GDPR – Tietosuojavastaavan asema ja tehtävät yrityksessä 12/2017

GDPR – Tietosuojavastaavan asema ja tehtävät yrityksessä 12/2017

Kaikkia yrityksiä koskeva EU:n Tietosuoja-asetus tulee voimaan 25.5.2018. Tietosuoja-asetus tuo yrityksille uusia velvollisuuksia mm. henkilötietojen käsittelyyn, rekisteröintiin ja luovuttamiseen. Asetuksessa edellytetään yritysten oma-aloitteisesti toimivan asetuksen määräysten mukaisesti. Asetus jättää teknisen toteuttamisen yrityksen omaan harkintaan. Jokaisen yrityksen tulee kuitenkin kartoittaa ja dokumentoida henkilötietojen käsittely, poistaminen, luovuttaminen ja suojaus, eli tehdä tietosuojakartoitus ja -selvitys. Kotisivuillani on myös yleisesitys Tietosuoja-asetuksen vaatimuksista yrityksille.

Mikä on tietosuojavastaava?

Tietosuojavastaavan tehtävänä on yrityksessä varmistaa ja valvoa tietosuojan toteutumista. Tietosuojavastaava voi kuulua yrityksen henkilöstöön tai hän voi toimia sopimuksen perusteella. Hänen tehtäviinsä kuuluu kouluttaa ja ohjeistaa henkilökuntaa, varmistaa tietosuojavelvoitteiden noudattaminen yrityksen jokapäiväisessä toiminnassa ja toimia yhteyshenkilönä viranomaisiin ja rekisteröityihin. Asetus edellyttää tietyissä tapauksissa tietosuojavastaajan nimittämistä ja yritys voi myös nimittää tietosuojavastaavan vapaaehtoisesti.

Mielestäni huomioitavaa tässä on, tietosuojavastaavan tehtäviin kuuluu yhteistyö valvontaviranomaisen kanssa, rekisteröityjen oikeuksien valvonta ja viranomaisille tehtävien ilmoitusten tekeminen tai sen valvonta, että ilmoitukset viranomaiselle tehdään.

Pitääkö yrityksen nimetä tietosuojavastaava?

Tietosuoja-asetuksen mukaan tiettyjen organisaatioiden on nimitettävä tietosuojavastaava. Tämä velvoite koskee kaikkia viranomaisia ja julkishallinnon elimiä (riippumatta siitä, mitä tietoja ne käsittelevät) sekä sellaisia muita organisaatioita, joiden ydintehtäviin sisältyy henkilöiden järjestelmällinen ja laajamittainen seuranta tai erityisiin henkilötietoryhmiin kohdistuva laajamittainen käsittely. Tietosuojavastaavan nimittämiseen ei vaikuta yrityksen koko vaan sen toiminta.

Jos organisaatio nimittää tietosuojavastaavan vapaaehtoisesti, tietosuojavastaavan nimittämiseen, asemaan ja tehtäviin sovelletaan Tietosuoja-asetuksen vaatimuksia samalla tavoin kuin tilanteessa, jossa nimittäminen on pakollista.

Asetuksen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän, yrityksen, jonka 1) ydintehtävät muodostuvat käsittelytoimista, jotka 2) luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi 3) edellyttävät laajamittaista rekisteröityjen 4) säännöllistä ja järjestelmällistä seurantaa, on nimettävä Tietosuojavastaaja.

Mikä on yrityksen ydintoimintaa?

Ydintehtäviä ei kuitenkaan pitäisi tulkita siten, että niihin eivät kuulu toiminnot, joissa tietojenkäsittely on erottamaton osa yrityksen toimintaa. Esimerkkinä on yksityinen turvallisuusalan yritys, joka vastaa useiden yksityisten kauppakeskusten ja julkisten tilojen valvonnasta. Valvonta on näin yrityksen ydintehtävä. Tähän ydintehtävään liittyy kuitenkin erottamattomasti henkilötietojen käsittely, joten tämän yrityksen on nimitettävä tietosuojavastaava. Pankkien, vakuutusyhtiöiden ja henkilötietojen käsittelyä käyttötottumuksia seuraavaa hakukonemainontaa varten puhelin- tai internetpalveluntarjoajien suorittamaa tietojenkäsittelyä (sisältö, liikenne, sijainti) harjoittavien yritysten on myös nimettävä tietosuojavastaava.

Toisaalta kaikki yritykset suorittavat tiettyjä toimintoja, kuten maksavat palkkaa työntekijöilleen tai käyttävät vakiomuotoisia tietoteknisiä tukitoimintoja. Nämä ovat esimerkkejä organisaation ydintehtävien tai keskeisen liiketoiminnan tarpeellisista tukitoiminnoista. Vaikka nämä toiminnot ovat tarpeellisia tai välttämättömiä, niitä pidetään yleensä ydintehtävien sijaan oheistoimintoina.

Mitä on säännöllinen ja järjestelmällinen seuranta?

Tietosuoja-asetuksessa ei määritellä rekisteröityjen säännöllisen ja järjestelmällisen seurannan käsitettä, mutta sen johdanto-osassa mainitaan käyttäytymisen seuranta. Tähän sisältyvät selvästi kaikenlainen seuraaminen ja profilointi internetissä, myös käyttötottumuksia seuraavaa mainontaa varten. Myös muualla kuin verkkoympäristössä tapahtuva seuranta voi olla asetuksessa tarkoitettua seurantaa.

Komission Tietosuojatyöryhmän tulkinnan mukaan ’säännöllisellä’ tarkoitetaan yhtä tai useampaa seuraavista: 1) toiminta jatkuu tai toteutetaan tietyin aikavälein tietyn ajan 3) toiminta toistuu tai toistetaan määritettyinä aikoina ja/tai 3) toiminta on jatkuvaa tai ajoittaista.

Tietosuojatyöryhmän tulkinnan mukaan ’järjestelmällisellä’ tarkoitetaan yhtä tai useampaa seuraavista: 1) toiminta on järjestelmän mukaista, 2) toiminta on ennalta järjestettyä, organisoitua tai menetelmällistä tai 3) toiminta toteutetaan osana yleistä tiedonkeruusuunnitelmaa tai 4) toiminta toteutetaan osana strategiaa.

Seuraavat ovat esimerkkejä toiminnoista, jotka voivat olla rekisteröityjen säännöllistä ja järjestelmällistä seurantaa: tietoliikenneverkon ylläpito; tietoliikennepalvelujen tarjonta; uudelleenmarkkinointi sähköpostitse (retargeting); dataohjattu markkinointitoiminta; profilointi ja pisteyttäminen riskinarviointia varten (esim. luottoluokitusta, vakuutusmaksujen määrittämistä, petosten torjuntaa tai rahanpesun havaitsemista varten); sijainnin seuraaminen (esim. mobiilisovellusten avulla); kanta-asiakasohjelmat; käyttötottumuksia seuraava mainonta; hyvinvointi-, liikunta- ja terveystietojen seuranta puettavien laitteiden avulla; videovalvonta; verkkoon liitetyt laitteet, kuten älymittarit, älyautot ja kodin automaatio.

Tietosuojavastaavan asema

Tietosuoja-asetuksessa annetaan tietosuojavastaavalle erityinen asema yrityksen organisaatiossa, jota on verrattu työsuojeluvaltuutetun tehtäviin. Itse pitäisin tätä luottamusmieheen verrattavana asemana. Tietosuojavastaavan tulee olla riippumaton asema organisaatiossa ja hän raportoi suoraan yrityksen johdolle. Tietosuojavaltuutetulla tulee olla tietosuojalainsäädännön tuntemus ja alan käytäntöjen tuntemus ja hänet tulee ottaa mukaan kaikkiin tietosuojaan liittyviin kysymyksiin sekä hänelle on taattava tarvittavat resurssit sekä asianmukainen pääsy henkilötietoihin ja niiden käsittelytoimiin tietosuojavastaavan tehtävien hoitamiseksi.

Yritys ei saa myöskään antaa tietosuojavastaavalle ohjeita tämän tehtävien hoitamisesta ja rekisterinpitäjä (yritys) ei saa erottaa tai rangaista tietosuojavastaavaa tietosuojatehtävien hoitamisen vuoksi.

Tietosuojavastaavan muut tehtävät ja velvollisuudet eivät saa aiheuttaa eturistiriitaa. Tämä tarkoittaa ensinnäkin sitä, että tietosuojavastaava ei voi olla organisaatiossa sellaisessa asemassa, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot.

Komission tietosuojatyöryhmä katsoo, että esimerkiksi ylemmät johtoasemat (esim. toimitusjohtaja, hallintojohtaja, talousjohtaja, markkinointiosaston päällikkö, henkilöstöpäällikkö tai tietoteknisen osaston päällikkö) voivat aiheuttaa eturistiriidan organisaatiossa, mutta sama koskee myös muita tehtäviä organisaatiorakenteen alemmilla tasoilla, jos näissä tehtävissä on määritettävä tietojenkäsittelyn tarkoitukset ja keinot.

Tietosuojavastaavat eivät ole henkilökohtaisesti vastuussa tietosuoja-asetuksen noudattamatta jättämisestä. Tietosuojasäännösten noudattaminen ja myös tietosuojavaltuutetun toiminta on näin asetettu yrityksen vastuulle.

Kannattaako yrityksen nimetä tietosuojavastaava?

Yrityksen on nimettävä tietosuojavastaava, jos yllä mainitut edellytykset täyttyvät. Minä lähtisin siitä, että jos näyttää siltä, että vaatimusten mukaisesti pitäisi nimittää tietosuojavastaava, niin silloin nimitetään tietosuojavastaava.

Muuten on yrityksen itse päätettävissä, nimeääkö se tietosuojavastaavan vai ei. Suositukseni on, että muuten varsinaista tietosuojavastaavaa ei nimitettäisi, vaan yritys nimeää erikseen henkilön, joka on vastuussa tietosuojan toteuttamisesta yrityksessä. Tämä henkilö voi silloin kuulua myös yrityksen johtoon esim. IT-päällikkö. Näin vältytään uuden luottamushenkilön valinnasta, jolla olisi korostettu irtisanomissuoja ja riippumaton asema sekä jonka tehtävänä olisi myös rekisteröityjen, ei siis yrityksen, eduista huolehtiminen ja yhteydenpito yritystä valvovaan viranomaiseen.

Jos päädytään siihen, että tietosuojavastaavaa ei valita yrityksen, tulisi tietosuojaselvitykseen kirjoittaa, miksi yrityksen ei tarvitse nimetä tietosuojavastaavaa ja minkä vuoksi tietosuojavastaavaa ei ole nimitetty sekä mainita kuka on yrityksessä tietosuoja-asetuksen noudattamisesta vastaava henkilö.