Viimeisin päivitys: 19 toukokuuta 2022
Mikä on tietosuojaseloste?
Tietosuojaseloste on ikään kuin viestintäväline. Sen avulla kasino voi kertoa miten se käyttää ja suojaa keräämiään henkilötietoja. Se annetaan tiedoksi niille, joiden henkilötietoja käytetään. Käytännössä tietosuojaseloste pitää laatia erilaisissa tilanteissa. Jos kerätään esimerkiksi henkilöasiakkaiden tietoja, silloin se velvoittaa kasinoa laatimaan tietosuojaselosteen. Suomen vanhan henkilötietolain ollessa vielä voimassa, kirjoitettiin rekisteriselosteita. Nykyään tietosuojaselosta on siis ajantasainen ja laajennettu versio rekisteriselosteesta.
Miksi tietosuojaseloste pitää laatia?
Toukokuussa 2018 astui voimaan EU:n yleinen tietosuoja-asetus (General Data Protection Regulation eli ”GDPR”), mikä velvoittaa tietosuojaselosteen laatimisen. Tietosuoja-asetus tuo esiin henkilötietojen käsittelyn avoimuutta ja säätää kasinon informointivelvollisuutta aiempaa yksityiskohtaisemmin sekä rekisteröityjen oikeuksia. Jos asetusta rikotaan, GDPR antaa tietosuojavaltuutetulle mahdollisuuden langettaa kovatkin sanktiot. Tämä asetus kumosi Suomessa ennen toimineen henkilötietolain, jolla henkilötietoja aiemmin säädettiin.
Mitä henkilötiedot ovat?
Henkilötiedoiksi luokitellaan kaikki ne tiedot, joilla voidaan suoraan tai epäsuorasti tunnistaa yksityishenkilö. Näitä ovat muun muassa nimi, henkilötunnus, puhelinnumero sekä verkkotunnistetiedot (IP-tunnus).
Miten tietosuojaseloste laaditaan?
Netissä on saatavilla erilaisia valmiita pohjia, joiden avulla tietosuojaseloste on helppo laatia. Niissä on mukana kymmeniä juristien laatimia malliasiakirjauksia, joita yleensä käytetään tietosuojaselosteissa. Niitä voi vapaasti muokkailla, poistaa tai lisätä sisältöjä tarpeen mukaan.
Mitä tietosuojaseloste sisältää?
Tietosuojaseloste sisältää muun muassa henkilötietojen käsittelyn perusteen ja tarkoituksen, käsiteltävät henkilötiedot, säännönmukaiset tietolähteet, henkilötietojen säilytysajan, rekisteröidyn henkilön oikeudet (esim. mahdollisuus poistattaa omat tiedot rekisteristä), henkilötietojen luovuttamisen ulkopuolisille, henkilötietojen siirtämisen EU- tai ETA-alueen ulkopuolelle, henkilötietojen suojauksen periaatteet (esim. tietoturvan), profiloinnin (henkilötietojen automaattisen käsittelyn rekisteröidyn henkilökohtaisten ominaisuuksien arvioimiseksi) sekä kasinon yhteystiedot.
Tilanne ratkaisee sen, mitä seikkoja tulee selvittää niille, joiden henkilötietoja käsitellään. Esimerkiksi aina pitää selvittää henkilötietojen käsittelyn oikeusperuste ja tarkoitus sekä kasinon yhteystiedot. Kaikkea ei silti tarvitse mainita. Jos esimerkiksi henkilötietoja ei käytetä rekisteröityjen profilointiin tai siirretä EU:n ja ETA:n ulkopuolelle, ei asiasta tarvitse tehdä erikseen mainintaa.
Millä perusteella henkilötietoja saa käsitellä?
Henkilötietojen käsittelyyn tarvitsee aina jonkin laissa määritetyn syyn. Näitä ovat esimerkiksi yksilöity ja selkeästi dokumentoitu rekisteröidyn antama suostumus, sopimus, jossa rekisteröity on osapuolena, kasinon oikeutettu etu tai sille kuuluvan julkisen vallan käyttäminen, yleinen etu sekä lakisääteinen velvoite tai laki kasinolle.
Lisäksi henkilötietojen käsittelyllä tulee olla tietty tarkoitus, joka on tultava ilmi tietosuojaselosteessa. Tämä velvollisuus on pysynyt muuttumattomana rekisteriselosteen ajoista. Näitä tarkoituksia ovat esimerkiksityösuhteen hallinta, rekrytointi, markkinointi, asiakassuhteiden ja kumppanuuksien ylläpito sekä tapahtumien järjestäminen.
Kuinka laajasti henkilötietojen luovuttaminen ulkopuolisille tulee selvittää?
Henkilötietojen luovutuksesta voidaan puhua niissä tapauksissa, joissa kasino luovuttaa tai siirtää henkilötietoja ulkopuoliselle henkilötietojen käsittelijälle. Tämän tyyppisistä luovutuksista tulee antaa aina rekisteröidylle selostus.
Ulkopuolisena käsittelijänä voi toimia esimerkiksi tilitoimisto, minkä kanssa kasino on tehnyt sopimuksen palkanlaskennasta ja joka myös huolehtii palkanmaksusta niissäkin tapauksissa, joissa työntekijä jättää kasinon tai kun hän saa palkankorotuksen.
Lähtökohtaisesti rekisteröidylle tulisi antaa tiedot todellisesta henkilötietojen vastaanottajasta. Mikäli kasino ei halua tehdä vastaanottajien yksilöintiä, silloin se voi kirjata henkilötietojen vastaanottajaryhmät niin täsmällisesti kuin se on vain mahdollista tehdä, esimerkiksi kuvaamalla esimerkiksi vastaanottajien tyyppi, toimiala, sektori sekä sijainti.
Mitä oikeuksia rekisteröidyllä on?
Rekisteröidylle kuuluu tietosuoja-asetusten mukaan tiettyjä säädettyjä oikeuksia, kuten esimerkiksi oikeus tarkastaa häntä koskevat henkilötiedot ja mahdollisuus myös tarvittaessa oikaista ne. Tietyissä tilanteissa rekisteröidyllä on myös oikeus vaatia tietonsa poistetuksi. Nämä kaikki oikeudet pitää tulla ilmi tietosuojaselosteessa. Ne onkin yleensä huomioitu jo valmiissa tietosuojaselosteen mallikappaleissa.
