Informointikäytännöt

Kaikkien rekisterinpitäjien on tarkistettava informointikäytäntönsä ja päivitettävä ne vastaamaan tietosuoja-asetuksen vaatimuksia 25.5.2018 mennessä.

Tietosuojavaltuutetun toimisto kannustaa toimialoja luomaan yhteisiä informointikäytäntöjä esimerkiksi osana käytännesääntötyötä.

Tämä ohje perustuu tietosuojatyöryhmä WP29:n ohjeeseen läpinäkyvyydestä (pdf, 1.12 Mt). Siinä on annettu yksityiskohtaisempia ohjeita ja esimerkkejä läpinäkyvästä informoinnista.

Tätä ohjetta täydennetään ja päivitetään tarpeen mukaan.

Miten tietosuoja-asetus muuttaa informointikäytäntöjä suhteessa henkilötietolakiin?

Mistä liikkeelle?

Mitä tietoja informointivelvoite edellyttää?

Miten tietosuoja-asetus muuttaa informointikäytäntöjä suhteessa henkilötietolakiin?

Tietosuoja-asetuksessa säädetty informointivelvoite poikkeaa tietyiltä osin henkilötietolain 10 §:n vaatimuksesta laatia ja julkaista rekisteriseloste ja 24 §:n informointivelvoitteesta. Keskeisimmät muutokset on kuvattu alla.

Rekisteriseloste

Tietosuoja-asetuksessa ei säädetä rekisteriselosteesta. Henkilötietolain mukainen rekisteriseloste on laadittu henkilörekisterikohtaisesti. Henkilötietolaissa henkilörekisterillä tarkoitetaan kaikkia samaan käyttötarkoitukseen käsiteltäviä henkilötietoja riippumatta siitä, missä tietojärjestelmissä tietoja käsitellään tai käsitelläänkö osaa tiedoista manuaalisesti (esim. asiakasrekisteri, työntekijärekisteri, suoramarkkinointirekisteri).

Henkilötietolain nojalla rekisterinpitäjä on käytännössä voinut toteuttaa informointivelvoitetta laatimalla tietosuojaselosteen. Se on asiakirja, joka yhdistää henkilötietolain 24 §:ssä säädetyn informointivelvoitteen edellyttämät tiedot ja henkilötietolain 10 §:n mukaisen rekisteriselosteen edellyttämät tiedot.

Jos rekisterinpitäjä suunnittelee myös jatkossa käyttävänsä käyttötarkoituksen perusteella ryhmiteltyjä selosteita, on tärkeää arvioida, miten menettelytapa täyttää tietosuoja-asetuksen vaatimuksen toimittaa rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Erityisesti on arvioitava, saako rekisteröity näin helposti ja yksiselitteisesti kokonaiskuvan henkilötietojensa käsittelystä silloin, kun henkilötietoja käsitellään useampaan kuin yhteen tarkoitukseen.

Informaation ymmärrettävyys

Tietosuoja-asetuksessa velvoitetaan rekisterinpitäjiä arvioimaan myös, onko heidän antamansa informaatio kielen ja johdonmukaisuuden kannalta ymmärrettävää. Arvio tulisi tehdä potentiaalisen kohderyhmän kannalta. Tarkoituksena on, että kohderyhmään kuuluva keskivertohenkilö saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.

Ei riitä, että henkilötietojen käsittelyä koskevat tiedot ovat rekisteröidyn saatavilla, vaan tiedot on tarjottava rekisteröidylle ymmärrettävässä, tiiviissä ja selkeässä muodossa.

Tietosisältö

Toisin kuin henkilötietolaissa, tietosuoja-asetuksessa rekisteröidylle toimitettava tietosisältö on osittain riippuvainen siitä, kerätäänkö henkilötiedot rekisteröidyltä itseltään tai muualta.

Läpinäkyvyys

Läpinäkyvyyden periaatteesta säädetään osana lainmukaisen ja asianmukaisen käsittelyn periaatetta. Henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi, ja rekisterinpitäjän on pystyttävä osoittamaan, että näin on toimittu (osoitusvelvollisuus).

