7. Tietosuojaselosteen malli ja rekisteröidyn informointi

Milloin, miten ja missä tietosuojasta täytyy kertoa? – Sisältö:

  • Lainmukaisen tietosuojaselosteen sisältö
  • Milloin ja miten tietosuojasta täytyy kertoa?
  • Millainen on yksitasoinen tietosuojaseloste?
  • Miten monitasoinen tietosuojaseloste tehdään kotisivuille?

Tietosuoja-asetuksen vaatimuksena on toimittaa rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa. 

Nykyaikana yhä useampi on huolissaan siitä, mitä tietoja heistä kerätään, ja mihin niitä käytetään. Huoli ei ole lainkaan turha, sillä tietosuojassa onkin usein puutteita.

On kuitenkin erittäin yleistä, että tietosuoja-asiakirjat eivät ole lain ja asetuksen mukaisia, vaikka asiat olisikin käytännössä hoidettu lainmukaisesti. Tavanomaista on, että tietosuojaselosteen mallia katsotaan jonkun muun (puutteellisesta) tietosuojaselosteesta.

Jos asiakirjoissa on puutteita, voi asiakas olettaa tietosuojan olevan retuperällä. Virheellinen käsitys voidaan helposti korjata asianmukaisten tietosuoja-asiakirjojen avulla.

Milloin ja miten tietosuojasta täytyy kertoa?

Henkilötietojen käsittelyssä läpinäkyvyys tarkoittaa sitä, että rekisteröity saa henkilötietojensa käsittelystä mahdollisimman kattavan ja ymmärrettävän kuvan.

Tietosuojaan liittyvät tiedot on myös esitettävä selkeästi erillään muusta tiedosta, kuten sopimusmääräyksistä tai yleisistä käyttöehdoista.

Informaatio koko käsittelyn ajan

Rekisteröityä informoidaan ennen käsittelyn aloittamista tai aloitushetkellä. 

Lisäksi rekisteröityä informoidaan tarpeen mukaan, erityisesti muutos- ja poikkeamatilanteissa. 

Velvoite toimittaa kirjallinen informaatio

Tiedot on toimitettava kirjallisesti, joko sähköisesti tai paperiversiona.

Rekisteröidyn täytyy löytää informaatio helposti (koko käsittelyn ajan).

Selkeä ja yksinkertainen kieli

Informaation on oltava selkeä, tiivis, tehokas, jotta rekisteröityä ei kuormiteta liialla tiedolla (ns. informaatioähky).

Kieliasun tulee olla kaikille rekisteröityjen ryhmille helposti ymmärrettävä ja iänmukainen.

Rekisteröidyn täytyy tietää käyttötarkoitus

Rekisteröidyn täytyy tietää mihin hänen tietojaan käytetään ja kenelle niitä mahdollisesti luovutetaan. 

Lisäksi rekisteröidyn täytyy saada tietoa siitä, miten tietoja luovutuksen jälkeen käsitellään.

Käsittelyn laajuus ja riskit

Rekisteröidyn täytyy ymmärtää käsittelyn riskit, säännöt, laajuus ja suojatoimet, sekä käsittelyn seuraukset.

Rekisteröidyn täytyy olla tietoinen käsittelytavoista, jotka voivat liittyä henkilötietojen suojaan liittyviin perusoikeuksiin ja vapauksiin.

Informaation on oltava rehellistä ja täsmällistä

Henkilötietojen käsittelystä annettu tieto ei saa olla harhaanjohtavaa. 

Henkilötietojen käsittelyä ei saa peitellä, eikä käsittelystä saa antaa tietoa valikoivasti, rekisteröityä manipuloivalla tavalla.

 

Informointi suullisesti

Rekisteröidyn pyynnöstä tiedot voidaan antaa suullisesti, edellyttäen että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Myös suullista tietoa voidaan antaa automatisoidusti.

Rekisteröidyn oikeudet

Rekisteröidylle on tietojen keräämisen yhteydessä kerrottava hänen oikeuksistaan, ja siitä miten hän voi oikeuksiaan käyttää. 

Oikeudet vaihtelevat käsittelyperusteen mukaan.

Kun on rekisterinpitäjä ensi kertaa yhteydessä rekisteröityyn, täytyisi rekisterinpitäjän antaa kaikkein tärkeimmät tiedot

Tärkeimpiä tietoja ovat:

  • henkilötietojen käsittelytarkoitusten yksityiskohdat
  • rekisterinpitäjän identiteetti
  • tieto rekisteröidyn oikeuksista
  • tiedot henkilötietojen käsittelyn merkittävimmästä vaikutuksesta tai käsittelystä, joka voi tulla rekisteröidylle yllätyksenä.

Jos rekisteröityyn ollaan ensimmäisen kerran yhteydessä esimerkiksi puhelimitse, nämä tiedot voidaan antaa puhelun aikana, ja loput tiedot muiden keinojen avulla.

Henkilölle voidaan esimerkiksi lähettää sähköpostilla tietosuojaseloste, tai linkki rekisterinpitäjän verkossa julkaisemaan monitasoiseen tietosuojaselosteeseen.

Kenelle tietosuojaseloste kuuluu tehdä, ja kuinka monta niitä tarvitaan?

Tietosuojaselosteita tehdään tarpeen mukaan useampi. Tarvittava määrä riippuu henkilötietoryhmien määrästä, sekä siitä voidaanko useita henkilötietoryhmiä yhdistää samaan tietosuojaselosteeseen.

Henkilötietoryhmällä tarkoitetaan rekisterissä olevien tietojen luokittelua käyttötarkoituksen ja kerättävien henkilötietojen mukaan.

