Kun laadin tietosuojaselostetta, mistä minä sen itse asiassa laadinkaan? Siinä kun pitää määritellä henkilörekisterin nimi. Vai pitääkö? Mikä se henkilörekisteri on? Eihän tietosuoja-asetus puhu enää henkilörekistereistä? Näitä kysymyksiä moni saattaa pohtia. Olen törmännyt aika ajoin siihen, että tietosuoja-/rekisteriselostetta laaditaan jostain tietojärjestelmästä, esim. rekrytointijärjestelmästä. Eli henkilörekisteri = rekrytointijärjestelmä. Joskus näin voikin olla ja seloste on tällöin ihan riittävä, jos siinä puhutaan vain rekrytointijärjestelmästä. Käytännössä kuitenkin usein tai lähes aina henkilörekisteriin liittyy myös muita välineitä, joissa ko. henkilötietojen käsittelyyn liittyen joko arkistoidaan, säilytetään tai vähintään väliaikaisesti käsitellään tietoa. Rekrytointiprosessissa tyypillisesti tällainen voisi olla vaikkapa soveltuvuusarvioinnit sisältävä mappiarkisto. Tai ansiovertailut / hakijavertailut, joita tulostetaan exceliin, kenties viedään johtoryhmään esiteltäväksi ja (toivottavasti) jossain vaiheessa joko tuhotaan tai säilytetään hyvin suojattuna. Henkilörekisterihän ei muuten välttämättä sisällä lainkaan tietojärjestelmiä. Myös vaikkapa sähköpostiin tai paperilla vastaanotetut työhakemukset muodostavat henkilörekisterin. Rajanvetoa, missä menee eri rekisterien rajat, ei ole missään laissa tai asetuksessa sanottu, eli sitä pitää pohtia tapauskohtaisesti. Joku voisi ajatella, että soveltuvuusarvioinneista tehtäisiin oma rekisteri. Ja näin voi hyvinkin olla. Siitä pitää sitten tehdä oma seloste. Henkilörekisteri ei välttämättä sisällä lainkaan tietojärjestelmiä Kun määrittelet jotain tiettyä henkilörekisteriä, lähde ajattelemaan henkilötietojen käsittelyn tarkoitusta. Eli mihin tarkoitukseen keräämme henkilötietoja ja miten niitä käsitellään? Ota huomioon koko prosessi:
Tällä ajattelulla saat kiinni, mihin liittyen olitkaan laatimassa sitä rekisteri- tai tietosuojaselostetta. Rekrytoinnin kohdalla rekisterin nimi voisi olla vaikkapa "työnhakijarekisteri", joka sisältää työhakemusten lisäksi soveltuvuusarviointiraportit, haastattelijoiden erikseen laatimat haastattelumuistiot (toivottavasti nämä on laadittu ja tallennettu vain rekryjärjestelmään, jos sellainen on käytössä), tulostetut työhakemukset (toivottavasti tuhotaan heti käytön jälkeen), erikseen laaditut ansiovertailut jne. Määritellään, mihin tarkoitukseen henkilötietoja kerätään ja miten niitä käsitellään Nyt tullaan sitten yhteen oleelliseen muutokseen verrattuna vanhaan lainsäädäntöön. Nykyinen henkilötietolaki vaatii (10 § Rekisteriseloste), että rekisteriselosteen on mm. sisällettävä "kuvaus rekisterin suojauksen periaatteista". Eli kuinka tiedot eri järjestelmissä tai muissa tallennusvälineissä on suojattu. Ja tämä rekisteriseloste on pidettävä jokaisen saatavilla. Tietosuoja-asetus sen sijaan ei enää puhu rekisteriselosteesta (sen enempää kuin tietosuojaselosteestakaan), vaan että käsittelyä koskevat tiedot on toimitettava rekisteröidyille "tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä". Toisekseen, tietosuoja-asetus ei enää vaadi, että edellä kuvattuun