Hyvän mielen pelit ry kerää henkilötietoja jäsenistään jäsenrekisteriä varten. Perustana tietojen keräämiselle on yhdistyksen jäsenyys, eli kun henkilö liittyy yhdistyksen jäseneksi, hänen on annettava riittävät tiedot itsestään yhdistykselle. Näitä tietoja ovat:
Poikkeuksena ovat pienkannatusjäsenet, joista kerätään ainoastaan seuraavat tiedot:
Lisäksi yhdistys kerää tietoa tapahtumiin osallistujista saatujen tukien raportointia varten. Näitä tietoja ovat osallistujamäärä sekä osallistujien nimet. Perusteena tietojen keräämiselle on oikeutettu etu, eli yhdistyksen raportointivelvollisuus käytetyistä tuista ja saavutetuista tuloksista.
Yhdistys myös kerää työharjoittelijoilta lääkärintodistuksia (jotka sisältävät terveystietoa), mikäli työharjoittelija on ollut sairaana työharjoittelun aikana. Perusteena lääkärintodistuksien keräämiselle on laki ja sopimus, eli työnantajalla on oikeus tietää, millä syyllä työharjoittelija on ollut poissa töistä ja miten pitkän sairasloman lääkäri on määrännyt.
Yhdistys kerää myös tietoa vierailuista yhdistyksen ylläpitämillä verkkosivuilla (hyvanmielenpelit.fi, dwarfcampaign.com, gnollcampaign.com). Tiedon keräävät Google Analytics ja Cloudflare. Ne eivät sisällä tietoa, jolla voisi yksilöidä käyttäjiä.
Lisäksi yhdistyksellä on käytössään kolme Facebook-sivua (www.facebook.com/hyvanmielenpelit, www.facebook.com/dwarfcampaign, www.facebook.com/gnollcampaign). Facebook kerää tietoja näillä sivuilla käyneistä henkilöistä ja heidän toimistaan niillä.
Lisäksi yhdistys on tallettanut verkkosivuilleen tiedon eri tuotoksien tekijöistä, esimerkiksi ohjelmiston kehittäjistä, mikäli he ovat antaneet suostumuksensa tähän. Syynä tallennukseen on se, että tuotokset toimivat osana tekijöiden CV:tä, ja siten niistä on hyvä näkyä, mitä kukin on tuotosta varten tehnyt.
Yhdistyksen verkkosivuilla näkyvät myös tiedot siitä, mitä kirjoja kukin yhdistyksen jäsen on lainannut. Tätä tietoa tarvitaan seuraamaan sitä, kenen hallussa yhdistyksen eri kirjat ovat.
Yhdistys tallentaa jäsenrekisterin henkilötiedot Googlen Tiimin Driveen Excel-taulukkoon.
Lisäksi tiedot lähetetään Mielenterveyden keskusliiton (MTKL) Kilta-rekisteriin. Syynä tietojen lähettämiselle MTKL:ään on se, että MTKL:n tulee tietää jäsenyhdistyksiensä jäsenet esimerkiksi jäsenkortin ja Revanssi-lehden lähettämistä varten.
Lisäksi jäsenrekisterin tiedot tallennetaan taloushallinto-ohjelmistoon, jotta jäsenille voidaan lähettää liittymis- ja vuosimaksut.
Lääkärintodistukset on tallennettu Googlen Tiimin Driveen (jos ne ovat lähetetty valokuvina) tai yhdistyksen arkistoon, joka on puheenjohtajan kotona (jos ne ovat paperisia).
Tieto tapahtumiin osallistujista on tallennettu Googlen Tiimin Driveen.
Google Analytics, Cloudflare ja Facebook keräävät tietonsa omiin systeemeihinsä.
Yhdistyksen verkkosivuilla oleva tieto on tallennettu Umbraco-sisällönhallintajärjestelmään.
