Mikä on tietosuojaseloste?
Tietosuojaselosteella tarkoitetaan kirjallista dokumenttia, jolla yritys informoi luonnollisia henkilöitä siitä:
- mitä henkilötietoja yritys kerää;
- miten yritys kerää henkilötietoja;
- miten yritys käsittelee henkilötietoja;
- miksi yritys kerää ja käsittelee henkilötietoja;
- miten yritys säilyttää henkilötietoja;
- miten yritys suojaa henkilötietoja; ja
- miten luonnolliset henkilöt voivat käyttää heille varattuja oikeuksia.
Käsittelemme tässä artikkelissa tietosuojaselosteita, ja vastaamme seuraaviin kysymyksiin:
- Mitä henkilötiedoilla ja henkilötietojen käsittelyllä tarkoitetaan?
- Miksi yrityksen pitää laatia tietosuojaseloste?
- Miten tietosuojaselostetta käytetään?
- Mikä tietosuojaselosteen merkitys on yritykselle?
Yleinen tietosuoja-asetus (GDPR)
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (Yleinen tietosuoja-asetus, GDPR) on tullut voimaan 25. toukokuuta 2018. Yleinen tietosuoja-asetus on Euroopan unionin jäsenvaltioissa sellaisenaan sovellettavaa oikeutta, jota täydentää kansallisesti tietosuojalaki (1050/2018).
Yleisen tietosuoja-asetuksen tarkoituksena on suojata luonnollisten henkilöiden henkilötietoja ja yksityisyyttä tilanteissa, joissa heidän tietojaan käsitellään esimerkiksi yksityisellä sektorilla. Yleistä tietosuoja-asetusta sovelletaan kaikkiin yrityksiin, joilla on luonnollisista henkilöistä, kuten yrityksen asiakkaista tai omasta henkilöstöstä, kerättyjä henkilötietoja.
Mitä henkilötiedoilla ja henkilötietojen käsittelyllä tarkoitetaan?
Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, joiden avulla luonnollinen henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötietoja ovat esimerkiksi:
- nimi;
- syntymäaika;
- henkilötunnus;
- yhteystiedot (puhelinnumero, sähköpostiosoite, postiosoite);
- sijaintitiedot; tai
- verkkotunnistetiedot, kuten IP-osoitteet.
Henkilötietojen käsittelyllä tarkoitetaan kaikkia toimintoja, jotka kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin. Henkilötietojen käsittelyyn liittyviä toimintoja ovat esimerkiksi henkilötietojen:
- kerääminen;
- tallentaminen;
- säilyttäminen;
- muokkaaminen;
- yhdistäminen; tai
- poistaminen.
Miksi yrityksen pitää laatia tietosuojaseloste?
Yleisen tietosuoja-asetuksen mukaisesti yritysten tulee käsitellä henkilötietoja lainmukaisesti, asianmukaisesti ja luonnollisten henkilöiden kannalta läpinäkyvästi. Henkilötietojen läpinäkyvä käsittely tarkoittaa muun muassa sitä, että yrityksen tulee täyttää tälle yleisessä tietosuoja-asetuksessa asetettu informointivelvollisuus.
Informointivelvollisuus tarkoittaa, että yrityksen tulee toimittaa luonnollisille henkilöille, kuten yrityksen asiakkaille tai omille työntekijöille, henkilötietojen käsittelyä koskevat tiedot läpinäkyvässä, helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä esitettynä. Henkilötietojen käsittelyä koskevat tiedot tulee toimittaa kirjallisesti tai tapauksen mukaan sähköisessä muodossa.
Yritys voi toteuttaa lakisääteisen informointivelvollisuuden tietosuojaselosteen avulla. Informointivelvollisuuden toteuttaminen on yleisen tietosuoja-asetuksen mukaan pakollista aina, kun yritys kerää ja käsittelee henkilötietoja.
Miten tietosuojaselostetta käytetään?
Tietosuojaselosteen helposti saatavilla oleva muoto tarkoittaa, että henkilötietojen käsittelyä koskevia tietoja ei pitäisi joutua etsimään, vaan kaikki tiedot tulisi asettaa kokonaisuudessaan saataville yhteen paikkaan.
Euroopan unionin Tietosuojatyöryhmän ohjeistuksen mukaisesti tietosuojaseloste tulisi julkaista sähköisessä muodossa yrityksen verkkosivustolle, jossa se on helposti esimerkiksi yrityksen asiakkaiden ja sidosryhmien saatavilla. Tietosuojaselosteiden julkaisemista yrityksen verkkosivustolle pidetään tavanomaisena käytäntönä, ja täältä tietosuojaselostetta yleensä etsitään ensimmäisenä. Mikäli yritykselläsi ei ole verkkosivustoa, tietosuojaseloste voidaan asettaa yrityksen liiketiloihin nähtäville esimerkiksi paperitulosteena.
Henkilötietojen käsittelyä koskevien tietojen antamista ainoastaan yrityksen verkkosivustolle julkaistavan tietosuojaselosteen avulla ei ole asianmukaista esimerkiksi silloin, jos yrityksen asiakkaalla ei ole pääsyä yrityksen verkkosivustolle. Tällöin yrityksen verkkosivustolle julkaistun tietosuojaselosteen rinnalla voidaan hyödyntää tietosuojaselosteen asettamista yrityksen liiketiloihin nähtäville esimerkiksi paperitulosteena.
Mikä tietosuojaselosteen merkitys on yritykselle?
Yrityksen johto vastaa aina viimekädessä siitä, että henkilötietoja käsitellään yleisen tietosuoja-asetuksen ja tietosuojalain mukaisesti. Tietosuojaseloste onkin olennainen osa yrityksen tietosuojakulttuuria, jonka avulla yritys voi:
- Toteuttaa yleisen tietosuoja-asetuksen lakisääteisen informointivelvollisuuden henkilötietojen käsittelyyn liittyen.
- Rakentaa luottamusta yrityksen asiakkaiden, työntekijöiden ja sidosryhmien keskuudessa avoimilla ja läpinäkyvillä tietosuojakäytänteillä.
- Edistää yrityksen riskienhallintaa, sillä tietosuojaselosteen laatiminen voi auttaa yritystä:
- tunnistamaan ja hallitsemaan tietosuojaan liittyviä riskejä; sekä
- varmistamaan, että yrityksen tietosuojaan liittyvät käytännöt ovat lainmukaisia.
- Välttää sakot, sillä yleisen tietosuoja-asetuksen säännösten rikkomisesta voidaan korjaavien toimenpiteiden lisäksi, tai niiden asemasta, määrätä hallinnollinen seuraamusmaksu.
- Suomessa hallinnollisen seuraamusmaksun voi määrätä Tietosuojavaltuutetun toimiston seuraamuskollegio kunkin yksittäisen tapauksen olosuhteiden ja kokonaisharkinnan perusteella.
- Seuraamuskollegion antamat sakot yleisen tietosuoja-asetuksen säännösten rikkomisesta ovat vaihdelleet tuhansista euroista aina kymmeniin ja jopa satoihin tuhansiin euroihin.
- Hallinnollinen seuraamusmaksu voi olla suuruudeltaan enintään 20 miljoonaa euroa, tai neljä prosenttia (4 %) yrityksen vuotuisesta globaalista kokonaisliikevaihdosta.