Millainen on mallikelpoinen tietosuojaseloste ja muuta usein kysyttyä
Millainen on mallikelpoinen tietosuojaseloste? Miten tietosuojaseloste, rekisteriseloste ja tietosuojalauseke eroavat? Mitä tarkoittaa aktiivinen ja läpinäkyvä informointi? Vastaamme näihin ja muihin yleisimpiin kysymyksiin, joihin olemme tietosuojapalveluissa törmänneet.
1. Kumpi meidän pitää nimetä: tietosuojavastaava vai rekisteristä vastaava?
Kaikissa organisaatioissa on oltava rekisteristä vastaava henkilö. Yleensä tehtävä annetaan sellaiselle työntekijälle, joka käsittelee henkilötietoja päivittäin. Toisissa yrityksissä on nimitettävä rekisteristä vastaavan henkilön lisäksi tietosuojavastaava. Lue täältä mitä eroa näillä tehtävillä on ja millä aloilla tietosuojavastaavaa tarvitaan.
2. Miten rekisteriseloste, tietosuojaseloste ja tietosuojalauseke eroavat?
Rekisteriselostetta ja tietosuojaselostetta on alettu pitää synonyymeina, joten kumpaakin nimeä käytetään. Jos asetus edellyttää tietosuojavastaavan nimeämistä, julkaistaan usein erilliset rekisteri- ja tietosuojaselosteet. Silloin rekisteriselosteessa kerrotaan, millaisia tietoja yrityksen rekistereissä on, niiden käyttötarkoitus, suojaus, mahdolliset luovutukset, siirrot jne. sekä rekisteristä vastaavan henkilön tiedot. Tietosuojaselosteessa tiivistetään yrityksessä sovitut tietosuojakäytännöt (tietosuoja- ja tietoturvapolitiikka), rekisteröidyn oikeudet ja kerrotaan Tietosuojavastaavan yhteystiedot. Jompikumpi tai molemmat tehdään yrityksen sisäisen tietosuojadokumentaation pohjalta.
Tietosuojalausekkeita käytetään sopimusten yhteydessä. Ne ovat osa varsinaista sopimusta, tai sen liite, ja kertovat osapuolten velvoitteet, vastuut ja vastuuvapaudet henkilötietojen osalta. Tietosuoja-asetuksessa on valmiit vakiolausekkeet, joita voi hyödyntää. Jos henkilötietoja on paljon tai mukana on salassa pidettäviä, esim. potilastiedot, suosittelemme tekemään erillisen tietojenkäsittelysopimuksen. Tietosuoja-asetuksen vaikutuksesta sopimuksiin kerromme lisää täällä.
3. Mitä tietosuoja-asetuksessa säädetään tietosuojaselosteesta?
Asetuksessa ei säädetä tietosuojaselosteesta vaan rekisteripitäjän velvoitteesta informoida rekisteröityjä aktiivisesti ja läpinäkyvästi organisaation tietosuojakäytännöistä. Asetus kuitenkin määrittelee, mitä ja miten rekisteröidyille on kerrottava. Yrityksen tulee julkaista rekisteri- / tietosuojaseloste (tai molemmat), jossa tiivistetään koko henkilötietojen käsittely. Aivan kuten sisäinen tietosuojadokumentaatio, myös tietosuoja- / rekisteriselosteet on pidettävä ajan tasalla. Niissä tulee mainita mm.:
- rekisteriä ylläpitävä organisaatio, y-tunnus, yhteystiedot
- rekisteristä vastaava henkilö, ja miten häneen saa yhteyden
- tietosuojavastaavan nimi ja yhteystiedot, mikäli toimiala velvoittaa nimeämään tietosuojavastaavan
- rekisterin nimi, eli keitä silmällä pitäen se on laadittu
- henkilötietoryhmittäin, keiden henkilötietoja kerätään
- tietoryhmittäin, millaisia tietoja kerätään
- henkilötietojen käsittelyn tarkoitus
