Seuraa meitä: Facebookissa LinkedIn:ssä Twitterissä EnglishSuomi

EU:n tietosuojauudistus – tietosuojavaltuutetulta uusia ohjeita koskien selostetta käsittelytoimista!

10.04.2018

Euroopan unionin ja siinä samalla Suomen tietosuojasääntely uudistuu merkittävästi, kun EU:n yleistä tietosuoja-asetusta aletaan ensi kuussa 25.5.2018 soveltamaan. Uudistuksen tarkoituksena on lisätä avoimuutta koskien henkilötietojen käsittelyä ja näin vahvistaa rekisteröidyn oikeuksia, mutta samalla henkilötietoja käsittelevien yritysten sekä rekisterinpitäjien velvollisuudet tiukentuvat. EU:n yleisen tietosuoja-asetuksen yhtenä keskeisenä vaatimuksena on, että organisaatiot laativat kirjallisen kuvauksen niiden toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista. Tietosuojavaltuutetun toimisto on julkaissut mallin siitä, millä tavalla selosteen käsittelytoimista voi toteuttaa.

Ketä koskee?

Rekisterinpitäjän, tarvittaessa tämän edustajan sekä henkilötietojen käsittelijän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Velvollisuus laatia seloste käsittelytoimista koskee kaikkia yli 250 työntekijän organisaatioita. Tätä pienemmän organisaation on laadittava seloste, jos organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille, henkilötietojen käsittely organisaatiossa ei ole satunnaista tai organisaatiossa käsitellään erityisiin tietoryhmiin kuuluvia tietoja.

Mitä tietoja selosteessa tulisi olla?

Rekisterinpitäjälle ja henkilötietojen käsittelijälle on julkaistu hieman erilaiset mallipohjat. Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi. Rekisterinpitäjän laatimassa selosteessa on oltava:

1.     Tiedot rekisterinpitäjästä ja tietosuojavastaavasta

Selosteessa tulee kertoa rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, mahdollisen rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot. Tietosuojavastaavan nimeämistä suositellaan myös niissä tapauksissa, milloin asetus ei sitä velvoita.

2.     Kuvaus käsittelyn tarkoituksesta

Selosteessa tulee kuvata erikseen kaikki käyttötarkoitukset tiedoille, joita organisaatio ryhtyy toiminnassaan käsittelemään.  Sen voi toteuttaa kertomalla, minkä rekisterinpitäjälle kuuluvan tehtävän hoitamiseksi tietoja käsitellään. Käyttötarkoitus tulee kuvata yksityiskohtaisesti. Selosteessa on hyvä kuvata myös, mihin tietosuoja-asetuksen mukaiseen käsittelyperusteeseen tietojen käsittely perustuu.

3.     Kuvaus rekisteröityjen ryhmästä ja henkilötietoryhmistä

Selosteessa tulee kuvata, keitä rekisteröidyt, eli luonnolliset henkilöt joita koskevia henkilötietoja käsitellään, ovat ja minkälaisia tietoja heistä käsitellään.

4.     Tiedot ryhmistä, joille henkilötietoja on luovutettu tai luovutetaan

Selosteessa tulee kuvata eri vastaanottajaryhmät niin täsmällisesti kuin mahdollista, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat. Vastaanottajalla tarkoitetaan luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja. Myös vastaanottajalla tulee olla lainmukainen peruste henkilötietojen käsittelylle.

5.     Tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle

Selosteessa tulee ilmetä, mikäli tietoja siirretään kolmansiin maihin tai kansainväliselle järjestölle. Jos tietoja siirretään, tulee kertoa mihin maihin ja mille järjestöille. Selosteessa ilmaistaan niin ikään se tietosuoja-asetuksen kohta ja vastaava mekanismi, joka mahdollistaa tietojen siirron.

6.     Tietojen säilytysajat

Selosteessa tulee kuvata eri tietoryhmien suunnitellut poistamisen määräajat tai ne kriteerit, joilla tietojen säilyttämisajat määritellään. Säilytysajat liittyvät tietojen minimoinnin sekä säilytyksen rajoittamisen periaatteisiin. Tietojen säilytysaika tai sen määrittämiskriteerit voivat johtua esimerkiksi laissa säädetyistä säilytysajoista tai toimialojen käytännesäännöistä. Määritellyn säilytysajan perusteella on pystyttävä arvioimaan, kuinka kauan rekisteröityä koskevia tietoja käsitellään. Jos eri henkilötietoryhmillä tai eri tarkoituksiin käsiteltävillä tiedoilla on erilaiset säilytysajat, tulee ne kuvata erikseen.

7.     Kuvaus teknisistä ja organisatorisista turvatoimista

Selosteessa tulee kertoa esimerkiksi millä tavoilla tiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla käyttöä valvotaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen.

Henkilötietojen käsittelijän laatimassa selosteessa on oltava käytännössä samat tiedot kuin rekisterinpitäjän selosteessa, mutta seuraavin poikkeuksin: Henkilötietojen käsittelijän ja tarvittaessa tämän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista. Selosteessa tulee kertoa käsittelijän, mahdollisen käsittelijän edustajan sekä tietosuojavastaavan nimi ja yhteystiedot sekä ilmaista niin ikään ne rekisterinpitäjät sekä mahdolliset rekisterinpitäjän edustajat, joiden lukuun henkilötietojen käsittelijä toimii. Selosteessa tulee myös kuvata, minkä tyyppistä käsittelyä organisaatiossa toteutetaan rekisterinpitäjien lukuun. Käsittelyn ryhmät tulee kuvata kunkin rekisterinpitäjän osalta erikseen.

Seloste organisaation omaan käyttöön

Käsittelytoimia koskeva seloste on organisaation sisäinen asiakirja, joka toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen. Selosteen käsittelytoimista avulla, voi henkilötietojen käsittelijä tai rekisterinpitäjä osoittaa, että hänen vastuullaan olevat käsittelytoimet on tehty asetuksen mukaisesti. Valvontaviranomainen voi tarvittaessa arvioida tietojenkäsittelytoimien lainmukaisuutta selosteen pohjalta ja tämän takia seloste on myös olennainen osa organisaation osoitusvelvollisuuden toteuttamista.

Henkilötietojen käsittelyn tulee olla järjestetty kaikissa yrityksissä yleisen tietosuoja-asetuksen mukaisella tavalla toukokuussa 2018. Siirtymäaika tietosuoja-asetuksen soveltamiseen alkaa siis olla lopuillaan. Nyt viimeistään on korkea aika reagoida ja selvittää, mitä tietosuoja-asetus yrityksenne kohdalla tarkoittaa.

Ernst & Young Oy:n (EY) asiantuntijat antavat mielellään lisätietoja ja auttavat yritystänne tietosuojaa koskevissa asioissa. 

      

Kirsi Putkonen
Partner, VT

Noora Ervasti
Associate Legal Counsel,
OTM, KTM

Jari Piittinen
Legal Intern, insinööri (AMK)                   

                  

 

Jaa: