Uuden tietosuojalain vaikutukset rekisteri- ja tietosuojaselosteisiin

Henkilötietolaki kumottiin, kun tietosuojalaki astui voimaan 1.1.2019. Tästä huolimatta olemme panneet merkille, että hyvin moni toimija käyttää edelleen kumotun henkilötietolain mukaisia tai mukaan nimettyjä rekisteri- ja tietosuojaselosteita kotisivuillaan. Tämän takia artikkelissa sivutaan näkemystämme kyseisestä ilmiöstä.

Rekisteri- ja tietosuojaselosteet perustuvat kumottuun henkilötietolakiin

Henkilötietolain 10 §:n mukaan rekisteriselosteella tarkoitettiin rekisterinpitäjän ylläpitämää jokaisen saatavilla olevaa tiivistelmää siitä, kuinka minkäkin henkilörekisterin henkilötietoja käsiteltiin ja mitä henkilötietoja henkilörekisteriin kuului. Siten rekisteriselosteen tarkoituksena oli antaa henkilötietojen käsittelystä tietoa rekisteröidyille sekä avustaa rekisterinpitäjää suunnittelemaan omaa henkilötietojen käsittelyään. Koska henkilötietolain nojalla rekisterinpitäjän tuli laatia rekisteriseloste jokaisesta yksittäisestä henkilörekisteristä, saattoi rekisterinpitäjällä olla useita eri rekisteriselosteita (esim. asiakkaiden henkilörekisteri, yhteistyökumppaneiden henkilörekisteri ja työntekijöiden henkilörekisteri).

Tietosuojaseloste taas oli tietosuojavaltuutetun laatima pohja laajennetusta rekisteriselosteesta, joka sisälsi rekisteriselosteelta vaadittavien tietojen lisäksi tietoja rekisteröidyn oikeuksista. Tietosuojavaltuutettu suositteli tietosuojaselostetta käytettäväksi henkilötietolain 24 §:n mukaisen rekisteröityjen informoimisvelvoitteen täyttämiseksi. Korostettakoon vielä, että tietosuojaseloste ei ollut henkilötietolain mukainen velvoite, toisin kuin rekisteriseloste, vaan tietosuojavaltuutetun henkilötietolain pohjalta laatima sisällöltään laajempi versio rekisteriselosteesta, jota pystyi hyödyntämään sekä rekisteriselosteena että informointivelvoitteen täyttämisessä.

Henkilötietolain 10 §:n 2 momentin mukaan rekisterinpitäjän tuli pitää (tietosuoja- ja) rekisteriselosteensa kotisivuillaan kaikkien saatavilla, ja näin toimimalla rekisterinpitäjä pystyi myös (tietosuoja- ja) rekisteriselosteen sisällöstä riippuen joko kokonaan tai osittain toteuttaa henkilötietolain 24 §:n mukaisen informointivelvoitteensa. On siis tärkeää ymmärtää, että rekisteri- ja tietosuojaselosteilla täytettiin 1.1.2019 kumotun henkilötietolain vaatimia velvoitteita.

Rekisteriselosteen mukaiset velvoitteet nykyisin voimassaolevan tietosuojalainsäädännön aikana

Nykyisin Suomessa voimassa oleva tietosuojalainsäädäntö koostuu EU:n yleisestä tietosuoja-asetuksesta ja Suomen kansallisesta tietosuojalaista, jolla täydennetään ja täsmennetään tietosuoja-asetuksen määräyksiä Suomessa. Siten aiemmin henkilötietolaissa olleet rekisteröityjen informointivelvoitteet löytyvät tätä nykyä tietosuoja-asetuksen artikloista 13 ja 14, joskin huomattavasti laajempina velvoitteina kuin henkilötietolain osalta. Tämän lisäksi rekisteriselostetta vastaavia velvoitteita löytyy myös tietosuoja-asetuksen artiklasta 30, jossa säädetään rekisterinpitäjän ja käsittelijän velvoitteista ylläpitää selostetta henkilötietojen käsittelytoimistaan.

Tietosuoja-asetuksen artiklan 13 mukainen rekisterinpitäjän informointivelvoite tarkoittaa käytännössä sitä, että rekisterinpitäjän on annettava rekisteröidyille ennen tietojen keräämistä rekisteröidyistä ns. Privacy Notice, jolla informoidaan rekisteröityä tavoista, joilla rekisterinpitäjä käsittelee hänen henkilötietojaan. Tämän velvoitteen rekisterinpitäjä voi hyvin usein käytännössä toteuttaa niinkin yksinkertaisella tavalla, kuin lataamalla Privacy Noticen kotisivuilleen. Tällöin rekisterinpitäjän ei siis tarvitse henkilötietojen keräämisen yhteydessä erikseen ilmoittaa rekisteröidylle siitä, kuinka hänen henkilötietojansa käsitellään, sillä rekisteröidyllä on mahdollisuus tutustua Privacy Noticeen rekisterinpitäjän kotisivuilla.

Tietosuoja-asetuksen 14 artiklan informointivelvoite tarkoittaa käytännössä sitä, että rekisterinpitäjän kerätessä henkilötietoja rekisteröidystä muulta taholta kuin rekisteröidyltä itseltään, on rekisterinpitäjän pääsääntöisesti informoitava asiasta rekisteröityä erikseen. Tämänkin velvoitteen voi usein täyttää kirjaamalla kotisivuilla olevaan Privacy Noticeen tiedon siitä, että henkilötietoja kerätään myös muilta tahoilta kuin rekisteröidyltä itseltään.

Tietosuoja-asetuksen 30 artiklan mukainen velvoite laatia seloste käsittelytoimista taas koskee pääsääntöisesti kaikkia rekisterinpitäjiä ja käsittelijöitä, sillä jos henkilötietojen käsittely ei ole satunnaista, on rekisterinpitäjän ja/tai käsittelijän laadittava itselleen seloste käsittelytoimista. ”Kentältä” kuullun perusteella lienee syytä korostaa, että edellä lausuttu pitää paikkansa myös silloin, kun rekisterinpitäjällä tai käsittelijällä on alle 250 työntekijää palkkalistoillaan. Käytännössä tämä tarkoittaa tosiaan sitä, että pääsääntöisesti jokaisen rekisterinpitäjän ja käsittelijän on ylläpidettävä selostetta, sillä esim. jo pelkästään työntekijöiden henkilötietojen käsitteleminen laukaisee herkästi velvollisuuden laatia selosteen, koska työntekijöiden henkilötietojen käsittelemistä ei voi pitää vain satunnaisena. Seloste pitää sisällään hyvin samankaltaisia tietoja, kuin mitä tietosuoja-asetuksen artiklat 13 ja 14 vaativat rekisterinpitäjältä, joten voi olla järkevääkin yhdistää kaikkien artikloiden vaatimukset yhden asiakirjan alle.

Tässä kohtaa on syytä huomauttaa, että tietosuoja-asetuksen 13, 14 ja 30 artiklojen mukaisia velvoitteita ei tarvitse toteuttaa jokaisen henkilörekisterin osalta erikseen, toisin kuin henkilötietolain mukaisen rekisteriselosteen osalta, jonka seurauksena tietosuoja-asetuksen rekisteriselostetta vastaavien velvoitteiden täyttäminen on huomattavasti kevyempää kuin aiemman lainsäädännön osalta.

Yhteenveto

Kuten huomataan, ei henkilötietolain mukaisten rekisteri- ja tietosuojaselosteiden ylläpitäminen ole enää riittävää nykyisen tietosuojalainsäädännön aikana. Jos kuitenkin tietosuoja-asetuksen 13, 14 ja 30 artiklojen mukaiset velvoitteet halutaan täyttää rekisteri- tai tietosuojaselosteeksi nimetyllä asiakirjalla, tulisi asiakirjan tarkoitus käydä nimenomaisesti ilmi heti asiakirjan alussa, tai muutoin asiakirjan informointiarvon ja siten lain mukaisuuden voi mielestänmme perustellusti kyseenalaistaa.

Näillä puheilla suosittelemme aina seuraavaa:

– Mikäli organisaatiosi rekisteri- ja tietosuojaseloste on laadittu henkilötietolain mukaisesti, päivitä ne/se voimassaolevan tietosuojalainsäädännön mukaiseksi.

– Mikäli organisaatiosi rekisteri- ja tietosuojaseloste on nimestään huolimatta laadittu nykyisen tietosuojalainsäädännön mukaisesti, vaihda asiakirjan nimi tai ilmoita asiakirjan alussa mitä virkaa kyseinen asiakirja toimittaa.

Viimeisenä huomiona toteamme, että mikäli olette itse laatineet organisaationne tietosuoja-asiat, kannattaa olla yhteydessä tietosuoja-asiantuntijaan. Näin voitte varmistaa, että tietosuojanne on järjestetty varmasti asianmukaisella tavalla.

20.02.2019 MAX