Henkilötietojen käsittely

Mies ottaa puhelimella kuvaa ulkona talvimaisemissa selkä kameraan päin.

Moni meistä käsittelee henkilötietoja työssään. Nuorisotyössäkin henkilötiedot ovat toisinaan käsittelyssä. Oli sitten kyseessä mainostaminen tai leirille lähtijöiden huoltajien yhteystietolista, on hyvä tutustua henkilötietojen käsittelyyn.

Miten henkilötietoja käsitellään oikein ja mitä vastuita niiden käsittelyssä on?

  • Henkilötietojen käsittely on suunniteltava ja dokumentoitava etukäteen
  • Huolehdi, että suunnitelma ja toteutus vastaavat toisiaan
  • Varmista, että tietoturva on toimivaa ja ajantasaista
  • Huolehdi henkilötietoja käsittelevien henkilöiden osaamisesta
  • Jos/Kun toimintaan tulee muutoksia, päivitä dokumentaatiot ajantasalle

Henkilötietojen käsittelyä kannattaa suunnitella hyvin. Määritä ja dokumentoi miten tietoja käsitellään, ja määrittele mitä tietoja keräät, miksi, mistä ja millä tavoin. Samalla on tuotava esille mihin tietojen käsittely perustuu (GDPR artikla 6), kuka kerättyjä tietoja käsittelee ja luovutetaanko tietoja eteenpäin.

Muistilista henkilötietojen käsittelyyn:

  1. Tuo selkeästi esille kuinka kauan ja miten tietoja säilytetään ja miten ne lopulta poistetaan
  2. Kerro miten rekisteröidyn oikeudet toteutetaan käytännössä
  3. Pohdi mitä riskejä tietojen käsittelyssä on ja miten riskit hallitaan
  4. Laadi julkinen tietosuojaseloste
  5. Huolehdi yleisesti tietoturvan toteutumisesta
  6. Tee tarvittavat sopimukset
  7. Varmista toimintamallin ja teknisen toteutuksen vastaavuus suunnitelmaan
  8. Huolehdi henkilötietojen käsittelijöiden perehdytyksestä sekä osaamisesta

Tietosuojaseloste ja rekisteröidyn oikeudet 

Kun olet käynyt läpi henkilötietojen ydinkysymykset, on aika laatia tietosuojaseloste, jossa esitellään henkilötietojen käsittely. Julkisen selosteen lisäksi on hyvä laatia sisäisenä asiakirjana seloste henkilötietojen käsittelytoimista.

Julkiseen selosteeseen lisää vähintään seuraavat tiedot:

  • Rekisteripitäjä yhteystietoineen
  • Henkilötietojen käsittelyn tarkoitukset
  • Henkilötietojen käsittelyn perusteet
  • Käsittelyajat
  • Tietojen luovutukset
  • Siirto EU:n/ETA-alueen ulkopuolelle
  • Rekisteröidyn oikeudet
  • Lähdetieto, jos tiedot on saatu muualta kuin rekisteröidyltä itseltään

Lisää tietosuojaseloste omille internet-sivuille ja materiaaleihin, joissa henkilötietoja kerätään. Painetussa materiaalissa voit käyttää lyhennelmää ja ohjata omille sivuille täydelliseen selosteeseen. Vältä selosteessa kapulakieltä ja kerro asiat selkeästi ja ymmärrettävästi. Varmista, että rekisteröidyn oikeudet voidaan toteuttaa ja niihin on olemassa toimintamalli.

Valkoisella taustalla on tyhjä valkoinen muistio ja sen päällä musta kynä.

Tietoturva ja tekninen toteutus 

Tietoturva vaatii myös teknistä toteutusta. Varmista, että tietoturvaratkaisusi ovat päivitettyjä ja ajantasalla. On hyvä lisäksi tarkistaa, että salasanakäytännöt ovat kaikille selkeitä ja käytäntöjä noudatetaan. Näiden lisäksi on vamistettava, että myös admin-salasanat ovat turvallisia.

Tehtävälista teknisten toteutusten huomioimiseen:

  • Listaa henkilötietojen käsittelyyn liittyvät järjestelmät, ohjelmat, sovellukset ja laitteet, ja varmista näiden tietoturvan taso
  • Varmista, että järjestelmien toimivuus vastaa dokumentoitua ja ajateltua toimintamallia
  • Jos käytetään ulkopuolista tahoa henkilötietojen käsittelyssä, varmista myös tekninen toteutus heidän taholtaan. Tee henkilötietojen käsittelyyn liittyvä sopimus tahon kanssa (tai sopimusliite).
  • Laadi tietoturvaloukkauksien varalta toimintamalli

Sopimukset ja tietosuojavastaava

Tutustu palvelutuottajien kanssa tehtyihin sopimuksiin ja varmista, että niissä on huomioitu henkilötietojen käsittely GDPR:n mukaisesti. Nimitä myös tietosuojavastaava, joka voi olla organisaation sisäinen työntekijä tai ulkoistettu toimija.

  • Päivitä tarvittaessa sopimuksia tai lisää tietosuojaliite
  • Huomioi erityisesti ne sopimukset, jotka tehdään henkilötietojen käsittelijöiden kanssa
  • Rekisterinpitäjänä vaadi asianmukainen seloste/liite
  • Huomioi, että sopimuksissa on käsitelty vastuut ja tietoturva-asiat. Myös tietoturvapoikkeamista on hyvä määritellä sopimuksellisesti
  • Jos aikaisemmin tietosuoja ja -turva-asioita ei ole vastuutettu kenellekään, tee se nyt ja laadi myös sijaiskäytännöt
  • Varmista myös, että yrityksen johdolla on tarvittava tieto tietosuojasta ja henkilötietojen käsittelystä

Toimintamallin ja tekniikan yhteensopivuus 

Kun luot toimintamallia henkilötietojen käsittelylle, ota huomioon käsittelyssä käytettävät ohjelmat ja järjestelmät. Päivitä tarvittaessa järjestelmiä vastaamaan vaatimuksia. Monesti järjestelmiä/ohjelmistoja/sovelluksia on päivitetty GDPR:n mukaiseksi. Jos kaikkea ei saa toteutettua kerralla, laadi suunnitelma toteutuksesta.

Jos tekninen ratkaisu ei ole GDPR:n mukainen, eikä sitä pysty päivittämään, etsi tilalle vaihtoehtoisia ratkaisuja. Pidä henkilötietojen käsittely myös teknisesti mahdollisimman suoraviivaisena. Varmista, että henkilötietoja pääsee käsittelemään vain ne henkilöt, joiden työtehtäviin se kuuluu. Tämän takaamiseksi käytössä voi olla esimerkiksi erilaisia rooleja.

Tietosuojaan ja tietoturvaan voit tutustua tarkemmin digitaalisen nuorisotyön osaamiskeskuksen koulutussarjassa täällä.

Katso kaikki vinkit