- Aiheet
Onko tietosuojavastaavan nimittäminen ajankohtaista organisaatiossasi?
Vuoden 2016 lopulla julkaistiin täydentävää ohjeistusta tulevasta tietosuoja-asetuksesta. Ohjeistus selventää mm. tietosuojavastaavan nimittämiseen, asemaan ja tehtäviin liittyviä asioita.
EU:n uusi tietosuoja-asetus tuo osalle toimijoista mukanaan velvollisuuden nimittää organisaatioon tietosuojavastaava. Asetusteksti annettiin vuonna 2016, mutta asetuksessa on edelleen paljon tulkinnanvaraisia kohtia. Artiklan 37 mukaisesti tietosuojavastaavan tehtävänä on edistää asianmukaisen tietosuojan toteutumista, seurata asetuksen noudattamista organisaatiossa, sekä tehdä tarvittaessa yhteistyötä tietosuojaa valvovan viranomaisen kanssa.
Täydentävää ohjeistusta mm. tietosuojavastaavan nimittämisestä saatiin joulukuussa 2016, kun Data Protection Working Party julkaisi ohjeistuksen WP29. Ohjeistus täsmentää tietosuojavastaavan roolia ja nimittämisvelvoitetta.
Mitkä organisaatiot ovat velvollisia nimittämään tietosuojavastaavan?
Velvollisuus nimittää tietosuojavastaava on
- kaikilla viranomaisilla ja julkishallinnon elimillä paitsi tuomioistuimilla,
- yleisesti sellaisilla rekisterinpitäjillä tai henkilötietojen käsittelijöillä, joiden ydintehtävät koostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.
Lisäksi asetus sisältää tarkentavia säännöksiä käsittelystä, joka kohdistuu erityisiin henkilöryhmiin (9 artikla) ja rikostuomioita tai rikkomuksia koskeviin tietoihin (10 artikla).
Täydentävässä ohjeistuksessa on otettu kantaa rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävien määrittelyyn. Tämä ohjeistus sisältää esimerkin sairaalasta, jonka ensisijainen tehtävä on hoitaa ihmisiä. Sairaala ei kuitenkaan voisi suoriutua tehtävästään tehokkaasti ja turvallisesti ilman potilaidensa henkilötietojen käsittelyä. Siten näiden tietojen käsittelyn on katsottava kuuluvan sairaalan ydintehtäviin.
Asetus edellyttää lisäksi, että tietojen käsittelyn on oltava laajamittaista. Täydentävän ohjeistuksen mukaan laajamittaisen käsittelyn tarkkarajaista määritelmää ei olekaan mahdollista asettaa esimerkiksi käsitellyn tiedon tai käsiteltyjen henkilöiden määrän perusteella. On kuitenkin mahdollista, että asetuksen implementoinnin jälkeen kriteerit ja käytännöt vakinaistuvat.
Velvollisuus nimittää tietosuojavastaava ei koske kaikkia henkilötietoja käsitteleviä organisaatioita, mutta ohjeistus suosittelee tietosuojavastaavan asettamista joka tapauksessa tietosuojavelvollisuuksien noudattamisen varmistamiseksi. Vapaaehtoisesti asetettua tietosuojavastaavaa koskevat samat oikeudet ja velvollisuudet kuin asetuksen velvoittamana nimitettyä tietosuojavastaavaa.
Riittää, että konsernissa on yksi tietosuojavastaava edellyttäen, että häneen voidaan helposti ottaa yhteyttä kaikista toimipaikoista. Ohjeistus tähdentää kuitenkin, että tietosuojavastaavan on pystyttävä kommunikoimaan samalla kielellä viranomaisen ja rekisteröityjen kanssa.
Tietosuojavastaavan tehtävä on mahdollista ulkoistaa organisaation ulkopuolelle osittain tai kokonaisuudessaan. Tällaisissa tapauksissa on erityisen tärkeää huolehtia, että tietosuojavastaavan roolissa toimivien henkilöiden riippumattomuus ja kommunikointi ulkoistaneen organisaation suhteen on toimivaa.
Tietosuojavastaavan asema organisaatiossa
Asetus edellyttää, että tietosuojavastaavalla on riittävät resurssit ja riittävä työaika tehtäviensä suorittamiseen ja että organisaation johto tukee tätä aktiivisesti toimessaan. Tietosuojavastaavalla on tehtävässään itsenäinen asema, mutta hän ei ole henkilökohtaisesti vastuussa, mikäli organisaatio jättäisi noudattamatta tietosuoja-asetuksen normistoa. Asetuksen noudattaminen on viime kädessä organisaation johdon vastuulla.
Tietosuojavastaavalla voi olla myös muita työtehtäviä, mutta niiden suorittaminen ei saa muodostaa intressiristiriitaa tietosuojavastaavan aseman kanssa. Tämä tarkoittaa mm. sitä, ettei tietosuojavastaava pääsääntöisesti voi olla asemassa, jossa hän määrittelisi tietojen käsittelyn tarkoitusta tai tapoja.
Tietosuojavastaavan ydintehtävät
Tietosuojavastaavan keskeisimpinä tehtävinä voidaan pitää organisaation informoimista, neuvomista ja seuraamista EU:n ja kansallisen tietosuojalainsäädännön asettamien velvoitteiden suhteen. Tämä sisältää asetuksen mukaan lisäksi myös organisaation toimintamenettelyjen seuraamisen, tarvittavien neuvojen antamisen tietosuojaa koskevasta vaikutustenarvioinnista (DPIA) ja sen toteutuksen valvomisen, sekä yhteistyön tekemisen valvontaviranomaisen kanssa.
Tietosuojavastaavan on lisäksi huomioitava tehtävässään tietojen käsittelytoimiin liittyvä riski, asetuksen riskilähtöisyyden periaatteen mukaisesti. Ohjeistus tähdentää, että tietosuojavastaavan on priorisoitava tehtäviään ja keskityttävä korkeamman riskin tietosuojakysymyksiin. Tietosuojavastaavan tulisi saman riskilähtöisyyden periaatteen mukaisesti neuvoa organisaatiota tietosuojaan liitännäisessä toiminnassa.