Rekisterinpitäjän seloste käsittelytoimista
Rekisterinpitäjällä on velvoite tehdä seloste käsittelytoimista seuraavissa tapauksissa.
1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.
Selosteen on tällöin katettava kaikki käsittelytoimet.
2. Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun
- henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
- henkilötietojen käsittely ei ole satunnaista tai
- käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.
Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityiset henkilötietoryhmät.
Kun joitakin henkilötietojen käsittelytehtäviä suorittaa rekisterinpitäjän lukuun jokin muu organisaatio, on kyseisen henkilötietojen käsittelijän kuvattava käsittelytoimet omalta osaltaan. Tällöin rekisterinpitäjä voi liittää selosteeseen käsittelijän laatiman selosteen siltä osin kuin se koskee rekisterinpitäjän vastuulla olevien tietojen käsittelyä.
Mallipohja rekisterinpitäjälle: seloste käsittelytoimista (Excel, 20 kt)
Rekisterinpitäjän laatimassa selosteessa on oltava kaikki seuraavat tiedot
Kerro selosteessa rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, mahdollisen rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.
Rekisterinpitäjällä tarkoitetaan sellaista luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä voidaan määritellä myös lainsäädännössä.
Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ovat nämä tahot yhteisrekisterinpitäjiä. Kuten rekisterinpitäjä, myös yhteisrekisterinpitäjyys voidaan määritellä lainsäädännössä.
Rekisterinpitäjän edustajalla tarkoitetaan Euroopan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä on nimennyt kirjallisesti toimimaan lukuunsa. Edustaja edustaa rekisterinpitäjää, kun on kyse tietosuoja-asetukseen perustuvista rekisterinpitäjän velvollisuuksista.
Tietosuojavastaava on rekisterinpitäjää avustava henkilö, jolla on erityisasiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja joka valvoo tietosuoja-asetuksen noudattamista organisaatiossa.
Organisaation on määriteltävä tietty laillinen käyttötarkoitus kaikille tiedoille, joita se ryhtyy toiminnassaan käsittelemään. Kuvaa selosteessa erikseen kaikki käyttötarkoitukset. Kuvauksen voi toteuttaa kertomalla, minkä rekisterinpitäjälle kuuluvan tehtävän hoitamiseksi tietoja käsitellään. Käyttötarkoitus on kuvattava riittävän yksityiskohtaisesti. Käyttötarkoitus määrittelee paitsi sen, mihin tarkoituksiin henkilötietoja voidaan jatkossa käsitellä, myös muun muassa sen, mitä henkilötietoja on tarpeellista kerätä ja kuinka kauan niitä on tarpeen säilyttää.
Tietojen käsittelyllä tarkoitetaan kaikkia toimintoja, joita kohdistetaan henkilötietoihin. Esimerkiksi tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, muuttaminen, haku, kyselykäyttö, luovuttaminen, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen on tietojen käsittelyä.
Selosteessa on hyvä kuvata myös, mihin tietosuoja-asetuksen mukaiseen käsittelyperusteeseen tietojen käsittely perustuu. Käsittelyperuste sekä tietyissä tilanteissa käyttötarkoitus vaikuttavat muun muassa siihen, mitä tietosuoja-asetuksen mukaisia oikeuksia rekisteröidyllä on käsittelyn yhteydessä.
Rekisteröidyllä tarkoitetaan sitä luonnollista henkilöä, jota koskevia henkilötietoja käsitellään.
Kuvaa selosteessa, keitä rekisteröidyt ovat (esim. asiakkaat, työntekijät, potilaat) ja minkälaisia tietoja heistä käsitellään (esim. yksilöintitiedot, kuten nimi, syntymäaika, yhteystiedot; tiedot asiakkaan tilaamista palveluista, niiden toimittamisesta ja laskuttamisesta jne.).
Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen (esim. nimi, henkilötunnus, sijaintitieto, verkkotunnistetiedot) tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Vastaanottajalla tarkoitetaan luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja. Vastaanottajalla ei tarkoiteta vain kolmansia osapuolia, vaan vastaanottajia ovat täysin ulkopuolisten rekisterinpitäjien ohella myös yhteisrekisterinpitäjät ja henkilötietojen käsittelijät, joille henkilötiedot siirretään tai luovutetaan.
Kuvaa selosteessa eri vastaanottajaryhmät, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat. Vastaanottajalla tulee olla lainmukainen peruste henkilötietojen käsittelylle.
Ilmaise vastaanottajaryhmät niin täsmällisesti kuin mahdollista. Selosteessa kuvataan esimerkiksi vastaanottajien tyyppi (esim. viittauksella sen suorittamiin käsittelytoimiin), toimiala, sektori sekä sijainti.
Selosteessa ei kuitenkaan tarvitse kuvata viranomaisia, joille luovutetaan henkilötietoja määrätyn, unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan selvitystyön tekemiseksi, koska näitä tahoja ei pidetä tietosuoja-asetuksen määritelmän mukaisina vastaanottajina. Viranomaisten on käsiteltävä tietoja käsittelyn tarkoitusten mukaisesti ja tietosuojasääntöjä noudattaen.
Ilmaise selosteessa, siirretäänkö tietoja kolmansiin maihin tai kansainväliselle järjestölle. Jos siirretään, kerro, mihin maihin ja mille järjestöille. Selosteessa ilmaistaan niin ikään se tietosuoja-asetuksen kohta ja vastaava mekanismi, joka mahdollistaa tietojen siirron, esimerkiksi artiklan 45 mukainen komission päätös, artiklan 47 mukaiset yritystä koskevat sitovat säännöt tai artiklan 46.2 mukaiset tietosuojaa koskevat vakiolausekkeet.
Jos siirto kolmansiin maihin tai kansainväliselle järjestölle perustuu49 artiklan 1 kohdan toisessa alakohdassa tarkoitettuun erityistilanteeseen, kuvaa selosteessa asianmukaisia suojatoimia koskevat dokumentaatiot.
Kuvaa selosteessa eri tietoryhmien suunnitellut poistamisen määräajat tai ne kriteerit, joilla tietojen säilyttämisajat määritellään.
Säilytysajat liittyvät tietojen minimoinnin sekä säilytyksen rajoittamisen periaatteisiin. Tietojen säilytysaika tai sen määrittämiskriteerit voivat johtua esimerkiksi laissa säädetyistä säilytysajoista tai toimialojen käytännesäännöistä. Määritellyn säilytysajan perusteella on pystyttävä arvioimaan, kuinka kauan rekisteröityä koskevia tietoja käsitellään. Ei ole riittävää todeta, että henkilötietoja tullaan säilyttämään niin kauan kuin on tarpeellista tiettyjen laillisten tarkoitusten saavuttamiseksi.
Jos eri henkilötietoryhmillä tai eri tarkoituksiin käsiteltävillä tiedoilla on erilaiset säilytysajat, kuvaa ne erikseen.
Kerro selosteessa esimerkiksi, millä tavoilla tiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla käyttöä valvotaan. Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista, joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen.
Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille.