GDPR

Näkökulmia

GDPR-gepardi selosteviidakossa

Blogi: Oona Matinpalo

Ystäväni kertoi taannoin nimenneensä uuden EU:n yleisen tietosuoja-asetuksen, GDPR:n, gepardiksi. Tämän pedon kesyttäminen edellyttää monen muun asian ohella uudenlaisen käsitteistön sisäistämistä. Asetukseen liittyvä kielenkäyttö on usein epätarkkaa ja sen johdosta organisaatiot voivat tahtomattaan päätyä tekemään asioita väärin. Tästä hyvänä esimerkkinä toimivat erinäiset tietosuojaan liittyvät ”selosteet”.

21.8.2018 

1. Seloste käsittelytoimista on sisäinen asiakirja

Asetuksen 30 artikla on otsikoitu ’seloste käsittelytoimista’ (englanniksi records of processing activities). Tässä on selkeä kompa, sillä selosteella on aiemmin, vuoden 1999 henkilötietolaissa viitattu rekisteriselosteeseen.

Asetuksen seloste käsittelytoimista tarkoittaa kuitenkin organisaation sisäistä dokumenttia, joka voi olla esimerkiksi Excel-taulukko. Tämän sisäisen asiakirjan tarkoituksena on hahmottaa organisaation henkilötietojen käsittelyn kokonaiskuvaa, eikä sitä ole suoranaisesti tarkoitettu julkaistavaksi.

2. Rekisteriselosteella voi täyttää asetuksen informointivaatimukset

Henkilötietolaista poiketen asetuksessa ei säädetä rekisteriselosteesta. Tämä ei kuitenkaan tarkoita, etteikö rekisterinpitäjä voisi edelleen käyttää rekisteriselosteita informointivelvoitteensa täyttämisessä. Päinvastoin: rekisteri-käsite on juurtunut suomalaiseen ajattelumalliin, ja siksi päivitetty rekisteriseloste voi olla oiva keino rekisteröityjen informointiin.

3. Tietosuojaseloste voi ajaa asetuksen informointivelvoitteen asemaa

Vielä aiemmin keväällä tietosuojavaltuutetun sivuilta löytyi virallinen lomakepohja otsikolla ’Tietosuojaseloste’. Termi sai valitettavasti monet ajattelemaan lomakkeen olevan uudistettu rekisteriseloste, joka täyttäisi asetuksen uudet informointivaatimukset. Tällaista valmista, kaikkiin tilanteisiin sopivaa lomaketta ei kuitenkaan ole olemassa. Organisaatioiden on itse päätettävä kuinka informoida rekisteröityjä heidän henkilötietojensa käsittelystä – kunhan muistaa asetuksen sisältö- ja muotovaatimukset.

Oma kesytysoppini

Gepardi-kouluttajana vinkkini kuuluu: mallinna ensin henkilötietojen käsittelyn kokonaiskuva organisaatiossasi. Hyödynnä sitä, kun kerrot henkilötietojen käsittelystä rekisteröidyille. Kutsuttaisiinko jatkossa rekisteröidyille tarkoitettua viestiä johdonmukaisesti tietosuojaselosteeksi ja organisaation sisäistä dokumenttia selosteeksi käsittelytoimista?

Oona Matinpalo

Oona Matinpalo

Oliko tieto hyödyllistä?

Samankaltaiset aiheet