• Black Twitter Icon
  • Black LinkedIn Icon
  • Black Facebook Icon

Iconics Oy

Teollisuuskatu 21, 00510 Helsinki

hello@iconics.fi

Tilaa uutiskirjeemme!

© Iconics Oy, 2020

TIETOSUOJAINFORMAATIO

Mitä rekisteröidylle tulee kertoa henkilötietojen käsittelystä?

Tietosuoja-asetuksen mukaan henkilöille tulisi olla selvää, että heitä koskevia henkilötietoja käsitellään. Läpinäkyvyysperiaatteen mukaisesti kyseisten tietojen käsittelyyn liittyvien tietojen ja viestinnän olisi oltava helposti saatavilla ja ymmärrettävissä, ja niissä olisi käytettävä selkeää ja yksinkertaista kieltä. Jotta voidaan laatia selkeää informaatiota, pitää aidosti ymmärtää se, miten yritys käsittelee tietoja. Informaation on aina perustuttava todelliseen tietojenkäsittelyyn – kuten määriteltyihin käsittelyperusteisiin, käyttötarkoituksiin, prosesseihin ja elinkaareen.

Tietosuojainformaation tulee sisältää vähintään seuraavat tiedot:

  • Rekisterinpitäjän yhteystiedot

  • Käsiteltävät tiedot

    • kyseessä olevat henkilötietoryhmät sekä se mistä henkilötiedot on saatu (jos tietoja kerätty muualta kuin rekisteröidyltä itseltään)

  • Käsittelytarkoitukset, käsittelyperusteet ja säilytysajat

    • henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste

    • rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut

    • henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit

    • tieto siitä, onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset

    • automaattisen päätöksenteon, mm. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle

  • Siirrot ja luovutukset

    • henkilötietojen vastaanottajat tai vastaanottajaryhmät

    • tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle

  • Rekisteröidyn oikeudet

    • rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen

    • oikeus peruuttaa suostumus

    • oikeus tehdä valitus valvontaviranomaiselle

Tarkempi taulukko informointivelvoitteen toteuttamiseen löytyy tietosuojavaltuutetun sivuilta.

Miten informointi tulee toteuttaa?

Vanhan henkilötietolain mukainen informointidokumentti oli nimeltään rekisteriseloste. Tietosuoja-asetus ei ota kantaa siihen, mikä dokumentin nimi on, vaan yritykset viittaavat niin rekisteriselosteisiin, tietosuojaselosteisiin, tietosuojalausekkeisiin kuin tietosuojakäytäntöihin. Dokumentin nimeä tärkeämpää on se, että tieto on helposti rekisteröidyn saatavilla.

Tietosuoja-asetuksen mukaan tiedot on annettava tiiviisti, läpinäkyvästi, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tietosuojaviranomaiset suosittavat informointi-ikoneita ja ns. kerroksellista informointia, jossa kokonaisinformaatio pilkotaan pienempiin osiin ja antaen rekisteröidylle kerros kerroksella tarkempaa tietoa. Olennaista on, että keskeiset ja mahdolliset yllättävät ehdot ovat helposti löydettävissä ensimmäisestä kerroksesta. Kerroksellinen informointi on erityisen hyvä tapa hoitaa informointia mobiililaitteissa.

Milloin informaatio tulee antaa?

Informaatio on annettava lähtökohtaisesti silloin, kun henkilötietoja kerätään rekisteröidyltä, eli esimerkiksi silloin, käyttäjä tulee nettisivuille, ottaa käyttöön sovelluksen, rekisteröityy palveluun tai täyttää lomakkeen. Jos henkilötietoja kerätään muualta kuin rekisteröidyltä, informaatio on annettava kohtuullisen ajan kuluttua mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta. Jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, informaatio on annettava viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran tai jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle, informaatio on annettava viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

Miten Iconics voi auttaa?

Tutkimusten mukaan ymmärrettävä tietosuojainformaatio lisää kuluttajien luottamusta yrityksiä kohtaan, ja näin ollen selväsanaiseen ja helposti saatavilla olevaan informaation kannattaa panostaa. Erityistä huomiota informaatioon on kiinnitettävä silloin, kun käsittely saattaa olla rekisteröidyn näkökulmasta yllättävää. Läpinäkyvyysperiaatetta hyvin toteuttavalla informaatiolla voidaan merkittävästi vaikuttaa siihen, voidaanko esimerkiksi oikeutettuun etuun perustuvaa käsittelyä pitää sellaisena, ettei se ylitä rekisteröidynperusoikeuksia ja -vapauksia. Hyvällä tietosuojaviestinnällä voidaan siis edesauttaa liiketoimintaa. Iconicsilla on kokemusta useista tietosuojaviestinnän kehittämiseen liittyvistä hankkeista, ja näkemys siitä, mitkä ovat kansainvälisesti parhaita käytäntöjä. Tarjoamme mielelämme näitä oppeja asiakkaidemme käyttöön.

Tietosuoja

Tutustu Iconicsin tietosuojaan liittyviin palveluihin.

Juristi päiväksi

Hanki juristi käyttöön ennakoitavalla laskutusmallilla.

GDPR haltuun

Varaa käytännönläheinen koulutus GDPR:n haltuunottamiseksi.

Asiantuntijat

Tutustu Iconicsin asiantuntijoihin ja ota yhteyttä.