Rekisteri- ja tietosuojaselosteet kuntoon!

Onko CRM-järjestelmästäsi tehty tarvittava rekisteriseloste ja onko se ajantasainen? Onko rekisteröityjä informoitu tietojen käsittelystä tietosuojaselosteen tai vastaavan avulla? Henkilötietolaki edellyttää rekisterinpitäjiltä molempia asioita – ja vähän muutakin. Jos selosteissa on puutteita, nyt on hyvä hetki laittaa ne kuntoon!

Rekisteriseloste

Jokaisesta henkilötietoja sisältävästä CRM-järjestelmästä on laadittava rekisteriseloste. Selosteen tekotarpeeseen ei vaikuta se, käsitelläänkö järjestelmässä B2B-, B2C- tai jotain muita asiakkaita. Seloste on tehtävä joka tapauksessa, jos käsitellään luonnollisten henkilöiden tietoja.

Ideaalitilanteessa rekisteriseloste on tehty ennen CRM-järjestelmän kehitysprojektin aloitusta, ja sen avulla on suunniteltu järjestelmään liittyvät perusperiaatteet. Valitettavan harvoin näin kuitenkaan on, ja tällöin on huolehdittava rekisteriselosteen tekemisestä viimeistään järjestelmän käyttöönoton yhteydessä.

Henkilötietolain 10 § mukaan rekisteriselosteesta on ilmettävä:

  1. rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;
  2. henkilötietojen käsittelyn tarkoitus;
  3. kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;
  4. mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä
  5. kuvaus rekisterin suojauksen periaatteista.

Tietosuojavaltuutetun toimiston verkkosivuilta löytyy valmis yhdeksänkohtainen pohja ja ohjeet rekisteriselosteen laatimiseksi.

Mallipohjan tiedot ovat selkeitä täyttää, mutta muutamissa kohdissa vaaditaan hieman pohdintaa. Seuraavia kohtia voi peilata THO Consulting Oy:n tietosuojaselosteen vastaaviin kohtiin.

  • Henkilötietojen käsittelyn tarkoitus. Tätä kohtaa voi pitää rekisteriselosteen sydämenä, sillä siinä määritellään, minkä rekisterinpitäjän tehtävän suorittamiseksi rekisteri on luotu. Kohtaa voi peilata henkilötietolain 6 § 1 momentin vaatimukseen: ”Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.” Useimmissa CRM-järjestelmissä kyse on asiakassuhteiden hoidosta ja markkinoinnista, kuten myös THO Consulting Oy:n tapauksessa.
  • Rekisterin tietosisältö. Tässä kuvataan henkilörekisterin sisältö yleisellä tasolla. Henkilön yksilöintiin liittyvät tiedot kuvataan kenttätasoisesti ja loput tiedot tietoryhmien tasolla.
  • Tietojen säännönmukaiset luovutukset. Useimmissa rekisteri- ja tietosuojaselosteissa luvataan autuaasti, että tietoja ei luovuteta minnekään. Käytännössä kuitenkin luovutukset ovat arkipäivää, kun tietoja toimitetaan tuoreutettavaksi tai postitusyritysten käyttöön. Nämä tapaukset on hyvä huomioida.
  • Tietojen siirto EU:n tai ETA:n ulkopuolelle. Tämä kohta on erityisen tärkeää huomioida silloin, kun CRM-palvelu on hankittu palveluntarjoajalta esim. pilvipalveluna. Säilyttääkö palveluntarjoaja tiedot EU/ETA-alueella vai sen ulkopuolella? Jos ulkopuolella, täyttyvätkö henkilötietolain 22 §:n yleiset edellytykset? (Jos 22 § edellytykset eivät täyty, ollaan isoissa vaikeuksissa, mutta se on kokonaan oma tarinansa.)

Informointivelvoite ja tietosuojaseloste

Henkilötietolain 24 § edellyttää, että asiakkaita informoidaan tietojen käsittelystä. Velvoite koskee kaikkia rekisterinpitäjiä. Käytännössä se on helpointa toteuttaa julkisesti nähtäville saatettavalla tietosuojaselosteella.

Tietosuojaseloste on rakenteeltaan samanlainen kuin edellä mainittu rekisteriseloste, mutta siihen on lisätty rekisteröityjen henkilöiden informointia koskevat tiedot.

Jotkut lähteet (mm. Salminen 2009) ehdottavat, että rekisteriselosteen voi kokonaan korvata tietosuojaselosteella. Itse pidän yllä molempia dokumentteja, sillä henkilötietolain 10 § nimenomaisesti edellyttää rekisteriselosteen olemassaoloa. Lisävaiva samansisältöisten dokumenttien ylläpidosta on minimaalinen, ja näin lain kirjaimen vaatimukset tulevat noudatetuiksi pilkulleen.

Aiemmin mainitulta Tietosuojavaltuutetun toimiston sivulta löytyy valmis pohja myös tietosuojaselosteelle. Käytännössä tietosuojaselosteeseen on lisätty kolme kohtaa:

  • Tarkastusoikeus. Kuvaus siitä, missä ja miten rekisteröity voi tarkastaa omat tietonsa. Kohdan sisällön on oltava henkilötietolain 26 § ja 28 § mukainen, eli kovin mielikuvituksellisia rajauksia tai ehtoja tarkastusoikeuden toteuttamiselle ei voi määrätä.
  • Oikeus tietojen korjaamiseen. Mahdolliset tarkastuksessa havaitut virheet on korjattava ilman viivytystä. Tässä kohdassa kuvataan, minne ja miten korjauspyyntö tehdään ja miten se käsitellään.
  • Muut oikeudet. Tässä kuvataan, mitä muita oikeuksia (esim. kielto-oikeudet) rekisteröidyille kuuluu.

Lopuksi

Tietosuojaan liittyvät vaatimukset kiristyvät lähivuosina, kun EU:n esitys yleiseksi tietosuoja-asetukseksi hyväksytään. Muutoksiin on hyvä varautua jo nyt huolehtimalla nykyisten vaatimusten täyttymisestä kaikilta osin.

Kommentoi

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s

%d bloggers like this: