Asiakastieto Media

Minkälaista dokumentaatiota henkilörekisterin ylläpito vaatii GDPR:n mukaan?

Blogi13.02.2018

Minkälaista dokumentaatiota henkilörekisterin ylläpito vaatii GDPR:n mukaan?

Uuden tietosuoja-asetuksen mukaan henkilörekisterinä pidetään jollain tavalla jäsenneltyä ja luokiteltua tietojoukkoa, josta voidaan poimia ja erotella tietoja halutuilla kriteereillä. Tietojoukko voi olla keskitetty, hajautettu tai jopa fyysisesti nippu eri tiedostoja, jos niiden käyttötarkoitus kuitenkin on sama. Yhteen ja samaan henkilörekisteriin voi sisältyä useita eri henkilötietoja.

Mitä tietoja tietosuojaselosteeseen tulee?

Henkilörekisteristä voi erotella tarpeen mukaan osittaisia rekistereitä esimerkiksi mainoskampanjoita varten. Kannattaa kuitenkin miettiä, miten ja missä tietoja jaellaan, jos tekee esimerkiksi Excel-taulukon henkilötiedoista ja lähettää eteenpäin vaikkapa alihankkijalle. Rekisterinpitäjä on vastuussa rekisterin huolellisesta käytöstä.
Tiettyä käyttötarkoitusta varten määritellystä rekisteristä tulee löytyä tietosuojaseloste, jos tietoja käsitellään säännöllisesti. Jokaisen rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista.

Asetuksen mukaan selosteen tulee pitää sisällään kaikki seuraavat tiedot:

1) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot
2) käsittelyn tarkoitukset
3) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä
4) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat
5) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto
6) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat
7) mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista

Ööö - siis mitä? Melkoista kapulakieltä. Käytännössä tämä tarkoittaa sitä, että tietosuojaselosteessa on kerrottava kuka on vastuussa henkilötietojen käsittelystä, ketkä tietoja käsittelevät, mitä tietoja kerätään ja mitä varten tietoja käsitellään sekä kuinka kauan tietoja säilytetään. Lisäksi pitää mainita, jos tietoja luovutetaan esimerkiksi yhteistyökumppaneille. Kannattaa myös kuvata, miten mahdollisia tietovuotoja vasten on varauduttu.

Milloin tarvitaan erillinen vaikutusten arviointi?

Joissain tapauksissa tarvitaan lisäksi erillinen vaikutusten arviointi. Jos tietojen tietyntyyppinen käsittely aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, on rekisterinpitäjän ennen käsittelyä toteutettava arviointi tietojen suunnitellun käsittelyn vaikutuksista henkilötietojen tietosuojalle. 
Tietosuojaa koskeva vaikutusten arviointi vaaditaan erityisesti tapauksissa joissa:

a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi,
b) laajamittainen käsittely, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin,
c) yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

Eli vaikutusten arvioinnin vaatimus koskettaa hyvin pientä osaa suomalaisistakin yrityksistä.
Teknisestä terminologiasta ja pykäläkielestä huolimatta uuden tietosuoja-asetuksen vaatimuksia ei kannata pitää tarpeettoman suurena mörkönä. Tärkeintä on, että asiat on pyritty kuvaamaan parhaalla mahdollisella tavalla. Riittää, että osoittaa miettineensä asiat oman organisaationsa eri henkilörekisterien kannalta kuntoon.

Lue lisää tietosuoja-asetuksesta, sen vaikutuksista ja mahdollisuuksista: www.asiakastieto.fi/gdpr

Rami Meling
Liiketoiminnan kehityspäällikkö
Suomen Asiakastieto Oy

Yhteyshenkilöt

Ville Kauppi

Ville Kauppi

Lehdistökontakti

PR and Communications Manager

ville.kauppi@asiakastieto.fi

+358102707504