Sain sähköpostitse kysymyksen, joka koskee tietosuojaselosteita kuntien verkkosivuilla. Tietosuoja ei ole varsinaisesti erikoisalaani, mutta se liittyy toki läheisesti päivätyöni tehtäviin ja on kuulumme samalle Tiedonhallinta ja tietosuoja -vastuualueelle organisaatiossamme. Organisaatiotasolla tietosuojaan liittyviä kysymyksiä kannattaa pyytää omalta tietosuojavastaavalta, ja kansallisella tasolla oikea taho on tietosuojavaltuutettu. Minua sähköpostitse lähestynyt henkilö ei kuitenkaan ollut saanut kysymykseensä yksiselitteisiä vastauksia tietosuojavaltuutetultakaan.
Kysymys koskee sitä, voiko tietosuojaselosteiden henkilötietorekisterit poistaa kuntalaisen näkyviltä, jos ne ovat saatavilla henkilöstön käyttämästä dokumentointijärjestelmästä. Tuohon järjestelmään on pääsy vain henkilöstöllä, ei kuntalaisella. Tietopyynnön tekijä voisi kyllä saada henkilöstörekisterin tiedot. Eli käytännössä tietosuojaselosteet poistettaisiin verkkosivuilta ja nähtävillä olisi vain yleinen verkkosivu henkilötietojen käsittelystä ja tuolla sivulla olisi myös maininta, että tarkempia, järjestelmäkohtaisia tietoja saa erillisellä tietopyynnöllä. Taustalla tällaiseen yksinkertaiseen sivuun siirtymisessä olisi erilaisten henkilötietoja säilyttävien järjestelmien ja siten erilaisten tietosuojaselosteiden suuri määrä.
Minäkään en löytänyt tähän kysymykseen täydellistä vastausta, mutta ymmärtääkseni näkyvillä olevia tietosuojaselosteita voi olla yksi tai useampia. Tärkeintä on, että valittu ratkaisu on selkeä ja tiedot on esitetty niin, että ne on helppo ymmärtää ja lukea. Joka tapauksessa ainakin yksi kokoava varsinainen tietosuojaseloste on julkaistava organisaation verkkosivuilla. Varsinaisten tietosuojaselosteiden toimittaminen vain pyynnöstä ei riitä. Nämä tiedot löysin täältä ja täältä.
Samat pohdinnat koskevat kaikkia muitakin organisaatioita. Esimerkiksi jokaisella yrityksellä on varmasti ainakin asiakasrekisteri ja monilla myös työntekijärekisteri. Jos tietosuojaselosteen julkaisu jäi vielä epäselväksi, osaa siinä varmasti auttaa jokin tietosuojalainsäädäntöön perehtynyt lakitoimisto. EU:n yleinen tietosuoja-asetus sekä kansallinen tietosuojalainsäädäntö kannattaa toki kurkata ensiksi.
Kiitos kysyjälle tästä kysymyksestä ja toivottavasti vastaus auttoi ainakin pääsemään jäljille, miten edetä! Onko jokin muu arkistointiin ja tiedonhallintaan liittyvä aihe herättänyt kysymyksiä? Voit lähettää viestin osoitteeseen hanna(at)tiedos.fi tai olla yhteydessä somekanavien kautta, jos toivot jonkin tietyn kysymyksen käsittelyä täällä blogissa, sähköpostilistalla ja somekanavilla!
-Hanna