Hallituksen jäsenillä on pääsy Googlen Tiimin Driveen ja sitä kautta jäsenrekisteriin ja tietoon tapahtumiin osallistujista. Googlen Tiimin Drivestä näkyy myös, ketkä ovat päivittäneet siellä olevia tiedostoja.
Hallituksen puheenjohtajalla ja rahastonhoitajalla on pääsy taloushallinto-ohjelmistoon. Lisäksi kirjanpitäjällä on pääsy taloushallinto-ohjelmistoon.
Hallituksen jäsenillä on oikeus tutkia yhdistyksen arkistoa ja sinne talletettuja lääkärintodistuksia.
Hallituksen puheenjohtajalla ja rahastonhoitajalla on pääsy Google Analyticsiin ja Cloudflareen.
Hallituksen puheenjohtajalla ja rahastonhoitajalla on pääsy Facebookissa oleviin tietoihin.
Hallituksella on pääsy yhdistyksen Umbraco-sisällönhallintaohjelmistoon.
Yhdistys käyttää jäsenrekisterinsä tietoja seuraavasti:
Tieto tapahtumiin osallistumisesta käytetään raportoitaessa eri tukia tuenantajille, esimerkiksi MTKL:lle. Raportoinnissa pyritään siihen, että ihmisten nimiä ei mainita vaan ainoastaan osallistujamäärät, ellei tuenantaja toisin vaadi.
Lääkärintodistuksia käytetään seuraamaan työharjoittelijoiden sairauspoissaoloja ja niiden oikeutusta (eli asianmukaista lääkärinlausuntoa työkyvyttömyydestä).
Google Analyticsin ja Cloudflaren sisältämää tietoa käytetään seuraamaan mm. verkkosivujen vierailijamääriä, kaistan käyttöä sekä vierailijoiden alkuperämaita.
Facebookissa olevia tietoja käytetään seuraamaan ilmottautumisia yhdistyksen tapahtumiin sekä Facebook-sivujen vierailijoita ja heidän toimiaan sivuilla. Facebookissa kaikki tieto on yksilöllistä, eli henkilöiden kaikki toimet voidaan tunnistaa ja yhdistää heihin. Liittyessään Facebookiin henkilöt ovat suostuneet tähän.
Tietoa tuotosten tekijöistä käytetään raportoinnin ja jäsenten CV:eiden teon yhteydessä.
Tietoa kirjojen lainaajista käytetään seuraamaan sitä, kenen hallussa yhdistyksen kirjat ovat.
Yhdistys poistaa vanhojen jäsenten tiedot jäsenrekisteristä viimeistään kolmen (3) vuoden kuluttua jäsenyyden loppumisesta. Syynä tietojen säilyttämiselle on raportointivastuu, eli vanhojakin tietoja voidaan joissain tapauksissa joutua käyttämään raportteja varten. Kun tietoja ei enää tarvita raportteja varten, ne voidaan poistaa.
Google Analyticsin sisältämät tiedot vanhenevat 26 kk kuluessa.
Tilinpäätöksissä ja taloushallinto-ohjelmistossa henkilötiedot säilytetään 10 vuotta, mikä on lain vaatima minimiaika.
Jäsenrekisteriin merkityillä jäsenillä on oikeus tarkistaa, mitä tietoja yhdistys on laittanut hänestä jäsenrekisteriin (eli käytännössä samat tiedot kuin mitä hän on ilmoittanut liittyessään jäseneksi). Tarkistuksen voi tehdä esimerkiksi soittamalla puhelimella hallituksen puheenjohtajalle.
Lisäksi yhdistyksen jäsenillä on oikeus poistaa itsensä tuotosten tekijöistä niin tahtoessaan. Kuitenkaan lukumäärätietoa eri tuotosten tekijöistä ei voida poistaa, koska sitä voidaan tarvita raportoinnissa.
Hallituksen puheenjohtaja raportoi tietoturvaloukkauksista viranomaisille 72 h kuluessa loukkauksen havaitsemisesta ja vakavissa tapauksissa myös asianomaisille.