Seloste käsittelytoimista

28.9.2022Ohjesivut

”Seloste käsittelytoimista” menee usein sekaisin tietosuojaselosteen kanssa. Seloste käsittelytoimista on yrityksen sisäinen asiakirja, jonka tarkoituksena on osoittaa, että yritys noudattaa tietosuojavelvoitteitaan (tietosuojaseloste taas on rekisteröidyille suunnattu asiakirja). Selosteeseen käsittelytoimista kirjataan muun muassa käsittelyn tarkoitukset, tietojen luovutukset ja säilytysajat. Joissakin tapauksissa tietosuoja-asetus edellyttää, että yritys laatii selosteen käsittelytoimista tietosuoja-asetuksen mukaisesti. Henkilötietojen käsittelyn kirjaaminen ylös on hyödyllistä käsittelyn hahmottamiseksi myös silloin, kun tietosuoja-asetus ei edellytä kirjallisen kuvauksen tekoa.

Lue lisää käsittelytoimia koskevasta selosteesta tietosuojavaltuutetun toimiston verkkosivuilta:

Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.

Tietosuojavaltuutetun toimiston päätökset

Selosteeseen käsittelytoimista on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:

  • Henkilötietojen käsittelyn vaikutustenarviointi, käsittelyperuste ja rekisteröityjen informointi Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut pystynyt osoittamaan, että henkilötietojen käsittely turvakameravalvonnan yhteydessä vastasi yleisen tietosuoja-asetuksen oikeutettua etua koskevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä oli informoinut puutteellisesti kanta-asiakasohjelman yhteydessä tapahtuvan automaattisen päätöksen olemassaolosta ja sitä koskevasta henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut osoittanut täyttäneensä yleisen tietosuoja-asetuksen velvoitteita koskien vaikutustenarviointia ja selostetta käsittelytoimista. Apulaistietosuojavaltuutettu havaitsi puutteita myös osapuolten roolien määrittelyä, käsittelyn informointia ja tietojen minimointia koskevien tietosuoja-asetuksen velvoitteiden toteuttamisessa (8393/161/2019).
  • Työnhakijoiden henkilötietojen kerääminen tarpeettomasti Tietosuojavaltuutettu katsoi, että rekisterinpitäjä oli kerännyt työnhakijoista tarpeettomia tietoja tietosuoja-asetuksen käsittelyn oikeusperustetta ja henkilötietojen minimointia koskevien velvollisuuksien vastaisesti. Kyseisten henkilötietojen kerääminen oli myös työelämän tietosuojalain tarpeellisuusvaatimuksen vastaista. Tietosuojavaltuutettu katsoi, että osa tiedoista oli tietosuoja-asetuksessa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja ja näin ollen niiden käsittely oli rikkonut myös erityisten henkilötietoryhmien käsittelyä koskevia velvollisuuksia. Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjän seloste käsittelytoimista oli puutteellinen siten, että siitä ei riittävällä tarkkuudella ilmennyt henkilötietojen suunniteltuja poistoaikoja (137/161/2020).
  • Katso myös tietosuojavaltuutetun toimiston mallipohjat selosteelle käsittelytoimista: