Onko organisaationi nimitettävä tietosuojavastaava?
Vastaa kysymyksiin vuorovaikutteisen kaaviomme avulla!
*Tuomioistuimet, jotka toimivat lainkäyttöeliminä, ovat poikkeus!Organisaationi käsittelee arkaluonteisia tietoja tai tietoja, jotka liittyvät rikostuomioihin ja rikoksiin
Teen tätä suuressa mittakaavassa
Toiminnassani seurataan henkilöitä säännöllisesti ja järjestelmällisesti
Ydintoimintani edellyttää arkaluonteisten tietojen
tai rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelyä
Teen tätä suuressa mittakaavassa
Ydintoimintani edellyttää arkaluonteisten tietojen tai rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelyä
Onko organisaationi nimitettävä tietosuojavastaava?
Kyllä, tietosuojavastaavan nimittäminen on pakollista
Onko organisaationi nimitettävä tietosuojavastaava?
Ei, tietosuojavastaavan nimittäminen on vapaaehtoista.
Se on kuitenkin suositeltavaa.
Mikä on tietosuojavastaava ja tarvitseeko organisaationi sellaista?
Mikä on tietosuojavastaava ja mitä he tekevät?
Tietosuojavastaava on tietosuoja-asiantuntija, joka antaa neuvoja tietosuojan noudattamisesta organisaatiossa.
Tietosuojavastaavan on oltava oikea-aikaisesti mukana kaikissa henkilötietojen suojaan liittyvissä kysymyksissä.
Yleisen tietosuoja-asetuksen mukaan tietosuojavastaavan tehtävät ovat vähintään seuraavat:
- antaa organisaatiolle ja sen työntekijöille tietoa ja neuvoja tietosuojavaatimusten noudattamisesta,
- valvoa tietosuojan toteutumista,
- antaa neuvoja tietosuojan vaikutustenarviointiin liittyvistä pyynnöistä,
- toimia tietosuojaviranomaisen yhteyspisteenä ja tehdä yhteistyötä tietosuojaviranomaisen kanssa,
- toimia yksityishenkilöiden yhteyspisteenä tietosuoja-asioissa.
Tietosuojavastaavan läsnäoloa suositellaan yleensä silloin, kun tehdään päätöksiä, joilla on tietosuojavaikutuksia. Tietosuojavastaavaa on myös kuultava viipymättä, kun on tapahtunut tietoturvaloukkaus tai muu poikkeama.
Käytännössä tietosuojavastaavan tehtäväksi annetaan usein pitää kirjaa henkilötietojen käsittelytoimista organisaatiossa.
Tarvitseeko organisaationi tietosuojavastaavaa?
Tietosuojavastaavan nimittäminen on pakollista seuraavissa kolmessa tapauksessa:
- organisaatio on viranomainen, joka käsittelee henkilötietoja,
- organisaation ydintoimintoihin kuuluu henkilöiden säännöllinen ja järjestelmällinen laajamittainen seuranta, esimerkiksi mobiilisovelluksen kautta tapahtuva geopaikannus tai kauppakeskusten ja julkisten tilojen kameravalvonta;
- organisaation ydintoimintaa on arkaluonteisten henkilötietojen laajamittainen käsittely.
Käsitteet ”ydintoiminnot”, ”säännöllinen ja järjestelmällinen seuranta” ja ”laajamittainen” ovat avainasemassa, kun määritellään, pitäisikö organisaation nimittää tietosuojavastaava.
”Ydintoiminnoilla” tarkoitetaan sitä, että henkilötietojen käsittelytoimet ovat keskeisiä rekisterinpitäjän tai henkilötietojen käsittelijän tavoitteiden saavuttamiseksi. Näihin kuuluvat myös kaikki toiminnot, joissa henkilötietojen käsittely on erottamaton osa rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa.
”Laajamittaisuus” riippuu eri tekijöistä, kuten käsiteltävien tietojen määrästä, henkilöiden määrästä (joko tiettynä lukumääränä tai osuutena joukosta), käsittelyn kestosta ja maantieteellisestä laajuudesta.
”Säännöllisellä ja järjestelmällisellä seurannalla” tarkoitetaan kaikenlaista seurantaa ja profilointia verkossa. Esimerkkinä tästä voi olla käyttäytymiseen perustuva mainonta. Seurannan käsite ei kuitenkaan rajoitu verkkoympäristöön.
