MyFondia VirtuaaliLakimies
3. helmikuuta, 2017

Tarvitseeko yritykseni tietosuojavastaavan?

Viime keväänä voimaan tullut EU:n tietosuoja-asetus on aiheuttanut yrityksissä tohinaa uusiin vaatimuksiin valmistauduttaessa. Valmista pitäisi olla 25.5.2018 mennessä, jolloin asetusta aletaan soveltaa kahden vuoden siirtymäajan päättyessä. Tulkintaongelmia aiheuttavat kuitenkin asetustekstin osin epäselvät sanamuodot. Tarkempaa käytännön ohjeistusta onkin odotettu mm. tietosuojavastaavan nimeämisen osalta.

Vastauksena odotukseen EU:n tietosuojatyöryhmä WP29 julkaisi joulukuussa kolme ohjetta, joista yksi koskee tietosuojavastaavaa. Myös tietosuojavaltuutetun toimisto julkaisi 24. tammikuuta yhteistyössä oikeusministeriön kanssa laaditun ja rekisterinpitäjille suunnatun oppaan EU:n tietosuoja-asetukseen valmistautumisesta. Oppaassa käsitellään lyhyesti tietosuojavastaavan nimeämistä, roolia ja tehtäväkenttää. Tiedottamista kannattaa jatkossakin seurata aktiivisesti, sillä siirtymäaikana on luvassa lisää ohjeita ja muutoksia kansalliseen lainsäädäntöön. Pitkällä aikavälillä tietosuoja-asetuksen tulkinta tulee tarkentumaan myös tulevan oikeuskäytännön kautta.

Tietosuojavastaava uuden asetuksen mukaan

Tietosuojavastaavan nimeäminen tulee olemaan pakollista rekisterinpitäjälle ja käsittelijälle, kun:

  1. on kyse julkisen sektorin toimijasta, joka ei ole tuomioistuin
  2. organisaation ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
  3. organisaation ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

Erityisesti kohta b) on aiheuttanut ympäripyöreydessään hämmennystä. WP 29:n ohjeessa onkin tarkennettu tulkintaa esimerkkien avulla. Yrityksen on nimettävä tietosuojavastaava myös siinä tapauksessa, että henkilötietojen käsittely ei ole sen ydintehtävä, mutta sen toteuttaminen edellyttää henkilötietojen keräämistä. Esimerkkinä mainitaan sairaala, jonka ydintehtävänä on terveydenhoito ja jonka toteuttamiseksi sen on kerättävä henkilötietoja. Sen sijaan palkanmaksun ja IT-tuen kaltaisten tukitoimintojen toteuttaminen ei edellytä tietosuojavastaavan nimeämistä, vaikka niiden yhteydessä kerätäänkin henkilötietoja.

Ohjeessa tarkennetaan, että laajamittaisella käsittelyllä tarkoitetaan rekisteröityjen määrää eikä organisaation kokoa. Näin ollen pienikin yritys on velvollinen nimeämään tietosuojavastaavan, jos se käsittelee suurta määrää henkilötietoja. Säännöllinen ja järjestelmällinen seuranta viittaa puolestaan esim. internetissä tapahtuvaan seurantaan, kuten käyttäytymiseen perustuvaan mainontaan tai paikannuspalveluihin. Ohjeesta löytyy tarvittaessa lisää esimerkkejä aiheesta.

Vapaaehtoinen tietosuojavastaava?

Jos yrityksellä ei ole asetuksen perusteella velvollisuutta nimetä tietosuojavastaavaa, on suositeltavaa kuitenkin määritellä henkilö, jonka tehtävänä on tietosuoja-asioiden huomioiminen organisaation toiminnassa. Samalla tämä voisi toimia yhteyshenkilönä rekisteröidyn oikeuksiin ja viranomaisvalvontaan liittyvissä kysymyksissä.

Vinkkinä yrityksille voisi todeta, että vapaaehtoista yhteyshenkilöä voisi kutsua joksikin muuksi kuin tietosuojavastaavaksi. Tällöin henkilöä ei sekoiteta asetuksen mukaiseen pakolliseen tietosuojavastaavaan, jonka roolin ja tehtäväkuvan on oltava tiettyjen vaatimusten mukaiset. Samalla olisi hyvä dokumentoida kirjalliset perustelut, miksi yrityksessä on päädytty siihen, että asetuksen mukaista tietosuojavastaavaa ei tarvita. Olipa tietosuojavastaava sitten pakollinen tai vapaaehtoinen, tämä ei ole henkilökohtaisesti vastuussa asetuksen noudattamisesta. Vastuu asetuksen noudattamisesta on aina rekisterinpitäjällä tai käsittelijällä.

Fondia järjestääEU-tietosuoja-asetusseminaaria, jossa otat asetuksen keskeisimmät muutokset kerralla ymmärrettävästi haltuun! Seuraava seminaari järjestetään Helsingissä torstaina 6.4.2017 klo 8:30-12:00: