Henkilötietojen käsittelijän seloste käsittelytoimista
Henkilötietojen käsittelijällä on velvoite tehdä seloste käsittelytoimista seuraavissa tapauksissa.
1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.
Selosteen on tällöin katettava kaikki käsittelytoimet.
2. Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun
- henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
- henkilötietojen käsittely ei ole satunnaista tai
- käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.
Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityiset henkilötietoryhmät.
Henkilötietojen käsittelijällä tarkoitetaan sellaista luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän (tai henkilötietojen käsittelijän) alaisuudessa työskenteleviä työntekijöitä, vaan henkilötietojen käsittelijä on tyypillisesti toinen organisaatio, joka suorittaa tietojenkäsittelypalveluita rekisterinpitäjän puolesta sopimuksen perusteella.
Mallipohja henkilötietojen käsittelijälle: seloste käsittelytoimista (Excel, 18 kt)
Henkilötietojen käsittelijän laatimassa selosteessa on oltava kaikki seuraavat tiedot
Kerro selosteessa käsittelijän, mahdollisen käsittelijän edustajan sekä tietosuojavastaavan nimi ja yhteystiedot. Ilmaise niin ikään ne rekisterinpitäjät sekä mahdolliset rekisterinpitäjän edustajat, joiden lukuun henkilötietojen käsittelijä toimii.
Käsittelijän edustajalla tarkoitetaan Euroopan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa. Edustaja edustaa käsittelijää, kun on kyse käsittelijälle kuuluvista tietosuoja-asetukseen perustuvista velvollisuuksista.
Tietosuojavastaava on rekisterinpitäjää avustava henkilö, jolla on erityisasiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja joka valvoo tietosuoja-asetuksen noudattamista organisaatiossa.
Kuvaa selosteessa, minkä tyyppistä käsittelyä organisaatiossa toteutetaan rekisterinpitäjien lukuun. Käsittelyn ryhmät kuvataan kunkin rekisterinpitäjän osalta erikseen.
Ilmaise selosteessa, siirretäänkö tietoja kolmansiin maihin tai kansainväliselle järjestölle. Jos siirretään, kerro, mihin maihin ja mille järjestöille. Selosteessa ilmaistaan niin ikään se tietosuoja-asetuksen kohta ja vastaava mekanismi, joka mahdollistaa tietojen siirron, esimerkiksi artiklan 45 mukainen komission päätös, artiklan 47 mukaiset yritystä koskevat sitovat säännöt tai artiklan 46.2 mukaiset tietosuojaa koskevat vakiolausekkeet.
Jos siirto kolmansiin maihin tai kansainväliselle järjestölle perustuu artiklan 49 toisessa kappaleessa tarkoitettuun erityistilanteeseen, kuvaa selosteessa asianmukaisia suojatoimia koskevat dokumentaatiot.
Kerro selosteessa esimerkiksi, millä tavoilla tiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla käyttöä valvotaan. Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista, joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen.
Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille.