Yksi tietosuojaseloste kaikille, on varma tapa sotkea koko informointi
Yksi seloste ei voi palvella kaikkia ryhmiä. Asiakkailla, työntekijöillä ja työnhakijoilla on eri tiedot ja oikeudet, joten sama teksti johtaa väistämättä virheelliseen informointiin ja GDPR:n perusperiaatteiden rikkomiseen.
Miksi yksi tietosuojaseloste ei koskaan riitä
Tietosuojaseloste on monessa organisaatiossa tehty vilpittömästi siinä uskossa, että näin tämä kuuluu hoitaa. Katsotaan mallia toisilta, tehdään parhaansa ja laitetaan seloste verkkosivuille. Teksti näyttää siistiltä ja järkevältä, joten moni ajattelee, että tämä on nyt kunnossa.
Ongelma syntyy siinä kohtaa, kun seloste tehdään yhtenä ja samana kaikille. Asiakkaan tiedot, työnhakijan tiedot ja työntekijän tiedot eivät ole sama asia. Silti moni yrittäjä laittaa kaiken samaan tekstiin, koska se näyttää helpolta ratkaisulta. Lopputulos on se, että kukaan ei saa oikeita tietoja ja informointi jää vajaaksi, vaikka tarkoitus oli hyvä.
Tämä ei johdu välinpitämättömyydestä. Tämä tapa on syntynyt ketjureaktiona. Yritykset katsovat toistensa selosteita ja olettavat, että ne on tehty oikein. Seloste kopioidaan, muokataan ja lisätään verkkosivuille samalla logiikalla. Lopputulos näyttää oikealta, koska moni tekee näin. Silti tapa ei noudata tietosuoja.fi:n ohjeita ja sen takia informointi menee pieleen juuri tässä kohdassa.
Tietosuojaseloste kuuluu kaikille, joiden tietoja käsittelet
Moni ajattelee huomaamattaan, että seloste on ennen kaikkea asiakkaita varten. Todellisuudessa se kuuluu kaikille, joiden tietoja käsittelet. Näitä ovat esimerkiksi asiakkaat, työnhakijat, työntekijät, alihankkijat, yhteistyökumppanit, jäsenet ja vapaaehtoiset.
Jokaisella ryhmällä on eri tiedot ja eri oikeudet. Yksi seloste ei voi kertoa tätä kaikkea ilman että ymmärrettävyys kärsii.
Monitasoinen tietosuojaseloste toimii parhaiten
Tietosuoja.fi:n ohjeissa korostetaan, että rekisteröidyn pitää löytää juuri häntä koskeva tieto ilman turhaa selailua. Siksi seloste kannattaa tehdä kerroksittain. Lyhyt yhteenveto ensin.
Tämän jälkeen tarkemmat tiedot avattavasta rakenteesta. Rekisteröity löytää tarvitsemansa ja yrittäjä välttyy selittelyltä jälkikäteen.
Mitä tietosuojaselosteessa pitää kertoa
Selosteessa ei voi ohittaa mitään pakollisia kohtia. Alla ovat kaikki viranomaisen edellyttämät tiedot. Näiden pitää löytyä jokaisesta selosteesta. Voit avata kohdat haitarista ja katsoa, mitä ne tarkoittavat käytännössä.
1. Kuka käsittelee tietoja ja miten hänet tavoittaa
Yrityksen nimi ja toimivat yhteystiedot. Rekisteröidyn pitää pystyä tavoittamaan rekisterinpitäjä helposti. Pelkkä sähköposti ei riitä.
2. Onko yrityksellä tietosuojavastaavaa
Jos on, tämä pitää kertoa ja yhteystiedot annetaan selkeästi. Ei pidä sekoittaa "tietosuojasta vastaavaan henkilöön".
3. Miksi tietoja käsitellään
Käsittelyn tarkoitus kerrotaan selkeästi. Esimerkiksi palvelun toimittaminen, asiakassuhteen ylläpito tai palkan maksaminen.
4. Millä perusteella tietoja käsitellään
Perusteita ovat esimerkiksi sopimus, lakisääteinen velvoite, suostumus tai oikeutettu etu. Rekisteröidyllä on oikeus tietää peruste.
5. Onko käytössä oikeutettu etu ja mitä se tarkoittaa
Jos käytät oikeutettua etua, tämä pitää kertoa ja perustella. Se ei ole nappi jota painetaan "koska muutkin".
6. Mitä henkilötietoja käsitellään
Tässä kerrotaan ryhmittäin, mitä tietoja kerätään. Asiakkaan tiedot ovat eri kuin työnhakijan tai jäsenen tiedot.
7. Kenelle tietoja siirtyy käsittelyn aikana
Tämä menee usein väärin. Moni kirjoittaa, ettei tietoja luovuteta kenellekään. Todellisuudessa vastaanottajia on lähes aina. Näitä ovat esimerkiksi kirjanpito, laskutusohjelmat, sähköposti, ajanvarausjärjestelmät ja pilvipalvelut. Jos käytät palvelua, johon tieto tallentuu, sinulla on vastaanottajia.
Vastaanottajilla voi olla myös omia alihankkijoita, kuten palvelimia EU:n ulkopuolella tai teknisiä taustapalveluita, jotka käsittelevät tietoja. Siksi on tärkeää katsoa, miten käyttämäsi palvelut oikeasti toimivat ja minne tieto niissä kulkeutuu.
8. Siirretäänkö tietoja EU:n ulkopuolelle
Jos palvelin tai alusta sijaitsee EU:n ulkopuolella, tämä pitää kertoa. Rekisteröidyllä on oikeus tietää missä hänen tietonsa ovat.
9. Kuinka kauan tietoja säilytetään
Säilytysaika tai sen peruste pitää kertoa. "Niin kauan kuin tarpeellista" ei riitä.
10. Mitä oikeuksia rekisteröidyllä on
Rekisteröity voi pyytää tiedot, oikaista niitä tai rajoittaa käsittelyä. Oikeudet on kerrottava selkeästi.
11. Miten suostumuksen voi perua
Jos käsittely perustuu suostumukseen, peruutuksen pitää olla yhtä helppoa kuin suostumuksen antaminen.
12. Miten voi tehdä valituksen viranomaiselle
Rekisteröidylle kerrotaan, että hänellä on oikeus tehdä valitus valvontaviranomaiselle.
13. Mitä tietoja on pakko antaa ja mitä tapahtuu, jos niitä ei anna
Pakolliset tiedot merkitään ja kerrotaan, miksi niitä tarvitaan ja mitä seuraa, jos niitä ei anna.
14. Mistä rekisteröidyn tiedot on saatu
Jos tiedot eivät tule rekisteröidyltä itseltään, tämä pitää kertoa.
15. Käytetäänkö automaattista päätöksentekoa tai profilointia
Jos automaattista päätöksentekoa tai profilointia käytetään, tästä annetaan selkeä kuvaus.
Hyvin tehty seloste säästää aikaa ja vähentää väärinkäsityksiä
Hyvin tehty tietosuojaseloste ei ole vainviranomaisten mieliksi tehty paperi. Se helpottaa yrittäjän arkea. Kun tiedot ovat selkeät ja oikein, asiakkaat kyselevät vähemmän, yhteistyökumppanit näkevät että yritys hoitaa asiat fiksusti ja kilpailutuksissa ei tule turhia yllätyksiä.
Seloste toimii myös turvana, jos joku myöhemmin kysyy mitä tiedoille on tehty. Useimmat tietosuojaongelmat syntyvät siitä, että informointi on jäänyt puutteelliseksi. Kun selosteet ovat kunnossa ja ryhmäkohtaiset, tämä huoli poistuu ja yritys näyttää ulospäin luotettavalta ja ammattimaiselta.
Terhi Isosomppi
Apu-Kameleontti
Kirjoitan tietosuojasta ja hallinnosta arjen työn ja rakenteiden näkökulmasta.
Tilaa selkeät ja ryhmäkohtaiset tietosuojaselosteet yhdellä kertaa