Käytännössä
- Ydintoiminnot
Klinikan pääasiallisena tarkoituksena on tarjota terveyspalveluja ihmisille. Tässä tapauksessa terveystietojen, kuten potilaiden terveystietojen, käsittely on yksi organisaation ydintehtävistä.
Kaikki organisaatiot toteuttavat tiettyjä tukitoimia esimerkiksi maksamalla työntekijöilleen palkkaa tai toteuttamalla tavanomaisia IT-tukitoimia. Nämä ovat esimerkkejä tukitoiminnoista organisaation ydintoiminnalle tai pääliiketoiminnalle. Vaikka nämä toiminnot ovat välttämättömiä, niitä pidetään yleensä pikemminkin liitännäistehtävinä kuin ydintoimintoina.
- Laajamittainen henkilötietojen käsittely
Esimerkkejä laajamittaisesta henkilötietojen käsittelystä ovat:
- potilaan tietojen käsittely osana sairaalan päivittäistä toimintaa,
- asiakastietojen käsittely vakuutusyhtiön tai pankin päivittäisen toiminnan yhteydessä,
- alihankkijan suorittama kansainvälisen pikaruokaketjun asiakkaiden sijaintitietojen käsittely tilastollisiin tarkoituksiin,
- hakukoneen suorittama henkilötietojen käsittely käyttäytymiseen perustuvaa mainontaa varten,
- tietojen käsittely (sisältö, tietovirrat, sijainti) puhelin- ja internet-palveluntarjoajien toimesta.
Esimerkkejä henkilötietojen käsittelystä, jota ei pidetä laajamittaisena:
- yksittäisen yleislääkärin suorittama potilastietojen käsittely
- yksittäisen asianajajan suorittama tuomioihin ja rikoksiin liittyvien henkilötietojen käsittely.
- Säännöllinen ja järjestelmällinen seuranta
Säännöllinen ja järjestelmällinen seuranta kattaa esimerkiksi sähköpostien uudelleenkohdentamisen, datavetoiset markkinointitoimet, profiloinnin ja pisteytyksen riskiarviointia varten (esim. luottopisteytys, vakuutusmaksut, petosten ehkäiseminen, rahanpesun havaitseminen), sijainnin seurannan (esimerkiksi mobiilisovellusten avulla), kanta-asiakasohjelmat, käyttäytymiseen perustuvan mainonnan, hyvinvointi-, kunto- ja terveystietojen seurannan puettavan teknologian avulla, kameravalvonnan, verkkoon liitetyt laitteet (esim. älymittarit), älykkäät autot, kodin automaation jne.
Tämän vuoksi esimerkiksi henkilötietojen käsittelijän, jonka ydintoimintaa on tarjota verkkosivuston analytiikkapalveluja ja kohdennettua mainontaa ja markkinointia, on nimitettävä tietosuojavastaava.
Yrityksesi voi aina nimetä tietosuojavastaavan vapaaehtoisesti, vaikka sille ei olisi lakisääteistä velvoitetta. Huomaa, että tällöin on noudatettava kaikkia yleisen tietosuoja-asetuksen säännöksiä, jotka koskevat tietosuojavastaavan tehtäviä ja asemaa. Siksi on suositeltavaa käyttää tietosuojavastaavan titteliä vain henkilölle, jonka tehtävä ja asema vastaavat yleisen tietosuoja-asetuksen kuvausta.
Kuka voi olla tietosuojavastaava yrityksessäni?
Tietosuojavastaavan on kyettävä hoitamaan tehtävänsä riippumattomasti. Tämä tarkoittaa, että organisaatiosi:
- Ei saa antaa tietosuojavastaavalle ohjeita tietosuojavastaavan tehtävien hoitamiseksi
- Ei saa rangaista tai erottaa tietosuojavastaavaa tämän tehtävien suorittamisesta.
Tietosuojavastaavan riippumattomuus ei kuitenkaan tarkoita sitä, että tällä olisi tehtäviään laajempi päätöksentekovalta. Organisaatiot ovat edelleen vastuussa tietosuojalainsäädännön noudattamisesta, ja niiden on kyettävä osoittamaan, että ne noudattavat säännöksiä.
Tietosuojavastaavaa tulisi pitää keskustelukumppanina organisaatiossa, ja tämän tulisi osallistua organisaation sisäisiä henkilötietojen käsittelytoimia koskeviin keskusteluihin.
