Tietosuojaseloste yritykselle, näin laadit sen lainmukaisesti

Näin laadit lainmukaisen GDPR-tietosuojaselosteen

EU:n yleinen tietosuoja-asetus GDPR edellyttää, että henkilölle, jonka henkilötietoja käsitellään (rekisteröidylle) annetaan tietyt GDPR:ssä säädetyt henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Tavallisesti henkilötietoja käsittelevä yritys eli rekisterinpitäjä täyttää tämän ns. informointivelvollisuutensa laatimalla tietosuojaselosteen, jossa nämä tiedot on ilmoitettu.

Lainmukainen tietosuojaseloste syntyy, kun yritys dokumentoi avoimesti ja ymmärrettävästi, mitä henkilötietoja se kerää, mihin tarkoitukseen ja millä oikeusperusteella. Keskeistä on myös kertoa, kuinka kauan tietoja säilytetään ja miten rekisteröity voi käyttää tietosuojalainsäädännön mukaisia oikeuksiaan. Huolellisesti laadittu seloste on paitsi lakisääteinen velvoite, myös strateginen viesti luottamuksen rakentamisessa niin asiakkaita, työntekijöitä kuin muitakin yhteistyökumppaneita kohtaan. Vaikka tietosuojaseloste onkin pakollinen dokumentti GDPR:n noudattamiseksi, yrityksen kannattaa suhtautua siihen ikään kuin edustavana käyntikorttina henkilötietojen käsittelyn läpinäkyvyydessä, joka viestii ammattitaidosta ja vastuullisuudesta henkilötietojen käsittelyssä.

Tietosuojaseloste on keskeinen osa GDPR:n vaatimaa osoitusvelvollisuutta, jonka mukaan yrityksen on pystyttävä osoittamaan ja todentamaan toimivansa lainmukaisesti. Puutteellinen tai suoraan toiselta verkkosivulta kopioitu tietosuojaseloste voi altistaa yrityksen tietosuojavalvontaviranomaisen seuraamuksille ja aiheuttaa luottamuspulaa rekisteröidyissä.

GDPR ja läpinäkyvyyden periaate

GDPR:n ytimessä on läpinäkyvyyden periaate. Se velvoittaa yrityksiä (rekisterinpitäjiä) informoimaan henkilöitä (rekisteröityjä) heidän henkilötietojensa käsittelystä selkeällä ja ymmärrettävällä tavalla. Tietosuojaseloste on ensisijainen keino tämän tiedonantovelvollisuuden täyttämiseksi. Sen avulla kerrotaan avoimesti, mitä tietoja kerätään ja miksi, mikä antaa rekisteröidyille mahdollisuuden ymmärtää ja hallita omia tietojaan.

Kenelle seloste laaditaan?

Vaikka tietosuojaseloste on julkinen, sen sisältö on räätälöitävä palvelemaan useita eri sidosryhmiä eli niitä henkilöryhmiä, joiden henkilötietoja yritys käsittelee. Sen tulee vastata eri henkilöryhmien tarpeisiin saada tietoja henkilötietojensa käsittelystä:

• Asiakkaat ja potentiaaliset asiakkaat: Heille seloste viestii, että heidän tietojaan käsitellään luottamuksellisesti ja vastuullisesti. Selkeä seloste rakentaa luottamusta yritykseen.
• Työntekijät: Yrityksen on laadittava oma selosteensa myös henkilöstön tietojen käsittelystä, mikä on olennainen osa luotettavan työnantajakuvan luomista.
• Yhteistyökumppanit ja sijoittajat: Erityisesti yritysten välisessä liiketoiminnassa ja yritysjärjestelyissä tietosuojaseloste toimii todisteena siitä, että yrityksen prosessit ovat kunnossa ja tietosuojaan liittyvät riskit on hallittu. Vastaavasti, jos tarvittavia tietosuojaselosteita ei ole ollenkaan laadittu tai ne on laadittu puutteellisesti, yritysjärjestelyssä ostajapuolen neuvonantaja varmasti nostaa asian neuvotteluissa käsiteltäväksi havainnoksi.
• Valvontaviranomainen: Tietosuojaviranomaiselle seloste on nopea tapa arvioida, onko yritys noudattanut GDPR:n mukaista informointivelvollisuuttaan. Vastaavasti, jos tarvittavia tietosuojaselosteita ei ole ollenkaan laadittu tai ne on laadittu puutteellisesti, tietosuojaviranomaiselle voi syntyä käsitys, ettei yritys ole noudattanut GDPR-velvollisuuksiaan, mikä saattaa altistaa yrityksen viranomaisen jatkotutkimuksille.

