Kerro käsittelystä rekisteröidylle

Kaikkien rekisterinpitäjien on tarkistettava informointikäytäntönsä ja päivitettävä ne vastaamaan tietosuoja-asetuksen vaatimuksia 25.5.2018 mennessä.

Tietosuojavaltuutetun toimisto kannustaa toimialoja luomaan yhteisiä informointikäytäntöjä esimerkiksi osana käytännesääntötyötä.

Tämä ohje perustuu tietosuojatyöryhmä WP29:n ohjeeseen läpinäkyvyydestä. Siinä on annettu yksityiskohtaisempia ohjeita ja esimerkkejä läpinäkyvästä informoinnista.

Miten tietosuoja-asetus muuttaa informointikäytäntöjä suhteessa henkilötietolakiin?

Tietosuoja-asetuksessa säädetty informointivelvoite poikkeaa tietyiltä osin henkilötietolain 10 §:n vaatimuksesta laatia ja julkaista rekisteriseloste ja 24 §:n informointivelvoitteesta. Keskeisimmät muutokset on kuvattu alla.

Rekisteriseloste

Tietosuoja-asetuksessa ei säädetä rekisteriselosteesta. Henkilötietolain mukainen rekisteriseloste on laadittu henkilörekisterikohtaisesti. Henkilötietolaissa henkilörekisterillä tarkoitetaan kaikkia samaan käyttötarkoitukseen käsiteltäviä henkilötietoja riippumatta siitä, missä tietojärjestelmissä tietoja käsitellään tai käsitelläänkö osaa tiedoista manuaalisesti (esim. asiakasrekisteri, työntekijärekisteri, suoramarkkinointirekisteri).

Henkilötietolain nojalla rekisterinpitäjä on käytännössä voinut toteuttaa informointivelvoitetta laatimalla tietosuojaselosteen. Se on asiakirja, joka yhdistää henkilötietolain 24 §:ssä säädetyn informointivelvoitteen edellyttämät tiedot ja henkilötietolain 10 §:n mukaisen rekisteriselosteen edellyttämät tiedot.

Jos rekisterinpitäjä suunnittelee myös jatkossa käyttävänsä käyttötarkoituksen perusteella ryhmiteltyjä selosteita, on tärkeää arvioida, miten menettelytapa täyttää tietosuoja-asetuksen vaatimuksen toimittaa rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Erityisesti on arvioitava, saako rekisteröity näin helposti ja yksiselitteisesti kokonaiskuvan henkilötietojensa käsittelystä silloin, kun henkilötietoja käsitellään useampaan kuin yhteen tarkoitukseen.

Informaation ymmärrettävyys

Tietosuoja-asetuksessa velvoitetaan rekisterinpitäjiä arvioimaan myös, onko heidän antamansa informaatio kielen ja johdonmukaisuuden kannalta ymmärrettävää. Arvio tulisi tehdä potentiaalisen kohderyhmän kannalta. Tarkoituksena on, että kohderyhmään kuuluva keskivertohenkilö saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.

Ei riitä, että henkilötietojen käsittelyä koskevat tiedot ovat rekisteröidyn saatavilla, vaan tiedot on tarjottava rekisteröidylle ymmärrettävässä, tiiviissä ja selkeässä muodossa.

Tietosisältö

Toisin kuin henkilötietolaissa, tietosuoja-asetuksessa rekisteröidylle toimitettava tietosisältö on osittain riippuvainen siitä, kerätäänkö henkilötiedot rekisteröidyltä itseltään tai muualta.

Läpinäkyvyys

Läpinäkyvyyden periaatteesta säädetään osana lainmukaisen ja asianmukaisen käsittelyn periaatetta. Henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi, ja rekisterinpitäjän on pystyttävä osoittamaan, että näin on toimittu (osoitusvelvollisuus).

Mistä liikkeelle?
 

Mitä tietoja informointivelvoite edellyttää?

Tutustu taulukkoon: Informointivelvoitteen edellyttämät tiedot