Tietosuoja, Teknologia Atte Kuismin-Raerinne Tietosuoja, Teknologia Atte Kuismin-Raerinne

Mikä on tietosuojaseloste ja onko se pakko tehdä?

Olet varmasti kuullut tietosuojaselosteesta ja ehkä nähnytkin sellaisen. Mutta mikä tietosuojaseloste oikeastaan on? Onko sellainen pakko tehdä? Miten evästebannerit liittyy asiaan? Kaikkiin näihin kysymyksiin löydät vastaukset tästä blogipostauksesta.

Mikä on tietosuojaseloste

Tietosuojaseloste -sanaa et löydä yleisestä tietosuoja-asetuksesta (TSA tai tuttavallisemmin GDPR), mutta saatat törmätä 30 artiklan mukaiseen selosteeseen käsittelytoimista, mikä ei ole sama asia kuin tietosuojaseloste vaan yksityiskohtaisempi isompien yritysten sisäiseen käyttöön tarkoitettu dokumentti.

Tietosuojaseloste sanana ottaa oppia rekisteriselosteesta, joka oli suppeampi versio tietosuojaselosteesta ja oli käytössä henkilötietolain voimassaoloaikana ennen kuin GDPR tuli voimaan. Saatat nykyäänkin vielä törmätä rekisteriselosteisiin internetissä ja tämä tarkoittaa, että kyseistä dokumenttia ei luultavasti ole GDPR:n voimaantulon eli vuoden 2018 jälkeen päivitetty.

Tietosuojaseloste on dokumentti, jolla informoidaan rekisteröidyille tietoja siitä, miten heidän henkilötietojaan käsitellään. Tämä perustuu GDPR 5 artiklan mukaiseen läpinäkyvyysperiaatteeseen, mutta tarkemmin rekisteröidylle annettavista tiedoista säädetään 12-14 artikloissa.

Tietosuojaseloste on siis dokumentti, jolla toteutetaan läpinäkyvyysperiaatetta ja annetaan vähintään 13 tai 14 artiklan mukaiset tiedot ja vielä ymmärrettävässä muodossa siten kuin 12 artiklassa säädetään.

Onko tietosuojaseloste pakko tehdä

Rekisteröidylle on informoitava henkilötietojen käsittelystä ja kätevin tapa suurimmassa osassa tapauksia tämän toteuttamiseksi on tehdä tietosuojaseloste, jossa nämä tiedot annetaan. Eli käytännössä tietosuojaseloste on pakko tehdä, jos yrityksesi käsittelee henkilötietoja, ellei käsittelyn luonteesta johdu, että informoinnin voi tehdä toisella tapaa esim. suullisesti. Tällöinkin käsittelyn tiedot on todennäköisesti jollakin dokumentilla, vaikkei sitä tietosuojaselosteeksi kutsuttaisikaan.

Miten evästeet liittyy asiaan

Evästeistä ja suostumustasi kysyvistä bannereista ei säädetä GDPR:ssä vaan erillisessä ePrivacy -direktiivissä, jonka säännökset on toteutettu Suomessa lailla sähköisen viestinnän palveluista (SVPL). Evästeistä on annettava tarvittavat tiedot SVPL 205 §:n perusteella. Muihin kuin viestin välitykseen viestintätoiminnassa tai käyttäjän pyytämän palvelun toiminnan kannalta välttämättömiin evästeisiin tarvitsee käyttäjältä suostumuksen. Tämän vuoksi lähes jokaisella verkkosivustolla sinua ensimmäisenä tervehtii evästebanneri, joka pyytää sinulta suostumusta evästeiden käyttämiseen.

Niin myös meidän sivuilla tapahtuu. Evästeitä käytetään myös yksinkertaiseen kävijäseurantaan eli siihen, että verkkosivun omistaja näkee tietoja kuinka paljon kävijöitä sivustolla käy, mistä maasta ja millä sivuilla kävijät vierailevat. Tämä on yrittäjälle tärkeää tietoa siitä, mitä sivustolla kannattaa kehittää. Ilman evästeitä kyllä näkee yksinkertaisen kävijälaskurin, joka ottaa jokaisen sivustolla vierailun huomioon omana käyntinään, mikä ei ole kovin hyödyllistä tietoa. Kaikki evästeet eivät ole siis supervakoilua varten, mutta niitä voidaan myös siihen käyttää.

Mitä tietosuojaselosteeseen pitää siis täyttää?

Minimitiedot löytyvät GDPR 13 tai 14 artiklasta riippuen siitä, saatko henkilötiedot suoraan ko, henkilöiltä vai muualta. Selosteen laatiminen voi vaikuttaa hankalalta, mutta onneksi meiltä saa apua!

Netistä voit löytää valmiita pohjia joihin täytät tiedot ilman selitystä siitä miten tiedot tulisi täyttää. Tekoälyltäkin voit saada ohjeistusta ja malleja, mutta ilman omaa asiantuntemusta aiheesta, voi olla vaikea ymmärtää onko tekoäly tehnyt asioita väärin.

Meiltä löytyy apua eri tarpeisiin:

  • Yksinkertaisissa tapauksissa, kun luulet ohjeistuksella saavan itse tehtyä tietosuojaselosteen valmiiksi tai kun haluat säästää yrityksen kuluissa tarjoamme tee-se-itse tietosuojaselostetta, jossa on kattavat ohjeistukset siitä, miten täytät pohjan oikein.

  • Jos haluat säästää aikaa etkä kuluja voit saada meiltä juristin laatiman tietosuojaselosteen, jonka hinta riippuu siitä, kuinka monimutkainen tapaus on kyseessä. Jos käytätte esim. pilvipalveluja tai henkilötietojen käsittelyyn liittyy tekoäly, liittyy käsittelyyn erityisosaamista vaativaa hommaa. Näissä tapauksissa voimme kyllä auttaa jo käsittelytarpeiden määrittelyssä ja rajaamisessa jo ennen kuin tietosuojaselosteen tekeminen tulee ajankohtaiseksi. Katso tietosuojapalvelumme.

  • Tulevaisuudessa olen kaavaillut meille tekoälyavusteista tietosuojaselosteen tekemistä, jossa yhdistettäisiin selostemalli ja selosteen täyttäminen niin, että voimme tarjota sitä halvemmalla kuin ihmistyönä tehtynä — tästä lisää sitten, kun ensimmäinen PoC on valmis!

Lue lisää