Liity jäseneksi
eAsiointi
28/05/2018

Tietosuojaseloste

 

Rekisterin pitäjä

Suomen Fysioterapeutit – Finlands Fysioterapeuter ry
Rautatieläisenkatu 6 B, 00520 Helsinki
p. 0207 199 590, toimisto@suomenfysioterapeutit.fi

Yhteyshenkilö tietosuojaan liittyvissä asioissa

Krista Alm
Viestinnän asiantuntija
Rautatieläisenkatu 6 B, 00520 Helsinki
p. 0207 199 590, toimisto@suomenfysioterapeutit.fi

Tietojen käsittelyn tarkoitus

Suomen Fysioterapeutit – Finlands Fysioterapeuter ry on fysioterapeuttien ammattiliitto. Sen perustehtävänä on hoitaa jäsentensä ammatillista ja taloudellista edunvalvontaa. Tämän tehtävän toteuttamiseksi liitto kerää ja käsittelee jäsentensä henkilötietoja. Näitä tietoja käytetään jäsenyysasioiden ja edunvalvonnan hoitamiseen, jäsenmaksujen laskutukseen ja yhdistysasioista tiedottamiseen sekä yhdistyksen järjestämiin tapahtumiin, koulutuksiin ja verkostoihin liittyvään yhteydenpitoon. Koska Suomen Fysioterapeutit on rekisteröity yhdistys, myös yhdistyslaki (503/1989) velvoittaa ylläpitämään jäsenluetteloa.

Jäsentietoja säilytetään jäsenyyden päättymisen jälkeen niissä puitteissa, kuin muu lainsäädäntö (esim. yhdistyslaki, kirjanpitolaki) velvoittaa. Liiton jäsenetuvakuutusten (potilasvakuutus) vaatima jäsenyystiedon säilytysaika on kymmenen vuotta.

Suomen Fysioterapeuttien jäsenellä on oikeus tarkastaa itseään koskevat rekisteritiedot sekä saada niistä kopio pyydettäessä (Tietosuoja-asetus, 15. artikla). Tietojen tarkastaminen on maksutonta. Tarkastuspyyntö tulee osoittaa kirjallisesti Suomen Fysioterapeuttien toimistoon (ks. rekisterinpitäjän yhteystiedot yllä). Rekisterinpitäjä korjaa tai poistaa ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta rekisterissä olevan, käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon.

Suomen Fysioterapeutit käsittelee varsinaisten jäsenyystietojen lisäksi henkilötietoja myös järjestämiinsä koulutuksiin ja tilaisuuksiin, verkostojen toimintaan ja julkaisemaansa Fysioterapia-lehteen liittyvässä viestinnässä sekä palkkioiden maksussa.

Henkilötietolaki (523/1999) määrittelee ammattiliiton jäsenyyden arkaluonteiseksi tiedoksi. Suomen Fysioterapeutit tiedostaa, että sen tulee noudattaa toiminnassaan erityistä tarkkuutta henkilö- ja jäsenyystietojen käsittelyyn liittyvissä toimissa. Tästä syystä tietoja ei myöskään koskaan voida luovuttaa kolmansille osapuolille ilman rekisteröidyn nimenomaista suostumusta silloin, kun luovutusta ei voida perustella jäsenyyden hoitamiseen tai henkilön edunvalvontaan liittyvillä seikoilla. Lisäksi Suomen Fysioterapeutit vastaa siitä, että sen omat järjestelmät mahdollistavat tietoturvallisen yhteydenpidon jäsenyyteen liittyvissä asioissa. Tämä toteutetaan siten, että henkilötietoja tai arkaluonteista tietoa sisältävä viestintä ohjataan automaattisesti salattuun sähköpostiin ja jäsenillä on myös mahdollisuus itse lähettää viestejä suojattuna suoraan Suomen Turvaposti Oy:n verkkosivuilla olevan yhteydenottolomakkeen välityksellä.