Mistä liikkeelle?

1. Kartoita henkilötietojen käsittelyn kokonaiskuva

Informointikäytännöt tulee päivittää osana tietosuoja-asetukseen valmistautumista. Sitä varten täytyy ensin kartoittaa ja dokumentoida kokonaiskuva henkilötietojen käsittelyn nykytilasta, mikä on osa osoitusvelvollisuuden toteuttamista. Työkaluna voi käyttää soveltuvin osin esimerkiksi tietosuojavaltuutetun toimiston julkaisemaa tietotilinpäätösopasta (pdf, 0.09 Mt).

Informoinnin kannalta olennaista on, että rekisterinpitäjällä on selkeä kuva tietosuoja-asetuksen 13 ja 14 artiklassa säädetyistä henkilötietojen käsittelyä koskevista seikoista: esimerkiksi kenen tietoja käsitellään, mihin tarkoituksiin ja millä perusteella, luovutetaanko tai siirretäänkö henkilötietoja organisaation ulkopuolelle ja kauanko niitä säilytetään.

Tietosuoja-asetuksen säännösten kannalta yhtä tärkeää kuin henkilötietojen käsittelyä koskevien tietojen toimittaminen rekisteröidylle on toimittamisen tapa sekä informoinnissa käytetty kieli.

Annettua informaatiota koskevat seuraavat kriteerit:

  • Tiedon on oltava tiivistä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla.
  • On käytettävä selkeää ja yksinkertaista kieltä. Tämä on erityisen tärkeää, kun informoidaan lapsia.
  • Tieto on annettava kirjallisesti ja tapauskohtaisesti sähköisessä muodossa. Jos rekisteröity pyytää, tiedot voidaan antaa myös suullisesti
  • Tiedot on annettava maksutta.

Henkilötietojen käsittelyä koskevan viestinnän läpinäkyvyyden kriteerit koskevat kaikkea rekisterinpitäjän ja rekisteröidyn välistä kommunikaatiota koko henkilötietojen käsittelyn elinkaaren ajan.

Kiinnitä erityistä huomiota käsittelyn tarkoituksen määrittämiseen. Rekisteröidyllä tulee olla selkeä käsitys siitä, mihin kaikkiin tarkoituksiin hänen henkilötietojaan käsitellään. Huomaa, että organisaatio voi käsitellä henkilötietoja useissa eri tarkoituksissa. Niitä voivat olla esimerkiksi rekrytointi, työsuhteen hallinta, markkinointi, asiakassuhteiden ja kumppanuuksien ylläpito sekä tapahtumat.

Osana riskiperusteista lähestymistapaa rekisterinpitäjän on myös arvioitava rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä. Informoinnin yhteydessä näistä riskeistä on kerrottava mahdollisimman objektiivisesti.

Jos organisaatiossa on laadittu nykyisen henkilötietolain mukainen rekisteriseloste, sitä voi käyttää pohjana informoinnin suunnittelussa. Huomaa kuitenkin, että henkilötietolain mukainen rekisteriseloste todennäköisesti ei vastaa tietosuoja-asetuksesta seuraavia vaatimuksia.

Jos organisaatiossa on osana henkilötietojen käsittelyn kokonaisarviointia laadittu tietosuoja-asetuksen 30 artiklassa tarkoitettu seloste käsittelytoimista, sitä on järkevää käyttää apuna informoinnin suunnittelussa.

2. Tunnista, mistä henkilötiedot hankitaan

Olennaista on tunnistaa, mistä tiedot hankitaan: rekisteröidyltä itseltään vai muualta. Jos henkilötiedot saadaan rekisteröidyltä itseltään, sovelletaan tietosuoja-asetuksen 12 ja 13 artiklaa. Jos henkilötiedot saadaan muualta, sovelletaan tietosuoja-asetuksen 12 ja 14 artiklaa.

Se, mistä henkilötiedot hankitaan, vaikuttaa informoinnin tietosisältöön, ajankohtaan ja rajoitusperusteisiin.