- mistä ja miten henkilötiedot saadaan, ja saadaanko ne rekisteröidyiltä vai muualta
- missä henkilötietoja säilytetään ja miten ne suojataan
- henkilötietojen säilytysaika
- keille tietoja luovutetaan
- siirretäänkö tietoja EU:n ja ETA-maiden ulkopuolelle, jos, perustelut siirrolle
- rekisteröityjen oikeudet
- miten rekisteröity voi toteuttaa oikeutensa
Asetus edellyttää, että tietosuoja- / rekisteriselosteessa on eritelty kaikki tiedot, joita henkilöistä kerätään tai jotka voidaan yhdistää luonnollisiin henkilöihin. Näitä ovat mm. luottokortti ja maksutiedot, jos tuote/palvelu maksetaan paikan päällä tai verkossa. Samoin ajanvarausjärjestelmien kautta kerättävät tiedot, etenkin jos palveluntarjoaja on muu taho. Muistakaa asiakkaiden ohella kaikki henkilötietoryhmät: kumppanit, alihankkijat, säännölliset tavarantoimittajat jne. Sama koskee rekrytoitavia ja työntekijöitä. Työntekijöistä kerättäviä tietoja ei välttämättä tarvitse laittaa julkiseen selosteeseen, ellei rekrytointi tapahdu verkossa tai työntekijöitä ole paljon. Ilmoittamisesta ei tosin ole mitään haittaakaan. HR-alalla työntekijöiden ja rekrytoitavien henkilötietojen käsittelyn käytännöt pitää mainita myös tietosuoja- / rekisteriselosteissa.
4. Millaiset ovat rekisteröityjen oikeudet?
Meillä on rekisteröityinä oikeus tietää millaisia tietoja meistä kerätään, mihin tarkoitukseen, saada omat tietomme (rekisteriote) koneellisesti luettavassa muodossa, oikaista meitä koskevia tietoja, rajoittaa niiden käyttöä esim. suoramarkkinointiin, siirtää tietoja järjestelmästä (yrityksestä) toiseen tai vaatia tietojen poistamista esim. yhteistyön tai sopimuksen päätyttyä. Samoin meillä on oikeus tehdä valitus valvontaviranomaisille. Valitus valvontaviranomaiselle vaatii aina painavan syyn. Valituksen syynä voi olla se, että organisaatio, jonka asiakas olet, rikkoo oikeuksiasi rekisteröitynä tai laiminlyö asetuksen velvoitteita.
5. Tietosuojaselosteessa on ilmoitettava rekisteröityjen oikeudet. Tarkoittaako se myös valitusoikeutta?
Kyllä. Valitusoikeus on oikeus siinä missä muutkin asetuksessa luetellut oikeudet.
6. Miten toteutetaan informointi ymmärrettävässä, tiiviissä ja selkeässä muodossa?
Siten, että tietosuojaseloste tiivistää yrityksesi henkilötietojen käsittelyn mahdollisimman selkeästi. Etene tekstissä loogisesti, yleisestä tiedosta yksityiskohtaiseen. Vältä kapulakieltä ja käytä sellaisia sanamuotoja, että varmasti saa selvää, millaista tietoa keräätte ja mitä varten. Asetus kun edellyttää, että seloste on muotoiltu helposti ymmärrettävään muotoon:
”Tietosuoja-asetuksessa velvoitetaan rekisterinpitäjiä arvioimaan myös, onko heidän antamansa informaatio kielen ja johdonmukaisuuden kannalta ymmärrettävää. Arvio tulisi tehdä potentiaalisen kohderyhmän kannalta. Tarkoituksena on, että kohderyhmään kuuluva keskivertohenkilö saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta. Ei riitä, että henkilötietojen käsittelyä koskevat tiedot ovat rekisteröidyn saatavilla, vaan tiedot on tarjottava rekisteröidylle ymmärrettävässä, tiiviissä ja selkeässä muodossa.”