Tietosuojavastaavan on raportoitava suoraan yrityksen ylimmälle johdolle.
Tietosuojavastaavat voivat hoitaa muita tehtäviä organisaatiossa, mutta se ei voi johtaa eturistiriitaan. Tämä tarkoittaa, että tietosuojavastaavalla ei voi olla asemaa, jossa hän määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Eturistiriitoja voivat aiheuttaa pääasiassa johtotehtävät (pääjohtaja, operatiivinen johtaja, talousjohtaja, henkilöstöpäällikkö, IT-päällikkö, toimitusjohtaja), mutta myös muut tehtävät, jos ne johtavat käsittelytarkoitusten ja -keinojen määrittämiseen.
Yleisen tietosuoja-asetuksen mukaan on mahdollista nimittää ulkopuolinen tietosuojavastaava, jonka palveluista tehdään sopimus. Sopimus voidaan tehdä henkilön tai organisaation kanssa. Jälkimmäisessä tapauksessa on olennaisen tärkeää, että kellään organisaation jäsenellä ei ole eturistiriitaa ja että heitä suojataan palvelusopimuksen epäoikeudenmukaiselta päättämiseltä, mutta myös organisaation yksittäisen jäsenen perusteettomalta irtisanomiselta tietosuojavastaavana.
Organisaation tulisi avustaa tietosuojavastaavaa antamalla tälle pääsy kaikkiin käsittelytoimiin sekä näiden käsittelytoimien yhteydessä käsiteltäviin henkilötietoihin. On tärkeää, että tietosuojavastaava osallistuu mahdollisimman varhaisessa vaiheessa kaikkiin tietosuojaa koskeviin kysymyksiin. Tietosuojavastaavalle tulisi myös antaa käyttöön tarvittavat resurssit tehtävien hoitamista varten (aika, koulutus, laitteet ja taloudelliset resurssit).
Käytännössä
Kun tietosuojavastaava suorittaa tehtäviään, hänelle ei saa antaa ohjeita siitä, miten asia hoidetaan. Tietosuojavastaavalle ei esimerkiksi pitäisi antaa ohjeita siitä, millaisia neuvoja hänen tulisi antaa, miten hänen tulisi tutkia yksityishenkilön tekemä valitus, tai siitä, onko tietosuojaviranomaisen kuuleminen tarpeen tai pakollista. Tietosuojavastaavaa ei myöskään pidä ohjeistaa ottamaan tiettyä kantaa tietosuojalainsäädäntöön liittyvään kysymykseen, esimerkiksi tiettyyn lain tulkintaan.
Tarkistuslista tietosuojavastaavan nimittämiseksi
- Tarkista velvollisuutesi nimittää tietosuojavastaava: Tarkista, onko tietosuojavastaava nimitettävä yrityksessäsi, ja kirjaa ylös syyt siihen, miksi nimität tai et nimitä tietosuojavastaavaa.
- Jos tietosuojavastaava vaaditaan:
- Päätä, nimitetäänkö sisäinen tai ulkoinen tietosuojavastaava: Jos tietosuojavastaavan nimittäminen on pakollista, päätä, onko tietosuojavastaava organisaationne jäsen, vai nimitetäänkö tietosuojavastaava palvelusopimuksen perusteella.
- Varmista, että tietosuojavastaavalla on tietosuojalainsäädännön ja käytäntöjen ammattipätevyys ja asiantuntemus sekä kyky hoitaa tehtäviä.
- Varmista riippumattomuus: Tarkista, onko tietosuojavastaavalla muita tehtäviä, jotka voivat vaarantaa hänen riippumattomuutensa tehtävien suorittamisessa (eturistiriidat).
- Kehitä yrityksesi hallintoon menettelyjä tietosuojavastaavan osallistumista varten.
- Jos tietosuojavastaavaa ei vaadita:
- Harkitse: Vaikka et nimittäisi tietosuojavastaavaa yleisen tietosuoja-asetuksen perusteella, yrityksesi on silti noudatettava useita tietosuojavaatimuksia. Suosittelemme, että nimität vapaaehtoisesti tietosuojavastaavan tai henkilön, jolla ei ole tietosuojavastaavan nimikettä, mutta jonka tehtävänä on seurata tietosuojasääntöjen noudattamista ja toimia yhteyshenkilönä oikeuksiaan käyttäville rekisteröidyille, vaikka hän ei hoitaisi täysimääräisesti tietosuojavastaavan tehtäviä.