Rakenna seloste oikein: Nämä tiedot laki vaatii sinulta

Lainmukainen tietosuojaseloste ei ole vapaamuotoinen asiakirja, vaan sen sisällölle on asetettu yleisessä tietosuoja-asetuksessa (GDPR) tarkat vähimmäisvaatimukset. Nämä vaatimukset varmistavat, että seloste palvelee tarkoitustaan: se tarjoaa rekisteröidylle selkeän ja kattavan kuvan siitä, miten hänen tietojaan käsitellään. Huolellinen rakenne ei ainoastaan takaa lainmukaisuutta, vaan myös tekee dokumentista loogisen ja helposti lähestyttävän.

Tietosuojaselosteen pakolliset elementit

Varmista, että tietosuojaselosteesi kattaa vähintään seuraavat GDPR:n artiklojen 13 ja 14 mukaiset tiedot.

• Rekisterinpitäjän ja tämän edustajan yhteystiedot: Kuka on juridisesti vastuussa tietojen käsittelystä? Ilmoita yrityksesi virallinen nimi, Y-tunnus ja yhteystiedot.
• Yhteyshenkilön tai tietosuojavastaavan (DPO) yhteystiedot: Keneen rekisteröity voi olla yhteydessä tietosuojaa koskevissa kysymyksissä?
• Henkilötietojen käsittelyn tarkoitukset: Miksi keräätte tietoja? Kuvaa selkeästi ja liiketoimintalähtöisesti, mihin tarkoitukseen tietoja käytetään – esimerkiksi asiakassuhteen hoitamiseen, markkinointiin tai palvelun toimittamiseen.
• Käsittelyn oikeusperuste: Mikä antaa yrityksellesi oikeuden käsitellä tietoja? Yleisimpiä perusteita ovat sopimus, suostumus, lakisääteinen velvoite tai rekisterinpitäjän oikeutettu etu. Oikeutettu etu henkilötietojen käsittelyperusteena edellyttää, että rekisterinpitäjä on lisäksi toteuttanut ns. oikeutetun edun tasapainotestin, jossa rekisterinpitäjän tai kolmannen osapuolen intressiä tietojenkäsittelyyn punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten. Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on jokin merkityksellinen suhde, kuten asiakassuhde tai potentiaalinen asiakassuhde.
• Käsiteltävät henkilötietoryhmät: Mitä konkreettisia tietoja keräätte? Esimerkiksi nimi- ja yhteystiedot, asiakkuuteen liittyvät tiedot tai verkkosivuston käytöstä kerätyt tekniset tiedot.
• Tietojen säilytysaika tai sen määrittämiskriteerit: Kuinka kauan tietoja säilytetään? Määrittele säilytysaika selkeästi tai kerro periaatteet, joiden mukaan se määräytyy. Tämä viestii suunnitelmallisesta tiedonhallinnasta.
• Tietojen vastaanottajat tai vastaanottajaryhmät: Luovutetaanko tietoja yrityksen ulkopuolelle? Ilmoita, jos tietoja jaetaan esimerkiksi palveluntarjoajille, kuten IT-järjestelmien toimittajille tai markkinointikumppaneille.
• Tietojen siirto EU/ETA-alueen ulkopuolelle: Jos tietoja siirretään kolmansiin maihin, on selosteessa mainittava siirron oikeusperuste ja käytetyt suojatoimet.
• Tieto automaattisen päätöksenteon, ml. profiloinnin olemassaolosta: Jos henkilötiedot ovat automaattisen päätöksenteon kohteena, on selosteessa annettava merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
• Henkilötietojen antamisen pakollisuus: Yrityksen saadessa henkilötietoja rekisteröidyltä, sen tulee ilmoittaa, onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus tai sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot. Lisäksi on ilmoitettava, mitkä ovat mahdolliset seuraamukset tällaisten tietojen antamatta jättämisestä. Esimerkiksi verkkolomakkeilla tulisi selkeästi esittää, mitkä tiedot ovat pakollisia ja mitkä vapaaehtoisesti annettavia.
• Tieto siitä, mistä henkilötiedot on saatu: Rekisteröidylle tulisi ilmoittaa nimenomainen tietolähde, jollei se ole mahdotonta.
• Rekisteröidyn oikeudet: Kerro selkeästi rekisteröidyn oikeuksista, kuten oikeudesta tarkastaa, oikaista ja poistaa tietonsa, sekä oikeudesta vastustaa tai rajoittaa käsittelyä.
• Oikeus tehdä valitus valvontaviranomaiselle: Mainitse rekisteröidyn oikeudesta tehdä valitus tietosuojavaltuutetun toimistolle, jos hän katsoo tietojenkäsittelyn rikkovan lainsäädäntöä.