informaatioon olisi sisällytettävä tieto rekisterin suojaustoimenpiteistä. Artiklassa 30 taas määritellään "Seloste käsittelytoimista", joka on toimitettava tietyissä tilanteissa tietosuojaviranomaiselle. Tämän selosteen on sisällettävä myös mahdollisuuksien mukaan yleinen kuvaus artikla 32 ("Käsittelyn turvallisuus") kohdassa 1 tarkoitetuista teknisistä ja organisatorisista turvatoimista. Meidän ei tarvitse siis julkisesti kertoa, miten rekisteri on suojattu, mutta tietosuojaviranomaiselle tämä tieto on tarvittaessa annettava. Oletettavasti, jotta viranomainen voi arvioida, kuinka hyvin asetuksen vaatimuksia toteutetaan. Hyvä muutos! Tosin tullaan taas pieneen jippoon asetuksessa, eli asetuksen perusteissa, esim. kohdassa 39 mainitaan muun ohella "Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista...". Eli onko sitten kuitenkin kerrottava myös suojatoimista julkisesti? Toivottavasti tuleva tietosuojalaki tai vähintään tietosuojaviranomaisen ohjeistus antaa tälle selvyyden. Meidän ei tarvitse julkisesti kertoa, miten rekisteri on suojattu PS. Vielä loppuun on tuotava esille, kun jotkut ovat tarttuneet termeihin "rekisteriseloste" tai "henkilörekisteri", että eihän asetus näistä puhu, vaan siinä puhutaan vain henkilötiedoista ja rekisteröidyn informoinnista. No ei puhutakaan, mutta mielestäni voimme silti käyttää jo vakiintuneita termejä, joilla asiasta arkikielessä puhutaan. Väittipä joku kerran, että pitäisi tehdä vain yksi kuvaus henkilötietojen käsittelystä koko organisaatiossa. Fakta on kuitenkin se, että meillä on käytännössä erilaisia henkilörekistereitä ja niiden käyttötarkoitukset, tietosisällöt ym. vaihtelevat. On nimenomaan asetuksen mukaista selkeyttä tehdä näitä kuvauksia rekisterikohtaisesti. Eli puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta (tai vaihtoehtoisesti tietosuojaselosteesta). Ei kuitenkaan sekoiteta tätä artiklan 30 mukaiseen "Selosteeseen käsittelytoimista", joka on siis tietosuojaviranomaista varten tehtävä dokumentti. Puhutaan vaan reilusti henkilörekisteristä ja rekisteriselosteesta tai tietosuojaselosteesta Joko meni pää pyörälle? Toivottavasti ei!
Mikäli kaipaat selvyyttä asetuksen koukeroihin, osallistu tietosuojakoulutukseemme, niin pääset kärryille, mihin seikkoihin olisi syytä kiinnittää huomiota ja millä toimenpiteillä selätät asetuksen haasteet. Tietosuoja-asetus lähtee siitä, kuten jo vanha henkilötietolaki, että rekisterinpitäjä saa käsitellä vain tarpeellista henkilötietoa. Tietosuoja-asetuksessa asia on määritelty mm. artiklassa 5 seuraavasti: c) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”); Mitä "tietojen minimointi" sitten käytännössä tarkoittaa? Mikä on tarpeellista tietoa? Jotta rekisterinpitäjä voi toteuttaa tietosuoja-asetuksen vaatimuksia, täytyy käsiteltävän tiedon rajoittua vain niihin tietoihin, jotka ko. rekisterin käyttötarkoituksen kannalta ovat olennaisia. Jokaiselle henkilörekisterille on rekisterinpitäjän toimesta määriteltävä aivan ensiksi rekisterin käyttötarkoitus. Henkilötietojen käsittelijä, kuten vaikkapa rekrytointijärjestelmän toimittaja, ei määritä rekisterin