Milloin tulee laatia tietosuojaseloste?

Kaiken kokoisten yritysten ja organisaatioiden tulee kertoa avoimesti siitä, miten ne käsittelevät henkilötietoja. Tämän informointivelvoitteen tausta on Euroopan unionin tietosuoja-asetuksessa (GDPR), jonka tarkoituksena on suojata meidän kaikkien henkilötietoja ja antaa meille myös enemmän oikeuksia itseämme koskevien tietojen hallintaan. Tietosuojaseloste on julkinen asiakirja, jolla rekisterinpitäjä kertoo rekisteriin merkityille ihmisille, mitä tietoja heistä kerätään ja miksi.

Käytännössä tietosuojaselosteen laatimisvelvollisuus koskee lähes kaikkia yrityksiä ja organisaatioita, sillä jokainen toimija, jolla on työntekijöitä, asiakkaita sekä jonkinlaisia tietojärjestelmiä tai fyysisiä rekistereitä heitä koskevien tietojen hallintaan, on rekisterinpitäjä.

Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle helposti ymmärrettävässä muodossa selkeällä ja yksinkertaisella kielellä. Lähtökohtaisesti pienelle yritykselle tai organisaatiolle riittää yksi tietosuojaseloste, mikäli tiedot voidaan esittää siinä helposti ymmärrettävästi. Suuremmilla toimijoilla voi olla tarkoituksenmukaisempaa laatia useita selosteita teemoittain esimerkiksi työntekijöille, työnhakijoille ja asiakkaille, jotta informaatio saadaan pidettyä yksinkertaisena ja ymmärrettävänä.

Jos henkilötietojen käsittely tai lainsäädäntö muuttuu, tulee tietosuojaselostetta päivittää.