Käytännössä jokaisen yrityksesi tulee pitää kirjaa käsittelytoimistaan. Seloste käsittelytoimista on kirjallinen kuvaus kaikesta organisaation tekemästä henkilötietojen käsittelystä ja voi auttaa sinua tunnistamaan tietosuoja-asetuksen mukaisia vastuistasi ja mahdollisia riskejä.
Jokainen käsittelytoimi on kuvattava selosteessa seuraavilla tiedoilla:

• käsittelyn tarkoitus (esim. asiakasuskollisuus),
• käsiteltävien tietojen luokat (esim. palkkakuitissa nimi, syntymäaika, palkan suuruus jne.),
• kenellä on pääsy tietoihin (vastaanottajat, esim. rekrytoinnista vastaava yksikkö, IT-palvelu, organisaation johto, palveluntarjoajat, kumppanit),
• tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
• mahdollisuuksien mukaan tietojen säilytysaika (aika, jona tiedot ovat hyödynnettävissä sekä niiden arkistointiaika).
• mahdollisuuksien mukaan yleinen kuvaus turvatoimista.

Käsittelytoimien kirjaaminen kuuluu organisaatiosi johdon vastuulle.

Käsittelytoimia koskevan selosteen on oltava pyydettäessä sen maan tietosuojaviranomaisen saatavilla, jossa toimit.

Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse kirjata selosteeseen puhtaasti satunnaisia toimia (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).

Lisätietoja:

• Noudata tietosuojavaatimuksia