12.7.2017

Seloste käsittelytoimista

ASIA
Tarkoittaako yleisen tietosuoja-asetuksen 30 artiklassa tarkoitettu velvoite ylläpitää selostetta käsittelytoimista käytännössä henkilötietolain mukaista rekisteri- tai tietosuojaselostetta?

Laatiiko tietosuojavaltuutetun toimisto tai Euroopan tietosuojavaltuutettu henkilötietojen käsittelytoimia koskevan selosteen lomakepohjan?

TIETOSUOJAVALTUUTETUN TOIMISTON VASTAUS
Yleisen tietosuoja-asetuksen 30 artiklan mukainen velvollisuus tarkoittaa, että rekisterinpitäjän ja henkilötietojen käsittelijän on dokumentoiva sen vastuulla olevat käsittelytoimet. Yleisen tietosuoja-asetuksen 30 artiklan 5 kohdan mukaan velvollisuus laatia seloste käsittelytoimista ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää paitsi, jos käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille tai vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin. Englanninkielinen termi "Records of processing activities" kuvaa asetuksen 30 artiklan mukaista velvoitetta jokseenkin paremmin kuin suomenkielinen käännös "Seloste käsittelytoimista".

Yleisen tietosuoja-asetuksen 30 artiklan mukainen velvollisuus laatia seloste käsittelytoimista liittyy osoitusvelvollisuuden toteuttamiseen, sillä johdanto-osan 82 kappaleen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Käsittelytoimet on dokumentoitava kirjallisesti mukaan lukien sähköisesti (TSA 30 art. 3 kohta).

Yleisen tietosuoja-asetuksen 30 artiklan mukaisen selosteen tietosisällöstä säädetään rekisterinpitäjän osalta 1 kohdan a–g alakohdassa sekä henkilötietojen käsittelijän osalta 2 kohdan a–d alakohdassa. Vertaamalla tätä tietosisältöä henkilötietolain 10 §:ssä säädettyyn rekisteriselosteeseen voidaan havaita, että henkilötietolain mukaisen rekisteriselosteen tietosisältö vastaa hyvin pitkälti yleisen tietosuoja-asetuksen mukaisen selosteen sisältöä.

Yleisen tietosuoja-asetuksen 30 artiklassa ei säädetä velvollisuudesta pitää selostetta "jokaisen saatavilla", kun taas henkilötietolain 10 §:n 2 momentin mukaan rekisteriseloste on pidettävä pääsääntöisesti jokaisen saatavilla. Rekisterinpitäjän tai henkilötietojen käsittelijän on pyydettäessä saatettava yleisen tietosuoja-asetuksen mukainen seloste valvontaviranomaisen saataville (TSA 30 art. 4 kohta).

Tietosuojavaltuutetun toimisto katsoo, että on mahdollista käyttää rekisteriselosteen kaltaista lomakepohjaa yleisen tietosuoja-asetuksen 30 artiklan mukaisen velvoitteen täyttämiseksi, kunhan tietosisältö on päivitetty vastaamaan kyseisen artiklan vaatimuksia.

Seloste voi olla esimerkiksi osa laajempaa tietosuojan toimintaperiaatteita koskevaa dokumentaatiota (vrt. TSA 24 art.). Seloste tulisi mieltää keskeiseksi osaksi osoitusvelvollisuuden toteuttamisessa. Tarkoituksena on, että dokumentaation pohjalta saa ajantasaisen kokonaiskuvan organisaation harjoittamasta henkilötietojen käsittelystä.

Kiinnitän huomiota siihen, että rekisteröityjen informoinnista säädetään erikseen yleisen tietosuoja-asetuksen 12–14 artiklassa. Tämä ohjaus ei koske tietosuoja-asetuksen mukaisen läpinäkyvyyden periaatteen tai informointivelvoitteen toteuttamista.

Koska yleinen tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä jokaisessa EU:n jäsenvaltiossa, tapahtuu asetuksen tulkinta myös EU:n jäsenvaltioiden yhteistyössä. Tätä varten tietosuojatyöryhmä WP 29 on tähän mennessä antanut neljä ohjetta yleisen tietosuoja-asetuksen tulkinnasta. Ohjeet ovat saatavilla tietosuojatyöryhmä WP29:n ja tietosuojavaltuutetun toimiston verkkosivuilta.

Tietosuojatyöryhmä WP 29 on perustettu henkilötietodirektiivi 95/46/EY 29 artiklalla ja se koostuu EU:n jäsenvaltioiden valvontaviranomaisen edustajista. Keväällä 2018 tietosuojatyöryhmä WP 29 muuttuu yleisessä tietosuoja-asetuksessa tarkoitetuksi tietosuojaneuvostoksi.

Päivitetty 23.11.2017. Lisätty: Tämä ohjaus ei koske tietosuoja-asetuksen mukaisen läpinäkyvyyden periaatteen tai informointivelvoitteen toteuttamista.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.