Tietosuojaselosteen laatiminen

Tässä artikkelissa kuvataan EU:n yleisen tietosuoja-asetuksen mukaiset vaatimukset tietosuojaselosteelle, sekä tarjotaan tietosuojaselostemalli urheiluseuran käyttöön sovellettavaksi.

EU:n tietosuoja-asetuksen mukaiset vaatimukset

Urheiluseuran (=rekisterinpitäjän) on laadittava ja ylläpidettävä tietosuojaselostetta sen vastuulla olevista henkilötietojen käsittelytoimista, jotta voidaan osoittaa, että ne ovat tietosuoja-asetuksen mukaisia. Selosteen on tietosuoja-asetuksen mukaan oltava kirjallisessa muodossa ja se on pyydettäessä toimitettava viranomaiselle.

Selosteen on käsitettävä kaikki seuraavat tiedot:

  1. Rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;
  2. käsittelyn tarkoitukset;
  3. kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;
  4. henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;
  5. tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;
  6. mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;
  7. mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.

Selosteen laatimisen lisäksi rekisterinpitäjän tulee kertoa rekisteröidylle, kuten urheiluseuran jäsenille, henkilötietojen käsittelystä selkeästi ja ymmärrettävästi henkilötietoja kerätessään. Lisäksi tämän informaation (tietosuojaseloste) tulee olla aina helposti rekisteröidyn saatavilla. 

Tietosuoja-asetusGuidelines on Transparency under Regulation 2016/679


Tietosuojaseloste - "Ymmärrettävä, oikea-aikainen, helposti saatavilla, veloitukseton"

myClub helpottaa urheiluseuroja tietosuojaselosteen laadinnassa, säilyttämisessä ja julkaisemisessa.

A) Tietosuojaselostemalli

Helpottaakseen seurojen työtaakkaa tietosuojaselosteen laadinnassa on myClub työstänyt tietosuoja-asiantuntijoiden kanssa tietosuojaselostemallin, joka noudattaa rakenteeltaan tietosuoja-asetuksen vaatimuksia. Seura voi hyödyntää tätä mallia pohjana, täydentämällä omat seurakohtaiset tiedot ja toimintamallit henkilötietojen käsittelyssä. Tietosuojaselosteen laatimisen jälkeen, seuran tulee tallentaa tietosuojaseloste myClubiin ja toimia käytännössä määrittelemänsä toimintamallin mukaisesti.

Alla oleva tietosuojaselostemalli on tarkoitettu seuran jäsen- ja yhteistyökumppaneiden rekisteröityjen informointia varten. Tietosuojaseloste kannattaa laatia kattamaan koko jäsenrekisterin ja/tai yhteistyökumppanirekisterin henkilötiedot, ei pelkästään myClub-palvelua koskien. Täydennnä hakasulkujen sisällä pyydetyt tiedot tai vastaavasti poista ylimääräiset hakasulkujen sisällä olevat ohjetiedot valmiista selosteestanne.

[Urheiluseura ry:n] jäsen- ja yhteistyökumppanirekisterin tietosuojaseloste

Laatimispäivä:  [pp.kk.vvvv]

## 1. Rekisterinpitäjä

[Rekisterinpitäjän nimi, y-tunnus ja yhteystiedot]

## 2. Rekisteriasioiden yhteyshenkilö ja yhteystiedot

[Yhteyshenkilön nimi, sähköpostiosoite ja puhelinnumero]

## 3. Rekisterin nimi

Jäsen- ja yhteistyökumppanirekisteri

## 4. Henkilötietojen käsittelyn tarkoitus ja peruste

Tietojen käsittely perustuu yhdistysten jäsenten osalta [Urheiluseura ry:n] oikeutettuun etuun eli yhdistyksen jäsenyyteen. Henkilötietojen käsittelyn tarkoitus on: 

  • ylläpitää Yhdistyslain mukaista jäsenluetteloa
  • jäsenasioiden hoito, kuten tiedottaminen, yhteydenpito, palkitseminen, kilpailutoiminta, jäsenmaksujen hallinta sekä kurinpidolliset toimet 
  • harrastustoiminnan, tapahtumien sekä keskustelu- ja koulutustilaisuuksien järjestäminen 
  • toiminnan kehittäminen, tilastointi ja raportointi. 

Tietojen käsittely perustuu toimihenkilöiden (ml. joukkueen johtaja, ohjaaja, valmentaja, tiedottaja) osalta [Urheiluseura ry:n] oikeutettuun etuun eli sovittuun yhteistyöhön.
[Mikäli toimihenkilö toimii seurassa työsuhteessa, tulee muussa henkilörekisterissä ja tietosuojaselosteessa huolehtia työntekijän henkilötietojen käsittelyn informoinnista työsuhteeseen liittyvin osin.]

