Membra ja GDPR

Mitä sinun tulee tietää Membran käyttäjänä?

Sinä ja organisaatiosi toimitte rekisterinpitäjinä kerätessänne ja käsitellessänne tietoja (fyysisistä) henkilöistä. Membra on tekninen alusta, joka auttaa teitä käsittelemään tietoja tarkoitusperienne mukaisesti.

Täten teidän tulee tehdä selväksi jäsenille miksi te haluatte kerätä henkilötietoja, ja mihin tarkoitukseen niitä käytetään.

Tämän toteutatte laatimalla rekisterikuvauksen (lisätietoja Tietosuojavaltuutetun sivuilta), jossa ilmoitatte esimerkiksi kuka vastaa tietojen keräämisestä, sekä miksi ja miten tietoja kerätään ja käsitellään. Rekisterikuvauksen tulee olla saatavilla jäsenien tarkasteltavaksi. Helpoiten mahdollistatte tämän julkaisemalla rekisterikuvauksen verkkosivuillanne tai lähettämällä sen rekisteröidyillenne.

Teidän tulee esimerkiksi ilmoittaa, mikäli jostain syystä luovutatte keräämiänne henkilötietoja jollekin toiselle osapuolelle markkinointi- tai jossain muussa tarkoituksessa. Teidän tulee myös kertoa, kuinka kauan säilytätte tietoja, ja kuinka rekisteröity voi tarkastella ja mahdollisesti muuttaa tietojaan.

Vastaatte toisin sanoen siitä, että:

  • Teillä on oikeus kerätä kyseisiä tietoja ja että oikeus on perusteltu (esim. sopimuksen mukaista laskutusta varten).
  • Keräätte sellaisia tietoja, jotka ovat tarpeen. Ei sitä enemmän, eikä vähemmän.
  • Teillä on korrektit tiedot rekisteröidystä ja poistatte sellaiset henkilötiedot, jotka eivät enää ole tarpeen.
  • Voitte todistaa rekisteröidylle oikeutenne säilyttää henkilötietoja, sekä esittää mitä tietoja henkilöstä teillä on rekisterissä.
  • Käsittelette henkilötietoja asianmukaisesti ja suojatusti.

Rekisterinpitäjänä olette vastuussa uuden tietosuoja-asetuksen ja sen sisällön tuntemisesta. Asetuksen koskiessa kaikkia EU-maita ja niiden kansalaisia, löytyy netistä valtava määrä tietoa sekä suomen-, ruotsin-, että englanninkielellä. Kannattaa siis pitää itsensä ajan tasalla.

Tietosuojavaltuutetun sivuilta löytyy lisäluettavaa

Säännöt ja suositukset voivat osittain riippua edustamastanne toimialasta. Suosittelemme olemaan yhteydessä lakimieheenne tai toimialaliittoonne saadaksenne tarkempaa ohjausta juuri teidän tilanteeseenne. Joidenkin organisaatioiden tulee suorittaa riskiarviointeja ja nimittää henkilötietoasiamies (DPO), mikäli tietojen kerääminen on laaja-alaista tai koskee tiettyjä alueita, joiden arvioidaan olevan arkaluontoisia (esim. terveys- ja sairaanhoito).

Tässä helppo muistilista päästäksesi eteenpäin

GDPR muistilista

Mitä muita ohjelmia ja palveluja käytätte?

On myös tärkeää, että organisaatiosi dokumentoi mitä eri tyyppisiä järjestelmiä, ohjelmia ja prosesseja käytätte henkilötietojen keräämiseen ja käsittelemiseen.

Membran yleisistä käyttöehdoista voit lukea vastuun jakautumisesta koskien henkilötietojen käsittelyä, kun käytätte Membran palveluita.

Käyttäessänne muita ohjelmistotoimittajia henkilötietojen käsittelemiseen tai tallentamiseen, tulee teidän laatia tietojenkäsittelysopimus heidän kanssaan varmistaaksenne, että toimittaja noudattaa tietosuoja-asetusta ja teidän ohjeistustanne.

Palaute