Läpinäkyvyys ja informointi

21.9.2022Ohjesivut

Läpinäkyvyys on yksi henkilötietojen käsittelyn keskeisistä periaatteista. Rekisterinpitäjän on annettava rekisteröidylle kaikki henkilötietojen käsittelyä koskevat tiedot tiiviissä, läpinäkyvässä, helposti ymmärrettävässä ja selkeässä muodossa. Informoinnin tarkoituksena on, että rekisteröity saa kattavan ja selkeän kuvan henkilötietojen käsittelyn kokonaisuudesta.

Tietosuoja-asetuksessa säädetään siitä, mitä tietoja rekisteröidyille pitää antaa. Informoinnin yhteydessä tulee kertoa mm. kuka on rekisterinpitäjä, mitä tarkoitusta varten rekisteröidyn henkilötietoja tarvitaan, kuinka kauan henkilötietoja tarvitaan ja miten rekisteröity voi käyttää henkilötietoihin liittyviä oikeuksiaan.

  • Lue lisää rekisteröityjen informoinnista tietosuojavaltuutetun toimiston verkkosivuilta: https://tietosuoja.fi/rekisteroidyn-informointi Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
  • Tutustu Euroopan tietosuojatyöryhmän (WP29) läpinäkyvyyttä koskevaan ohjeeseen:

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.  Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.

  • Läpinäkyvyyteen ja rekisteröityjen informointiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
    • Informoiminen asiakaspuheluiden tallentamisesta Rekisterinpitäjä tallensi puheluita, mutta ei informoinut rekisteröityä puhelun tallentamisen aloittamishetkellä vaan vasta keskustelun aikana. Tietosuojavaltuutettu katsoi, että rekisterinpitäjän toiminta ei ollut tietosuoja-asetuksen edellyttämällä tavalla läpinäkyvää. (4930/163/2020)
    • Asiakkaiden henkilötietojen kerääminen asiakkaita tarkkailemalla Rekisterinpitäjän verkkosivuilla oli lomake, joka vireillesaattajan arvion mukaan oli todennäköisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseksi. Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi esimerkiksi seuraaville tiedoille parisuhdedynamiikasta, omistajien elämäntilanteesta ja rahatilanteesta. Tietosuojavaltuutetun mukaan asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi ollut kyseisessä tapauksessa, ilman lainmukaista käsittelyperustetta ja rekisteröityjen informointia, yleisen tietosuoja-asetuksen läpinäkyvyyttä ja käsittelyn oikeusperustetta koskevien säännösten vastaisia. (5417/163/20)
    • Asuinrakennuksen yleisiin oviin asennettuun sähkölukkojärjestelmään liittyvä henkilötietojen käsittely Asukas epäili, etteivät asunto-osakeyhtiön sähkölukkojärjestelmä ja sen käyttöönottomenettely täytä tietosuojasääntelystä tulevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi, että henkilötietojen käsittelylle ei ollut määritelty lainmukaista käsittelyperustetta. Apulaistietosuojavaltuutettu katsoi myös, että henkilötietojen säilytysaika oli säilyttämisen rajoittamista koskevan periaatteen vastainen, eikä rekisteröityjä ollut informoitu tietosuoja-asetuksen edellyttämällä tavalla. (1809/452/18)