Eri tarkoituksiin liittyvä henkilötietojen käsittely

Jäsentietojen peruskäsittely

Suomen Fysioterapeuttien ylläpitämän jäsenrekisterin tietojen tallennukseen ja hallintaan on käytetty ulkopuolisen palveluntarjoajan (Futunio Oy) jäsenrekisterijärjestelmää, verkkopalvelua ja konesaliratkaisuja. Futunio Oy on Suomen Fysioterapeuttien sopimuskumppani, joka on sitoutunut noudattamaan toiminnassaan tietosuojasäädöksiä. Futunion tilat täyttävät Viestintäviraston korkeimmat luokitusvaatimukset. Jäsentietojen käsittelystä vastaavat pääasiallisesti liiton jäsenrekisterin hoitajat, mutta kaikilla muillakin toimihenkilöillä Fysioterapia-lehden päätoimittajaa lukuun ottamatta on rajattu jäsentietojen katselu- ja muokkausoikeus, koska heillä on työtehtäviensä hoitamiseksi perusteltu oikeus tähän. Rekisteri on suojattu henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Mahdolliset postitse saapuneet jäsenhakemukset ja muu henkilötietoja sisältävä manuaalinen aineisto säilytetään lukittujen kulkuyhteyksien takana liiton jäsenrekisterin hoidosta vastaavien toimihenkilöiden työhuoneissa.

Jäsenrekisterin tietosisällöt:

  1. Sukunimi
  2. Etunimet
  3. Henkilötunnus
  4. Postiosoite
  5. Sähköpostiosoitteet
  6. Puhelinnumerot
  7. Jäsenyyden alkamispäivämäärä
  8. Suomen Fysioterapeuttien yhteisöjäsenen jäsenyystieto (jos jäsenyys liittoon muodostuu yhteisöjäsenen kautta)
  9. Jäsenlaji
  10. Jäsennumero
  11. Äidinkieli
  12. Jäsenmaksutiedot
  13. Markkinointikiellot
  14. Työpaikkatiedot (työnantaja ja tämän yhteystiedot) ja tieto mahdollisesta työehtosopimuksesta, jota työsuhteessa noudatetaan
  15. Tieto työttömyyskassan jäsenyydestä
  16. Tieto luottamustehtävistä liitossa/yhteisöjäsenyhdistyksissä
  17. Tieto oppilaitoksesta, jossa suoritta fysioterapeutin perustutkintoa ja arvioitu valmistumisajankohta
  18. Tieto mahdollisesta yritystoiminnan harjoittamisesta

Jäsenyystiedot saadaan pääsääntöisesti jäsenten itsensä ilmoittamina. Tietoja kerätään sekä sähköisen että postitettavan jäsenhakemuslomakkeen välityksellä. Yhteystietoja päivitetään automaattisesti Postin osoitepalvelun kautta. Suomen Fysioterapeuttien ylläpitämään rekisteriin kirjatuilla jäsenillä on mahdollisuus itse hallinnoida perustietojaan jäsenrekisterin verkkopalvelun (eAsiointi) kautta. Palveluun kirjaudutaan henkilökohtaisilla tunnuksilla ja salasanoilla. Omia jäsentietoja on mahdollista täydentää ja päivittää myös ottamalla yhteyttä liiton toimistoon puhelimitse, sähköpostitse tai kirjeitse. Sähköpostiliikenteessä käytetään Suomen Turvaposti Oy:n suojausta silloin, kun viestit sisältävät luottamuksellisia tietoja.

Jäsenten tietoja ei säännönmukaisesti luovuteta kolmansille osapuolille lukuun ottamatta seuraavia tahoja:

  1. Vakuutusyhtiö Turva, jolle luovutetaan tieto yksilön jäsenyydestä silloin, kun tämä käyttää jäsenetuvakuutuksiaan.
  2. Potilasvakuutuskeskus, jolle luovutetaan tieto jäsenyydestä silloin, kun se on olennaista potilasvakuutuksen voimassaolon varmistamiseksi.
  3. Painotalo PunaMusta Oy, jolle luovutetaan jäsenten osoitetiedot Fysioterapia-lehden postitusta varten. Osoitelistoja voidaan luovuttaa myös muille paino-/postitusyrityksille, jotka hoitavat jäsenyyteen liittyvien kirjeiden postitusta.
  4. Jäsenmaksutietoja luovutetaan verottajalle koneellisesti jäsenmaksujen vähennyskelpoisuuden toteutumiseksi.
  5. Terveydenhuoltoalan työttömyyskassa (koskee niitä jäseniä, jotka liittyvät kassaan liiton kautta).
  6. Paikalliset luottamusmiehet, jotka saavat liitosta tietoa edustettavistaan.
  7. Liiton juridisista palveluista vastaava lakiasiaintoimisto, jolle luovutetaan yksittäisten jäsenten tietoja silloin, kun he käyttävät ko. palvelua.
  8. Tilitoimisto Lightning Account Oy silloin, kun henkilöille lähetetään myyntilaskuja tai heille maksetaan palkkioita.

