Tietosuojalinjaus

Aalto-yliopiston Arkkitehtikilta ry:n tietosuojalinjaus

Tämän dokumentin tarkoitus on välittää tietoa Aalto-yliopiston Arkkitehtikilta ry:n (AK) tietosuojan periaatteista niille killan henkilöille, jotka ylläpitävät tai käsittelevät killan hallussa olevia henkilörekistereitä. 

 

Killan hallussa on tällä hetkellä seuraavat rekisterit:

Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua, viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on (hallituksen jäsenistä) nimetyllä rekisterivastaavalla tai rahastonhoitajalla.  

Tietosuojarekisterien käyttöoikeudet

Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on killan toimien kannalta siihen tarvetta. Esimerkiksi koko hallitukselle tai kaikille toimihenkilöille ei tunnuksia kannata jakaa heti toimikauden alussa, vaan aluksi vain rekisterin vastuu/yhteyshenkilölle. Kiltamme vastuuhenkilö on ilman erillistä päätöstä aina virkaa tekevä rahastonhoitaja.

Vastaavasti vanhalta hallitukselta ja toimihenkilöitä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan. 

Vanhojen tunnusten poisto tulee tehdä viimeistään tammikuun 31. päivänä. Vastuu päivityksestä on puheenjohtajalla, nimetyllä rekisterivastaavalla ja sihteerillä.  

Tietojen elinkaari

Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan kun se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien killan sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsen poistuu killasta.

Tapahtumien ilmottautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtuman osalta, mihin tiedot on kerätty. Normaalien sitsien osalta tämä tarkoittaa noin kuukautta, jolloin mahdolliset jälkipyykit ovat saatu hoidettua.

Tapahtumiin osallistuneista voidaan kuitenkin kerätä nk. anonyymidataa, eli osallistujien lukumääriä, liha/kasvisruokailevien määriä ja muita tietoja jotka eivät ole linkitettyjä rekisterin dataan. Tälläiset tiedot tulee säilyttää erillisessä rekisterissä.

Tietosuojan tekninen varmistaminen

Käyttöoikeuksien ohella rekisterien tekninen toteutus on tärkeää. Drivessä säilyettäviin rekistereihin on pääsy vain pestikohtaisilla Google-tileillä, ja niitä ei tule jakaa henkilökohtaisille Google-käyttäjille.

Tapahtumien ilmottautumisrekisteriin tallennetaan tieto henkilön erikoisruokavaliosta. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Arkaluontoisen henkilötiedon tietosuojavaatimukset lainsäädännön osalta ovat huomattavasti tiukemmat. Tämän takia vain tapahtumien järjestäjät näkevät tällaisten tapahtumien ilmoittautumistiedot, ja ilmoittautumislomakkeet luodaan pestikohtaiseen Drive-kansioon.

Henkilön oikeus pyytää ja korjata tietonsa

Yksityishenkilöllä on oikeus pyytää AK:n toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja.

Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä ja tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi.

Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä.

Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.