Yleisimmät haasteet ja miten vältät ne

Huolellisesti laadittu tietosuojaseloste on tehokas työkalu, mutta sen arvo mitätöityy, jos toteutuksessa sorrutaan yleisiin virheisiin. Nämä virheet eivät ainoastaan aiheuta riskiä lain noudattamatta jättämisestä, vaan ne heikentävät juuri sitä luottamusta, jota selosteella pyritään rakentamaan. Tunnistamalla nämä sudenkuopat etukäteen varmistat, että dokumenttisi on paitsi lainmukainen, myös aidosti toimiva.

Epäselvä ja vaikeaselkoinen kieli

Yksi yleisimmistä virheistä on kirjoittaa seloste juridisella ammattikielellä, jota tavallinen lukija ei ymmärrä. GDPR edellyttää, että tiedot annetaan tiiviisti, avoimesti, helposti ymmärrettävässä ja saatavilla olevassa muodossa. Vaikeaselkoinen teksti ei täytä tätä vaatimusta ja antaa yrityksestä kuvan, joka pyrkii piiloutumaan monimutkaisten lauseiden taakse. Käännä juridinen kieli selkeiksi kuvauksiksi, jotka vastaavat rekisteröidyn kysymykseen: ”Mitä tämä tarkoittaa minulle?”.

Kopiointi ilman soveltamista

Valmiin mallipohjan tai toisen yrityksen selosteen suora kopioiminen on helppoutensa vuoksi houkuttelevaa, mutta vaarallista. Tietosuojaselosteen on aina kuvastettava yrityksesi todellisia henkilötietojen käsittelytoimia. Jos kopioitu seloste ei vastaa yrityksesi prosesseja, se antaa virheellisen kuvan toiminnastanne ja on käytännössä arvoton. Se ei suojaa yritystäsi, vaan luo ainoastaan väärän turvallisuudentunteen. Jokainen seloste on räätälöitävä vastaamaan organisaation yksilöllistä henkilötietojen käsittelytoimintaa. Tyypillisesti rekisterinpitäjälle lähettämässään selvityspyynnössä tietosuojaviranomainen pyytää rekisterinpitäjää toimittamaan tietosuojaselosteensa viranomaiselle tutkittavaksi. Jos sitten tarkemmassa selvityksessä paljastuu, että rekisterinpitäjä on käsitellyt henkilötietoja tosiasiassa eri tavalla kuin mitä tietosuojaselosteessa on ilmoitettu, tämä informointivelvoitteen laiminlyönti altistaa rekisterinpitäjän GDPR-seuraamuksille.

Puutteellinen kuvaus säilytysajoista

Epämääräiset lauseet, kuten ”säilytämme tietoja niin kauan kuin on tarpeen”, eivät täytä lain vaatimuksia. Yrityksen on kyettävä perustelemaan ja määrittelemään, kuinka kauan eri tarkoituksiin kerättyjä tietoja säilytetään. Määrittele konkreettiset säilytysajat (esimerkiksi kirjanpitolain vaatimat kuusi vuotta sellaisille henkilötiedoille, joiden säilyttämistä edellytetään kirjanpitolaissa) tai kerro selkeät kriteerit, joiden perusteella säilytysaika määräytyy. Tämä osoittaa, että yritykselläsi on hallittu elinkaarimalli datalle.

Suomen tietosuojaviranomainen Tietosuojavaltuutetun toimisto on eräässä valvontaratkaisussaan todennut, että kyseisessä tapauksessa rekisterinpitäjän esittämällä tavalla kirjanpitolakia ei voinut käyttää perusteena säilyttää sellaisia henkilötietoja, joiden säilyttämistä ei edellytetä kirjanpitolaissa. Näin ollen organisaatioilla on velvollisuus aidosti tunnistaa kuhunkin henkilötietoon kohdistuvat säilytysajat.

Unohtunut päivitysvelvollisuus

Liiketoiminta elää ja muuttuu: otatte käyttöön uusia järjestelmiä, aloitatte uudenlaista markkinointia, muutatte toimintaprosessejanne tai vaihdatte henkilötietojanne käsitteleviä palveluntarjoajia tai alihankkijoita. Tietosuojaseloste ei ole kertaluonteinen projekti, vaan elävä asiakirja, jota on päivitettävä säännöllisesti vastaamaan toiminnan muutoksia. Vanhentunut, vääriä tietoja sisältävä seloste on yhtä kuin virheellinen seloste. Määrittele yrityksellesi säännöllinen tarkistusväli, esimerkiksi vuosittain, ja päivitä dokumentti aina, kun henkilötietojen käsittelyssä tapahtuu olennaisia muutoksia. Olennaisista muutoksista tietosuojaselosteeseen tulisi tiedottaa rekisteröidylle esimerkiksi sähköpostitse.

Kun seloste on valmis – julkaisu, päivitystarpeet ja vastuut

Tietosuojaselosteen laatiminen on kriittinen vaihe, mutta työ ei pääty siihen. Jotta dokumentti täyttäisi lakisääteisen tehtävänsä ja toimisi tehokkaana luottamuksen rakentajana, sen elinkaaren hallinta on vähintään yhtä tärkeää. Asianmukainen julkaisu, jatkuva ylläpito ja selkeät sisäiset vastuut muuttavat staattisen asiakirjan dynaamiseksi osaksi yrityksen vastuullista liiketoimintaa.

Helppo saatavuus on lain ja luottamuksen edellytys

Laki edellyttää, että tietosuojaseloste on helposti rekisteröityjen saatavilla. Käytännössä tämä tarkoittaa, että se tulee sijoittaa näkyvälle ja loogiselle paikalle, josta kuka tahansa voi löytää sen vaivattomasti. Vakiintuneita ja suositeltavia paikkoja ovat:

• Verkkosivuston alatunniste (footer): Tämä on yleisin ja odotetuin paikka, josta käyttäjät etsivät selostetta.
• Yhteydenottolomakkeiden yhteydessä: Aina kun keräät henkilötietoja esimerkiksi uutiskirjeen tilaamista tai yhteydenottoa varten, linkitä selosteeseen lomakkeen läheisyydessä.
• Sopimusehdoissa ja palvelukuvauksissa: Jos palvelusi edellyttää henkilötietojen käsittelyä, viittaa selosteeseen ja linkitä siihen osana sopimusehtoja.

Aktiivinen ja avoin sijoittelu ei ole vain velvollisuus, vaan se viestii proaktiivisesti yrityksesi sitoutumisesta läpinäkyvyyteen.

Vastuun määrittäminen varmistaa jatkuvuuden

Kuka yrityksessänne vastaa tietosuojaselosteen ajantasaisuudesta? Jos vastausta ei ole, dokumentti unohtuu väistämättä. On olennaista nimetä vastuuhenkilö tai -tiimi, jonka tehtävänä on huolehtia selosteen ajantasaisuudesta. Tämä vastuu ei kuulu ainoastaan lakiosastolle tai tietosuojavastaavalle, vaan se on johdon ja liiketoiminnan yhteinen tehtävä. Kun vastuut ovat selvät, tietosuojaselosteesta tulee luotettava ja strateginen väline, joka tukee liiketoimintaa ja osoittaa sitoutumisenne vastuulliseen datankäsittelyyn kaikissa tilanteissa.

Tarvitsetko apua GDPR:n mukaisen tietosuojaselosteen laatimisessa?

Applexilla on runsaasti kokemusta GDPR:n mukaisten tietosuojaselosteiden laatimisesta niin suomeksi kuin englanniksi satojen tietosuojaselosteiden edestä. Olemme laatineet lukuisia tietosuojaselosteita esimerkiksi seuraavia henkilörekistereitä koskien: asiakas- ja sidosryhmärekisteri, uutiskirje- ja markkinointirekisteri, henkilöstö-/työntekijärekisteri, työnhakijarekisteri, yhdistyksen jäsenrekisteri, ja kameravalvontarekisteri.

Mikäli organisaatiosi tarvitsee apua GDPR:n mukaisen tietosuojaselosteen laatimisessa, asiantuntijamme auttavat mielellään!