Useissa organisaatioissa on käyty viime vuosina läpi henkilötietojen käsittelyyn liittyviä käytänteitä tietosuojalainsäädännön uudistuksen myötä. On tärkeää hahmottaa kokonaiskuva eli milloin ollaan rekisterinpitäjä ja milloin käsittelijän roolissa. Huolellinen henkilöstön tietosuojakoulutus ja -ohjeistus on sekä vaadittua että kannattavaa organisaatiolle.
Rekisteripitäjänä vai käsittelijänä
Rekisterinpitäjä määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijä käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Käsittelyä ovat muun muassa henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, luovuttaminen, poistaminen ja hävittäminen.
Rekisterinpitäjä usein ulkoistaa valitsemansa osan henkilötietojen käsittelystä eri palveluntarjoajalle, kuten tilitoimistolle, mainostoimistolle tai ICT-kumppanille.
Huomioi velvollisuudet
Tietosuoja-asetus on selkeyttänyt rekisterinpitäjän ja käsittelijän välistä sääntelyä sekä osoittaa velvollisuuksia myös suoraan käsittelijälle.
Rekisterinpitäjän velvollisuuksiin kuuluu varmistaa, että käsittelijät noudattavat hyvää käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät asetuksen vaatimukset.
Rekisterinpitäjän ja käsittelijän välille tulee laatia kirjallinen sopimus, jossa määritellään henkilötietojen käsittelyn kohde, tarkoitus ja kesto sekä sovitaan käsiteltävät henkilötiedot.
Palveluntarjoajia kannattaa vielä pyytää laatimaan seloste käsittelytoimista. Palvelun laadun seurantaan kannattaa määritellä myös tietosuojan ja tietoturvan säännöllisen raportoinnin käytännöt.
Henkilötietojen käsittelyn yleiskuva hahmottamaan kokonaisuutta
Rekisterinpitäjän tulee pitää kirjaa kaikista henkilötietojen käsittelytoimista. Tähän velvollisuuteen kuuluu olennaisena osana tieto kaikista käsittelijöistä ja inventaario näiden kanssa tehdyistä sopimuksista.
Usein kokonaisuuden hahmottaminen on haastavaa, että missä kaikkialla ylipäätään on henkilötietoja ja ketkä niitä käsittelevät. Tämän takia olisi suositeltavaa tehdä yleiskuva hahmottamaan henkilötietojen käsittelyä.
Henkilöstön kouluttaminen ja ohjeistaminen
Rekisterinpitäjän tulee huolehtia siitä, että henkilötietoja käsittelevät henkilöt ovat asianmukaisesti koulutettuja. Henkilöstölle tulee laatia selkeä ohjeistus, jossa kuvataan, millainen henkilötietojen käsittely kuuluu tehtävänkuvaan. Ohjeistuksen tulee olla henkilöstölle helposti saatavilla.
Rekisterinpitäjän on huolehdittava, että myös koko henkilöstöllä on riittävä tietosuoja- ja tietoturvaosaaminen, koska useasta kyseeseen tulevat juuri inhimilliset virheet henkilötietojen käsittelyssä. Tämän takia onkin erityisen tärkeää huomioida rooliperusteinen tietosuojakoulutus ja ohjeistaminen niiden osalta, jotka käsittelevät henkilötietoja ja osallistuvat rekisteröidyn oikeuksien toteuttamiseen luotuihin prosesseihin, kuten tarkastusoikeuden toteuttamiseen.