Kun laadin tietosuojaselostetta, mistä minä sen itse asiassa laadinkaan? Siinä kun pitää määritellä henkilörekisterin nimi. Vai pitääkö? Mikä se henkilörekisteri on? Eihän tietosuoja-asetus puhu enää henkilörekistereistä?
Näitä kysymyksiä moni saattaa pohtia. Olen törmännyt aika ajoin siihen, että tietosuoja-/rekisteriselostetta laaditaan jostain tietojärjestelmästä, esim. rekrytointijärjestelmästä. Eli henkilörekisteri = rekrytointijärjestelmä. Joskus näin voikin olla ja seloste on tällöin ihan riittävä, jos siinä puhutaan vain rekrytointijärjestelmästä.
Käytännössä kuitenkin usein tai lähes aina henkilörekisteriin liittyy myös muita välineitä, joissa ko. henkilötietojen käsittelyyn liittyen joko arkistoidaan, säilytetään tai vähintään väliaikaisesti käsitellään tietoa. Rekrytointiprosessissa tyypillisesti tällainen voisi olla vaikkapa soveltuvuusarvioinnit sisältävä mappiarkisto. Tai ansiovertailut / hakijavertailut, joita tulostetaan exceliin, kenties viedään johtoryhmään esiteltäväksi ja (toivottavasti) jossain vaiheessa joko tuhotaan tai säilytetään hyvin suojattuna.
Henkilörekisterihän ei muuten välttämättä sisällä lainkaan tietojärjestelmiä. Myös vaikkapa sähköpostiin tai paperilla vastaanotetut työhakemukset muodostavat henkilörekisterin.
Rajanvetoa, missä menee eri rekisterien rajat, ei ole missään laissa tai asetuksessa sanottu, eli sitä pitää pohtia tapauskohtaisesti. Joku voisi ajatella, että soveltuvuusarvioinneista tehtäisiin oma rekisteri. Ja näin voi hyvinkin olla. Siitä pitää sitten tehdä oma seloste.
Henkilörekisteri ei välttämättä sisällä lainkaan tietojärjestelmiä
Kun määrittelet jotain tiettyä henkilörekisteriä, lähde ajattelemaan henkilötietojen käsittelyn tarkoitusta. Eli mihin tarkoitukseen keräämme henkilötietoja ja miten niitä käsitellään? Ota huomioon koko prosessi:
- Minkälaisia käsittelijöitä prosessissa on?
- Kuka pääsee käsittelemään tietoja?
- Minkälaisia ulkopuolisia tahoja on mukana?
- Minkälaisia tietojärjestelmiä käytetään?
- Missä muissa välineissä henkilötietoa käsitellään (missä tahansa muodossa)?
- Ja tietysti ylipäänsä, mitä tietoa kerätään ja onko sille kaikelle tiedolle tarvetta?
Tällä ajattelulla saat kiinni, mihin liittyen olitkaan laatimassa sitä rekisteri- tai tietosuojaselostetta. Rekrytoinnin kohdalla rekisterin nimi voisi olla vaikkapa ”työnhakijarekisteri”, joka sisältää työhakemusten lisäksi soveltuvuusarviointiraportit, haastattelijoiden erikseen laatimat haastattelumuistiot (toivottavasti nämä on laadittu ja tallennettu vain rekryjärjestelmään, jos sellainen on käytössä), tulostetut työhakemukset (toivottavasti tuhotaan heti käytön jälkeen), erikseen laaditut ansiovertailut jne.
Määritellään, mihin tarkoitukseen henkilötietoja kerätään ja miten niitä käsitellään
Nyt tullaan sitten yhteen oleelliseen muutokseen verrattuna vanhaan lainsäädäntöön. Nykyinen henkilötietolaki vaatii (10 § Rekisteriseloste), että rekisteriselosteen on mm. sisällettävä ”kuvaus rekisterin suojauksen periaatteista”. Eli kuinka tiedot eri järjestelmissä tai muissa tallennusvälineissä on suojattu. Ja tämä rekisteriseloste on pidettävä jokaisen saatavilla.
Tietosuoja-asetus sen sijaan ei enää puhu rekisteriselosteesta (sen enempää kuin tietosuojaselosteestakaan), vaan että käsittelyä koskevat tiedot on toimitettava rekisteröidyille ”tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”. Toisekseen, tietosuoja-asetus ei enää vaadi, että edellä kuvattuun informaatioon olisi sisällytettävä tieto rekisterin suojaustoimenpiteistä.
Artiklassa 30 taas määritellään ”Seloste käsittelytoimista”, joka on toimitettava tietyissä tilanteissa tietosuojaviranomaiselle. Tämän selosteen on sisällettävä myös mahdollisuuksien mukaan yleinen kuvaus artikla 32 (”Käsittelyn turvallisuus”) kohdassa 1 tarkoitetuista teknisistä ja organisatorisista turvatoimista.
Meidän ei tarvitse siis julkisesti kertoa, miten rekisteri on suojattu, mutta tietosuojaviranomaiselle tämä tieto on tarvittaessa annettava. Oletettavasti, jotta viranomainen voi arvioida, kuinka hyvin asetuksen vaatimuksia toteutetaan. Hyvä muutos!
Tosin tullaan taas pieneen jippoon asetuksessa, eli asetuksen perusteissa, esim. kohdassa 39 mainitaan muun ohella ”Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista…”. Eli onko sitten kuitenkin kerrottava myös suojatoimista julkisesti?
Toivottavasti tuleva tietosuojalaki tai vähintään tietosuojaviranomaisen ohjeistus antaa tälle selvyyden.
Meidän ei tarvitse julkisesti kertoa, miten rekisteri on suojattu
PS. Vielä loppuun on tuotava esille, kun jotkut ovat tarttuneet termeihin ”rekisteriseloste” tai ”henkilörekisteri”, että eihän asetus näistä puhu, vaan siinä puhutaan vain henkilötiedoista ja rekisteröidyn informoinnista. No ei puhutakaan, mutta mielestäni voimme silti käyttää jo vakiintuneita termejä, joilla asiasta arkikielessä puhutaan.
Väittipä joku kerran, että pitäisi tehdä vain yksi kuvaus henkilötietojen käsittelystä koko organisaatiossa.
Fakta on kuitenkin se, että meillä on käytännössä erilaisia henkilörekistereitä ja niiden käyttötarkoitukset, tietosisällöt ym. vaihtelevat. On nimenomaan asetuksen mukaista selkeyttä tehdä näitä kuvauksia rekisterikohtaisesti.
Eli puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta (tai vaihtoehtoisesti tietosuojaselosteesta).
Ei kuitenkaan sekoiteta tätä artiklan 30 mukaiseen ”Selosteeseen käsittelytoimista”, joka on siis tietosuojaviranomaista varten tehtävä dokumentti.
Puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta tai tietosuojaselosteesta
Joko meni pää pyörälle? Toivottavasti ei!
Mikäli kaipaat selvyyttä asetuksen koukeroihin, osallistu tietosuojakoulutukseemme, niin pääset kärryille, mihin seikkoihin olisi syytä kiinnittää huomiota ja millä toimenpiteillä selätät asetuksen haasteet.
