Näin laadit GDPR:n mukaisen tietosuojaselosteen
Mistä asioista koostuu hyvä tietosuojaseloste? Yleisen tietosuoja-asetuksen vaatima tietosuojaseloste on monelle pakollinen paha siitäkin huolimatta, että siihen löytyy ohjeita ja valmiita mallipohjia verkosta. Editan kouluttaja ja Legal Counsel Antti Iso-Markku jakaa vinkit tietosuojaselosteen laadintaan.
Tietosuojaselosteen laatiminen ja ylläpitäminen on välttämätöntä jokaiselle henkilötietoja käsittelevälle yhtiölle ja yhteisölle. Selosteen laatimisen tarve perustuu EU:n yleiseen tietosuoja-asetukseen (GDPR), jonka mukaan henkilön tulee olla tietoinen hänestä kerättävistä ja käsiteltävistä tiedoista.
– Tietosuojaselostetta laatiessa kannattaa astua toisen osapuolen saappaisiin. Selosteen lukijalla tulee olla sen verran tietoa henkilötietojensa käsittelystä, että hän pystyy tekemään arvion siitä, hyväksyykö hän tietojensa käsittelyn selosteen esittämällä tavalla, Antti Iso-Markku kertoo.
Tietosuojaseloste on yleisin mutta ei ainut tapa täyttää asetuksen asettama vaatimus. Seloste laaditaan usein ladattavaksi DOCX- tai PDF-asiakirjaksi tai se kirjoitetaan auki verkkosivuille tai sovellukseen.
Tietosuojaseloste muodostuu useasta osasta
Rekisteröitävistä kerättävät ja käsiteltävät tiedot tulee ilmoittaa tietosuojaselosteessa yleisen tietosuoja-asetuksen mukaisesti. Tietosuojaselosteessa on kerrottava:
- Kuka tietoja käsittelee?
- Mitä tietoja kerätään?
- Tietojen säilytysaika ja sijainti
- Tietojen siirtäminen ja luovuttaminen
- Rekisteröidyn oikeudet
Näiden asioiden lisäksi tietosuojaselosteessa on tuotava ilmi, mihin tarkoitukseen tietoja kerätään. Käyttötarkoituksen tulee perustua johonkin kuudesta yleisessä tietosuoja-asetuksessa kerrotusta oikeusperusteesta.
– Tietojen keräämisen tarkoitus on äärimmäisen tärkeä osa tietosuojaselostetta. Tarkoituksen on sovittava johonkin annetusta kuudesta kategoriasta, jotta tietojen kerääminen voidaan todeta lailliseksi. Usein oikean perusteen valinta vaatii juridista osaamista, Iso-Markku toteaa.
Tunnetuimpia käsittelyn oikeusperusteita ovat rekisterinpitäjän ja rekisteröidyn välisen sopimuksen täytäntöönpano, rekisteröidyn suostumus ja rekisterinpitäjänä toimivan yhteisön oikeutettu etu. On yleistä, että rekisteröidystä kerättyjen tietojen käsittelylle on useampia oikeusperusteita.
– Yhtiö voi toimittaa tuotteita olemassa oleville asiakkaille, jolloin tietojen keräämisen peruste on sopimuksen täytäntöönpano. Samainen yhtiö haluaa todennäköisesti myös markkinoida tuotteitaan uusille ja olemassa oleville asiakkailleen. Tällöin oikeusperuste onkin yhtiön oikeutettu etu, Iso-Markku kertoo.
Miten tietosuojaselosteen päivittäminen tehdään?
Tietosuojaselosteen laatimisen jälkeen rekisterinpitäjän vastuulla on tietosuojaselosteen päivittäminen aina tarvittaessa. Seloste tulee päivittää esimerkiksi silloin, kun tietojen keräämiselle tulee uusi käyttötarkoitus tai organisaatio alkaa kerätä uutta tietoa rekisteröidyistä.
– Lain mukaan uusien tietojen keräämistä ei saisi aloittaa ennen tietosuojaselosteen päivittämistä. Käytännössä se ei kuitenkaan aina onnistu. Tällöin selosteen päivittäminen täytyy tehdä mahdollisimman pian, Iso-Markku sanoo.
Tietosuojaselosteen päivittämisestä ei kuitenkaan tarvitse ilmoittaa henkilökohtaisesti kullekin rekisteröidylle, vaan verkkosivuilla julkaistu ilmoitus tai tietosuojaselostetiedoston ohessa näkyvä päivityksen viimeisin päivämäärä ja ajankohta riittävät.
Teksti: Iina Knuutinen
Kuva: Jacob Lund/Shutterstock
Katso myös:
Vinkit selkeän tietosuojaselosteen kirjoittamiseen
Näin ennaltaehkäiset tietoturvaloukkauksia tehokkaasti
ilmoittaudu koulutukseen
Kolmiosaisessa webinaarisarjassa syvennytään organisaatioiden päivittäisessä työssä ilmeneviin tietosuojakysymyksiin ja käytännön haasteisiin sekä niiden ratkaisemiseen. Webinaarisarja antaa myös vastauksia tietoturvaloukkausten ennaltaehkäisyyn ja niihin reagoimiseen asianmukaisella tavalla.