Viinikerho Baccuksen tietosuojapolitiikka

Tämän dokumentin tarkoitus on välittää tietoa Viinikerho Baccus ry:n (jäljempänä Baccus) tietosuojan periaatteet niille Baccuksen henkilöille, jotka ylläpitävät tai käsittelevät Baccuksen hallussa olevia henkilörekistereitä.

Baccuksen hallussa on tällä hetkellä seuraavat rekisterit:

  • Jäsenrekisteri

  • Tapahtumien ilmottautumisrekisteri

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua, viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa sihteerillä.

Tietosuojarekisterien käyttöoikeudet

Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on Baccuksen toimien kannalta siihen tarvetta. Esimerkiksi koko hallitukselle tai kaikille toimihenkilöille ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu/yhteyshenkilölle. Baccuksen vastuuhenkilö on ilman erillistä päätöstä aina virkaa tekevä sihteeri. Pääasiassa vain Baccuksen hallituksen jäsenillä voi olla käyttöoikeus rekistereihin, mutta erikoistapauksessa (esimerkiksi yhteistapahtumassa jonkin muun tahon kanssa) tapahtumien ilmoittautumisrekisterin tietoja saatetaan jakaa myös kolmannelle osapuolelle, mikäli se on tapahtuman järjestämisen kannalta välttämätöntä.

Vastaavasti vanhalta hallitukselta ja toimihenkilöitä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan.

Vanhojen tunnusten poisto tulee tehdä viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa sihteerillä.  

Tietojen elinkaari

Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan kun se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien Baccuksen sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsen poistuu kerhosta.

Tapahtumien ilmoittautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtuman osalta, mihin tiedot on kerätty. Normaalien tastingien osalta tämä tarkoittaa noin kahta viikkoa, jolloin mahdolliset jälkipyykit ovat saatu hoidettua.

Tapahtumiin osallistuneista voidaan kuitenkin kerätä nk. anonyymidataa, eli osallistujien lukumääriä, liha/kasvisruokailevien määriä ja muita tietoja jotka eivät ole linkitettyjä rekisterin dataan. Tälläiset tiedot tulee säilyttää erillisessä rekisterissä.

Tietosuojan tekninen varmistaminen

Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Baccuksen rekisterit säilytetään kolmannen osapuolen internet-palvelimilla, vahvasti salattuna siten, että kenelläkään yhdistyksen hallituksen ulkopuolisella henkilöllä ei ole pääsyä niihin.

Tapahtumien ilmottautumisrekisteriin tallennetaan tieto henkilön erikoisruokavaliosta. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Arkaluontoisen henkilötiedon tietosuojavaatimukset lainsäädännön osalta ovat huomattavasti tiukemmat.

Henkilön oikeus pyytää ja korjata tietonsa

Yksityishenkilöllä on oikeus pyytää Baccuksen toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä ja tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.

Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä.

Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.