Seloste käsittelytoimista

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.

Rekisterinpitäjällä tai henkilötietojen käsittelijällä on velvoite tehdä seloste käsittelytoimista seuraavissa tapauksissa.

1. Seloste käsittelytoimista on tehtävä, jos organisaatiossa on yli 250 työntekijää.

Selosteen on tällöin katettava kaikki käsittelytoimet.

2. Seloste käsittelytoimista on tehtävä työntekijöiden määrästä riippumatta, kun

  • henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille tai
  • henkilötietojen käsittely ei ole satunnaista tai
  • käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

Tällöin selosteeseen on sisällytettävä vain ne käsittelytoimet, jotka kuuluvat edellä esitettyihin kategorioihin. Esimerkiksi pienikin yritys käsittelee työntekijöidensä henkilötietoja säännöllisesti. Silloin henkilötietojen käsittely ei ole satunnaista, ja kyseiset henkilötietojen käsittelytoimet on sisällytettävä selosteeseen käsittelytoimista. Satunnaista henkilötietojen käsittelyä ei tarvitse sisällyttää käsittelyselosteeseen, ellei siihen ole muuta perustetta, kuten todennäköinen riski rekisteröidyn oikeuksille ja vapauksille tai erityisten henkilötietoryhmien käsittely.

Käsittelytoimia kuvaavan selosteen laatiminen edistää osoitusvelvollisuuden toteutumista. Se on hyödyllinen työkalu käsittelytoimien analysoinnissa myös silloin, kun velvollisuutta sen laatimiseen ei ole.

Seloste on organisaation omaan käyttöön

Seloste on organisaation sisäinen asiakirja. Se toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Seloste onkin olennainen osa organisaation osoitusvelvollisuuden toteuttamista.

Valvontaviranomainen voi tarvittaessa arvioida tietojenkäsittelytoimien lainmukaisuutta selosteen pohjalta. Sen vuoksi seloste on pyydettäessä toimitettava valvontaviranomaiselle.

Rekisteröityjä on informoitava henkilötietojen käsittelystä siten kuin informointia koskevassa ohjeessa on esitetty. Käsittelytoimia koskevaa selostetta ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidyille suunnatun informaation tuottamisessa.

Mitä tietoja selosteessa täytyy olla?

Tietosuojavaltuutetun toimisto on laatinut mallin siitä, millä tavalla selosteen voi toteuttaa. Rekisterinpitäjälle ja henkilötietojen käsittelijälle on erilliset mallipohjat. Malli on tarkoitettu vapaaehtoisesti hyödynnettäväksi tueksi, eikä sitä ole pakko käyttää selosteen tekoon.

Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi.

Lue lisää:
Rekisterinpitäjän seloste käsittelytoimista
Henkilötietojen käsittelijän seloste käsittelytoimista