Tietoja ei luovuteta EU:n ja ETA:n ulkopuolelle seuraavia poikkeuksia lukuun ottamatta:

  1. Mailchimp-uutiskirjejärjestelmä, jossa ylläpidetään jäsenistön sähköpostiosoitelistoja. Yhtiön palvelimet sijaitsevat osittain EU/ETA-alueen ulkopuolella, mutta tiedonsiirron turvallisuus on sertifioitu GDPR-säännösten mukaiseksi (https://mailchimp.com/help/mailchimp-european-data-transfers/).

Edunvalvontaan liittyvä jäsentietojen käsittely

Suomen Fysioterapeutit käsittelee jäsentensä edunvalvontaan liittyvissä tilanteissa jäsentietoja lähinnä silloin, kun jäsenelle annettaan henkilökohtaista neuvontaa ja juridisia palveluita.

Edunvalvontaan liittyvä yhteydenpito sisältää yleensä henkilötietoja ja/tai muita luottamuksellisia tietoja. Tällainen viestintä ohjataan Suomen Turvaposti Oy:n suojattuun sähköpostiin. Kopiot käydyistä keskusteluista tallennetaan Sharepoint-pilvipalvelussa olevaan kansioon, jonka pääsyoikeudet on rajattu vain niille liiton toimihenkilöille, joilla on työtehtäviensä ja asemansa puolesta siihen perusteltu oikeutus. Mikäli henkilölle tarjotaan liiton kautta juridisia palveluita, henkilön tietoja voidaan luovuttaa liiton kanssa sopimussuhteessa olevalle lakiasiain toimistolle niiltä osin, kuin se asian hoitamiseksi on tarpeellista. Yhteydenotot juristiin tapahtuvat aina liiton kehittämisasiantuntijoiden välityksellä. Asiaa hoitava kehittämisasiantuntija saa tiedokseen myös jäsenen ja juristin välisen yhteydenpidon ja tallentaa sen tarpeellisilta osin edunvalvonnan Sharepoint-kansioon.

Jäsentietoja voidaan lisäksi pyynnöstä luovuttaa paikallisille luottamusmiehille heidän edustettavistaan (edustettavien määrät ja nimet). Tällainen tietojen luovutus tapahtuu aina Suomen Turvaposti Oy:n salatun sähköpostin välityksellä.

Koulutuksiin ja tapahtumiin liittyvä henkilötietojen käsittely

Suomen Fysioterapeutit järjestää koulutusta pääsääntöisesti omille jäsenilleen. Yksittäisissä koulutuksissa ja tilaisuuksissa on myös ulkopuolisia osanottajia. Koulutusten ilmoittautumisiin liittyvä henkilötietojen kerääminen tehdään Eventio-lipunmyyntijärjestelmällä ja joskus myös Questback-kyselytyökalulla. Tietoina kerätään osallistujan nimi ja yhteystiedot sekä maksajan tiedot (jos muu kuin osallistuja itse, esim. työnantaja). Tarvittaessa voidaan kerätä myös koulutuksen sisältöön liittyviä tarkentavia tietoja.

Sekä Eventioon että Questbackiin kerätyt henkilötiedot ladataan Suomen Fysioterapeuttien toimihenkilöiden henkilökohtaisille tietokoneille, jossa niitä käsitellään esimerkiksi Excel-taulukoina. Osittain tietoja tallennetaan myös liiton yhteiseen Sharepoint-pilvipalveluun, johon vain liiton toimihenkilöillä on pääsy Microsoft-tiliensä kautta. Myös Microsoft on sitoutunut täyttämään pilvipalveluissaan tietosuojavaatimukset.

Mahdollinen koulutuksiin liittyvä henkilötietoja sisältävä manuaalinen aineisto säilytetään lukittujen kulkuyhteyksien takana asiasta vastaavien liiton toimihenkilöiden toimesta. Tietoja säilytetään kulloinkin kyseessä olevan koulutuksen kannalta tarkoituksenmukaisen ajan.

Verkostoihin ja luottamustoimiin liittyvä henkilötietojen käsittely

Suomen Fysioterapeuttien organisaatiossa ylintä päätäntävaltaa käyttää liiton edustajisto. Sen alaisuudessa toimivat liiton hallitus ja työvaliokunta. Näihin toimielimiin kuuluvat henkilöt ovat kaikki liiton jäseniä, joten heidän tietojaan käsitellään jäsenrekisterissä yllä kuvattujen periaatteiden mukaisesti.

Suomen Fysioterapeutit ylläpitää myös toimintaansa liittyviä verkostoja. Verkostojen nimilistoja ja yhteystietoja säilyttävät ja ylläpitävät liiton toimihenkilöt ja ne tallennetaan Sharepoint-pilvipalveluun (ks. edellä). Tietoja säilytetään niin kauan, kun henkilön on ko. verkoston jäsen.

Verkostojen tai luottamushenkilöiden tietoja ei luovuteta kolmansille osapuolille.

Viestintään ja Fysioterapia-lehteen liittyvä henkilötietojen käsittely

Fysioterapia-lehti on Suomen Fysioterapeuttien kustantama järjestölehti. Se on jäsenetu, joka postitetaan automaattisesti kaikille liiton jäsenrekisterissä oleville aktiivisille jäsenille. Tämän lisäksi lehdellä on ulkopuolisia tilaajia, joista suurin osa on organisaatioita. Tilaajissa on myös joitain yksityishenkilöitä. Tilaajilta kerätään nimi ja yhteystiedot sekä maksajan nimi ja yhteystiedot (jos eri kuin tilaaja).

Fysioterapia-lehden tilaajarekisteriä ylläpidetään liiton jäsenrekisterin yhteydessä. Lehti tilataan ottamalla yhteyttä liiton toimistoon ja tämän jälkeen tilaajan tietoja käsitellään samojen periaatteiden mukaisesti, kuin yllä on esitetty jäsentietojen peruskäsittelystä.

Lehden postitus tapahtuu painotalo PunaMusta Oy:n toimesta. Jäsenten ja tilaajien osoitetiedot luovutetaan painolle jokaisen numeron yhteydessä suoraan jäsenrekisterijärjestelmästä suojatulla sähköpostilla. Lehti on jäsenten luettavana myös sähköisesti PunaMusta Oy:n Lukusali-palvelussa. Palveluun kirjaudutaan omalla nimellä ja jäsennumerolla. Tätä varten jäsenten nimi- ja jäsennumerotiedot sisältävä tiedosto toimitetaan sftp-yhteydellä lehtipalvelimelle kerran vuorokaudessa. PunaMusta Oy on Suomen Fysioterapeuttien sopimuskumppani, joka on sitoutunut noudattamaan toiminnassaan tietosuojasäädöksiä.

Fysioterapia-lehden lisäksi liiton jäsenviestinnän kanavana käytetään sähköpostitse lähetettävää uutiskirjettä. Tätä varten jäsenten sähköpostiosoitteet siirretään liiton viestinnästä vastaavien toimihenkilöiden toimesta jäsenrekisteristä MailChimp-verkkopalveluun. MailChimp on yhdysvaltalaisen The Rocket Science Group, LLC:n omistama palvelu. The Rocket Science Group on sitoutunut pitämään järjestelmänsä tietosuojavaatimusten mukaisena (ks. mm. https://mailchimp.com/help/mailchimp-european-data-transfers/).

Fysioterapia-lehden sisältö tuotetaan suurelta osin ulkopuolisten kirjoittajien avustuksella. Heille maksetaan tekemästään työstä palkkioita. Palkkioiden maksutiedot kerätään liiton viestinnän asiantuntijan toimesta joko postitse tai suojatun sähköpostin välityksellä. Palkkioiden maksua varten kerätään seuraavat tiedot:

  1. Nimi
  2. Osoite
  3. Verotuskunta
  4. Pankki ja tilinumero
  5. Kopio sivutuloverokortista

Palkkioiden maksatuksesta vastaa Lightning Accounting Oy. Maksutiedot kerätään manuaalisiksi aineistoiksi, jotka säilytetään lehden päätoimittajan huoneessa lukittujen kulkuyhteyksien takana. Päätoimittaja lähettää maksutiedot tilitoimistoon skannattuina Suomen Turvaposti Oy:n suojatun sähköpostin välityksellä.

