Yhdistys Online

Tietosuojaliite

(Henkilötietojen käsittelysopimus YhdistysOnline-palvelussa)

Voimassa alkaen: 1.3.2025

Tämä tietosuojaliite (”Tietosuojaliite”) on osa osapuolten välistä YhdistysOnline-palvelua koskevaa sopimusta ja yleisiä sopimus- ja käyttöehtoja (”Sopimus”). Tietosuojaliitteessä määritellään ehdot, joilla Toimittaja käsittelee henkilötietoja Rekisterinpitäjän lukuun.

1. Osapuolet ja roolit

Rekisterinpitäjä:
Asiakasorganisaatio, joka käyttää YhdistysOnline-palvelua (esimerkiksi rekisteröity yhdistys) ja joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot oman jäsen-/asiakasrekisterinsä osalta (”Rekisterinpitäjä”).

Henkilötietojen käsittelijä:
PR-Coding Oy (Y-tunnus: 3125192-4)
Osoite: Rauhankatu 39 LH 3, 06100 Porvoo
(”Toimittaja”, ”Käsittelijä”)

Toimittaja toimii Rekisterinpitäjän lukuun henkilötietojen käsittelijänä EU:n yleisen tietosuoja-asetuksen (EU 2016/679, ”GDPR”) 28 artiklan tarkoittamalla tavalla.

2. Tietosuojaliitteen tarkoitus

Tietosuojaliitteen tarkoitus on määritellä ne ehdot ja edellytykset, joilla Toimittaja käsittelee Rekisterinpitäjän rekistereihin kuuluvia henkilötietoja YhdistysOnline-palvelun tuottamiseksi, ylläpitämiseksi ja Sopimuksen mukaisten velvoitteiden täyttämiseksi.

3. Määritelmät

Ellei Tietosuojaliitteessä ole toisin todettu, käytetään samoja termejä kuin GDPR:ssä ja Sopimuksessa.

  • ”Henkilötiedot”: Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot, jotka Rekisterinpitäjä tai tämän puolesta toimiva taho syöttää tai muuten tallentaa YhdistysOnline-palveluun tai joihin Toimittajalla on pääsy Sopimuksen täytäntöönpanon yhteydessä.
  • ”Käsittely”: Henkilötietoihin kohdistuva toimi tai toimien sarja GDPR:n 4 artiklan 2 kohdan mukaisesti.
  • ”Alikäsittelijä”: Kolmas osapuoli, joka käsittelee henkilötietoja Toimittajan lukuun.

4. Käsittelyn kohde, luonne ja kesto

Henkilötietojen käsittelyn kohteena ovat Rekisterinpitäjän rekistereihin kuuluvat henkilötiedot, joita käsitellään YhdistysOnline-palvelussa.

Käsittelyn luonne:

  • Säilyttäminen ja ylläpito
  • Järjestäminen ja rakenteistaminen
  • Tarkastelu, haku ja muu käyttö Palvelun toimeenpanemiseksi
  • Viestinnän välittäminen (esim. sähköpostitiedotteet, laskut, muistutukset, mahdolliset tekstiviestit)
  • Tekniset käsittelytoimet (varmuuskopiointi, lokitus, virheiden korjaus, tietoturvatoimet)

Käsittelyn kesto:

  • Henkilötietoja käsitellään niin kauan kuin Sopimus on voimassa ja Rekisterinpitäjä käyttää YhdistysOnline-palvelua.
  • Sopimuksen päättymisen jälkeen henkilötietoja säilytetään ja poistetaan Sopimuksen ja yleisten ehtojen mukaisesti (esimerkiksi Asiakasdatan latausmahdollisuus 30 päivän ajan ja sen jälkeen tiedon poistaminen tai anonymisointi kohtuullisessa ajassa).

5. Käsiteltävät henkilötietotyypit ja rekisteröidyt

Tyypillisiä käsiteltäviä henkilötietotyyppejä ovat esimerkiksi:

  • Jäsenten ja muiden rekisteröityjen perustiedot: nimi, yhteystiedot (sähköposti, puhelinnumero), osoitetiedot
  • Jäsenyyteen liittyvät tiedot: jäsenyystyyppi, liittymis- ja eroamispäivä, jäsenmaksutiedot
  • Roolit ja tehtävät yhdistyksessä (esim. hallituksen jäsen, toimihenkilö, vapaaehtoinen)
  • Laskutus- ja maksutiedot (esim. laskun saaja, viite, maksun tila ja historia)
  • Viestintään liittyvät tiedot (esim. tilattavat postituslistat, lähetetyt viestit)
  • Yhdistystoimintaan liittyvät tiedot (esim. osallistumiset tapahtumiin, kokousmateriaalien jakelu, jäsenlehden jakelu)

Rekisteröityjen ryhmiä voivat olla esimerkiksi:

  • yhdistyksen jäsenet
  • kannatusjäsenet
  • hallituksen ja toimielinten jäsenet
  • muut yhdistyksen toiminnassa mukana olevat henkilöt, joiden tietoja Rekisterinpitäjä hallinnoi YhdistysOnline-palvelussa.