”Tietosuoja-asetuksessa velvoitetaan rekisterinpitäjiä arvioimaan myös, onko heidän antamansa informaatio kielen ja johdonmukaisuuden kannalta ymmärrettävää. Arvio tulisi tehdä potentiaalisen kohderyhmän kannalta. Tarkoituksena on, että kohderyhmään kuuluva keskivertohenkilö saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta. Ei riitä, että henkilötietojen käsittelyä koskevat tiedot ovat rekisteröidyn saatavilla, vaan tiedot on tarjottava rekisteröidylle ymmärrettävässä, tiiviissä ja selkeässä muodossa.”
Eikö teiltä ei löydy selkokielisen, jäsennellyn selosteen laatijaa? Me autamme.
7. Millainen on läpinäkyvä informointi?
Läpinäkyvyydellä asetuksessa viitataan siihen, että julkisessa tietosuojaselosteessa annetaan realistinen kokonaiskuva yrityksen henkilötietojen käsittelystä ja sen vaikutuksista rekisterissä olevien tietosuojaan. Läpinäkyvän kokonaiskuvan antavassa tietosuojaselosteessa on vähintään 3. kysymyksen alla luetellut kohdat.
8. Miten aktiivinen informointivelvoite toteutetaan?
Aktiivinen informointi toteutetaan niin, että henkilötietojen käsittelystä kerrotaan vähintään organisaation verkkosivuilla. Tietosuoja- ja rekisteriselosteisiin liittyy vaatimus, että niiden pitää olla helposti saatavilla, nähtävissä, löydettävissä:
”[R]ekisterinpitäjän on toteutettava aktiivisia toimia antaakseen kyseiset tiedot rekisteröidylle tai aktiivisesti ohjattava rekisteröity tietojen sijaintipaikkaan. Rekisteröidyn ei pidä joutua etsimään tietoja muiden tietojen joukosta, kuten verkkosivuston tai sovelluksen käyttöehdoista.”
”[R]ekisterinpitäjän on toteutettava aktiivisia toimia antaakseen kyseiset tiedot rekisteröidylle tai aktiivisesti ohjattava rekisteröity tietojen sijaintipaikkaan. Rekisteröidyn ei pidä joutua etsimään tietoja muiden tietojen joukosta, kuten verkkosivuston tai sovelluksen käyttöehdoista.”
Se ei aina toteudu. Erään yrityksen pikaista päivitystä kaivannut tietosuojaseloste oli mutkikkaan linkkipolun takana: Yritys-sivulta piti klikata Historiaa, sieltä Toiminta, ja vielä kolmea klikkiä, ennen kuin tietosuojaseloste löytyi. Toisen yrityksen muuten erinomainen tietosuojakäytäntö oli kätketty Ajankohtaista -osioon. Kummankaan yrityksen menettely ei käy yksiin tietosuojalakien vaatimusten kanssa, vaikka toisessa oli nähnyt vaivaa niiden täyttämiseksi.
Tietosuojakäytäntöjen piilottaminen linkkilabyrinttiin syö yrityksen luottamusta. Pidä tietosuojakäytännöt ennemmin tyrkyllä kuin piilossa. Linkitä verkkosivuilla tietosuojaselosteeseen useammassa kohdassa. Footer, eli sivuston alaosa, on yksi totutuista paikoista, josta tietosuojalinkkejä osataan etsiä. Erillinen tietosuoja-osio toimii paremmin, kun organisaation täytyy julkaista sekä rekisteri- että tietosuojaselosteet. Tai, kun niitä julkaistaan useampia, esimerkiksi ratkaisu- tai kohderyhmittäin. Myös erilliseen tietosuoja-osioon kannattaa linkittää näkyvästi. Uutiskirjeen tai muun lomakkeen yhteydessä linkki tietosuojakäytäntöön on oltava senkin vuoksi, että asetus edellyttää kieltojen ja suostumusten hallintaa.
