EU:n yleinen tietosuoja-asetus eli GDPR velvoittaa yrityksiä laatimaan selosteen käsittelytoimista, joka on tarkoitettu organisaation sisäiseen käyttöön. Selosteessa kerrotaan, mm. mitä henkilötietoja kerätään ja mihin tarkoituksiin, kenelle henkilötietoja voidaan luovuttaa ja millainen on niiden tietosuoja. Tietosuoja-asetuksen mukaan selosteen on oltava kirjallinen myös silloin, kun seloste on sähköinen.
Kannattaa huomata, että seloste käsittelytoimista eroaa tietosuojaselosteesta. Se on asiakirja, joka sisältää tietoa rekisteröidyn oikeuksista henkilötietojen käsittelyssä.
GDPR asettaa lisäksi vaatimuksia sille, mitä selosteen tulee pitää sisällään. Alla käydään hieman läpi selosteeseen liittyviä vaatimuksia.
Miksi seloste käsittelytoimista tulee laatia?
Seloste on organisaation sisäinen asiakirja, jonka tarkoitus on osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Se on hyvä väline myös tietosuoja-asetuksesta tulevan osoitusvelvollisuuden täyttämiseksi, jonka mukaan organisaation on pystyttävä osoittamaan noudattavansa tietosuojalainsäädäntöä.
Kenen on ylläpidettävä selostetta käsittelytoimista?
EU:n yleinen tietosuoja-asetus eli GDPR vaatii rekisterinpitäjää tai henkilötietojen käsittelijää tekemään selosteen käsittelytoimista jos:
- organisaatiossa on yli 250 työntekijää
Tai:
- henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille; tai
- henkilötietojen käsittely ei ole satunnaista; tai
- käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.
Mitä rekisterinpitäjän selosteen tulee sisältää?
Selosteesta tulee käydä ilmi rekisteröitävästä kerättävät ja käsiteltävät tiedot yleisen tietosuoja-asetuksen mukaisesti. Selosteesta tulee löytyä ainakin seuraavat tiedot:
- Rekisterinpitäjä ja tietosuojavastaava
- Käsittelyn tarkoitukset
- Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
- Ryhmät, joille henkilötietoja on luovutettu tai luovutetaan
- Tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle
- Tietojen säilytysajat tai säilytysaikojen määräytymisen kriteerit
- Kuvaus teknisistä ja organisatorisista turvatoimista
Mitä henkilötietojen käsittelijän selosteen tulee sisältää?
- Henkilötietojen käsittelijä ja tietosuojavastaava
- Käsittelyn ryhmät
- Tieto siirretäänkö henkilötietoja kolmansiin maihin tai kansainvälisille järjestöille
- Kuvaus teknisistä ja organisatorisista turvatoimista
Tarkemman kuvauksen selosteiden sisällöstä löydät EU:n yleisestä tietosuoja-asetuksesta.
Mihin käyttötarkoitukseen tietoja voidaan kerätä?
Selosteessa täytyy kertoa, mitä varten tietoja kerätään. Jotta tietojen kerääminen on laillista, käyttötarkoituksen tulee perustua johonkin kuudesta yleisessä tietosuoja-asetuksesta löytyvästä oikeusperusteesta. Käsittelyn oikeusperusteita ovat sopimuksen täytäntöönpano, rekisteröidyn suostumus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleinen etu tai julkinen valta ja oikeutettu etu.
Milloin seloste pitää päivittää?
Selosteen on vastattava henkilötietojen käsittelyn nykytilaa ja sen päivittäminen on rekisterinpitäjän vastuulla. Seloste pitää päivittää, kun henkilötietojen käsittelyyn tulee muutoksia. Esimerkiksi silloin, kun tietojen keräämiselle tulee uusi käyttötarkoitus tai organisaatio alkaa keräämään uutta tietoa rekisteröidyistä.
Selosteen päivittämisestä ei tarvitse ilmoittaa jokaiselle rekisteröidylle henkilökohtaisesti, vaan verkkosivuilla julkaistu ilmoitus tai selosteen ohessa näkyvä päivityksen viimeisin ajankohta riittää.
Azetsin yritysjuridiikan asiantuntijat voivat auttaa sinua laatimaan oikeanlaisen selosteen. Ota yhteyttä alla olevalla lomakkeella tai tutustu lähemmin lakipalveluidemme tarjontaan.