Rekisterinpitäjä vastaa siitä, että Tietosuojaliitteessä kuvattu käsittely vastaa sen todellista henkilötietojen käsittelyä ja että rekisteröidyille annetaan GDPR:n mukaiset tiedot.

6. Rekisterinpitäjän velvollisuudet

Rekisterinpitäjä:

  • vastaa siitä, että henkilötietojen käsittelyllä on lainmukainen peruste (esim. yhdistyslain ja jäsenyyssuhteen perusteella)
  • vastaa rekisteröityjen informoinnista ja omasta tietosuojaselosteestaan
  • määrittelee, mitä henkilötietoja Palveluun tallennetaan, ja siitä, ettei järjestelmään tallenneta tarpeettomia tai lainvastaisia tietoja
  • vastaa rekisteröityjen oikeuksien toteuttamisesta (tarkastusoikeus, oikaisu, poistaminen, käsittelyn rajoittaminen jne.), Toimittajan avustaessa teknisesti tämän Tietosuojaliitteen kohdan 9 mukaisesti
  • vastaa siitä, että Sopimus ja tämä Tietosuojaliite vastaavat sen oman käsittelynsä todellista luonnetta.

7. Toimittajan velvollisuudet käsittelijänä

Toimittaja sitoutuu:

a) Käsittelemään henkilötietoja ainoastaan

  • Rekisterinpitäjän antamien kirjallisten ohjeiden mukaisesti,
  • Sopimuksen, tämän Tietosuojaliitteen ja sovellettavan tietosuojalainsäädännön mukaisesti.

b) Olemaan käyttämättä henkilötietoja omiin tarkoituksiinsa eikä siirtämään tai luovuttamaan niitä kolmansille tahoille muuten kuin tässä Tietosuojaliitteessä, Sopimuksessa tai lain velvoittamana.

c) Varmistamaan, että henkilötietoja käsittelevät henkilöt ovat sitoutuneet asianmukaiseen salassapitoon tai heitä koskee lakisääteinen salassapitovelvollisuus.

d) Toteuttamaan asianmukaiset tekniset ja organisatoriset tietoturvatoimenpiteet henkilötietojen suojaamiseksi, kuten:

  • käyttöoikeuksien hallinta ja roolipohjaiset oikeudet
  • palvelinympäristön ja tietoliikenneyhteyksien suojaaminen
  • varmuuskopiointi ja palautusprosessit
  • lokitus ja valvonta tietoturvan varmistamiseksi

e) Avustamaan Rekisterinpitäjää kohtuullisessa määrin:

  • tietoturvaloukkausten selvittämisessä ja ilmoittamisessa,
  • tietosuojavaikutusten arvioinneissa ja vaikutustenarvioinnin yhteydessä, jos se koskee Toimittajan käsittelyä,
  • rekisteröityjen pyyntöihin vastaamisessa teknisten ja järjestelmäominaisuuksien puitteissa.

f) Huolehtimaan, että mahdolliset alikäsittelijät noudattavat vähintään samaa tietosuoja- ja tietoturvatasoa.

8. Alikäsittelijät

Toimittajalla on oikeus käyttää alikäsittelijöitä (esimerkiksi palvelininfrastruktuurin ja viestintäpalvelujen toimittajat) henkilötietojen käsittelyyn Rekisterinpitäjän lukuun.

Toimittaja:

  • vastaa alikäsittelijöiden toimista kuin omistaan
  • tekee alikäsittelijöiden kanssa GDPR:n mukaiset henkilötietojen käsittelysopimukset
  • varmistaa, että alikäsittelijät sitoutuvat vähintään tämän Tietosuojaliitteen tasoisiin tietosuoja- ja tietoturvavelvoitteisiin.

Toimittaja voi muuttaa alikäsittelijöitä ilmoittamalla kohtuullisessa ajassa Rekisterinpitäjälle. Rekisterinpitäjällä on oikeus vastustaa olennaista muutosta perustellusta syystä. Jos osapuolet eivät löydä ratkaisua, Rekisterinpitäjällä on oikeus irtisanoa Sopimus siltä osin kuin se koskee kyseistä käsittelyä.

9. Rekisteröidyn oikeuksien toteuttaminen

Toimittaja ei vastaa rekisteröityjen pyyntöihin vastaamisesta Rekisterinpitäjän puolesta, mutta:

  • Toimittaja toteuttaa teknisesti Rekisterinpitäjän kohtuullisia ja lainmukaisia pyyntöjä (esimerkiksi tietojen hakeminen, korjaaminen, poistaminen tai anonymisointi),
  • Rekisterinpitäjä ohjaa rekisteröidyt esittämään pyyntönsä pääsääntöisesti Rekisterinpitäjälle, ei suoraan Toimittajalle.

Jos rekisteröity kuitenkin ottaa suoraan yhteyttä Toimittajaan, Toimittaja ohjaa pyynnön Rekisterinpitäjälle ja avustaa tätä kohtuullisessa määrin pyynnön toteuttamisessa.

