Mitä selosteessa käsittelytoimista tulee olla?
EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 30 edellyttää organisaatioiden pitävän yllä sisäistä rekisteriä, joka sisältää tiedot kaikista organisaation suorittamista henkilötietojen käsittelytoimista – selosteessa käsittelytoimista. Nämä tietueet auttavat organisaatioita ymmärtämään, mitä henkilötietoja heillä on kerätä, mistä ne tulevat ja miten niitä käsitellään.
Seloste käsittelytoimista (ROPA) on tehtävä kirjallisesti tai sähköisesti. Tarvittaessa valvontaviranomainen voi käyttää tietueita arvioidakseen organisaation vastuuvelvollisuutta. Tästä syystä pöytäkirja on pyynnöstä annettava valvontaviranomaisen saataville.
Seloste käsittelytoimista eivät ole vain muodollinen vaatimus, vaan ne sisältävät ydintiedot organisaation vaatimustenmukaisuuden hallintaan ja muun vaaditun dokumentaation, kuten tietosuojakäytännön, tietojenkäsittelysopimusten, tietojen säilytysaikataulujen jne., tuottamiseen.
Kenen on dokumentoitava selosteessa käsittelytoimista?
GDPR:n artiklan 30 mukaan yli 250 työntekijää työllistävien organisaatioiden on ylläpidettävä kaikkia käsittelytoimia koskevia tietoja. Pienten organisaatioiden tarvitsee vain dokumentoida käsittelytoimet, jotka:
- eivät ole satunnaisia (esim. ovat enemmän kuin vain yksittäistapauksia tai jotain, jota teet harvoin); tai
- aiheuttavat todennäköisesti riskin yksilöiden oikeuksille ja vapauksille (esim. jotain, joka saattaa olla häiritsevää tai vaikuttaa haitallisesti yksilöihin); tai
- sisältää erityisluokkatietoja tai rikostuomioita ja rikoksia koskevia tietoja (GDPR:n 9 ja 10 artiklan määritelmän mukaisesti).
Tämä tarkoittaa, että jos sinulla on asiakkaita ja/tai työntekijöitä, käsittelet heidän henkilötietojaan ajoittain ja säännöllisesti, joten sinun on pidettävä seloste käsittelytoimista.
Mitä tietoja seloste käsittelytoimistan tulee sisältää?
Jos organisaatiosi toimii rekisterinpitäjänä, GDPR:n artiklan 30 mukaan sinun on dokumentoitava ainakin seuraavat asiat:
- rekisterinpitäjän ja yhteisen rekisterinpitäjän (jos sellaisia on) nimi ja yhteystiedot;
- jos organisaatio on nimennyt tietosuojavastaavan, hänen nimensä ja yhteystiedot;
- käsittelyn tarkoitukset – mihin käytät henkilötietoja (asiakastuki, työllistäminen, markkinointi, tuotekehitys, myynti);
- rekisteröityjen luokat (esim. työntekijät, asiakkaat, myyjien yhteyshenkilöt);
- käsiteltyjen henkilötietojen luokat (esim. henkilötiedot, yhteystiedot, terveystiedot);
- henkilötietojen vastaanottajien luokat (esim. kumppanit, kolmannet osapuolet, viranomaiset, johto);
- tarvittaessa luettelo kolmansista maista tai kansainvälisistä järjestöistä, joille henkilötiedot siirretään;
- jos henkilötietoja siirretään kolmanteen maahan, siirron tiedot, mukaan lukien maan nimi ja muut tiedot siirron olosuhteista ja suojatoimista;
- mahdollisuuksien mukaan erilaisten henkilötietojen säilytysajat;
- kuvaus teknisistä ja organisatorisista turvatoimista (esim. salaus, työntekijöiden koulutus, asiakirjojen ja muiden henkilötietojen saatavuuden rajoitukset, anonymisointi).
GDPR:n artiklan 30 mukaan henkilötietojen käsittelijällä on myös pidettävä kirjaa tietojenkäsittelytoimista. Tässä tapauksessa tietueet sisältävät seuraavat tiedot:
- henkilötietojen käsittelijällän, sen rekisterinpitäjien ja alikäsittelijöiden nimet ja yhteystiedot;
- jos organisaatio on nimennyt oman tietosuojavastaavan, sen nimi ja yhteystiedot;
- categories of processing performed on behalf of the controller
- rekisterinpitäjän puolesta suoritetun käsittelyn luokat
jos henkilötietoja siirretään kolmanteen maahan, siirron tiedot, mukaan lukien maan nimi ja muut tiedot siirron olosuhteista ja suojatoimista; - kuvaus teknisistä ja organisatorisista turvatoimista (esim. salaus, henkilöstön koulutus, asiakirjoihin ja muihin henkilötietoihin pääsyn rajoittaminen, anonymisointi).
Miten luon seloste käsittelytoimista?
Tietueet on säilytettävä sähköisessä muodossa ja niitä on päivitettävä säännöllisesti. Jos organisaatiolla on velvollisuus nimittää tietosuojavastaava, velvollisuus pitää kartoitus seloste käsittelytoimista on tietosuojavastaavan vastuulla. Jos organisaatiolla ei ole nimettyä tietosuojavastaavaa, käsittelytoimien tietueiden seloste kartoittamista voi harkita myös työntekijä, jolla on asianmukainen pätevyys tällaisen toiminnan suorittamiseen.
Voit aloittaa kartoittamalla tietojärjestelmiä ja henkilötietoja saadaksesi selville, mitä tietoja organisaatiollasi on ja missä. On tärkeää, että eri sidosryhmät organisaatiostasi ovat mukana prosessissa. Tämä auttaa estämään kaikenlaisten henkilötietojen tai prosessien jäämisen huomiotta. Yhtä tärkeää on saada ylin johto mukaan, jotta kartoitusprojektisi saa tukea ja sen tärkeys välitetään kaikille mukana oleville sidosryhmille.
Kun sinulla on yleiskuva henkilötietojen määrästä ja niiden sijainneista, voit aloittaa seloste käsittelyn tietueiden kokoamisen. On sinun päätettävissäsi, kuinka teet tämän – laskentataulukossa tai nykyaikaisilla työkaluilla, mutta toivomme, että seuraavat kolme vaihetta auttavat sinua pääsemään helpommin lopputulokseen.
Tee kyselylomake seloste käsittelytoimista
Voit jakaa kyselyn sidosryhmien ja henkilötietoja käsittelevien osastojen kesken. Kysymykset voisivat olla:
- Mihin henkilötietoja käytetään?
- Keitä henkilötietoja kerätään?
- Mitä henkilötietoja heistä säilytetään?
- Kenelle nämä henkilötiedot jaetaan?
- Kuinka kauan näitä henkilötietoja säilytetään?
- Miten nämä henkilötiedot suojataan?
Haastattele sidosryhmiä
Laadi näiden tietojen perusteella kirjaa käsittelytoimista ja haastattele sidosryhmiä tietojen tarkentamiseksi ja prosessien ymmärtämiseksi paremmin.
Etsi olemassa oleva dokumentaatio
Jos jokin osa vaaditusta dokumentaatiosta oli jo olemassa yrityksessä, etsi se ja tutustu politiikkaan, menettelytapoihin ja sopimuksiin – tämä auttaa vertaamaan aiemmin tehtyä dokumentaatiota suunniteltuihin asiakirjoihin ja tunnistamaan mahdolliset epäjohdonmukaisuudet todellisen tilanteen kanssa.
On selvää, että seloste käsittelytoimista projekti ei ole helppo haaste. Se vaatii huomattavia aikaresursseja ja yhteistyötä sidosryhmien ja muiden asianosaisten kanssa. Tämän tehtävän yksinkertaistamiseksi olemme luoneet hyödyllisen työkalun – GDPR Register.
Ylläpidä seloste käsittelytoimistan sopimuksia tehokkaasti GDPR Register avulla
GDPR Regter-yn avulla voit tehdä seuraavat:
- järjestää kartoitusprojekti ja jakaa tehtäviä;
- koota nopeasti ja tehokkaasti seloste käsittelytoimista käyttämällä ammattimaisesti valmistettuja malleja;
- laatia rekisterin tietojenkäsittelysopimuksista ja linkittää ne seloste käsittelytoimintaa koskeviin asiakirjoihin;
- luoda raportteja muutamalla napsautuksella;
- rekisteröidä rekisteröidyn pyynnöt;
- pitää rekisteriä henkilötietojen loukkauksista;
- säilytä kaikki henkilötietoihin liittyvät asiakirjat suojatussa ympäristössä.
Lisää luettavaa tästä aiheesta: Tietojenkäsittelyn Oikeudellinen Perusta