Henkilötietojen käsittely perustuu yhteistyökumppaneiden osalta sopimukseen tai [Urheiluseura ry:n] oikeutettuun etuun (suoramarkkinointi) ja henkilötietojen käyttötarkoitus on [Urheiluseura ry:n] yhteistyökumppaneiden välisen yhteistyösuhteen hoitaminen, kehittäminen ja tilastointi.

## 5. Rekisterin tietosisältö ja rekisteröityjen ryhmät

[Merkitään kaikki henkilötiedot tai tietoryhmät, joita rekisteröidystä voidaan tallettaa/kerätä. Henkilön yksilöintitiedot tulee eritellä esim. nimi, hetu, syntymäaika, yhteystiedot). Muilta osin riittää tietotyyppien ja/tai -ryhmien kuvaus.]
[Luetellaan ne rekisteröityjen ryhmät, joiden tietoja ko. henkilörekisteriin on talletettu (esim. urheiluseuran jäsen, yhteistyökumppanin päättäjä tai yhteyshenkilö, toimihenkilö jne.)]

Rekisteri sisältää seuraavia henkilötietoja yhdistyksen henkilöjäsenistä: 

  • Yhdistyslain 11 §:n vaatimat henkilötiedot eli jäsenen nimi sekä kotipaikka
  • Alaikäisen jäsenen osalta 
    • Tarpeelliset huoltajan suostumukset esim. jäsenyyteen, tietojen julkaisemiseen, harrastustoimintaan ja palveluiden käyttöön liittyen 
    • Alaikäisen huoltajan nimi ja yhteystiedot (postiosoite, sähköpostiosoite, puhelinnumero) 
  • Jäsenyyteen liittyvät tiedot, kuten jäsennumero, jäsentyyppi, jäsenmaksuihin ja muihin laskuihin liittyvät tiedot 
  • Yhteystiedot (postiosoite, sähköpostiosoite, puhelinnumero)
  • Valokuva
  • Tiedot osallistumisesta jäsen- ja harrastustoimintaan sekä keskustelu- ja koulutustilaisuuksiin
  • Muut rekisteröidyn itsensä luovuttamat henkilötiedot 

Rekisteri sisältää seuraavia henkilötietoja toimihenkilöistä: 

  • Yhteystiedot (postiosoite, sähköpostiosoite, puhelinnumero) 
  • Laskuihin liittyvät tiedot 
  • Valokuva 
  • Tiedot osallistumisesta harrastustoimintaan sekä keskustelu- ja koulutustilaisuuksiin

Rekisteri sisältää seuraavia henkilötietoja yritysten ja yhteisöjen päättäjistä ja yhteyshenkilöistä:

  • nimi, titteli, yritys, postiosoite, sähköpostiosoite, puhelinnumero

## 6. Säännönmukaiset tietolähteet

[Kuvaus siitä, mistä rekisterin tietoja saadaan? Esim. tiedot voidaan saada rekisteröidyltä itseltään, tiedot voivat kertyä rekisterinpitäjän omassa toiminnassa tai tietoja voidaan saada muista rekisteristä kolmansilta tahoilta.]

Henkilötiedot saadaan rekisteröidyltä itseltään esim. jäseneksi liityttäessä tai jäsenyyden tai yhteistyön aikana. Jäsen on velvollinen ilmoittamaan muuttuneet tietonsa [Urheiluseura ry:lle].

## 7. Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai ETA-alueen ulkopuolelle

[Kerrottava luovutetaanko henkilötietoja kolmansille osapuolille (sis. toiset rekisterinpitäjät ja käsittelijät) ja jos niin mille tahoille.]
[Mikäli henkilötietoja siirretään EU/ETA:n ulkopuolelle, kerrottava käytetty mekanismi ja miten rekisteröity voi tutustua siihen.]

Henkilötietoja ei säännönmukaisesti luovuteta eteenpäin, eikä niitä siirretä EU:n tai ETA-alueen ulkopuolelle.

Rekisterinpitäjä käyttää ulkoisen palveluntarjoajan (Taikala Oy, myClub-palvelu) sähköistä jäsenpalvelua, jonka avulla rekisterinpitäjä hallinnoi jäsen- ja yhteistyökumppanirekisteriä, laskutusta, tapahtumailmoittautumisia, läsnäoloseurantaa ja jäsenviestintää.

## 8. Suojauksen periaatteet ja tietojen säilytysaika

[Kerrotaan kuinka kauan ko. rekisteriin kuuluvia tietoja säilytetään tai jos tämä ei ole mahdollista kerrotaan säilytysajan määräytymisperusteet.]

Rekisteri säilytetään lukitussa tilassa ja se on suojattu salasanalla. Rekisterin tietoihin on pääsy vain määritellyillä henkilöillä heidän tehtäviensä edellyttämässä laajuudessa. 

