights, the technical implementation of the filing systems is important. Currently, the association’s filing systems are stored on the Internet servers of a third party that complies with the EU’s General Data Protection Regulation or on a responsible person’s private computer. Access to the data has been restricted with a password and by the encryption of the data.

A person’s right of inspection and right to request rectification
Private persons have the right to inspect the personal data concerning themselves stored by the Helsinki University Greens. In practice, this refers to the data in the list of members.

Because we only store very little personal data in the list of members, a quick search from both the list of members and the event sign-up register is not difficult to conduct. The data must primarily be disclosed in the same format in which the request was received. For instance, emails should be answered with electronic data disclosure. A reasonable time for processing the request is one month.

If necessary, the person with the data request may be asked to prove their identity. The data subjects further have the right to request rectification of their data. A reasonable time for processing a rectification request is also one month.