adolfo-felix-546626-unsplash

Seloste Käsittelytoimista GDPR Art. 30

Mitä selosteessa käsittelytoimista tulee olla?

GDPR velvoittaa yrityksiä ylläpitämään yrityksen sisäistä rekisteriä henkilötietojen käsittelystä (rekisterinpitäjän seloste käsittelytoimista)

Yleisen tietosuoja-asetuksen art. 3o mukaan, selosteen käsittelytoimista tulee sisältää merkittävää tietoa henkilötietojen käsittelystä.

  • henkilötietoryhmät
  • rekisteröityjen ryhmät,
  • käsittelyn tarkoitus
  • Ryhmät, joille tietoja luovutetaan (on luovutettu).

Yrityksen tulee luovuttaa yllä olevat tiedot viranomaiselle pyydettäessä.

Yritykset joutuvat pitämään selostetta henkilötietojen käsittelytoimista seuraavien ehtojen täyttyessä:

Yrityksen tulee pitää selostetta henkilötietojen käsittelytoimista, jos jokin seuraavista ehdoista täyttyy

  • Henkilötietojen käsittely on jatkuvaa, ei satunnaista.
  • Yrityksellä on yli 250 työntekijää. 
  • Arkaluonteisten tietojen käsittely, missä tahansa määrin: (koskien terveyttä, seksuaalista suuntautumista, rodullista tai etnistä alkuperää, poliittisia mielipiteitä, uskontoa tai ideologiaa, rikosrekisteriä jne.)

Selostetta käsittelytoimista tulee pitää, jos yritys suorittaa seuraavia henkilötietojen käsittelytoimia: 

  • Työhön liittyvän suorituskyvyn arviointi
  • Henkilön käyttäytymisen, sijainnin tai liikkeiden seuraaminen
  • Vakuutus, investointi tai rahoitus palvelujen tarjoaminen yksityishenkilöille
  • Asiakaskortin/etujen tarjoaminen vähittäismyynnissä
  • Asiakastietojen rekisteröinti/kerääminen
  • Asiakkaan profilointi markkinointia varten
  • Rekrytointipalvelujen tai henkilöstön vuokrauspalvelujen tarjoaminen
  • Uhkapeleihin/ rahapelitoimintaan liittyvien henkilötietojen kerääminen
  • Lapsiin, vanhuksiin sekä mielenterveyspotilaisiin liittyvän henkilötietojen kerääminen
  • Arkaluonteisen tiedon yhdistely useammasta lähteestä (Big Data)
  • Henkilötietojen siirtäminen Euroopan Unionin ulkopuolelle (mukaan lukien tilanteet, joissa tietoja säilytetään EU:n ulkopuolella sijaitsevissa palvelimissa)

Kuinka säilyttää selostetta käsittelytoimista?

Rekisterin tulee olla elektronisessa muodossa ja rekisteriä tulee päivittää säännöllisesti.

Jos yritykselläsi on velvollisuus nimittää tietosuojavastaava (DPO) tietosuoja-asetuksen vaatimusten mukaan, vastuu käsittelytoimia koskevan selosteen ylläpidosta on tietosuojavastaavan vastuulla. Jos yrityksellä ei ole tietosuojavastaavaa, vastuu selosteen ylläpidosta voidaan myöntää kenelle tahansa työntekijälle, jolla on riittävä tietämys tietosuoja-asetuksen asettamista edellytyksistä.

HYVÄ TIETÄÄ: 
GDPR Rekisteri tarjoaa useita valmiita mallipohjia henkilötietojen käsittelytoimille. Mallipohjat opastavat selosteen ylläpidossa ja kertovat mitä käsittelytoimia yrityksen tulee kirjata.

Voit kokeilla mallipohjien käyttöä rekisteröitymällä GDPR Rekisterin maksuttomalle kokeilujaksolle.  

Mitä tietoja yrityksen tulee kirjata selosteeseen?

Jos yritys on nimittänyt tietosuojavastaavan (DPO) art. 37 mukaisesti, tietosuojavastaavan velvollisuus on dokumentoida seuraavat: 

  • Yrityksen nimi ja yhteystiedot 
  • Mahdollisten muiden tietosuojavastaavien nimet ja yhteystiedot
  • Henkilötietojen käsittelyn tarkoitus (asiakastietoja, markkinointi, myynti, työntekijöitä varten)
  • Henkilöryhmät (asiakkaat, työntekijät).
  • Henkilötietoryhmät (potilastiedot, yhteystiedot jne.)
  • Kenelle henkilötietoja luovutetaan (yhteistyökumppanit, kolmannet osapuolet, veroviranomaiset, yliopistot).
  • Kolmansien maiden nimet tai kansainväliset järjestöt joihin tietoja mahdollisesti luovutetaan.
  • Henkilötietojen säilytyksen määräajat.
  • Kuvaus yrityksen teknisistä ja organisatorisista turvatoimista. (tietojen salaus, henkilöstön koulutukset, rajoitukset tietoihin pääsyyn jne)

Alla näet, miten voit dokumentoida yrityksesi käsittelytoimet käyttämällä GDPR Register digityökalua. 

GDPR Register - Processing Activities

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Subscribe to our Newsletter

Your e-mail address is only used to send you our newsletter and information about the activities of GDPR Register. You can always use the unsubscribe link included in the mail.

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja, joita yritys käyttää tuotteidensa tai palveluidensa...

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data