Sisältöön

Tietosuojaseloste - SecMeter

Ohita valikko
Ohita valikko

Tietosuojaseloste

Yritysturvallisuus > Tietosuoja
Ohita valikko
Tietosuojaseloste



EU:n asetuksen (EU) 2016/679) 30 artikla koskee selostetta käsittelytoimista. Artiklan mukaan jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.

EU:n tietosuoja-asetuksen 30 artiklan myötä yrityksen tulee laatia kirjallinen kuvaus niiden toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista. Seloste käsittelytoimista on organisaation sisäinen asiakirja. Rekisterinpitäjän tai henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyydettäessä saatettava seloste valvontaviranomaisen saataville.

Käsittelytoimia koskevaa selostetta ei ole tarkoitettu käytettäväksi suoraan rekisteröidyn informointiin, mutta sitä voidaan hyödyntää rekisteröidyille suunnatun informaation tuottamisessa.

Rekisteröidyn informoinnista on säädetty erikseen EU:n tietosuoja-asetuksen artikloissa 12, 13 ja 14. Tietosuojaseloste tai tietosuojailmoitus (Privacy Notice) on asiakirja, jolla yritys informoi rekisteröityjä henkilöitä esimerkiksi asiakkaita, työntekijöitä ja yhteistyökumppaneita siitä, miten heidän henkilötietojaan kerätään, käsitellään, säilytetään ja suojataan.
Ennen Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) voimaantuloa vuonna 2018 Suomen henkilötietolaki (523/1999) velvoitti rekisterinpitäjiä laatimaan rekisteriselosteen. Rekisteriseloste oli asiakirja, jossa kuvattiin henkilötietojen käsittelyn tarkoitus, rekisterin tietolähteet, suojausmenetelmät, tietojen mahdolliset luovutukset ja muut keskeiset käsittelyyn liittyvät seikat. Dokumentti oli suunnattu viranomaisvalvontaa ja rekisteröityjä varten, ja se ilmensi henkilötietolain keskeistä avoimuuden periaatetta.

Rekisteriselosteen laatiminen ja sen esillä pitäminen olivat pakollisia. Rekisterinpitäjän tuli varmistaa, että kuka tahansa saattoi tutustua selosteeseen ilman erityistä pyyntöä. Dokumentista tuli ilmetä muun muassa:

  • rekisterinpitäjän ja mahdollisen edustajan yhteystiedot
  • käsittelyn tarkoitukset
  • rekisteröityjen ryhmät ja näihin liittyvät tietoryhmät
  • tiedonluovutukset ja mahdolliset siirrot EU/ETA-alueen ulkopuolelle
  • rekisterin suojausperiaatteet

Vaikka termi rekisteriseloste esiintyy edelleen arkikielessä ja joissain vanhemmissa dokumenteissa, se on käsitteenä vanhentunut GDPR:n korvattua kansallisen henkilötietolain useilta osin. Nykyisin puhutaan tietosuojaselosteesta tai tietosuojailmoituksesta (privacy notice).

Tietosuojaseloste: GDPR:n mukainen avoimuuden väline
GDPR asetti entistä tiukemmat vaatimukset läpinäkyvyyden, informoinnin ja rekisteröidyn oikeuksien osalta. Tietosuojaseloste on keskeinen väline, jolla rekisteröityjä informoidaan henkilötietojen käsittelystä asetuksen artiklojen 13 ja 14 mukaisesti.

Selosteen on sisällettävä vähintään seuraavat tiedot:

  • rekisterinpitäjän ja tämän yhteyshenkilön yhteystiedot
  • käsittelyn tarkoitukset ja oikeusperusteet
  • henkilötietoryhmät ja rekisteröityjen ryhmät
  • tietojen vastaanottajat ja mahdolliset siirrot EU/ETA:n ulkopuolelle
  • tietojen säilytysajat
  • rekisteröidyn oikeudet (esim. oikeus tarkastaa tiedot, oikaista tai poistaa ne)
  • tiedot tietolähteistä, jos tietoja ei ole saatu suoraan rekisteröidyltä

Tietosuojatyöryhmän (nykyinen Euroopan tietosuojaneuvosto) ohjeessa WP260 rev.01 korostetaan, että informaatio on esitettävä selkeästi, ytimekkäästi ja erillään muusta sisällöstä, kuten sopimusehdoista. Verkkoympäristössä suositellaan monitasoista tietosuojaselostetta, jossa käyttäjä voi helposti navigoida eri tietosisältöjen välillä.

Tietojärjestelmäseloste on tekninen mutta olennainen dokumentti
Tietojärjestelmäseloste ei ole GDPR:n virallisesti nimeämä asiakirja, mutta se tukee asetuksen dokumentointivelvoitteita (mm. artiklat 5 ja 24), joissa rekisterinpitäjältä edellytetään osoitusvelvollisuutta tietosuojaperiaatteiden noudattamisesta.

Kyseessä on yrityksen sisäinen asiakirja, joka kuvaa, miten tietyssä tietojärjestelmässä käsitellään henkilötietoja teknisellä ja hallinnollisella tasolla. Tietojärjestelmäseloste auttaa osoittamaan, että henkilötietojen käsittely on suunniteltua, hallittua ja turvallista. Lisäksi se tukee vaatimuksia esimerkiksi seuraavissa standardeissa ja sääntelyissä:

  • ISO/IEC 27001: tietoturvallisuuden hallintajärjestelmä
  • NIS2-direktiivi: kyberturvallisuutta koskeva EU-direktiivi

Tietojärjestelmäseloste julkishallinnossa
Lain viranomaisten toiminnan julkisuudesta (621/1999, ns. julkisuuslaki) 18 § edellyttää, että viranomaiset laativat kuvaukset tietojärjestelmistään ja niistä saatavissa olevista julkisista tiedoista. Tämä toteutetaan tietojärjestelmäselosteella, jonka tarkoituksena on edistää tiedon saatavuutta ja julkisuuden periaatteita.

Tietojärjestelmäselosteen on sisällettävä tiedot siitä, mitä julkisia tai salassa pidettäviä asiakirjoja järjestelmässä käsitellään. Pelkkiä työkaluohjelmistoja (esim. tekstinkäsittely tai sähköposti) ei katsota julkisuuslain tarkoittamiksi tietojärjestelmiksi, mutta niissä tuotetut asiakirjat voivat tulla osaksi järjestelmää, jota laki koskee.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön