Seloste käsittelytoimista

Organisaatiolla on velvollisuus laatia kirjallinen kuvaus sen toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista.

Velvollisuus laatia seloste käsittelytoimista koskee kaikkia yli 250 työntekijän organisaatioita. Tätä pienemmän organisaation on laadittava seloste, jos

  • organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille
  • henkilötietojen käsittely organisaatiossa ei ole satunnaista tai
  • organisaatiossa käsitellään erityisiin tietoryhmiin kuuluvia tietoja tai henkilötietoja, jotka koskevat rikostuomioita tai rikkomuksia.

Tietosuojaryhmä WP29 valmistelee parhaillaan ohjausta siitä, miten näitä kriteereitä on käytännössä sovellettava.

Tätä ohjetta täydennetään ja päivitetään tarpeen mukaan.


Seloste on organisaation omaan käyttöön

Mitä tietoja selosteessa täytyy olla?

Rekisterinpitäjän seloste käsittelytoimista

Henkilötietojen käsittelijän seloste käsittelytoimista

Seloste on organisaation omaan käyttöön

Seloste on organisaation sisäinen asiakirja. Se toimii apuvälineenä henkilötietojen käsittelyn hahmottamiseen, ja sen tarkoituksena on osaltaan osoittaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Seloste onkin olennainen osa organisaation osoitusvelvollisuuden toteuttamista.

Valvontaviranomainen voi tarvittaessa arvioida tietojenkäsittelytoimien lainmukaisuutta selosteen pohjalta. Sen vuoksi seloste on pyydettäessä toimitettava valvontaviranomaiselle.

Rekisteröityjä on informoitava henkilötietojen käsittelystä siten kuin informointia koskevassa ohjeessa on esitetty. Käsittelytoimia koskevaa selostetta ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidyille suunnatun informaation tuottamisessa.

Mitä tietoja selosteessa täytyy olla?

Tietosuojavaltuutetun toimisto on laatinut mallin siitä, millä tavalla selosteen voi toteuttaa. Rekisterinpitäjälle ja henkilötietojen käsittelijälle on erilliset mallipohjat. Malli on tarkoitettu vapaaehtoisesti hyödynnettäväksi tueksi, eikä sitä ole pakko käyttää selosteen tekoon.

Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi. Alla on kuvattu, mitä tietoja rekisterinpitäjän ja käsittelijän tulee ilmaista selosteessa.

Rekisterinpitäjän seloste käsittelytoimista

Rekisterinpitäjän ja tarvittaessa tämän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.

Kun joitakin henkilötietojen käsittelytehtäviä suorittaa rekisterinpitäjän lukuun jokin muu organisaatio, on kyseisen henkilötietojen käsittelijän kuvattava käsittelytoimet omalta osaltaan. Tällöin rekisterinpitäjä voi liittää selosteeseen käsittelijän laatiman selosteen siltä osin kuin se koskee rekisterinpitäjän vastuulla olevien tietojen käsittelyä.

Mallipohja rekisterinpitäjälle: seloste käsittelytoimista (xlsx, 0.02 Mt)

Rekisterinpitäjän laatimassa selosteessa on oltava kaikki seuraavat tiedot.

Rekisterinpitäjä ja tietosuojavastaava

Kerro selosteessa rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, mahdollisen rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot.

Rekisterinpitäjällä tarkoitetaan sellaista luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä voidaan määritellä myös lainsäädännössä.

Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ovat nämä tahot yhteisrekisterinpitäjiä. Kuten rekisterinpitäjä, myös yhteisrekisterinpitäjyys voidaan määritellä lainsäädännössä.

Rekisterinpitäjän edustajalla tarkoitetaan Euroopan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka rekisterinpitäjä on nimennyt kirjallisesti toimimaan lukuunsa. Edustaja edustaa rekisterinpitäjää, kun on kyse tietosuoja-asetukseen perustuvista rekisterinpitäjän velvollisuuksista.

Tietosuojavastaava on rekisterinpitäjää avustava henkilö, jolla on erityisasiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja joka valvoo tietosuoja-asetuksen noudattamista organisaatiossa.

Käsittelyn tarkoitukset

Organisaation on määriteltävä tietty laillinen käyttötarkoitus kaikille tiedoille, joita se ryhtyy toiminnassaan käsittelemään. Kuvaa selosteessa erikseen kaikki käyttötarkoitukset. Kuvauksen voi toteuttaa kertomalla, minkä rekisterinpitäjälle kuuluvan tehtävän hoitamiseksi tietoja käsitellään. Käyttötarkoitus on kuvattava riittävän yksityiskohtaisesti. Käyttötarkoitus määrittelee paitsi sen, mihin tarkoituksiin henkilötietoja voidaan jatkossa käsitellä, myös muun muassa sen, mitä henkilötietoja on tarpeellista kerätä ja kuinka kauan niitä on tarpeen säilyttää.