9. Onko tietosuojaseloste julkaistava yrityksen verkkosivuilla vai voiko sen toimittaa asiakkaan pyynnöstä?
Ehdottomasti julkaistava. Edellisistä vastauksista kävi ilmi, että yrityksellä on rekisterinpitäjänä aktiivinen informointivelvoite, joten tietosuojaseloste pitäisi viranomaisten mukaan ”julkaista verkkosivuilla yleisesti tunnetulla nimellä”, kuten tietosuoja- / rekisteriseloste. Voitte hyödyntää lisäksi tulostettuja selosteita, mikäli ne palvelevat tiettyjä rekisteröityjen ryhmiä paremmin. Fysikaalinen hoitola voi pitää ilmoitustaululla tulostettua tietosuoja- /rekisteriselostetta iäkkäämpiä ihmisiä, tai tietyn terveydellisen syyn vuoksi nettiä vähemmän käyttäviä varten.
Muistathan, että myös Työelämän tietosuojalakia (759/2004) on päivitetty, joten asetus vaikuttaa siihen, millaista tietoa työntekijöille ja rekrytoitaville on annettava.
10. Emoyhtiömme on Ruotsissa ja yrityksen kotisivut ruotsalaisella serverillä. Sivumme ovat ruotsiksi, englanniksi ja suomeksi. Voimmeko laittaa sivuiltamme linkin emoyhtiön rekisteriselosteeseen, joka on englanniksi?
Se ei oikein passaa. Asetuksessa on vaatimuksena selkokielisyys. Rekisteröidylle annettavan tiedon pitää olla ymmärrettävä ja selkeä ja saatavana sen maan virallisella kielellä, jossa yrityksellä on toimipaikka tai vakiintunutta toimintaa.
11. Onko tietosuojaselosteessa pakko mainita, missä järjestelmässä yrityksen henkilötietorekisteriä säilytetään?
Ei välttämättä. Jos henkilörekisterinne on staattinen, eli sitä ei ole integroitu mihinkään dataa keräävään ratkaisuun, ohjelman tai järjestelmän nimeä ei tarvitse mainita. Jos taas kyseessä on CRM, jonne verkkokävijöistä kertyy tietoa, ohjelmat / palveluntarjoajat tulee mainita. Sama pätee, kun siirrätte ja säilytätte edes osan henkilötiedoista EU:n tai ETA-alueen ulkopuolella. Monilla tunnetuilla palveluntarjoajilla, kuten Google, HubSpot, Salesforce, Mailchimp ja Citrix, on palvelimia EU:n ulkopuolella.
12. Kieltääkö GDPR asiakkaiden profiloinnin?
Asetus ei kiellä profilointia, mutta profiloinnista on ilmoitettava asiakkaille tietosuojaselosteessa. Profiloinnissa pitää ottaa huomioon asetuksen edellyttämä minimointivaatimus: rekisteröidyistä voi kerätä vain sopimusten, palvelujen toteuttamisen tai markkinoinnin kannalta välttämätöntä tietoa. Jos hyödynnätte eri kanavien dataa ja useimpia profilointikriteerejä, on hyvä miettiä mitkä tiedot ovat oikeasti tarpeen. Mikäli profilointi on osa automatisoitua päätöksentekoa, asia täytyy mainita tietosuojaselosteessa erityisen näkyvästi. Asiakkaalla tai muulla rekisteröidyllä on nimittäin oikeus ”olla joutumatta automaattisen päätöksenteon kohteeksi”, eli kieltää se omalta osaltaan
13. Millaisiin EU:n ulkopuolisiin maihin henkilötietoja voi siirtää?
EU-komission hyväksymiin maihin. Tämänhetkisen tiedon mukaan nämä maat ovat: Andorra, Argentiina, Färsaaret, Islanti, Israel, Jersey, Kanada, Mansaari, Norja, Sveitsi, Uruguay, Uusi-Seelanti. Yhdysvaltoihin liittyy rajoituksia. Tietoja voi siirtää ja säilyttää vain niiden yhdysvaltalaisten palveluntarjoajien puitteissa, jotka on hyväksytty EU:n ja Yhdysvaltain väliseen Privacy Shield -ohjelmaan. Voit tarkistaa täältä, kuuluuko palveluntarjoajasi ohjelman piiriin.
