Rekisterinpitäjän seloste käsittelytoimista

Rekisterinpitäjällä on velvoite tehdä seloste käsittelytoimista seuraavissa tapauksissa.

1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.

Selosteen on tällöin katettava kaikki käsittelytoimet.

2. Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun

  • henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
  • henkilötietojen käsittely ei ole satunnaista tai
  • käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityiset henkilötietoryhmät.

Kun joitakin henkilötietojen käsittelytehtäviä suorittaa rekisterinpitäjän lukuun jokin muu organisaatio, on kyseisen henkilötietojen käsittelijän kuvattava käsittelytoimet omalta osaltaan. Tällöin rekisterinpitäjä voi liittää selosteeseen käsittelijän laatiman selosteen siltä osin kuin se koskee rekisterinpitäjän vastuulla olevien tietojen käsittelyä.

Mallipohja rekisterinpitäjälle: seloste käsittelytoimista (Excel, 20 kt)

Rekisterinpitäjän laatimassa selosteessa on oltava kaikki seuraavat tiedot