TLK-konsernin tietosuojakäytäntö

Tämä tietosuojakäytäntöä noudatetaan TLK-konserniin kuuluvissa organisaatioissa 25.5.2018 alkaen. Tietosuojakäytännön on tarkoitus selventää henkilötietojen säilytyksen ja käsittelyn käytäntöjä, parantaa niiden tietosuojaa ja tarjota rekisteröidyille sekä kansallisen tietosuojalainsäädännön, että eurooppalaisen tietosuojakäytännön (GDPR) mukaiset oikeudet heitä koskeviin henkilötietoihin.

Laadittu
1.5.2018

Muokattu viimeksi
1.11.2018, versio 1.01

Tässä tietosuojakäytäntöä koskevassa dokumentissa käytetään seuraavia käsitteitä:

Henkilötieto
Tiettyyn luonnolliseen henkilöön suoraan yksilöitävissä oleva tieto

Henkilötietorekisteri
Luettelo henkilötiedoista, myös ”rekisteri”

Rekisteröitävä
Luonnollinen yksityishenkilö, jonka tietoa käsitellään

TLK-konserni
Konserni, jonka emoyhdistyksenä toimii Tampereen Lääketieteen Kandidaattiseura TLK ry

Toimija
TLK-konserniin kuuluva henkilö tai ryhmä, joka suorittaa hänelle/sille osoitettua organisaation toimintaan liittyvää tehtävää

Rekisterit

TLK-konsernin alaiset organisaatiot vastaavat omista rekistereistään.

Tampereen Lääketieteen Kandidaattiseura TLK ry ylläpitää seuraavia rekistereitä:

  • Jäsenrekisteri (jäsenet ml. alumnit)
  • Yhdistyksen ja konsernin kirjanpito
  • Yhdistysrekisterit (rekisterit asiakkaista)

Jokaisesta pysyvästä rekisteristä on olemassa rekisteriseloste, joka lyhyesti ja selkokielisesti selittää kunkin rekisterin käyttötarkoituksen, tiedonkeruun ja tiedonkäsittelyn periaatteet. Rekisteriselosteet pysyvistä henkilötietorekistereistä ovat saatavilla TLK-konsernin toimistolta, verkkosivulta ja rekisteriyhteyshenkilöltä aukioloaikoina.

Tietojen kerääminen

TLK-konserni kerää tiedot rekisteröitävän suostumusta vastaan. Suostumus pyydetään jokaisella kerralla, kun tietoa kerätään rekisteriin, johon rekisteröitävä ei ole antanut voimassaolevaa suostumusta. Tietoja voidaan kerätä myös lakisääteisesti tai liittyen joko rekisteröitävän, konsernin tai yleisten etujen puolustamiseksi.

Kerättävät tiedot

Rekisteröitävistä kerättävät tiedot eritellään rekisterikohtaisesti. Useimmissa rekistereissä kerätään kyseiseen tilanteeseen vaadittavat tiedot ja tarvittaessa vapaaehtoisia toimintaa helpottavia tai palvelun laadun varmistavia henkilötietoja.

Esimerkki: Jäsenrekisteriin kerätään jäsenen nimi, kotipaikka, sähköpostiosoite ja vapaaehtoisina tietoina yhteystietoja kuten puhelinnumero.

Keräyskäytäntö

Ennen tiedonkeruutilannetta tai sen aikana rekisteröitävälle esitetään rekisteriselosteet ja tarjotaan lomake, johon rekisteröitävä voi laittaa suostumuksensa, mikäli kyseiseen tarkoitukseen ei suostumusta aiemmin ole saatu. TLK-konserni ei tallenna tai säilytä tietoa, mikäli suostumusta ei ole annettu. Kerättäessä henkilötietoja lyhytaikaiseen rekisteriin, ei velvoitetta rekisteriselosteen esittämiseen ole, vaan noudatetaan ”TLK-konsernin tietosuojakäytännön” periaatteita.

Rekisteriin kirjautumisen ja suostumuksen antamisen jälkeen henkilö voi antaa lisätietoja itsestään, osallistumisistaan tai asiakkuuksistaan TLK-konsernin toimintaan.

Tietojen säilyttäminen

TLK-konsernissa noudatetaan keskitettyä tiedon säilytystä. Henkilötietorekisterit pyritään säilyttämään salasanalla suojatussa, ohjelmallisesti salatussa tiedostonsäilytyspalvelussa tai rekisteristä riippuen paperisena lomakkeena lukitussa sijainnissa. Toiminnan vaatimassa tilanteessa tiedosto tai tuloste voidaan väliaikaisesti antaa konsernin toimijan haltuun, kunnes tarpeen päätyttyä ne hävitetään asianmukaisesti.