Vaikutus tietosisältöön

Rekisteröidylle toimitettava tietosisältö on osittain riippuvainen siitä, kerätäänkö henkilötiedot rekisteröidyltä itseltään tai muualta. Informoinnin tietosisältö on osittain riippuvainen myös käsittelyn oikeusperusteesta. Jos henkilötietoja esimerkiksi käsitellään rekisteröidyn suostumuksen perusteella, on rekisteröityä informoitava mahdollisuudesta peruuttaa annettu suostumus.

Vaikutus ajankohtaan

Jos henkilötiedot kerätään rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava käsittelyä koskeva informaatio rekisteröidylle silloin, kun tiedot kerätään.

Jos henkilötiedot kerätään muualta kuin rekisteröidyltä itseltään, tulee henkilötietojen käsittelyä koskevat tiedot toimittaa rekisteröidylle kohtuullisen ajan mutta viimeistään yhden kuukauden kuluessa. Tiedot on toimitettava ennen yhden kuukauden määräaikaa näissä tilanteissa:

  • Jos henkilötietoja käytetään viestintään rekisteröidyn kanssa ennen määräajan umpeutumista, henkilötietojen käsittelyä koskevat tiedot tulee toimittaa tällöin.
  • Jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle ennen määräajan umpeutumista, käsittelyä koskevat tiedot on toimitettava rekisteröidylle viimeistään silloin, kun tietoja luovutetaan ensimmäisen kerran.

Vaikutus rajoitusperusteisiin

Silloin, kun tiedot kerätään rekisteröidyltä itseltään, henkilötietojen käsittelyä koskevia tietoja ei tarvitse toimittaa, jos rekisteröity on jo saanut tiedot. Rekisterinpitäjän täytyy pystyä osoittamaan, että rekisteröity on todella saanut tiedot ja että annettu informaatio ei sen jälkeen ole muuttunut.

Perusteet poiketa informointivelvoitteesta ovat laajemmat silloin, kun henkilötiedot kerätään muualta kuin rekisteröidyltä itseltään.

Tietosuoja-asetuksen mukaan informointivelvollisuudesta voidaan poiketa näissä tilanteissa:

  • Jos tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi.
  • Jos tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.
  • Myös kansallisessa tietosuoja-asetusta täydentävässä lainsäädännössä voidaan säätää rajoituksista informointia koskevaan velvoitteeseen.

Suomenkielisen käännöksen tulkinta

Tietosuojavaltuutetun toimistossa on havaittu, että tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdan suomenkielisessä käännöksessä on todennäköisesti virhe.

"5. Edellä olevaa 1-4 kohtaa ei sovelleta, jos ja siltä osin kuin […]

(b) kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää kyseisten yleisen edun mukaisten arkistointitarkoitusten tai tieteellisten ja historiallisten tutkimustarkoitusten taikka tilastollisten tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti; tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville; […]"

Kun kyseistä käännöstä verrataan esimerkiksi ruotsin- ja englanninkielisiin käännöksiin ja tietosuojatyöryhmä WP29:n tulkintaan, havaitaan, että kyseinen alakohta sisältää kolme säännöstä:

  1. milloin tietojen toimittaminen osoittautuu mahdottomaksi (erityisesti 89 artiklan tarkoitukset)
  2. milloin tietojen toimittaminen vaatisi kohtuutonta vaivaa (erityisesti 89 artiklan tarkoitukset)
  3. kun 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti.