Organisatoriset turvatoimet henkilötietojen käsittelyssä

Suomen Fysioterapeutit huolehtii aktiivisesti siitä, että sen toimihenkilöt ja kaikki muut henkilötietojen käsittelyyn osallistuvat tahot ovat hyvin perillä tietosuojaan ja henkilötietojen käsittelyyn liittyvistä periaatteista ja lainsäädännöstä. Tarvittaessa järjestetään asiaan liittyvää koulutusta.

Kevään 2018 aikana kaikki toimihenkilöt ovat osaltaan kartoittaneet käsittelemiensä henkilötietojen keräämiseen, käsittelyyn ja säilyttämiseen liittyvät toimintamallit, jotta ne olisivat mahdollisimman aukottomasti hyvää tietojenkäsittelytapaa noudattavia.

Henkilötietojen käsittelyssä perusperiaatteena on se, että tietoihin pääsevät käsiksi vain sellaiset henkilöt, joilla on siihen tehtäviensä hoitamiseksi perusteltu tarve. Tämä varmistetaan eri järjestelmien käyttöoikeuksien hallinnalla. Jäsenrekisterijärjestelmän osalta käyttöoikeuksien hallinta tapahtuu Futunio Oy:n toimesta. Käyttöoikeusasioiden yhteyshenkilö Suomen Fysioterapeuteissa on jäsensihteeri puheenjohtajan valtuutuksella. Microsoft Office 365 -järjestelmään (jonka alla mm. Sharepoint toimii) liittyvien käyttöoikeuksien hallinnasta vastaa liiton viestinnän asiantuntija puheenjohtajan valtuutuksella.

Informointikäytännöt

Suomen Fysioterapeuttien henkilötietojen käsittelyn periaatteet on kuvattu tässä selosteessa, joka on ladattavissa liiton kotisivuilta www.suomenfysioterapeutit.fi. Seloste annetaan jäsenille tiedoksi ja hyväksyttäväksi jo liittymisvaiheessa osana jäsenhakemuslomaketta.

Toiminta tietoturvaloukkaustilanteissa

Tietosuojavaltuutetun määritelmän mukaan ”henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta”. Suomen Fysioterapeutit on laatinut seuraavan ohjeen toiminnasta tietoturvaloukkaustilanteissa:

  1. Arvioidaan riskitaso
    Riskitaso riippuu siitä, minkälaisesta loukkauksesta on ollut kyse ja mitä tietosisältöä siihen liittyy. Tapauskohtaisesti arvioidaan, minkälaisen riskin tietojen joutuminen vääriin käsiin voi aiheuttaa henkilölle, jonka tiedoista on kysymys. Välttämättä riskiä ei aiheudu lainkaan, se voi olla kohtalaista tai riski voi olla suuri. Todettu riskitaso määrittää loukkausta seuraavat toimenpiteet.
  2. Ilmoitus valvontaviranomaiselle
    Henkilötietojen tietoturvaloukkauksesta on aina ilmoitettava valvontaviranomaiselle, joka Suomessa on Tietosuojavaltuutetun toimisto. Ilmoitus on tehtävä mahdollisimman pikaisesti loukkauksen havaitsemisen jälkeen, mielellään 72 tunnin sisällä. Mikäli ilmoitusta ei ole tehty 72 tunnin kuluessa, viivästyksen syy on raportoitava valvontaviranomaiselle. Ilmoituksen voi tehdä sähköisellä lomakkeella: https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta
  3. Ilmoitus rekisteröidylle itselleen
    Mikäli tietoturvaloukkauksesta todetaan aiheutuvan korkea riski sen kohteena olevalle henkilölle, loukkauksesta on informoitava myös häntä itseään. Tarkemmat ohjeet ilmoituksen sisällöstä ja niistä tilanteista, joissa ilmoitusta ei tarvita, löytyvät Tietosuojavaltuutetulta: https://tietosuoja.fi/tietoturvaloukkaukset
  4. Dokumentoidaan tapahtunut loukkaus ja siitä seuranneet toimenpiteet
    Riippumatta siitä, minkälaisen riskin tapahtunut tietoturvaloukkaus on aiheuttanut, kaikki tapaukset ja niitä seuranneet toimenpiteet dokumentoidaan.
  5. Omien järjestelmien ja käytäntöjen uudelleenarviointi
    Jos tietoturvaloukkaus pääsee tapahtumaan, Suomen Fysioterapeutit tarkastaa omat järjestelmänsä ja käytäntönsä niin, että vastaava ei pääse enää toistumaan.