Mikä on tietosuojaseloste?

Tietosuojaseloste on viestintäväline, jolla yritys kertoo, miten se käyttää ja suojaa keräämiään henkilötietoja. Tietosuojaseloste annetaan tiedoksi rekisteröidyille, eli niille, joiden henkilötietoja käsitellään. Käytännössä seloste on laadittava siis mitä moninaisimmissa tilanteissa. Jos keräät esimerkiksi henkilöasiakkaittesi tietoja, on sinulla velvollisuus selosteen laatimiseen.

Kun Suomessa oli voimassa vielä vanha henkilötietolaki, kirjoitettiin rekisteriselosteita. Tietosuojaseloste on laajennettu ja ajantasainen versio rekisteriselosteesta.

Miksi tietosuojaseloste pitää laatia?

Laatimisvelvollisuus perustuu EU:n yleiseen tietosuoja-asetukseen (General Data Protection Regulation eli ”GDPR”), joka tuli velvoittavaksi toukokuussa 2018. Tietosuoja-asetuksessa korostetaan henkilötietojen käsittelyn avoimuutta ja säädetään aiempaa yksityiskohtaisemmin yritysten informointivelvollisuudesta ja rekisteröityjen oikeuksista. GDPR antaa tietosuojavaltuutetulle mahdollisuuden langettaa kovatkin sakot, jos asetusta on rikottu.

Asetuksella kumottiin Suomessa henkilötietolaki, jolla henkilötietoja (ml. rekisteriselosteita) ennen säänneltiin. Vanhat rekisteriselosteen pohjat eivät ole enää ajantasaisia.

Mitä ovat henkilötiedot?

Henkilötietoja ovat kaikki tiedot, joiden perusteella voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Henkilötietoja ovat esimerkiksi nimi, henkilötunnus, syntymäaika, puhelinnumero sekä verkkotunnistetiedot kuten IP-osoite.

Miten laadin tietosuojaselosteen Sopimuskoneella?

Sopimuskone neuvoo, miten laadit mallikelpoisen tietosuojaselosteen. Sopimuskoneen muuntuva tietosuojaselosteen malli sisältää kymmeniä juristiemme laatimia mallikirjauksia, joita tyypillisesti käytetään tietosuojaselosteissa. Voit lisätä, poistaa tai muokata valmiita kirjauksiamme ja lisätä omia sisältöjäsi tarpeen mukaan.

Kysymyksessä ei ole siis yksittäisen tietosuojaselosteen pohja tai lomakepohja vaan suomalainen moderni teknologia, jolla siisti ja sisällöllisesti laadukas asiakirja syntyy miltei itsestään.

Kun olet laatinut selosteen, aseta se rekisteröityjen saataville esimerkiksi internet-sivuillesi.

Mitä mallisisältöjä Sopimuskone tarjoaa?

Tietosuojaselosteen mallimme sisältää muun muassa seuraavat tietosuojalainsäädäntöön pohjautuvat kohdat:

  • Henkilötietojen käsittelyn peruste ja tarkoitus
  • Käsiteltävät henkilötiedot
  • Säännönmukaiset tietolähteet
  • Henkilötietojen säilytysaika
  • Rekisteröidyn oikeudet (esim. oikeus tulla unohdetuksi)
  • Henkilötietojen luovuttaminen ulkopuolisille
  • Henkilötietojen siirtäminen EU- tai ETA-alueen ulkopuolelle
  • Henkilötietojen suojauksen periaatteet (esim. tietoturva)
  • Profilointi (henkilötietojen automaattinen käsittely rekisteröidyn henkilökohtaisten ominaisuuksien arvioimiseksi)
  • Rekisterinpitäjän yhteystiedot

Riippuu tilanteesta, mitä seikkoja tulee selvittää niille, joiden henkilötietoja käsitellään. Esimerkiksi henkilötietojen käsittelyn oikeusperuste ja tarkoitus sekä rekisterinpitäjän eli yrityksesi yhteystiedot on selvitettävä aina. Kaikkea ei tarvitse mainita. Jos henkilötietoja ei esim. käytetä rekisteröityjen profilointiin tai siirretä EU:n ja ETA:n ulkopuolelle, ei asiasta tarvitse erikseen mainita.

Millä perusteella saan käsitellä henkilötietoja?

Henkilötietojen käsittelyn tulee perustua johonkin laissa mainittuun syyhyn. Perusteita ovat esimerkiksi:

  • Rekisteröidyn antama suostumus (yksilöity ja selkeästi dokumentoitu)
  • Sopimus, jonka osapuolena rekisteröity on (esim. asiakassopimus)
  • Rekisterinpitäjän oikeutettu etu (esim. rooli työnantajana)
  • Yleinen etu tai rekisterinpitäjälle kuuluva julkisen vallan käyttäminen
  • Rekisterinpitäjän lakisääteinen velvoite tai laki

Muodollisjuridisen perusteen lisäksi henkilötietojen käsittelyllä tulee olla tietty tarkoitus, joka on selvitettävä tietosuojaselosteessa. Tämä velvollisuus ei ole muuttunut rekisteriselosteen ajoista. Tarkoituksia voivat olla esimerkiksi rekrytointi, työsuhteen hallinta, markkinointi, asiakassuhteiden ja kumppanuuksien ylläpito sekä tapahtumien järjestäminen. GDPR:n myötä on kuitenkin korostunut tietojen minimoinnin periaate – henkilötietoja ei saa käsitellä, ellei käsittelylle ole järkevää perustetta. Tietoja ei toisin sanoen saa kerätä ja säilöä ”muuten vain”.

Kuinka laajasti minun tulee selostaa henkilötietojen luovuttaminen ulkopuolisille?

Henkilötietojen luovutus on kyseessä esimerkiksi silloin, kun rekisterinpitäjä luovuttaa tai siirtää henkilötietoja ulkopuoliselle henkilötietojen käsittelijälle. Tällaisista luovutuksista tulee antaa rekisteröidylle selostus.

Ulkopuolinen käsittelijä voi olla esimerkiksi tilitoimisto, jonka kanssa yrityksesi (rekisterinpitäjä) on tehnyt sopimuksen palkanlaskennasta ja jolle kerrot, milloin palkat pitää maksaa, kun työntekijä jättää yrityksen tai kun hän saa palkankorotuksen.

Rekisteröidylle tulisi lähtökohtaisesti antaa tiedot todellisesta (nimetystä) henkilötietojen vastaanottajasta. Mikäli et halua yksilöidä vastaanottajia, kirjaa henkilötietojen vastaanottajaryhmät niin täsmällisesti kuin mahdollista kuvaamalla esimerkiksi vastaanottajien tyyppi (viittaus sen suorittamiin käsittelytoimiin), toimiala, sektori sekä sijainti.

Mitä oikeuksia rekisteröidyllä on?

Rekisteröidylle kuuluu tiettyjä tietosuoja-asetuksessa säädettyjä oikeuksia, kuten oikeus tarkastaa ja oikaista kaikki käsittelyn kohteena olevat häntä koskevat henkilötiedot. Rekisteröidyllä on tietyissä tilanteissa myös oikeus saada tietonsa poistetuksi ("oikeus tulla unohdetuksi"). Tietosuojaselosteessa on kerrottava näistä kaikista oikeuksista, mikä on huomioitu Sopimuskoneessa.