Suomenkielisessä käännöksessä kolmas säännös on sidottu 89 artiklan tarkoituksiin, mikä rajaa sen soveltamisalaa olennaisesti. Kohtaa voitaisiin tarkentaa vastaamaan englanninkielistä versiota seuraavalla tavalla:

"(b) kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa, erityisesti kun käsittely tapahtuu yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä ja historiallisia tutkimustarkoituksia taikka tilastollisia tarkoituksia varten siten, että noudatetaan 89 artiklan 1 kohdassa esitettyjä edellytyksiä ja suojatoimia, tai niiltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus todennäköisesti estää taikka vakavasti heikentää käsittelyn tavoitteiden saavuttamista. Tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi, mukaan lukien kyseisten tietojen saattaminen julkisesti saataville; […]"

3. Tunnista kohderyhmä

Rekisterinpitäjän tulisi kartoittaa kohderyhmä eli rekisteröidyt ja potentiaaliset rekisteröidyt: Kuuluuko kohderyhmään esimerkiksi lapsia, joille suunnatun henkilötietojen käsittelyä koskevan informaation tulisi olla erityisen selkeää? Entä muita erityistä suojaa tarvitsevia ryhmiä?

Yhtenä arviointikriteerinä informoinnin läpinäkyvyydelle on, että kohderyhmään kuuluvan keskivertohenkilön tulisi ymmärtää annettu informaatio.

Huolellinen kohderyhmän tunnistaminen vaikuttaa yleensä positiivisesti asiakaskokemukseen. Henkilötietojen käsittelystä informoiminen on laissa säädetty velvoite, mutta ennen kaikkea se on tärkeä osa asiakaspalvelua ja luottamuksellisen asiakassuhteen rakentamista.

4. Arvioi, mikä on paras malli informointiin

Informointi edellyttää rekisterinpitäjältä aktiivisia toimenpiteitä, jotta se voi toimittaa rekisteröidylle henkilötietojen käsittelyä koskevan informaation.

Tietosuoja-asetuksessa ei säädetä tietystä muodosta (esim. selosteesta), jolla informointivelvoitteen alaiset tiedot olisi rekisteröidylle tarjottava. Pääsääntöisesti tiedot on annettava kirjallisesti, mutta tähän voi vaikuttaa esimerkiksi tiedon keräämiseen käytetty laite (esim. puhelin tai IOT-laitteet) tai kohderyhmä (esim. näkörajoitteiset).

Henkilötietojen käsittelyä koskevaa informaatiota on yleensä paljon. Rekisterinpitäjän onkin arvioitava, miten se voidaan tarjota rekisteröidylle niin, että rekisteröity saa käsittelystä mahdollisimman kattavan ja ymmärrettävän kuvan. Nämä tiedot tulee selkeästi erottaa muusta informaatiosta. Huomaa, että arviointi on tehtävä nimenomaan rekisteröidyn näkökulmasta.

Kerroksellisessa informoinnissa henkilötietojen käsittelyä koskeva kokonaisinformaatio pilkotaan pienempiin osiin. Informaatio pyritään antamaan rekisteröidylle helposti omaksuttavina kokonaisuuksina siten, että henkilötietojen käsittelyn yleisestä kuvauksesta edetään kohti yksityiskohtaisempaa käsittelytoimien kuvausta. Kaikkea tietoa ei siis sisällytetä yhteen lomakkeeseen, vaan eri tietosisältöjä ja -kokonaisuuksia pilkotaan pienempiin osiin ja linkitetään toisiinsa kerroksellisesti. Keskeisimpien tietojen ja mahdollisten yllätyksellisten ehtojen tulisi löytyä ensimmäisestä kerroksesta. Kerroksellisuudella voidaan lisätä informoinnin selkeyttä ja ymmärrettävyyttä sekä torjua informaatiotulvaa.

Rekisterinpitäjän tulee myös kartoittaa, millä välineillä henkilötietoja kerätään: asettaako käytetty väline jotain rajoitteita sille, millä tapaa informaatio voidaan tarjota (esim. kun henkilötietoja kerätään puhelimitse tai näytöttömien laitteiden kautta)? Varmista, että informaatio on saatavilla silloin, kun henkilötietoja kerätään.

Suunnittele, miten toimitat tiedot rekisteröidylle tilanteissa, joissa henkilötiedot saadaan muualta kuin rekisteröidyltä itseltään esimerkiksi sähköpostitse tai kirjeellä.