käyttötarkoitusta, vaikka järjestelmätoimittaja onkin kehittänyt järjestelmän tiettyä käyttötarkoitusta varten. Rekisterinpitäjä määrittää siis aina rekisterin käyttötarkoituksen. Käyttötarkoitus voi olla vaikkapa asiakastietojen hallinta myynti-tilaus-toimitusprosessissa (asiakasrekisteri) tai työnhakijatietojen hallinta rekrytointiprosessissa (työnhakijarekisteri). Rekisterinpitäjä määrittää aina rekisterin käyttötarkoituksen Kun henkilörekisterille on löydetty lainmukainen käyttötarkoitus, voidaan tarkastella, mitä henkilötietoja rekisteriin voidaan tallentaa. Tämä on se kohta, jossa toteutetaan tietosuoja-asetuksen mukaista tietojen minimointia. Esimerkiksi kattoremontteja tekevän yrityksen on tuskin tarpeellista edes tietää, saati sitten tallentaa omiin järjestelmiinsä (asiakasrekisteriin) tietoa vaikkapa asiakasperheen lasten lukumäärästä, lasten nimistä puhumattakaan. Myyjä voi toki näistä asioista jutustella asiakkaan luona ja usein jutteleekin, synnyttääkseen luottamuksen ja helpottaakseen kaupan tekoa, mutta mihinkään muistiinpanoihin tai järjestelmiin tietoa ei ole syytä kirjata. Sen sijaan toimituksen ja laskutuksen kannalta on olennaista tietää, missä osoitteessa remonttikohde sijaitsee tai kenelle tarjous tehdään ja lasku lähetetään (henkilön nimi). Jopa henkilötunnus voidaan pyytää rahoitushakemusta varten (ja tämä tieto pitää suojata erityisen huolellisesti, mutta se on jo toisen artikkelin aihe). Kattoremontteihin liittyen vielä yksi näkökulma: Moni perustelee asiakastietojen pitkäaikaisella säilytyksellä sitä, että uudella katolla voi olla jopa 25 vuoden takuu ja tietoja joudutaan säilyttämään takuukäsittelyä varten. Nytpä kysynkin, mitä jos ko. talo vaihtaakin omistajaa vuoden päästä? Haetko siihen uuden omistajan tiedot? Niinpä. Takuukäsittelyä varten riittänee, kun järjestelmissänne on tieto, mihin kohteeseen (osoitteeseen) ko. remontti on tehty. Kattoremontteja tarjoavan yrityksen on tuskin tarpeellista tallentaa asiakasrekisteriin tietoa asiakasperheen lasten lukumäärästä Totesimme siis edellä, että osoite on tarpeellinen tieto asiakasrekisterin käyttötarkoituksen toteuttamisessa, joten saamme sen kysyä tässä tapauksessa (ja tällä rekisterinpitäjällä). Mutta tarkoittaako tämä sitä, että osoitetiedon kysyminen on aina muissakin henkilörekistereissä OK? Ei ole, vaan asia pitää ratkaista tapauskohtaisesti. Tarkastellaanpa seuraavaksi rekrytointiprosessia. Työnhaku ja työntekijän valintaprosessi on siirtynyt jo lähes täysin sähköiseen muotoon, myös julkisella sektorilla (vaikka siellä lähetellään myös paljon paperihakemuksia ja päätöksiä kirjepostilla). Olen itse ollut aikoinaan "sähköistämässä" rekrytointiprosesseja ja vuosien varrella olen saanut tehdä rekrytointijärjestelmän toimituksen yli sataan organisaatioon. Aikoinaan läheteltiin vielä jonkin verran perinteisellä kirjepostilla hakijoille tietoa, mm. valintapäätöksestä. Työnantajat eivät juurikaan enää lähetä kirjeitä työntekijöille missään vaiheessa prosessia. Siitä huolimatta minäkin määrittelin lähes aina työhakemuslomakkeeseen hakijan kotiosoitteen. En ole haastanut aiemmin kotiosoitteen