Mikä on seloste käsittelytoimista?

Tietosuoja-asetuksen 30 artikla edellyttää, että jokainen rekisterinpitäjä ja henkilötietojen käsittelijä ylläpitää selostetta käsittelytoimista. Vaikka alle 250 työntekijän organisaatioille on rajallinen poikkeus, tämä poikkeus on niin kapea, että se ei käytännössä koskaan sovellu: se kattaa vain organisaatiot, jotka käsittelevät henkilötietoja satunnaisesti, eivät käsittele erityisiä henkilötietoryhmiä eivätkä käsittele tietoja, jotka voisivat aiheuttaa riskin rekisteröidyille. Käytännössä lähes jokainen organisaatio, joka käsittelee työntekijätietoja, asiakastietoja tai verkkosivuvierailijatietoja, tarvitsee selosteen. Tämä tarkoittaa, että valtaosa asiakkaistasi — koosta riippumatta — on lain mukaan velvollinen ylläpitämään sellaista. Ulkoisena tietosuojavastaavana olet yleensä vastuussa selosteiden luomisesta, ylläpidosta ja päivittämisestä jokaiselle asiakkaallesi. 10–20 asiakkaalla tästä voi nopeasti tulla merkittävä hallinnollinen taakka, jos se hoidetaan manuaalisesti.

Artikla 30(1) määrittelee pakolliset sisällöt rekisterinpitäjille. Jokaisen käsittelytoimintaa koskevan merkinnän tulee sisältää: rekisterinpitäjän ja tietosuojavastaavan nimi ja yhteystiedot, käsittelyn tarkoitukset, kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä, vastaanottajien ryhmät, siirrot kolmansiin maihin mukaan lukien suojatoimet, suunnitellut säilytysajat sekä yleinen kuvaus teknisistä ja organisatorisista turvallisuustoimenpiteistä. Henkilötietojen käsittelijöille artikla 30(2) edellyttää hieman erilaista tietosisältöä: käsittelijän nimi ja yhteystiedot sekä jokaisen rekisterinpitäjän tiedot, jonka puolesta käsittelyä suoritetaan, suoritettujen käsittelytoimien kategoriat, siirrot kolmansiin maihin ja mahdollisuuksien mukaan kuvaus turvallisuustoimenpiteistä. Monet valvontaviranomaiset suosittelevat vähimmäisvaatimuksia laajempaa sisältöä. Oikeusperusteen, tietojen lähteen ja automaattista päätöksentekoa koskevan tiedon lisääminen jokaista käsittelytoimea kohden tekee selosteestasi hyödyllisemmän vaatimustenmukaisuuden hallintatyökaluna — ei vain muodollisen vaatimuksen täyttämistä.

Yleisin virhe on käsitellä selostetta kertaluonteisena projektina eikä elävänä asiakirjana. Käsittelytoiminnot muuttuvat — uusia ohjelmistoja otetaan käyttöön, tietovirtoja muutetaan, säilytysaikoja päivitetään. Seloste, joka oli tarkka tammikuussa, voi olla vanhentunut maaliskuussa. Toinen yleinen ongelma on epäjohdonmukainen yksityiskohtaisuus. Jotkut tietosuojavastaavat dokumentoivat jokaisen yksittäisen järjestelmän erillisenä käsittelytoimena, mikä johtaa satoihin merkintöihin, joita on mahdoton ylläpitää. Toiset niputtavat kaiken viiteen tai kuuteen laajaan kategoriaan, joista puuttuu valvontaviranomaisten odottama tarkkuus. Oikea yksityiskohtaisuuden taso tarkoittaa tyypillisesti 15–40 käsittelytoimea keskisuurelle organisaatiolle. Lopuksi monet tietosuojavastaavat hallitsevat selosteita Excel-taulukkolaskennoissa — mikä toimii yhdelle tai kahdelle asiakkaalle, mutta hajoaa mittakaavan kasvaessa. Ei versionhallintaa, ei tarkistusmuistutuksia, ei jäsenneltyjä kenttiä eikä mahdollisuutta luoda auditointivalmiita vientejä. Tässä kohdassa omistautuneet työkalut tekevät mitattavan eron.

Tehokkaan selostehallinnan avain on rakenne ja automaatio. Aloita toimialakohtaisilla mallipohjilla, jotka esitäyttävät yleisiä käsittelytoimia — verkkokauppayrityksellä ja terveydenhuollon tarjoajalla on hyvin erilaiset käsittelymaisemat, mutta saman toimialan yritykset jakavat 70–80 % toimistaan. Aseta tarkistuspäivämäärät jokaiselle käsittelytoimelle. Useimmat valvontaviranomaiset odottavat vähintään vuosittaisia tarkistuksia, mutta kriittiset käsittelytoimet tulisi tarkistaa aina merkittävän muutoksen yhteydessä. Automaattiset muistutukset varmistavat, ettei mikään jää huomaamatta. Versionhallinta on olennaista vastuuvelvollisuudelle. Kun valvontaviranomainen kysyy tietystä käsittelytoimesta, sinun on pystyttävä näyttämään paitsi nykyinen tila myös muutoshistoria — kuka päivitti mitä ja milloin. Tämä auditointipolku suojaa sekä sinua että asiakastasi. Ulkoisille tietosuojavastaaville, jotka hallitsevat useita asiakkaita, monen asiakkaan työkalu kuten Trustee.eu poistaa erillisten järjestelmien ylläpidon vaivan. Voit käyttää samoja mallipohjia saman toimialan asiakkailla, luoda auditointivalmiita PDF-tiedostoja yhdellä napsautuksella ja nähdä yhdellä silmäyksellä, millä asiakkailla on myöhässä olevia selostetarkistuksia.