Villy Lindfelt, juristi
044 2358 211
villy.lindfelt@lakius.fi
Varaa maksuton alkukartoitus >
Milloin tulee laatia tietosuojaseloste?
Tietosuojaseloste (eng. privacy policy tai privacy statement) on se julkinen asiakirja, jolla rekisterinpitäjä kertoo rekisteröidyille, eli ihmisille, mitä tietoja heistä kerätään, miksi ja millaisin periaattein. Rekisterinpitäjä on se, joka määrää henkilötietojen käsittelyn tarkoitukset. Yleensä yritykset ja organisaatiot toimivat rekisterinpitäjinä esimerkiksi omien asiakas- tai työntekijätietojensa osalta. Henkilötietoa taas on kaikki tieto, joka voidaan liittää tunnistettuun tai tunnistettavissa olevaan henkilöön, kuten vaikkapa nimi, sähköpostiosoite ja valokuva.
Laatimalla ja pitämällä saatavilla tietosuojaselosteen rekisterinpitäjä täyttää tälle laissa, erityisesti EU:n yleisessä tietosuoja-asetuksessa (GDPR), säädettyjä informointivelvoitteitaan. EU:n yleinen tietosuoja-asetus tulee sovellettavaksi kun henkilötietoja käsitellään osittain tai kokonaan automaattisesti (esim. tietojärjestelmällä), sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Käytännössä jokainen yritys, jolla on työntekijöitä ja asiakkaita sekä jonkinlaisia tietojärjestelmiä taikka manuaalisia rekistereitä näitä koskevien tietojen hallintaan, toimii rekisterinpitäjänä. Niinpä tietosuojaselosteen laatimisvelvollisuuskin koskee melkeinpä jokaista yritystä.
Mitä tietosuojaselosteen tulee sisältää
Tietosuojaselosteen sisältö on johdettavissa EU:n yleisen tietosuoja-asetuksen 13 ja 14 artikloista. Lisäksi informointivelvoitteita täytettäessä on huomioitava myös asetuksen johdanto-osan kappaleen 39 mukaisesti rekisteröidyn oikeuksiin ja vapauksiin liittyvät riskit.
EU:n yleisen tietosuoja-asetuksen 13 ja 14 artiklojen perusteella tietosuojaselosteen tulisi sisältää seuraavat tiedot:
Rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot;
Tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot;
Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
Jos käsittely perustuu oikeutettuun etuun, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
Kyseessä olevat henkilötietoryhmät;
Henkilötietojen vastaanottajat tai vastaanottajaryhmät;
Tiedot tietojen siirrosta kolmansiin maihin ja tiedot käytettävistä suojatoimista (sis. tiedon komission tietosuojan riittävyyttä koskevasta päätöksen olemassaolosta tai puuttumisesta) ja keinot saada kopio tai tieto niiden sisällöstä;
Henkilötietojen säilyttämisaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
Rekisteröidyn oikeudet (oikeus saada pääsy henkilötietoihin, oikeus tietojen oikaisemiseen oikeus tietojen poistamiseen, oikeus käsittelyn rajoittamiseen, vastustamisoikeus, oikeus siirtää tiedot järjestelmästä toiseen);
Jos käsittely perustuu suostumukseen (tai nimenomaiseen suostumukseen), tieto oikeudesta peruuttaa suostumus milloin tahansa;
Oikeus tehdä valitus valvontaviranomaiselle;
Onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraamukset;
Tiedot siitä, mistä henkilötiedot on saatu sekä tarvittaessa siitä, onko tiedot saatu yleisesti saatavilla olevista lähteistä; ja
Tiedot automaattisen päätöksenteon, ml. profiloinnin olemassaolosta, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
EU:n yleisen tietosuoja-asetuksen 30 artiklan velvoitteiden perusteella tietosuojaselosteeseen usein vielä integroidaan seuraava tieto, jonka tulee sisältyä rekisterinpitäjän (sisäiseen) käsittelytoimia koskevaan selosteeseen:
Mahdollisuuksien mukaan yleinen kuvaus käsittelyn turvallisuuteen liittyvistä teknisistä ja organisatorisista turvatoimista.
Tietosuojaselosteiden sisällöstä ja niiden asianmukaisuudesta on jo ehtinyt muodostua oikeus- ja viranomaiskäytäntöä, joka on tarkentanut edellä mainittuja yleisiä sisältövaatimuksia. Näitä vaatimuksia on käsitelty Lakiuksen toisessa blogikirjoituksessa.
Miten tiedot tulee esittää tietosuojaselosteessa
Ei riitä, että tietosuojaseloste sisältää vaadittavat asiat. Tietosuojaselosteen laatimisessa tulee EU:n yleisen tietosuoja-asetuksen perusteella kiinnittää huomiota myös siihen, miten tiedot esitetään ja miten seloste pidetään saatavilla. Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Niinpä juridista jargonia tulisi tietosuojaselosteessa välttää, vaikka juristeja niiden kirjoittamisessa käytetäänkin. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa erityisesti siinä tilanteessa, kun henkilö antaa itseään koskevia tietoja.
