Tämän dokumentin tarkoitus on välittää tietoa Otakut tietosuojan periaatteet niille kerhon henkilöille, jotka ylläpitävät tai käsittelevät kerhon hallussa olevia henkilörekistereitä. Kerhon hallussa on tällä hetkellä seuraavat rekisterit:
Tämä dokumentti sekä mainittujen rekisterien rekisteriselosteet tulee päivittää vuosittain aina hallituksen sekä toimihenkilöiden vaihduttua, viimeistään yhdistyksen vuosikokoukseen mennessä. Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa puheenjohtajalla.
Puheenjohtajan sijaan yhdistys voi käyttää myös vaihtoehtoista toimi- tai hallitusvirkaa oletusvastuuhenkilönä. Tärkeintä on, että yhdistys valitsee kyseisen viran jokaiselle toimikaudelle. Tämän politiikan sekä rekisterien läpikäynnillä haetaan sitä, että vanha ja uusi vastaava käyvät dokumentit lävitse ajan kanssa ja korjaavat vuoden aikana nousseet epäkohdat. Tällä varmistetaan, että uusi vastuuhenkilö tietää mihin yhdistys on rekisteriselosteissaan lupautunut.
Käyttöoikeuksien rajoittaminen on merkittävässä roolissa tietosuojaongelmien estämisessä. Oikeudet tulisi rajoittaa vain niihin henkilöihin, joilla on kerhon toimien kannalta siihen tarvetta.
Vastaavasti vanhalta hallitukselta ja toimihenkilöitä tulisi poistaa oikeudet jo heti kauden vaihduttua, ellei ole selvää, että kyseinen henkilö tulee tarvitsemaan pääsyä rekisteriin uuden kauden toimivirassaan. Oikeuksien poisto tulee tehdä viimeistään kuukauden kuluttua hallituksen vaihdoksesta.
Mikäli rekisteri on tallennettu hallituksen- tai toimihenkilön omalle laitteelle, tulee tiedot kyseiseltä laitteelta poistaa viimeistään toimikauden päättyessä.
Vastuu päivityksestä on nimetyllä rekisterivastaavalla tai tämän puuttuessa puheenjohtajalla.
Rekistereissä olevaa tietoa tulee säilyttää vain niin kauan, kuin se palvelee tarkoitustaan. Jäsenrekisterissä tulee luonnollisesti olla kaikkien kerhon sen hetkisten jäsenten tiedot, ja poistaa tiedot sitä mukaa kun jäsen poistuu kerhosta. Tapahtumien ilmottautumisrekisterin kohdalla tiedot tulee poistaa siinä vaiheessa, kun niillä ei voida katsoa olevan enää tarpeellista sen tapahtumanosalta, mihin tiedot on kerätty. Normaalien tapahtumien osalta tämä tarkoittaa noin kahta viikkoa, jolloin mahdolliset jälkipyykit ovat saatu hoidettua.
Tapahtumiin osallistuneista voidaan kuitenkin kerätä nk. anonyymidataa, eli osallistujien lukumääriä, liha/kasvisruokailevien määriä ja muita tietoja jotka eivät ole linkitettyjä rekisterin dataan. Tälläiset tiedot tulee säilyttää erillisessä rekisterissä.
Hallitus-, toimihenkilö ja kunniajäsenrekistereiden tietoja voidaan säilyttää kunnes rekisterin henkilö itse pyytää tietojensa poistamista.
Tällä hetkellä Otakut jäsenrekisteriä säilytetään otaxin palvelimella, sqlite -tietokannassa. Otaxin palvelimelle pääsy on rajattu yhdistyskohtaisella tunnuksella ja henkilökohtaisella SSH -avaimella. Tietokanta on erikseen suojattu salausavaimella. Tietokannan salausavain tulisi vaihtaa aina oikeuksien päivityksen yhteydessä.
Tapahtumien ilmoittautumisrekistereitä säilytetään myös otaxin palvelimella. Tietoja voidaan säilyttää salausavaimella suojatussa tiedostossa tai tietokannassa. Ilmoittautumislomakkeiden kohdalla täytyy huomioida että tiedot tulisi suojata myös otaxin ylläpidolta.
Hallitus-, toimihenkilö ja kunniajäsenrekistereiden tiedot ovat julkisia eikä niitä tarvitse erikseen suojata. Nämä rekisterit tulee säilyttää ainoastaan verkkosivuillamme, ja tiedot tulee pyydettäessä poistaa.
Tällä hetkellä verkkosivuillamme käytössä oleva pmwiki -järjestelmä, joka säilyttää sivujen muokkaushistorioan. Mikäli henkilötietoja verkkosivuiltamme poistetaan, tulee rekisterivastaavan huolehtia, että myös historiatiedot poistetaan. Käytännössä tämä tarkoittaa että sivu luodaan uudelleen ilman historiatietoka ja otaxilta poistetaan vanhan sivun tiedosto.
Otakut ei käsittele arkaluontoisia henkilötietoja, joiden tietosuojavaatimukset ovat lainsäädännön osalta huomattavasti tiukemmat. Sanamuoto tässä kohdin on tärkeä, sillä allergiatiedot ovat arkaluontoista henkilötietoa, kun erikoisruokavaliot voidaan katsoa normaaliksi henkilötiedoksi. Aina tietoja kerättäessä tulisi aina varmistaa ettei henkilöiltä kysytä mitään arkaluontoista.
Yksityishenkilöllä on oikeus pyytää Otakuiden toimesta hänestä tallennetut henkilötiedot. Käytännössä tämä tarkoittaa jäsenrekisterin tietoja. Koska tallennamme jäsenrekisteriin vain hyvin vähän tietoja henkilöistä, nopea haku sekä jäsenrekisteristä ja tapahtumarekisteristä ei ole vaikea toteuttaa. Tiedot tulee luovuttaa ensisijaisesti samassa formaatissa kuin pyyntö tuli, eli sähköpostiin tulee vastata sähköisellä tietojen luovuttamisella. Pyynnön kohtuullinen käsittelyaika on yksi kuukausi. Tarvittaessa pyytäjää voidaan pyytää todistamaan henkilöllisyytensä. Vastaavasti henkilöillä on oikeus pyytää tietojensa korjausta. Myös tietojen korjauksen kohtuullinen käsittelyaika on yksi kuukausi.