Henkilötietoryhmiä voivat olla esimerkiksi:

  • työnhakijat
  • työntekijät
  • asiakkaat
  • potentiaaliset asiakkaat
  • kumppanit
  • alihankkijat
  • palveluntarjoajat
  • talkoolaiset
  • tavarantoimittajat
  • jäsenet jne.

Mitä tietosuojaselosteen kuuluu sisältää?

Linkeistä löydät kaikki informointivelvoitteen vaatimat tiedot:

Asianmukainen tietosuojaseloste sisältää kaikki informaatiovelvoitteen vaatimat tiedot.

 Lainmukaisen selosteen avulla vältät ongelmat viranomaisten ja rekisteröityjen kanssa.

Luotettava tietosuoja­seloste on myös markkinointi­valtti, sekä takuu luotettavuudestasi!

GDPR-asiakirja­paketti

Tämä tietosuojapaketti on tarkoitettu yritykselle, joka haluaa valmiit asiakirjat rekisteröidyn informointiin.

Hinta: 

  • 460 € +alv. 24 % kotisivuille asennettuna
  • 390 € +alv. 24 % ilman kotisivuasennuksia

Yksitasoinen tietosuojaseloste

Paperiversiona oleva tietosuojaseloste on aina yksitasoinen. Verkossa puolestaan voi käyttää monitasoista tietosuojaselostetta, jossa henkilö saa valita (klikkaamalla/linkistä) luettavakseen vain itseään koskevat tiedot. 

Yksitasoisessa tietosuojaselosteessa kaikki tiedot ovat samalla sivulla / samassa asiakirjassa, ilman linkityksiä alasivuille.

Jos samassa selosteessa on useita henkilötietoryhmiä, saattaa tekstin saaminen ymmärrettävään muotoon olla haasteellista. Siksi paperiversiona olevassa yksitasoisessa selosteessa suosituksena on, että selosteita laaditaan tarpeen mukaan useampi, eli eri tietoryhmille / henkilötietoryhmille omansa.

Tärkeintä on, että rekisteröity ymmärtää selvästi, mitä tietoja juuri hänestä kerätään, millä perusteella ja mihin hänestä kerättyjä tietoja käytetään. 

Asianmukaista on myös, että esimerkiksi työntekijöitä koskeva tietosuojaseloste ei ole esillä yrityksen verkkosivuilla. Ja että esimerkiksi markkinointisähköpostilistalle liittyvälle, ei anneta luettavaksi asiakirjaa, jossa on tiedot koko yrityksen henkilötietojen keräämisestä.

Yksitasoisen tietosuojaselosteen suurimmat ongelmat, jos samassa selosteessa on useita ryhmiä

Rekisteröity ei ymmärrä:

  • mitä henkilötietoja juuri hänestä kerätään
  • millä perusteella juuri hänen tietonsa kerätään
  • mihin tarkoituksiin juuri hänen tietojaan käytetään.
  • mihin juuri hänen tietojaan luovutetaan.
  • mitä oikeuksia juuri hänellä on.

Lisäksi rekisteröity saattaa joutua lukemaan paljon ylimääräistä tekstiä, joka ei koske häntä mitenkään.

Kuinka tehdä yksitasoinen tietosuojaseloste?

  1. Lue ensin ”Mitä tietosuojaselosteen kuuluu sisältää?”-otsikon alla olevat linkit (4 sinistä täppää). Tee tarvittaessa muistiinpanoja. Kartoita kokonaiskuva. 
  2. Mieti mitä henkilötietoja missäkin tilanteessa käsitellään, miten tiedot on saatu ja kenelle niitä luovutetaan ja miten niitä luovutuksen jälkeen käsitellään. Suunnitele rekisteröityjen ryhmät / tietoryhmät ja selosteiden määrä. 
  3. Tee otsikot. Otsikoista ei ole mitään varsinaisia määräyksiä, eli pääasia on että kieli on ymmärrettävää ja että rakenne on selkeä ja looginen. 
  4. Kirjoita tekstit otsikoiden alle. Voit tehdä raakaversion ensin vapaammin tai vaikka ranskakalaisilla viivoilla, eli laitat ensin muistiin kaikki tarvittavat asiat.
  5. Tarkasta ylläolevista linkeistä, onko kaikki tarpeelliset asiat kirjattu. Voitko lisätä puuttuvia tietoja jonkin otsikon alle (muista pysyä  otsikon aiheessa), vai tarvitsetko kokonaan uuden otsikon?
  6. Muotoile teksti. Lue myös muotoiluun ja esitystapaan liittyvät ohjeet linkeistä (ne siniset täpät edelleen).
  7. Jos selosteessasi on useita ryhmiä, tee vielä tarkastus, eli katso vielä yläpuolella oleva lista: ”Yksitasoisen tietosuojaselosteen suurimat ongelmat”. Jos löysit vastaavia virheitä, tee tarvittavat korjaukset.

”Jokaisen organisaation, jolla on verkkosivusto, pitäisi julkaista verkkosivustollaan tietosuojaseloste.”

”Tietosuojatyöryhmä suosittelee, että erityisesti tietosuojaselosteissa rekisteröidyille annettavien tietojen ryhmät tulisi yhdistää toisiinsa monitasoisesti sen sijaan, että kaikki selosteen tiedot esitettäisiin
näytöllä yhdellä kertaa.”

Lähde: Tietosuojatyöryhmä –  Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat , s. 8 ja 18.

Monitasoinen tietosuojaseloste kotisivuille

Esimerkki Tietosuojatyöryhmän suosittelemasta rakenteesta:

%d bloggaajaa tykkää tästä: