Mitä selosteessa käsittelytoimista tulee olla?
GDPR velvoittaa yrityksiä ylläpitämään yrityksen sisäistä rekisteriä henkilötietojen käsittelystä (rekisterinpitäjän seloste käsittelytoimista)
Yleisen tietosuoja-asetuksen art. 3o mukaan, selosteen käsittelytoimista tulee sisältää merkittävää tietoa henkilötietojen käsittelystä.
- henkilötietoryhmät
- rekisteröityjen ryhmät,
- käsittelyn tarkoitus
- Ryhmät, joille tietoja luovutetaan (on luovutettu).
Yrityksen tulee luovuttaa yllä olevat tiedot viranomaiselle pyydettäessä.
Yritykset joutuvat pitämään selostetta henkilötietojen käsittelytoimista seuraavien ehtojen täyttyessä:
Yrityksen tulee pitää selostetta henkilötietojen käsittelytoimista, jos jokin seuraavista ehdoista täyttyy:
- Henkilötietojen käsittely on jatkuvaa, ei satunnaista.
- Yrityksellä on yli 250 työntekijää.
- Arkaluonteisten tietojen käsittely, missä tahansa määrin: (koskien terveyttä, seksuaalista suuntautumista, rodullista tai etnistä alkuperää, poliittisia mielipiteitä, uskontoa tai ideologiaa, rikosrekisteriä jne.)
Selostetta käsittelytoimista tulee pitää, jos yritys suorittaa seuraavia henkilötietojen käsittelytoimia:
- Työhön liittyvän suorituskyvyn arviointi
- Henkilön käyttäytymisen, sijainnin tai liikkeiden seuraaminen
- Vakuutus, investointi tai rahoitus palvelujen tarjoaminen yksityishenkilöille
- Asiakaskortin/etujen tarjoaminen vähittäismyynnissä
- Asiakastietojen rekisteröinti/kerääminen
- Asiakkaan profilointi markkinointia varten
- Rekrytointipalvelujen tai henkilöstön vuokrauspalvelujen tarjoaminen
- Uhkapeleihin/ rahapelitoimintaan liittyvien henkilötietojen kerääminen
- Lapsiin, vanhuksiin sekä mielenterveyspotilaisiin liittyvän henkilötietojen kerääminen
- Arkaluonteisen tiedon yhdistely useammasta lähteestä (Big Data)
- Henkilötietojen siirtäminen Euroopan Unionin ulkopuolelle (mukaan lukien tilanteet, joissa tietoja säilytetään EU:n ulkopuolella sijaitsevissa palvelimissa)
Kuinka säilyttää selostetta käsittelytoimista?
Rekisterin tulee olla elektronisessa muodossa ja rekisteriä tulee päivittää säännöllisesti.
Jos yritykselläsi on velvollisuus nimittää tietosuojavastaava (DPO) tietosuoja-asetuksen vaatimusten mukaan, vastuu käsittelytoimia koskevan selosteen ylläpidosta on tietosuojavastaavan vastuulla. Jos yrityksellä ei ole tietosuojavastaavaa, vastuu selosteen ylläpidosta voidaan myöntää kenelle tahansa työntekijälle, jolla on riittävä tietämys tietosuoja-asetuksen asettamista edellytyksistä.
HYVÄ TIETÄÄ:
GDPR Rekisteri tarjoaa useita valmiita mallipohjia henkilötietojen käsittelytoimille. Mallipohjat opastavat selosteen ylläpidossa ja kertovat mitä käsittelytoimia yrityksen tulee kirjata.
Voit kokeilla mallipohjien käyttöä rekisteröitymällä GDPR Rekisterin maksuttomalle kokeilujaksolle.
Mitä tietoja yrityksen tulee kirjata selosteeseen?
Jos yritys on nimittänyt tietosuojavastaavan (DPO) art. 37 mukaisesti, tietosuojavastaavan velvollisuus on dokumentoida seuraavat:
- Yrityksen nimi ja yhteystiedot
- Mahdollisten muiden tietosuojavastaavien nimet ja yhteystiedot
- Henkilötietojen käsittelyn tarkoitus (asiakastietoja, markkinointi, myynti, työntekijöitä varten)
- Henkilöryhmät (asiakkaat, työntekijät).
- Henkilötietoryhmät (potilastiedot, yhteystiedot jne.)
- Kenelle henkilötietoja luovutetaan (yhteistyökumppanit, kolmannet osapuolet, veroviranomaiset, yliopistot).
- Kolmansien maiden nimet tai kansainväliset järjestöt joihin tietoja mahdollisesti luovutetaan.
- Henkilötietojen säilytyksen määräajat.
- Kuvaus yrityksen teknisistä ja organisatorisista turvatoimista. (tietojen salaus, henkilöstön koulutukset, rajoitukset tietoihin pääsyyn jne)
Alla näet, miten voit dokumentoida yrityksesi käsittelytoimet käyttämällä GDPR Register digityökalua.