Tietojen siirto EU:n ja ETA-maiden ulkopuolelle ja kolmansiin maihin edellyttää, että siirrettävien henkilötietojen käsittely ”on sallittu Suomessa ja tietojen siirto täyttää tietosuoja-asetuksen V luvun ehdot”. Kummankin ehdon täyttymistä vaaditaan. Saman luvun artikla 49 sallii poikkeuksia tietyissä erityistilanteissa. Kun konserni tai yritys, jolla on toimintaa EU:n ulkopuolella, aikoo siirtää henkilötietoja rekisterinpitäjänä, kannattaa lukea nämä ohjeet. Henkilötietoja vastaanottavaa (käsittelijää) koskevat nämä ohjeet. Jos teillä on vaikea määritellä siirtääkö yrityksenne tieoja rekisterinpitäjänä, henkilötietojen käsittelijänä vai yhteisrekisterinpitäjänä, tämä ohje auttaa selvittämään roolit.
14. Lähetämme uutiskirjeet Mailchimpillaa, joka toimii Yhdysvalloissa sijaitsevilta palvelimilta. Pitääkö Mailchimp korvata eurooppalaisella ohjelmalla?
Ei tarvitse. Mailchimp kuuluu Privacy Shield-sopimuksen piiriin. Tietosuojaselosteessa on kuitenkin mainittava, että siirrätte henkilötietoja Yhdysvaltoihin, että se tapahtuu Privacy Shield- ohjelmaan kuuluvan palveluntarjoajan kautta ja palveluntarjoaja on Mailchimp.
15. Meillä on asiakasrekisteri pilvipalvelussa. Palveluntarjoaja toimii globaalisti. Miten selvitän, missä maassa asiakastietojamme säilytetään, tai onko pilvipalvelu EU:n ulkopuolella?
Pilvipalvelujen (datakeskus, konesali) maantieteellinen sijainti tai sijainnit kerrotaan palveluntarjoajan sopimusehdoissa. Lisäksi tietosuojaselosteissa, mikäli osa palvelusta tuotetaan EU:n ulkopuolelta. Esim. Googlen palvelut ja Salesforcen pilvipohjaiset ERP ja CRM-ratkaisut on hajautettu useissa maissa sijaitseville palvelimille. Jos asia on jäänyt epäselväksi, ole yhteydessä palveluntarjoajaan.
16. Yhteistyökumppani jakaa meille henkilötietoja projektien yhteydessä. Onko meillä velvollisuus ilmoittaa viranomaisille, jos näitä tietoja päätyy vahingossa väärin käsiin?
Ilmoitusvelvollisuus on rekisterinpitäjällä, joka tekee riskiarvion ja päättää, onko viranomaisilmoituksen tekeminen tarpeen. Kun käsittelette henkilötietoja kumppanin (rekisterinpitäjän) lukuun, ilmoitatte tapauksesta ensi tilassa kumppanille.
17. Koskeko asetus vain digitaalisisesti kerättyjä henkilötietoja?
Nimensä mukaisesti EU:n yleinen tietosuoja-asetus, samoin kuten Tietosuojalaki, koskevat kaikissa muodoissa olevia, myös manuaalisia henkilötietoja. Digitaaliseen ympäristöön on valmisteilla erillinen ePrivacy-direktiivi. EU:n sähköisen viestinnän tietosuoja-asetus, jolla varmistetaan perusoikeuksien ja -vapauksien ja erityisesti yksityiselämän kunnioittaminen, viestinnän luottamuksellisuus ja henkilötietojen suoja sähköisen viestinnän alalla. Kun ePrivacy astuu voimaan, sitä sovelletaan tietosuoja-asetuksen (GDPR) ja Tietosuojalain rinnalla.
