Henkilötietojen käsittelijän seloste käsittelytoimista

Henkilötietojen käsittelijällä on velvoite tehdä seloste käsittelytoimista seuraavissa tapauksissa.

1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.

Selosteen on tällöin katettava kaikki käsittelytoimet.

2. Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun

  • henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
  • henkilötietojen käsittely ei ole satunnaista tai
  • käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityiset henkilötietoryhmät.

Henkilötietojen käsittelijällä tarkoitetaan sellaista luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän (tai henkilötietojen käsittelijän) alaisuudessa työskenteleviä työntekijöitä, vaan henkilötietojen käsittelijä on tyypillisesti toinen organisaatio, joka suorittaa tietojenkäsittelypalveluita rekisterinpitäjän puolesta sopimuksen perusteella.

Mallipohja henkilötietojen käsittelijälle: seloste käsittelytoimista

Henkilötietojen käsittelijän laatimassa selosteessa on oltava kaikki seuraavat tiedot