Se­los­te kä­sit­te­ly­toi­mis­ta – mi­kä, ke­nel­le ja mik­si?

Seloste käsittelytoimista ja tietosuojaseloste voivat käsitteinä mennä helposti sekaisin. Molemmat ovat tietosuojalainsäädännön organisaatioilta edellyttämiä asiakirjoja, mutta ne toteuttavat erilaisia rekisterinpitäjälle asetettuja velvoitteita: seloste käsittelytoimista osoitusvelvollisuutta ja tietosuojaseloste informointivelvollisuutta.

Mikä on seloste käsittelytoimista?

Seloste käsittelytoimista on organisaation sisäiseen käyttöön tarkoitettu asiakirja, jonka tarkoituksena on osoittaa, että organisaatio noudattaa tietosuojavelvoitteitaan. Seloste toimii apuvälineenä organisaation suorittaman henkilötietojen käsittelyn hahmottamisessa, ja valvontaviranomainen, kuten Suomen tietosuojavaltuutettu, voi tarvittaessa arvioida käsittelytoimien lainmukaisuutta selosteen pohjalta.

Selosteeseen käsittelytoimista kirjataan käsittelytoimikohtaisesti muun muassa käsittelyn tarkoitus, tietojen mahdollinen luovuttaminen henkilötietojen käsittelijälle tai muulle taholle, tietojen mahdollinen siirtyminen EU:n/ETA:n ulkopuolelle sekä tietojen säilytysajat tai niiden määräytymisen perusteet.

Onko seloste käsittelytoimista pakollinen?

EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa ylläpitämään selostetta käsittelytoimista seuraavissa tilanteissa:

• organisaatio työllistää yli 250 työntekijää;
• henkilötietojen käsittely ei ole satunnaista;
• henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille; tai
• henkilötietojen käsittely kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.

Käytännössä kaikki organisaatiot käsittelevät säännöllisesti vähintään työntekijöidensä ja asiakkaidensa (yhteyshenkilöiden) henkilötietoja, ja ovat siten velvoitettuja selosteen laatimiseen työntekijöihin ja asiakkaiden (yhteyshenkilöihin) liittyvien käsittelytoimien osalta.

Käsittelytoimien dokumentointi kannattaa aina

Kaikkien organisaation suorittamien käsittelytoimien dokumentointi on hyödyllistä myös tilanteessa, joissa lainsäädäntö ei siihen suoraan velvoita.

Huolella laadittu seloste käsittelytoimista auttaa henkilötietojen käsittelyn kokonaisuuden hahmottamisessa sekä toimii pohjana muulle laadittavalle tietosuojadokumentaatiolle. Selostetta käsittelytoimista laadittaessa voidaan esimerkiksi havaita, että jonkin käsittelytoimen oikeusperusteena on rekisterinpitäjän oikeutettu etu, jonka edellyttämää tasapainotestiä ei ole vielä suoritettu. Lisäksi selosteen käsittelytoimista pohjalta voidaan helposti laatia tarvittavat tietosuojaselosteet rekisteröidyille rekisterinpitäjän informointivelvoitteen noudattamiseksi.

Lopuksi

Mikäli seloste käsittelytoimista on laatimatta tai kaipaa päivitystä, Lecklén asiantuntijat auttavat mielellään.

Anni Halinen

anni.halinen@leckle.fi