Vanhan lain perusteella laadittiin rekisterikohtaisia rekisteriselosteita, mutta nyt yksi tietosuojaseloste voi jopa riittää ja ajaa asian – edellyttäen, että se on tarkoituksenmukaista ja tiedot voidaan esittää sillä helposti ymmärrettävässä muodossa. Jos kokonaisuus menee sekavaksi, voi olla perusteltua laatia useampia tietosuojaselosteita. Tilanteesta riippuen voi olla tarkoituksenmukaista laatia omat tietosuojaselosteet esimerkiksi työntekijöille, työnhakijoille ja asiakkaille. Suurilla yrityksillä voi edelleenkin olla jopa kymmeniä tietosuojaselosteita ja se voi olla täysin perusteltua ja tarkoituksenmukaista.
Miten tietosuojaselostetta tulee pitää saatavilla
Kun tietoja kerätään rekisteröidyltä itseltään, tietosuojaselosteen sisältämät tiedot tulisi toimittaa rekisteröidylle silloin, kun henkilötietoja tältä saadaan. Niinpä suositeltavia tapoja tietosuojaselosteen saatavilla pitämiselle:
Tietosuojaselosteesta tehdään oma sivu kotisivuille
Linkki tietosuojasivulle kotisivujen alatunnisteessa
Linkki tietosuojasivulle online-lomakkeiden (kuten yhteydenotto-, tilaus- ja rekisteröintilomakkeet), uutiskirjeen tilauslomakkeiden ja yhteystietosivujen yhteydessä
Linkki tietosuojasivulle sähköpostimarkkinointiviestien ala- tai ylätunnisteessa
Linkki tietosuojasivulle esim. “tervetuloa” tai “kiitos” viesteissä (rekisteröitymiset, työhakemusten vastaanottaminen, jne.)
Linkki tietosuojasivulle sovelluksen sisällä, pilvipalvelussa tai muussa vastaavassa
Tietosuojaseloste tulisi esittää selkeästi erillään muusta kuin tietosuojaan liittyvästä tiedosta, kuten sopimus- tai käyttöehdoista. Aktiivista tietosuojaselosteen toimittamista tai tarjoamista vaaditaan erityisesti esimerkiksi verkkolomakkeiden yhteydessä, joilla tietoja pyydetään, eli pelkkä linkki kotisivujen alatunnisteessa ei yleensä ole sellaisenaan kaikissa tilanteissa riittävä. Tietojen pilkkominen ja linkittäminen erillisiin dokumentteihin tai sivuihin on sallittua, ja toisinaan jopa suositeltavaa, mutta sen ei tulisi tehdä kokonaisuuden hahmottamisesta taikka eri osien ristiriitaisuuksien arvioinnista vaikeaa. Siitä syystä tietosuojaseloste olisi hyvä olla saatavilla myös yhtenä dokumenttina. Pikavalintavaihtoehtojen käyttö kotisivuilla suositeltavaa jatkuvan tiedon vierittämisen sijasta, mahdollisuuksien mukaan, ainakin silloin, kun tietosuojaseloste on laaja.
Selosteen päivittäminen
Tietosuojaselostetta ei tule tehdä laadi ja unohda -periaatteella, vaan se on asiakirja, jota todennäköisesti pitää päivittää aika ajoin. Yksi syy tähän voi olla muutokset toiminnassa ja henkilötietojen käsittelyssä. Toinen syy voi olla se, että laissa tapahtuu muutoksia. Kolmas, ja nyt jo ajankohtainen syy, on viranomais- ja oikeuskäytännössä syntyneet linjaukset tietosuojaselosteen sisältövaatimuksista – mikä katsotaan riittäväksi, mikä ei ja niin edelleen. Mahdollisia viranomais- ja oikeuskäytännöstä johtuvia tietosuojaselosteen päivitystarpeita on käsitelty toisessa blogikirjoituksessa, jonka voi lukea täällä.
Lue lisää, miten voimme auttaa tietosuojaan liittyvissä asioissa.
KIRJOITTAJA
Villy Lindfelt, LAKIUS
Juristi, OTM, KTM ja LL. M.
+358 44 2358 211
villy.lindfelt@lakius.fi
Villy Lindfeltillä on yli 10 vuoden kokemus yritysjuridiikasta niin lakimiehenä lakitoimistossa kuin yhtiöjuristina yrityksessä. Hänen osaamisalueitaan ovat sopimusoikeus, tietosuoja, työoikeus, sekä markkinointi-, immateriaali- ja teknologiaoikeuteen liittyvät asiat. Hän avustaa asiakkaitaan usein tietosuojaa koskevissa asioissa.