Informaation tulee olla rekisteröidyn saatavilla maksutta. Sen tulee myös olla saatavilla organisaation verkkosivuilla.

Tietosuojatyöryhmä WP29:n ohjeessa läpinäkyvyydestä (pdf, 1.12 Mt) esitellään useita malleja informoinnin toteuttamiseen.

5. Varmista, että kieli on ymmärrettävää ja selkeää

Tietosisältö kuvattava yksinkertaisella ja selkeällä kielellä. Kiinnitä erityisesti huomiota siihen, että käsittelyn tarkoitus ja seuraukset on kuvattu helposti ymmärrettävällä tavalla. Esimerkiksi käsittelyn tarkoituksen määrittelyssä on vältettävä sanamuotoja "voimme", "on mahdollista" ja "usein". Varmista mahdollisten kieliversioiden vastaavuus.

Osana riskiperusteista lähestymistapaa rekisterinpitäjän on myös arvioitava rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskejä. Informoinnin yhteydessä näistä riskeistä on tiedotettava mahdollisimman objektiivisesti.

Harkitse parhaimman läpinäkyvyyden saavuttamiseksi käyttäjätestausta ja sen dokumentoimista. Huomaa, että jos käytät testaukseen rekisteröityjen henkilötietoja, on testauskäyttökin mainittava yhtenä käsittelytapana.

6. Varmista osoitusvelvollisuuden toteuttaminen

Läpinäkyvyyden periaatteen osalta osoitusvelvollisuuden periaate tarkoittaa, että rekisterinpitäjien on dokumentoitava, miten henkilötietoja käsitellään rekisteröidyn kannalta läpinäkyvästi.

Varmista, että organisaatiolla on käytössä menettelytavat, joilla se voi varmistaa osoitusvelvollisuuden toteutumisen. Osoitusvelvollisuuden toteuttamiseksi voi olla hyödyllistä järjestää ja dokumentoida käyttäjätestauksia, joiden avulla kartoitetaan selkein informointitapa. Tämä auttaa osoittamaan, että valittu informointitapa ja käytetty kieli vastaavat tietosuoja-asetuksen vaatimuksia.

Läpinäkyvyyden periaatteen käytännön toteuttamisen lisäksi rekisterinpitäjien tulisi varmistaa, että ainakin seuraavat seikat dokumentoidaan:

  • pyyntö, jos informaatiota on pyydetty suullisesti
  • rekisteröidyn tunnistamistapa tilanteissa, joissa tunnistamista vaaditaan (ei 13 ja 14 artiklan mukaisen informointivelvoitteen toteuttamisen yhteydessä)
  • tieto siitä, että informaatio on tarjottu rekisteröidylle
  • syy mahdolliseen informointivelvoitteesta poikkeamiseen ja tätä koskevat yksityiskohdat.

7. Päivitä informointilausekkeita tarvittaessa ja arvioi tarvetta säännöllisesti

Läpinäkyvyyden periaate ja sen vaikutus informointivelvollisuuteen on otettava huomioon tietojen koko elinkaaren ajan. Arvioi määräajoin, vastaako informointi tosiasiallista henkilötietojen käsittelyn tilaa.

Viesti mahdollisista muutoksista selkeällä tavalla ja hyvissä ajoin. Mitä keskeisemmästä muutoksesta on kyse, sitä aiemmin siitä tulisi kertoa. Muista, ettei henkilötietojen käsittelyn tarkoitusta voi muuttaa yhteensopimattomaksi alkuperäisen tarkoituksen kanssa ilman rekisteröidyn suostumusta tai lain säännöstä.

Läpinäkyvä viestintä on tärkeää myös silloin, kun viestitään muutoksista informointivelvollisuuden alaisiin tietoihin, toteutetaan rekisteröidyn oikeuksia tai viestitään mahdollisista henkilötietojen tietoturvaloukkauksista.

Mitä tietoja informointivelvoite edellyttää?

Tutustu taulukkoon:

Informointivelvoitteen edellyttämät tiedot (pdf, 0.13 Mt)

 
Julkaistu 13.4.2018