Jo ennen uutta tietosuoja-asetusta kaikilta rekisterinpitäjiltä vaadittiin rekisteriseloste. Uuden tietosuoja-asetuksen myötä selosteeseessa on hyvä huomioida tiettyjä asioita. Kokosimme tähän artikkeliin keskeisimmät kohdat, jotka tulisi löytyä rekisteriselosteesta.
Yleistä rekisteriselosteesta
Rekisteriseloste on dokumentti, joka tulee laatia jokaisesta henkilörekisteristä erikseen. Eli jokaisella erillisellä rekisterillä, mitä ylläpidät, tulee olla rekisteriseloste esim. henkilöstörekisteri, asiakarekisteri, markkinointirekisteri. Nämä rekisteriselosteet tulee olla yleisesti saatavilla ja yleisin tapa on lisätä ne omille nettisivuille.
Alla käymme läpi rekisteriselosteen keskeisimmät kohdat ja termit mukaille Tietosuojavaltuutetun rekisteriseloste -pohjaa.
Rekisterinpitäjä
Rekisteriselosteessa pitää käydä ilmi kenen käyttöä varten henkilörekisteri perustetaan. Useimmissa Isoltan blogin lukijan tapauksessa rekisterinpitäjä on sama kuin oma yrityksesi. Se voi olla myös yhdistys tai viranomainen, mutta ei kuitenkaan yksittäinen työntekijä, yrityksen osasto tai toinen yritys, joka esimerkiksi ylläpitäisi puolestasi rekisteriä.
Yhteyshenkilö rekisteriä koskevissa asioissa
Rekisterille täytyy nimetä yhteyshenkilö, jolle voidaan esittää erilaisia käsittelyä koskevia tiedusteluja. Jokaisella rekisteröidyllä on oikeus kysyä esimerkiksi mitä tietoja hänestä säilytetään, mihin tietoja käytetään jne. Useimmiten tämä on yrittäjä itse, toimitusjohtaja tai muu nimetty henkilö, joka vastaa rekisterin asioista.
Rekisterin nimi
Kaikilla rekistereillä täytyy olla nimi, joka kuvastaa myös sen käyttötarkoitusta. Esim. asiakasrekisteri tai työnhakijarekisteri.
Henkilötietojen käsittelyn tarkoitus
Rekisterin pitämisellä täytyy olla tarkoitus eikä henkilötietoja tulisi säilyttää ilman selkeää käyttötarkoitusperustetta. Käsittelyn perusteena voi olla esimerkiksi asiakas- tai palvelussuhteen hoitaminen, jäsenyys, markkinointi, palveluiden laadun kehittäminen.
Tässä kohdassa rekisteriselostetta voidaan myös mainita mahdollinen henkilötietojen käsittelyn ulkoistus. Eli mikäli sinulla on ulkopuolisia palveluntarjoajia, jotka käsittelevät henkilötietoja puolestasi tai joille luovutat käsittelyoikeuden, siitä tulisi mainita tässä.
Rekisterin tietosisältö
Tässä kohdassa tulisi kuvata mitä henkilötietoja rekisteriin voidaan tallettaa (huom. Tämä ei tarkoita, että niitä ehdottomasti talletettaisiin). Kuvauksessa henkilön yksilöintitiedot pitää eritellä, jos sellaisia talletetaan (esim. nimi, syntymäaika ja yhteystiedot).
Muilta osin tietosisällön kuvaamiseksi voi riittää tietotyyppien ja ryhmien kuvaus esim. Asiakkaan tekemät tilaukset, asiakkaan teknisten laitteiden tietojen tallennus, käyttötietoihin liittyvän informaation tallennus.
Säännönmukaiset tietolähteet
Mistä keräät tietosi? Eli kirjaa tähän ylös mistä paikoista saat säännönmukaisesti tietoja, esim. verkkosivuilla oleva tarjouspyyntölomake tai palvelun käytöstä kerääntyvät tiedot.
Tietolähteitä voi olla myös ulkopuoliset rekisterit, josta saat tietoja luovutuksina, esim. Palveluntarjoajat, jotka myyvät asiakastietoja. Huomaathan, että tässä tulee ilmoittaa peruste mikäli tietoja saa luovutuksena. Perusteena voi toimia esimerkiksi lain säännös tai rekisteröidyn oma suostumus.
Tietojen säännönmukaiset luovutukset
Henkilörekisterin tiedot ovat lähtökohtaisesti tarkoitettu vain sinun käyttöösi ja olet niistä vastuussa.
Mikäli luovutat henkilötietoja eteenpäin, siitä tulisi ilmoittaa ja samalla kertoa kenelle luovutat, miksi ja mitä tietoja luovutat. Luovutus on perusteltua joko rekisteröidyn suostumuksella tai lain säännöksellä. On yleistä, että rekisteröidyn suostumus saadaan siinä vaiheessa, kun hän esimerkiksi hyväksyy palvelun käyttöehdot.
Huomaathan kuitenkin, että luovuttaminen on eri asia, kuin esimerkiksi käsittelyn ulkoistaminen. Voit käyttää ulkopuolisia palveluntarjoajia tietojen käsittelyyn, mutta sinun ei useimmiten tarvitse luovuttaa tietojen käyttöoikeutta näille palveluntarjoajille.
Tietojen siirtäminen EU:n tai ETA:n ulkopuolelle
Rekisteriselosteessa tulisi myös mainita mikäli henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle. Mikäli näin tehdään, on hyvä tiedostaa onko kyseessä esim. Privacy Shield -järjestelyn alainen tietojen siirto, jolloin tietojen siirrossa ja käsittelyssä on sitouduttu noudattamaan tiettyjä pelisääntöjä.
Rekisterin suojauksen periaatteet
Rekisterinpitäjä on luonnollisesti vastuussa rekisteriselosteeseen kerättävien tietojen asianmukaisesta säilytyksestä. Sinun tulee siis kuvata miten aineisto on suojattu, onko käyttöoikeuksia rajattu organisaation sisällä ja miten tiedot on suojattu organisaation ulkopuolisilta. Kannattaa huomioida, että tässä ei kannata mennä yksityiskohtiin, jotka voisivat vaarantaa tietoturvan. Eli suosittelemme kuvaamaan asiat yleisellä tasolla.
Lisämateriaalia
Uudesta tietosuoja-asetuksesta löydät lisämateriaalia muun muassa täältä:
Puuttuuko artikkelista jotain? Haluaisitko tietää lisää tietosuoja-asetuksesta ja sen vaikutuksesta Isoltan käyttäjiin? Ota yhteyttä joko oikean alakulman chat-kuvakkeen kautta.
Artikkeli on kirjoitettu mukaillen eri tietolähteitä mm. Tietosuojavaltuutetun dokumentaatio. Isolta ei vastaa artikkelin lainmukaisuudesta, vaan suosittelemme varmistamaan asian joko lakimieheltä tai muulta viranomaistaholta.