Vältä tietosuojavastaavan eturistiriidat – viimeaikainen ratkaisukäytäntö ohjaa varovaisuuteen

Jos tietosuojavastaavan nimittäminen on organisaatiossasi ajankohtaista tai teillä on jo nimetty tietosuojavastaava, kiinnitäthän huomiota mahdollisten eturistiriitojen välttämiseen. Yhtiön sisäisenä asiantuntijana toimivan tietosuojavastaavan on oltava riippumaton. Tapauskohtaisesti on varmistettava, ettei valitulla henkilöllä ole eturistiriitoja tietosuojavastaavan tehtävien kanssa. Belgian tietosuojaviranomainen antoi joulukuussa 2021 belgialaiselle pankille tuntuvan sakon tämän varmistuksen laiminlyönnistä. Ratkaisu kannustaa organisaatioita olemaan tarkkana tietosuojavastaavan mahdollisten muiden roolien kanssa.

Tietosuojavastaavan tehtävänä on valvoa organisaatiossa henkilötietojen käsittelyä ja avustaa tietosuojasäännösten noudattamisessa. Olennaista on valittavan henkilön asiantuntemus ja riittävät resurssit ja valmius tehtävän hoitamiseen riippumatta siitä, kuuluuko hän organisaation omaan henkilöstöön vai hoitaako hän tehtäviään palvelusopimuksen perusteella.

Tietosuojavastaava nostaa esiin organisaatiossa havaitsemiaan puutteita ja raportoi suoraan yrityksen ylimmälle johdolle. Myös tietosuojan vaikutustenarvioinnin tekemiseen liittyvä neuvonta ja valvonta kuuluvat tietosuojavastaavan tehtäviin. Lisäksi tietosuojavastaava toimii organisaatiossa rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa tehden samalla yhteistyötä tietosuojavaltuutetun toimiston kanssa.

Tietosuojavastaava on tietosuoja-asetuksen mukaan nimitettävä, jos

• organisaatoissa käsitellään laajamittaisesti arkaluontoisia tietoja,

• seurataan ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisestä tai

• jos organisaatio on julkishallinnon toimija (pois lukien tuomioistuin).

Vaikka organisaatiolla ei olisi tietosuoja-asetuksen tai erityislainsäädännön nojalla velvollisuutta nimittää tietosuojavastaavaa, voi nimityksen tehdä myös vapaaehtoisesti. Tällöin tietosuoja-asetuksen vaatimuksia sovelletaan samalla tavoin kuin tilanteessa, jossa nimittäminen on pakollista. Ilmoitus tietosuojavastaavan yhteystiedoista on joka tapauksessa tehtävä tietosuojavaltuutetun toimistoon.

Tietosuoja-asetuksen 38 artiklan mukaan tietosuojavastaava voi suorittaa myös muita tehtäviä ja velvollisuuksia, mutta organisaatiossa on kuitenkin varmistettava, etteivät ne aiheuta eturistiriitoja. Yleisenä ohjeena voidaan pitää sitä, että tietosuojavastaava ei voi olla organisaatiossa sellaisessa asemassa, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Paitsi ylemmät johtoasemat (esim. talousjohtaja, tietohallinto-, markkinointi- tai henkilöstöpäällikkö), myös tehtävät organisaatiorakenteen alemmilla tasoilla voivat aiheuttaa eturistiriidan, jos näissä tehtävissä on määritettävä tietojenkäsittelyn tarkoitukset ja keinot.

Belgian tietosuojaviranomainen antoi 16.12.2021 tekemällään päätöksellä Belgiassa sijaitsevalle pankille 75 000 euron hallinnollisen sakon. Pankki oli laiminlyönyt velvollisuutensa noudattaa tietosuoja-asetuksen 38 artiklaa koskien eturistiriitojen välttämistä.

Tapauksessa tietosuojavastaavana toimi pankin osastopäällikkö johtaen mm. pankin riskienhallintaa. Tehtäviä ei olisi kuitenkaan tullut yhdistää eturistiriidasta johtuen. Osastopäällikön tehtäviä ei katsottu olevan mahdollista hoitaa ilman, että henkilö samalla määrittelee henkilötietojen käsittelyyn liittyvien toimintojen tarkoitusta ja keinoja. Merkitystä ei ollut sillä, että osaston tekemät neuvonta- ja valvontatoiminnot olivat toissijaisia suhteessa pankin päätoimintoihin.

Ratkaisussa painotettiin myös, että tietosuojavastaavan rooli ei ole uusi EU:n tietosuojalainsäädännössä ja pankin kaltaisen organisaation voidaan olettaa valmistautuneen tietosuoja-asetukseen huolellisesti. Myös rikkomuksen kestolle ja rekisteröityjen henkilötietojen määrälle on annettu painoarvoa. Huomionarvoista on myös, että Belgian tietosuojaviranomainen tutki alun perin ihan toista asiaa eli rekisteröityjen oikeutta käyttää tehokkaasti tietosuoja-asetuksen heille antamia oikeuksia. 

Tapauksen myötä tietosuoja-asetuksen 38 artiklassa mainitun eturistiriidan tulkinta selveni entisestään. Organisaation tulee pitää huolta siitä, että tietosuojavastaava on tosiasiallisesti erillinen kaikista rooleista, joissa hän voi määritellä henkilötietojen käsittelyn tarkoituksia ja keinoja. Vaikka tietosuojavastaavan muissa rooleissa suorittamat tehtävät olisivat suhteessa organisaation pääasialliseen toimintaan toissijaisia ja lähinnä valvonnanomaisia, voi eturistiriita tästä huolimatta olla käsillä.

Jos tietosuojavastaavan tehtävänkuva organisaatiossasi rajoittuu pelkästään tietosuoja-asetuksen 39 artiklan mukaisiin tehtäviin, ei eturistiriitoja tarvitse enempää tarkastella. Mikäli muita tehtäviä kuitenkin on, mahdollisten eturistiriitojen käsillä oloa tulisi arvioida matalalla kynnyksellä. Organisaatiosta riippuen voi olla hyvän käytännön mukaista laatia esim. asiaa koskevat sisäiset säännöt tai yleinen selvitys yksilöiden toimet, jotka eivät sovi yhteen tietosuojavastaavan tehtävien kanssa. Myös tietosuojavastaavan toimenkuvan riittävä yksilöinti on usein perusteltua.

Yksinkertainen ja selkeä vaihtoehto eturistiriitojen välttämiseksi on ulkoisen tietosuojavastaavan nimittäminen. Me Fondialla tarjoamme tietosuojavastaavapalvelua ja keskustelemme mielellämme kanssasi tähän liittyvistä kysymyksistä. Kun ulkoistat tietosuojavastaavan tehtävät Fondialle, voit lisäksi olla varma siitä, että yrityksessäsi noudatetaan tietosuojalainsäädäntöä säästäen työntekijöiden aikaa ja resursseja.