Rekisterin tietoja säilytetään niin kauan, kuin ne ovat tarpeen rekisterin tarkoituksen toteuttamiseksi. 

  • Toimihenkilön henkilötietoja säilytetään [määritä säilytysaika]
  • Yhdistyksen jäsenen henkilötietoja säilytetään [määritä säilytysaika]
  • Yritysten ja yhteisöjen päättäjien ja yhteyshenkilöiden henkilötietoja säilytetään niin kauan kuin ne ovat tarpeen laskutuksen, sponsoroinnin tai yhteistyön kannalta. Muutoin henkilötietoja päivitetään.
myClub-palvelun (www.myclub.fi) tiedot on tallennettu tietokantapalvelimelle, jonne pääsy vaatii käyttäjätunnuksen ja salasanan sekä tietokantapalvelimen osoitteen. myClub-palvelun sisältämät tiedot sijaitsevat lukituissa ja vartioiduissa tiloissa ja tallennetut tiedot varmennettu 2 kertaisella tietokantavarmennuksella, joka on vahvasti salattu.
myClub-palveluun sisäänpääsy edellyttää käyttäjätunnuksen ja salasanan syöttämistä. Käyttäjätunnus ja salasana on vahvasti salattu ja vain rekisteröidyn henkilön omassa tiedossa. Kaikki tietoliikenne järjestelmässä on SSL-suojattu.

## 9. Rekisteröidyn oikeudet

[Kerrotaan tietosuoja-asetuksen mukaisista rekisteröidylle kuuluvista oikeuksista]

Tarkastusoikeus ja oikeus vaatia tiedon korjaamista. 

Rekisteröidyllä on oikeus tarkastaa itseään koskevat henkilörekisteriin tallennetut tiedot sekä oikeus vaatia virheellisen tiedon oikaisua ja tietojen poistamista. Asiaa koskevat pyynnöt tulee toimittaa kirjallisesti kohdassa 2 mainitulle yhteyshenkilölle. 

Muut oikeudet: Rekisteröidyllä on tietosuoja-asetuksen mukaisesti (25.5.2018 lukien) oikeus vastustaa tai pyytää tietojensa käsittelyn rajoittamista sekä tehdä valitus henkilötietojen käsittelystä valvontaviranomaiselle.

Suomen Palloliiton ohjeistus jäsenseuroille (15.5.2018)

Mikäli seura haluaa syöttää henkilöiden tietoja (esim. uuden pelaajan rekisteröinti) Palloliiton Pelipassi-rekisteriin henkilöiden puolesta, niin tulee alla oleva lauseke olla kirjattuna seuran tietosuojaselosteen kohtaan 7. Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai ETA-alueen ulkopuolelle:

”Jäsenrekisteriin tallennettuja rekisteröityä koskevia tietoja luovutetaan Suomen Palloliitolle urheilutoimintaan osallistumiseen vaadittavan lisenssin (Pelipassi) rekisteröimistä ja hallinnointia varten, ja käsitellään Suomen Palloliiton ylläpitämässä Pelipaikka-rekisterissä. Lisätietoja Suomen Palloliiton noudattamasta tietosuojakäytännöstä voit saada osoitteesta https://www.palloliitto.fi/tietosuoja/”

B) Tietosuojaselosteen tallennus ja ylläpito

Seuranne voi tallentaa ja ylläpitää omaa tietosuojaselostettaan myClubissa klikkamaalla ' Muokkaa'-linkkiä 'Asetukset > Tietosuoja'-sivulla. Seuran tietosuojaseloste voidaan lisätä tekstikenttään tai ladata PDF-tiedostona. Kun seura on tallentanut tietosuojaselosteen myClubiin, on tietosuojaseloste automaattisesti tutustuttavissa sähköisesti, oikea-aikaisesti, helposti milloin tahansa ja veloituksetta.

Linkki seuran laatimaan tietosuojaselosteeseen löytyy seuraavissa käyttöyhteyksissä
  • Rekisteröitymislomake - uuden jäsenen rekisteröityessä seuran myClub-jäsenpalveluun
  • Jäsensivuston alatunniste - jäsenen käyttäessä seuran myClub-jäsenpalvelua
  • Sähköpostin alatunniste - jäsenen saadessa sähköpostia seuran myClub-jäsenpalvelusta

Huom! Jos seura lataa tai lisää käsin henkilötietoja jäsenpalveluun, on hyvä toimittaa henkilötietojen käsittelyn kohteille (rekisteröidyille) tietosuojaseloste tutustuttavaksi. Tämä voidaan suorittaa helposti lähettämällä aktivointilinkki kaikille henkilöille, jotka eivät ole vielä kirjautuneet seuran myClub-jäsenpalveluun. Aktivointilinkki sisältää automaattisesti linkin myös seuran tietosuojaselosteeseen.

Tarvitsetko vielä apua? Ota yhteyttä Ota yhteyttä