10. Tietoturvaloukkaukset

Toimittaja ilmoittaa Rekisterinpitäjälle ilman aiheetonta viivytystä tietoonsa tulleista henkilötietojen tietoturvaloukkauksista, jotka koskevat Rekisterinpitäjän henkilötietoja. Ilmoitus sisältää:

  • kuvauksen tietoturvaloukkauksesta ja sen luonteesta
  • tiedossa olevat rekisteröityjen ryhmät ja määrät (jos mahdollista)
  • kuvauksen loukkauksen todennäköisistä seurauksista
  • toimenpiteet, joita Toimittaja on jo toteuttanut tai ehdottaa toteutettavaksi loukkauksen korjaamiseksi ja sen haitallisten vaikutusten lieventämiseksi.

Rekisterinpitäjä vastaa omalta osaltaan ilmoitusvelvollisuuksista valvontaviranomaiselle ja rekisteröidyille. Toimittaja avustaa Rekisterinpitäjää tässä kohtuullisessa määrin.

11. Henkilötietojen siirrot EU/ETA-alueen ulkopuolelle

Pääsääntöisesti Toimittaja säilyttää ja käsittelee henkilötietoja EU-/ETA-alueella.

Jos henkilötietoja siirretään EU-/ETA-alueen ulkopuolelle esimerkiksi alikäsittelijän tarjoaman pilvi- tai viestintäpalvelun kautta, Toimittaja varmistaa, että siirto tapahtuu GDPR:n vaatimusten mukaisesti, käyttäen esimerkiksi:

  • Euroopan komission hyväksymiä mallisopimuslausekkeita, tai
  • muuta hyväksyttyä suojamekanismia.

Toimittaja antaa Rekisterinpitäjälle pyynnöstä lisätietoa mahdollisista siirroista ja käytetyistä suojamekanismeista.

12. Auditoinnit ja valvonta

Rekisterinpitäjällä on oikeus kohtuullisessa laajuudessa varmistua siitä, että Toimittaja noudattaa tätä Tietosuojaliitettä ja sovellettavaa tietosuojalainsäädäntöä.

Tämä voidaan toteuttaa esimerkiksi:

  • Toimittajan toimittamien tietoturva- ja tietosuojakuvausten, sertifikaattien tai auditointiraporttien perusteella (esim. ulkopuolisen tahon suorittama auditointi), tai
  • Rekisterinpitäjän tai sen valtuuttaman, salassapitovelvollisen kolmannen osapuolen toteuttaman auditoinnin kautta, jonka ajankohdasta, laajuudesta ja käytännön toteutuksesta sovitaan etukäteen.

Auditointi ei saa tarpeettomasti häiritä Toimittajan liiketoimintaa, eikä se saa vaarantaa muiden asiakkaiden tietoturvaa. Auditoinnin kohtuulliset kustannukset vastaa pääsääntöisesti Rekisterinpitäjä.

13. Henkilötietojen palauttaminen ja poistaminen sopimuksen päättyessä

Sopimuksen päättyessä:

  • Toimittaja säilyttää Rekisterinpitäjän Asiakasdatan (mukaan lukien henkilötiedot) Sopimuksessa ja yleisissä ehdoissa määritellyn ajan (esimerkiksi 30 päivää), jonka kuluessa Rekisterinpitäjä voi ladata tietonsa yleisesti käytetyssä koneluettavassa muodossa.
  • Tämän jälkeen Toimittaja poistaa tai anonymisoi henkilötiedot kohtuullisen ajan kuluessa yleisten ehtojen mukaisesti, ellei lainsäädäntö velvoita pidempään säilytykseen.
  • Varmuuskopioista henkilötiedot poistuvat varmuuskopiointisykliä vastaavan ajan kuluessa.

Toimittajalla on oikeus säilyttää henkilötietoja siltä osin ja niin kauan kuin se on välttämätöntä omien lakisääteisten velvoitteiden (esim. kirjanpitolaki) tai Toimittajan oikeudellisten vaateiden laatimiseksi, esittämiseksi tai puolustamiseksi.

14. Etusijajärjestys ja muutokset

Jos tämän Tietosuojaliitteen ja Sopimuksen muiden ehtojen välillä on ristiriita henkilötietojen käsittelyä koskevissa asioissa, noudatetaan ensisijaisesti tämän Tietosuojaliitteen ehtoja.

Toimittajalla on oikeus päivittää tätä Tietosuojaliitettä, jos lainsäädäntö tai viranomaisohjeistus muuttuu tai jos Palvelun luonne sitä välttämättä edellyttää. Olennaisista muutoksista ilmoitetaan Rekisterinpitäjälle Sopimuksessa kuvatulla tavalla. Jos Rekisterinpitäjä ei hyväksy muutoksia, hänellä on oikeus irtisanoa Sopimus päättymään ennen muutosten voimaantuloa.

15. Sovellettava laki ja riidanratkaisu

Tähän Tietosuojaliitteeseen sovelletaan Suomen lakia. Tietosuojaliitteestä ja henkilötietojen käsittelystä aiheutuvat erimielisyydet pyritään ratkaisemaan ensisijaisesti neuvottelemalla. Toissijaisesti noudatetaan Sopimuksessa määriteltyä riidanratkaisupaikkaa (Porvoon käräjäoikeus).