Tietojen käsittelyllä tarkoitetaan kaikkia toimintoja, joita kohdistetaan henkilötietoihin. Esimerkiksi tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, muuttaminen, haku, kyselykäyttö, luovuttaminen, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen on tietojen käsittelyä.

Selosteessa on hyvä kuvata myös, mihin tietosuoja-asetuksen mukaiseen käsittelyperusteeseen tietojen käsittely perustuu. Käsittelyperuste sekä tietyissä tilanteissa käyttötarkoitus vaikuttavat muun muassa siihen, mitä tietosuoja-asetuksen mukaisia oikeuksia rekisteröidyllä on käsittelyn yhteydessä.

Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä

Rekisteröidyllä tarkoitetaan sitä luonnollista henkilöä, jota koskevia henkilötietoja käsitellään.

Kuvaa selosteessa, keitä rekisteröidyt ovat (esim. asiakkaat, työntekijät, potilaat) ja minkälaisia tietoja heistä käsitellään (esim. yksilöintitiedot, kuten nimi, syntymäaika, yhteystiedot; tiedot asiakkaan tilaamista palveluista, niiden toimittamisesta ja laskuttamisesta jne.).

Henkilötietoja ovat kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa tunnistetietojen (esim. nimi, henkilötunnus, sijaintitieto, verkkotunnistetiedot) tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Ryhmät, joille henkilötietoja on luovutettu tai luovutetaan

Vastaanottajalla tarkoitetaan luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja. Vastaanottajalla ei tarkoiteta vain kolmansia osapuolia, vaan vastaanottajia ovat täysin ulkopuolisten rekisterinpitäjien ohella myös yhteisrekisterinpitäjät ja henkilötietojen käsittelijät, joille henkilötiedot siirretään tai luovutetaan.

Kuvaa selosteessa eri vastaanottajaryhmät, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat. Vastaanottajalla tulee olla lainmukainen peruste henkilötietojen käsittelylle.

Ilmaise vastaanottajaryhmät niin täsmällisesti kuin mahdollista. Selosteessa kuvataan esimerkiksi vastaanottajien tyyppi (esim. viittauksella sen suorittamiin käsittelytoimiin), toimiala, sektori sekä sijainti.

Selosteessa ei kuitenkaan tarvitse kuvata viranomaisia, joille luovutetaan henkilötietoja määrätyn, unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan selvitystyön tekemiseksi, koska näitä tahoja ei pidetä tietosuoja-asetuksen määritelmän mukaisina vastaanottajina. Viranomaisten on käsiteltävä tietoja käsittelyn tarkoitusten mukaisesti ja tietosuojasääntöjä noudattaen.

Tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle

Ilmaise selosteessa, siirretäänkö tietoja kolmansiin maihin tai kansainväliselle järjestölle. Jos siirretään, kerro, mihin maihin ja mille järjestöille. Selosteessa ilmaistaan niin ikään se tietosuoja-asetuksen kohta ja vastaava mekanismi, joka mahdollistaa tietojen siirron, esimerkiksi artiklan 45 mukainen komission päätös, artiklan 47 mukaiset yritystä koskevat sitovat säännöt tai artiklan 46.2 mukaiset tietosuojaa koskevat vakiolausekkeet.

Jos siirto kolmansiin maihin tai kansainväliselle järjestölle perustuu artiklan 49 toisessa kappaleessa tarkoitettuun erityistilanteeseen, kuvaa selosteessa asianmukaisia suojatoimia koskevat dokumentaatiot.

Tietojen säilytysajat

Kuvaa selosteessa eri tietoryhmien suunnitellut poistamisen määräajat tai ne kriteerit, joilla tietojen säilyttämisajat määritellään.

Säilytysajat liittyvät tietojen minimoinnin sekä säilytyksen rajoittamisen periaatteisiin. Tietojen säilytysaika tai sen määrittämiskriteerit voivat johtua esimerkiksi laissa säädetyistä säilytysajoista tai toimialojen käytännesäännöistä. Määritellyn säilytysajan perusteella on pystyttävä arvioimaan, kuinka kauan rekisteröityä koskevia tietoja käsitellään. Ei ole riittävää todeta, että henkilötietoja tullaan säilyttämään niin kauan kuin on tarpeellista tiettyjen laillisten tarkoitusten saavuttamiseksi.

Jos eri henkilötietoryhmillä tai eri tarkoituksiin käsiteltävillä tiedoilla on erilaiset säilytysajat, kuvaa ne erikseen.

Kuvaus teknisistä ja organisatorisista turvatoimista

Kerro selosteessa esimerkiksi, millä tavoilla tiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla käyttöä valvotaan. Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista, joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen.

Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille.

Henkilötietojen käsittelijän seloste käsittelytoimista

Henkilötietojen käsittelijän ja tarvittaessa tämän edustajan on ylläpidettävä selostetta kaikista rekisterinpitäjän lukuun suoritettavista käsittelytoimista.

Henkilötietojen käsittelijällä tarkoitetaan sellaista luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Henkilötietojen käsittelijällä ei tarkoiteta rekisterinpitäjän (tai henkilötietojen käsittelijän) alaisuudessa työskenteleviä työntekijöitä, vaan henkilötietojen käsittelijä on tyypillisesti toinen organisaatio, joka suorittaa tietojenkäsittelypalveluita rekisterinpitäjän puolesta sopimuksen perusteella.

Mallipohja henkilötietojen käsittelijälle: seloste käsittelytoimista (xlsx, 0.02 Mt)

Henkilötietojen käsittelijän laatimassa selosteessa on oltava kaikki seuraavat tiedot.

Käsittelijä ja tietosuojavastaava

Kerro selosteessa käsittelijän, mahdollisen käsittelijän edustajan sekä tietosuojavastaavan nimi ja yhteystiedot. Ilmaise niin ikään ne rekisterinpitäjät sekä mahdolliset rekisterinpitäjän edustajat, joiden lukuun henkilötietojen käsittelijä toimii.

Käsittelijän edustajalla tarkoitetaan Euroopan unioniin sijoittautunutta luonnollista henkilöä tai oikeushenkilöä, jonka henkilötietojen käsittelijä on nimennyt kirjallisesti toimimaan lukuunsa. Edustaja edustaa käsittelijää, kun on kyse käsittelijälle kuuluvista tietosuoja-asetukseen perustuvista velvollisuuksista.

Tietosuojavastaava on rekisterinpitäjää avustava henkilö, jolla on erityisasiantuntemusta tietosuojalainsäädännöstä ja alan käytänteistä ja joka valvoo tietosuoja-asetuksen noudattamista organisaatiossa.

Rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät

Kuvaa selosteessa, minkä tyyppistä käsittelyä organisaatiossa toteutetaan rekisterinpitäjien lukuun. Käsittelyn ryhmät kuvataan kunkin rekisterinpitäjän osalta erikseen.

Tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle

Ilmaise selosteessa, siirretäänkö tietoja kolmansiin maihin tai kansainväliselle järjestölle. Jos siirretään, kerro, mihin maihin ja mille järjestöille. Selosteessa ilmaistaan niin ikään se tietosuoja-asetuksen kohta ja vastaava mekanismi, joka mahdollistaa tietojen siirron, esimerkiksi artiklan 45 mukainen komission päätös, artiklan 47 mukaiset yritystä koskevat sitovat säännöt tai artiklan 46.2 mukaiset tietosuojaa koskevat vakiolausekkeet.

Jos siirto kolmansiin maihin tai kansainväliselle järjestölle perustuu artiklan 49 toisessa kappaleessa tarkoitettuun erityistilanteeseen, kuvaa selosteessa asianmukaisia suojatoimia koskevat dokumentaatiot.

Kuvaus teknisistä ja organisatorisista turvatoimista

Kerro selosteessa esimerkiksi, millä tavoilla tiedot on suojattu organisaation ulkopuolisilta, miten käyttöoikeudet on rajattu organisaation sisällä ja millä tavalla käyttöä valvotaan. Organisaatio voi laatia esimerkiksi mallin väärinkäytöksistä koituvista seuraamuksista, joka voidaan linkittää tähän selosteen kohtaan. Myös muuta vastaavaa organisaation sisäistä informaatiota voidaan liittää tähän yhteyteen.

Jos selosteessa kuvataan tai selosteeseen linkitetään yksityiskohtaista tietoa esimerkiksi tietoturvakäytänteistä, huolehdi selosteen suojaamisesta, jotta tieto ei päädy sivullisille.


Päivitetty 26.3.2018: Täsmennetty mainintaa viranomaisten kuvaamisesta selosteessa.

 
Julkaistu 23.3.2018