TLK-konserni sitoutuu säilyttämään henkilötiedot ja suostumukset. Tämä koskee myös rekisterien suojaamista vahingossa tapahtuvalta tuhoutumiselta, vahingoittumiselta tai katoamiselta. TLK-konserni säilyttää vain tietoa, jonka käsittelyyn se on saanut luvan rekisteröitävältä. Tarpeettomat henkilötiedot ja henkilötietorekisterit poistetaan.

Konsernissa on paljon toimintaa, jolle ominaista on lyhytaikaiset henkilötietorekisterit. Tietojen säilyttämisen periaatteet koskevat myös näitä rekistereitä, vaikka erillistä rekisteriselostetta ei vaadita.

Esimerkki: Toimija järjestää ainejärjestön juhlat. Juhliin ilmoittaudutaan nettilomakkeella. Verkkoyhteyden puuttuessa ovella käytettävä nimilista tulostetaan. Juhlan jälkeen tulostettu nimilista hävitetään tietoturvajätteenä.

TLK-konserni ei kerää arkaluontoisia henkilötietoja (esimerkiksi terveyteen liittyvät tiedot, genomitieto, etninen tausta, poliittinen suuntautuminen, uskonnollinen tai filosofinen vakaumus, seksuaalinen suuntautuminen, ammattiliiton jäsenyys) poissulkien henkilötunnus, jota käytetään lain velvoittamissa tilanteissa työsuhteen tai nimenkirjoitusoikeuden varmentamiseen.

Tietojen käsittely

Kunkin rekisterin henkilötietoihin on pääsy vain toimijoille, joille se on organisaatiossa toimimisen kannalta välttämätöntä. Salasana ja/tai käyttöoikeus myönnetään vain näille henkilöille toiminta-ajaksi.

Konsernin toimijat sitoutuvat käyttämään rekisterien tietoa vain rekisteriselosteen mukaisiin käyttötarkoituksiin. Rekisteröitävältä kysytään erillinen suostumus tietojen käyttämiseen muuhun tarkoitukseen.

TLK-konserni ohjeistaa toimijoitaan huolelliseen ja tietoturvalliseen rekisterien käsittelyyn. Toimijoita opastetaan myös käyttämään vain toimenkuvaansa liittyvää tietoa ja tiedonkeruutarpeen ilmetessä tekemään sen lain ja TLK-konsernin käytäntöjen mukaisesti. Toimijat eivät saa kerätä henkilötietoja konsernin nimissä ilman lupaa.

Tietoja ei jaeta konsernin ulkopuolelle ilman erillistä lupaa rekisteröidyltä. Kuitenkin, julkisessa roolissa olevien toimijoiden henkilötietoja (nimi, yhteystiedot, kuva) on saatavilla TLK-konsernin julkaisuissa ja verkkosivuilla.

Rekisterinpitäjän velvollisuudet

Henkilötietorekisterien käsittely sisältää seuraavat velvollisuudet rekisterinpitäjälle:

  • velvollisuus ilmoittaa tietoturvaloukkauksista viranomaisille ja rekisteröidyille
  • velvollisuus näyttää eurooppalaisen ja kansallisen tietoturva-asetuksen toteutumien toiminnassa
  • velvollisuus antaa tietoa rekisteröidylle hänen tiedoistaan, niiden käsittelystä ja luovuttamisesta

Rekisteröidyn oikeudet

Rekisteriin kuuluminen oikeuttaa rekisteröidyn seuraaviin toimenpiteisiin omaa henkilötietoaan kohtaan:

  • oikeus saada tietää, mitä tietoa hänestä säilytetään ja käsitellään
  • oikeus korjata hänestä kerättyä tietoa
  • oikeus tulla unohdetuksi
  • oikeus siirtää omat tietonsa
  • oikeus saada tietoa omia henkilötietoja koskevista tietoturvaloukkauksista
  • oikeus saada vahingonkorvauksia

Joissain tilanteissa rekisteröidyn oikeuksia voidaan rajata konsernin tai yleisten etujen puolustamiseksi.

Esimerkki: Toimija ei voi vaatia laskutustietojensa poistamista, mikäli hänellä on suorittamattomia maksueriä konsernille.

Yhteyshenkilö

TLK-konsernin rekistereiden yhteyshenkilö(t) ovat tavoitettavissa toimiston aukioloaikoina. Yhteyshenkilön kautta tapahtuu yhteydenpito rekisteröidyn oikeuksiin tai tietoturvaloukkauksiin liittyen.