kysymisen tarpeellisuutta. Montaa muuta kysymystä kyllä olen saanut haastaa, kuten kysymystä henkilön asevelvollisuuden suorittamisesta tai jopa kysymystä hakijan syntymäpaikkakunnasta (ja kieltäydyin näitä kysymyksiä lisäämästä lomakkeelle). Nyt haastan myös kotiosoitteen tarpeellisuutta! Käytännössä edes työntekijän esimiehen ei ole tarve tietää, missä osoitteessa työntekijä pistää päänsä tyynyyn. Tänä päivänä lähes kaikki viestintä rekrytointiin liittyen tehdään sähköpostitse tai puhelimella. Silti lähes kaikissa työhakemuslomakkeissa kysytään yhä hakijan kotiosoitetta. Eli kotiosoite kysytään tuhansilta tai jopa kymmeniltä tuhansilta työnhakijoilta, vaikka esimies ei tiedä edes lähimmän alaisensa osoitetta. Miksi näin? Jos keksit asiallisen perustelun, mihin tarkoitukseen tarvitsette työnhakijan kotiosoitetta hakuvaiheessa, pitäkää kysymys työhakemuslomakkeella. Ja muistakaa perustella tämä tietosuojaselosteessa. Jos et keksi mitään järkevää perustetta, poistakaa kysymys lomakkeelta (ja huolehtikaa, että myös vanhoista hakemuksista ko. tieto poistetaan). Näin toteutatte asetuksen mukaista tietojen minimointia työnhakijarekisterin kohdalla. Samaa harjoitusta voi sitten jatkaa muiden tietojen kanssa. Jos et keksi mitään järkevää perustetta kotiosoitteen kysymiselle, poistakaa se työhakemuslomakkeelta! Kuten huomaamme, käsittelemme tiedon tarpeellisuutta nimenomaan rekisterikohtaisesti. Henkilön kotiosoite on asiakasrekisterissä OK, mutta työnhakijarekisterissä sitä ei nykypäivänä enää käytännössä tarvita. Näin toteutamme tietosuoja-asetuksen vaatimusta "mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään". Emme siis voi tehdä yleisiä johtopäätöksiä minkään henkilötiedon osalta, vaan asia täytyy aina ratkaista rekisterikohtaisesti tarpeen mukaan. Edetään siis seuraavia portaita pitkin:
Käytyäsi kaikki portaat läpi, pystyt tarkastelemaan kuinka esim. nykyinen järjestelmänne pystyy vastaamaan tietosuoja-asetuksen vaatimuksiin tältä osin. Tai kuinka voitte huolehtia tietojen ja käsittelyn minimoinnista, kun henkilötietoja on tallennettu manuaalisiin rekistereihin (esim. mappiarkistot). Lopuksi on vielä hyvä erottaa kaksi samankaltaista termiä, eli käsiteltävien henkilötietojen minimointi ja henkilötietojen käsittelyn minimointi. Tietojen minimoinnista puhutaan, kun mietitään, mitä tietoja käsitellään ja käsittelyn minimointi taas on sitä, kun rajataan tieto vain tarpeen mukaisen joukon saataville (mm. organisaation sisäiset henkilötietojen käsittelijät eli vaikkapa esimiehet) sekä poistetaan tieto, kun sitä ei enää tarvita. Minkään henkilötiedon osalta ei voida tehdä yleisiä johtopäätöksiä liittyen käsittelytarpeeseen Mikäli sinulla on tarvetta kasvattaa tietosuojaosaamista, osallistu koulutuksiimme. Erittäin hyvää palautetta saaneet, käytännönläheiset tietosuojakoulutuksemme ovat auttaneet jo lukuisia organisaatioita tietosuoja-asetuksen haltuunotossa ja paremman tietosuojan toteutuksessa.
Katso yleinen koulutustarjontamme täältä tai ota yhteyttä, niin järjestetään teille asiakaskohtainen tietosuojakoulutus! |
Arkisto
February 2021
Kategoria
All
|