18. Vaikuttaako tietosuojalaki tilapäisiin ja määräaikaisiin työntekijöihin?
Kyllä. Työntekijät ovat rekisteröityjä työsuhteen pituudesta riippumatta. Voitte ilmoittaa työntekijöitä koskevat tiedot verkkosivujen tietosuojaselosteessa, toimipaikan taukohuoneen seinällä tai ilmoitustaululla tai antaa tulostetun version työsopimusta tehdessä. Mikäli rekrytoitte verkossa ja keräätte työntekijöiden / rekrytoitavien tietoja verkkolomakkeella, näihin ryhmiin kuuluvien henkilötietojen käsittelystä on kerrottava tietosuojaselosteessa. Hakulomakkeessa pitää sitten olla linkki tietosuojaselosteeseen.
19. Onko yrityksiä, joihin tietosuojalakeja ei sovelleta?
Asetus ei pääsääntöisesti koske pöytälaatikkoyrityksiä. Jos harjoitetaan sivutoimista ja verovelvollista liiketoimintaa, asetusta on noudatettavaa.
20. Miten evästeistä tulisi ilmoittaa?
Evästeiden käyttötarkoituksesta on kerrottava ”selkeästi ja kattavasti”. Ilmoittakaa millaisia evästeitä käytätte, mihin tarkoitukseen ja miten kauan ne ovat voimassa. Osa evästeillä kerättävistä tiedoista, kuten IP-osoite tai muu laitetunniste, kuuluu asetuksen mukaan henkilötietoihin. Jos käytätte vain Google Analyticsia, riittää ”selkeä ja kattava” maininta tietosuojaselosteessa. Mikäli sivuilla on sosiaalisen median jakonappeja tai tietoja kerätään muilla ohjelmilla, kuten lomake- tai ajanvarauslisäosat, blogien kommentoinnin mahdollistavat palvelut tai viestintälisäosat, kannattaa tehdä erillinen evästeseloste. Mm. Facebook Messenger ja muut livechatohjelmistot sekä myynnin ja markkinoinnin automaatioratkaisut, joihin kuuluu chat / asiakaspalvelubotti, asentavat evästeitä.
21. Tarvitaanko evästeiden asentamiselle käyttäjän suostumus?
Tarvitaan. Siihen ei silti vaadita häiritseviä ponnahdusikkunoita. Tietosuojalait edellyttävät vain, että suostumus evästeille saadaan, ja että se saadaan mahdollisimman vaivattomasti. Käytännöt vaihtelevat maittain. Suomessa suostumukseksi riittää, että verkossa vieraileva kontrolloi laitteelle asennettavia evästeitä selaimensa asetusten kautta. Eri asia ovat mainostilaa myyvät isot mediatalot, jotka profiloivat sivuilla kävijöitä mainonnan kohdentamiseksi. Silloin on paikallaan näyttää sivuille saapuneelle valikko, josta voi estää haluamansa evästeet.
22. Pitääkö evästeistä ilmoittamisessa käyttää Cookiebotia?
Evästeiden yksilöimiseen ei vaadita Cookiebotin -tyyppistä palvelua. Sitä voi toki käyttää, jos haluatte selvittää tarkemmin mitä kaikkia evästeitä sivustonne hyödyntää. Cookiebot luo automaattisesti evästekartan. Niin kutsutulla perussivustolla evästeiden tunnisteita ei kuitenkaan kannata julkaista. Keskiverto verkkokäyttäjälle evästetaulukot eivät sano mitään. Mikäli ohjaatte kävijöitä sivuillenne ohjelmallisesti ostetun mainonnan kautta tai olette Google AdSense-kumppani, Cookiebotista on tietenkin hyötyä. Myös laajat sivustot, joihin on integroitu useampia evästeillä dataa kerääviä ratkaisuja hyötyvät Cookiebotista.
Ovatko organisaatiosi tietosuojaselosteet ajan tasalla? Pyydä meiltä arvio. Lue myös, miten tietosuoja-asetus vaikuttaa käytännössä.
Katrin-Kristiina on toimitusjohtajamme, jolla on kahden vuosikymmenen kokemus digialalta. Hän kouluttaa ja konsultoi tietosuojan ja markkinoinnin automaation haltuunotossa.
Oliko jutusta hyötyä? Jaa se muille.
Tilaa digityöläisten sisäpiiritieto!