Tämä tietosuojakäytäntöä noudatetaan TLK-konserniin kuuluvissa organisaatioissa 25.5.2018 alkaen. Tietosuojakäytännön on tarkoitus selventää henkilötietojen säilytyksen ja käsittelyn käytäntöjä, parantaa niiden tietosuojaa ja tarjota rekisteröidyille sekä kansallisen tietosuojalainsäädännön, että eurooppalaisen tietosuojakäytännön (GDPR) mukaiset oikeudet heitä koskeviin henkilötietoihin.
Laadittu 1.5.2018
Muokattu viimeksi 7.10.2019, versio 1.03
Tässä tietosuojakäytäntöä koskevassa dokumentissa käytetään seuraavia käsitteitä:
Henkilötieto | Tiettyyn luonnolliseen henkilöön suoraan yksilöitävissä oleva tieto |
Henkilötietorekisteri | Luettelo henkilötiedoista, myös ”rekisteri” |
Rekisteröitävä | Luonnollinen yksityishenkilö, jonka tietoa käsitellään |
TLK-konserni | Konserni, jonka emoyhdistyksenä toimii Tampereen Lääketieteen Kandidaattiseura TLK ry |
Toimija | TLK-konserniin kuuluva henkilö tai ryhmä, joka suorittaa hänelle/sille osoitettua organisaation toimintaan liittyvää tehtävää |
TLK-Konserni ja yhteystiedot
TLK-konsernin emoyhdistys:
Tampereen Lääketieteen Kandidaattiseura TLK ry.
Postiosoite: Arvo Ylpön katu 34, 33520 Tampere
Puhelin: (03) 2612 091 toimiston aukioloaikojen puitteissa
Toimistopäällikkö: Tuula Kalttonen-Mäkinen tuula@tampereenkandit.fi
Rekisterit
TLK-konsernin alaiset organisaatiot vastaavat omista rekistereistään.
Tampereen Lääketieteen Kandidaattiseura TLK ry ylläpitää seuraavia rekistereitä:
- Jäsenrekisteri
- Yhdistyksen ja konsernin kirjanpito
- Varausrekisterit
- Muut osallistujarekisterit
Jokaisesta rekisteristä ja jokaista tiedonkeruutilannetta varten on olemassa rekisteriseloste, joka lyhyesti ja selkokielisesti selittää kunkin rekisterin käyttötarkoituksen, tiedonkeruun ja tiedonkäsittelyn periaatteet. Rekisteriselosteet henkilötietorekistereistä ovat saatavilla TLK-konsernin toimistolta, verkkosivulta ja rekisteriyhteyshenkilöltä aukioloaikoina, kuten myös jokaisen tiedonkeruun yhteydessä.
Tietojen kerääminen
TLK-konserni kerää tiedot rekisteröitävän suostumusta vastaan. Suostumus pyydetään jokaisella kerralla, kun tietoa kerätään rekisteriin, johon rekisteröitävä ei ole antanut voimassaolevaa suostumusta. Tietoja voidaan kerätä myös lakisääteisesti tai liittyen joko rekisteröitävän, konsernin tai yleisten etujen puolustamiseksi.
Kerättävät tiedot
Rekisteröitävistä kerättävät tiedot eritellään rekisterikohtaisesti. Useimmissa rekistereissä kerätään kyseiseen tilanteeseen vaadittavat tiedot ja tarvittaessa vapaaehtoisia toimintaa helpottavia tai palvelun laadun varmistavia henkilötietoja.
Esimerkki: Jäsenrekisteriin kerätään jäsenen nimi, kotipaikka, sähköpostiosoite kansallisen yhdistyslain vaatimuksen mukaan. Vapaaehtoisina toimintaan liittyvinä tietoina kerätään yhteystietoja kuten puhelinnumero.
Keräyskäytäntö
Ennen tiedonkeruutilannetta tai sen aikana rekisteröitävälle esitetään rekisteriselosteet ja tarjotaan lomake, johon rekisteröitävä voi laittaa suostumuksensa, mikäli kyseiseen tarkoitukseen ei suostumusta aiemmin ole saatu. TLK-konserni ei tallenna tai säilytä tietoa, mikäli suostumusta ei ole annettu, mutta ei tällöin voi useimmiten mahdollistaa toimintaan osallistumista. Kerättäessä henkilötietoja noudatetaan ”TLK-konsernin tietosuojakäytännön” periaatteita.
Esimerkki: Tapahtumaan osallistumiseksi tulee täyttää ilmoittautumislomake. Rekisteröitävä täyttää lomakkeen, mutta ei hyväksy tietosuojakäytäntöä tai rekisteriselostetta. Tietoja ei tallenneta, eikä rekisteröitävä ei voi myöskään osallistua tapahtumaan.
Rekisteriin kirjautumisen ja suostumuksen antamisen jälkeen henkilö voi antaa lisätietoja itsestään, osallistumisistaan tai asiakkuuksistaan TLK-konsernin toimintaan liittyen.
Tietojen säilyttäminen
TLK-konsernissa noudatetaan keskitettyä tiedon säilytystä. Henkilötietorekisterit säilytetään salasanalla suojatussa, ohjelmallisesti salatussa tiedostonsäilytyspalvelussa tai rekisteristä riippuen paperisena lomakkeena lukitussa sijainnissa. Toiminnan vaatimassa tilanteessa tiedosto tai tuloste voidaan väliaikaisesti antaa konsernin toimijan haltuun, kunnes tarpeen päätyttyä ne hävitetään asianmukaisesti.
Esimerkki: Toimija järjestää ainejärjestön juhlat. Juhliin ilmoittaudutaan nettilomakkeella. Verkkoyhteyden puuttuessa ovella käytettävä nimilista tulostetaan. Juhlan jälkeen tulostettu nimilista hävitetään tietoturvajätteenä.
TLK-konserni sitoutuu säilyttämään henkilötiedot ja suostumukset. Tämä koskee myös rekisterien suojaamista vahingossa tapahtuvalta tuhoutumiselta, vahingoittumiselta tai katoamiselta. TLK-konserni säilyttää vain tietoa, jonka käsittelyyn se on saanut luvan rekisteröitävältä. Tarpeettomat henkilötiedot ja henkilötietorekisterit poistetaan.
TLK-konserni ei kerää arkaluontoisia henkilötietoja (esimerkiksi terveyteen liittyvät tiedot, genomitieto, etninen tausta, poliittinen suuntautuminen, uskonnollinen tai filosofinen vakaumus, seksuaalinen suuntautuminen, ammattiliiton jäsenyys) poissulkien henkilötunnus, jota käytetään lain velvoittamissa tilanteissa työsuhteen tai nimenkirjoitusoikeuden varmentamiseen.
Tietojen käsittely
Kunkin rekisterin henkilötietoihin on pääsy vain toimijoille, joille se on organisaatiossa toimimisen kannalta välttämätöntä. Salasana ja/tai käyttöoikeus myönnetään vain näille henkilöille toiminta-ajaksi.
Konsernin toimijat sitoutuvat käyttämään rekisterien tietoa vain rekisteriselosteen mukaisiin käyttötarkoituksiin. Rekisteröitävältä kysytään erillinen suostumus tietojen käyttämiseen muuhun tarkoitukseen.
TLK-konserni ohjeistaa toimijoitaan huolelliseen ja tietoturvalliseen rekisterien käsittelyyn. Toimijoita opastetaan myös käyttämään vain toimenkuvaansa liittyvää tietoa ja tiedonkeruutarpeen ilmetessä tekemään sen lain ja TLK-konsernin käytäntöjen mukaisesti. Toimijat eivät saa kerätä henkilötietoja konsernin nimissä ilman lupaa.
Tietoja ei jaeta konsernin ulkopuolelle ilman erillistä lupaa rekisteröidyltä. Kuitenkin, julkisessa roolissa olevien toimijoiden henkilötietoja (nimi, yhteystiedot, kuva) on saatavilla TLK-konsernin julkaisuissa ja verkkosivuilla.
Esimerkki: Puheenjohtajan luovuttamat virkaan liittyvät henkilötiedot ovat julkisesti saatavilla verkkosivun kautta myös kirjautumattomille kävijöille. Tavanomaisen jäsenen tiedot eivät näy verkkosivulla ollenkaan kolmannelle osapuolelle.
Rekisterinpitäjän velvollisuudet
Henkilötietorekisterien käsittely sisältää seuraavat velvollisuudet rekisterinpitäjälle:
- velvollisuus ilmoittaa tietoturvaloukkauksista viranomaisille ja rekisteröidyille
- velvollisuus näyttää eurooppalaisen ja kansallisen tietoturva-asetuksen toteutumien toiminnassa
- velvollisuus antaa tietoa rekisteröidylle hänen tiedoistaan, niiden käsittelystä ja luovuttamisesta
- velvollisuus säilyttää kerätyt henkilötiedot turvallisesti, kunnes säilytysaika päättyy
Rekisteröidyn oikeudet
Rekisteriin kuuluminen oikeuttaa rekisteröidyn seuraaviin toimenpiteisiin omaa henkilötietoaan kohtaan:
- oikeus saada tietää, mitä tietoa hänestä säilytetään ja käsitellään
- oikeus korjata hänestä kerättyä tietoa
- oikeus tulla unohdetuksi
- oikeus siirtää omat tietonsa
- oikeus saada tietoa omia henkilötietoja koskevista tietoturvaloukkauksista
- oikeus saada vahingonkorvauksia
Joissain tilanteissa rekisteröidyn oikeuksia voidaan rajata konsernin tai yleisten etujen puolustamiseksi.
Esimerkki: Toimija ei voi vaatia laskutustietojensa poistamista, mikäli hänellä on suorittamattomia maksueriä konsernille.
Yhteyshenkilöt ja yhteydenotot
TLK-konsernin rekistereiden yhteystiedot (yhteyshenkilöt) ovat saatavilla rekisteriselosteissa. Yhteyshenkilön kautta tapahtuu yhteydenpito rekisteröidyn oikeuksiin tai tietoturvaloukkauksiin liittyen. Tarvittaessa yhteydessä voi olla myös suoraan toimistolle aukioloaikojen mukaan.