Kuka valvoo, että henkilötietojen käsittely on lain mukaista?

  • syyskuuta 29, 2020

EU:n yleinen tietosuoja-asetus (GDPR) on asettanut vaatimuksia henkilötietoja kerääville, säilyttäville ja hallinnoiville yrityksille ja organisaatioille. Vaatimukset velvoittavat kaikkia organisaatioita, joiden suorittama henkilötietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin.

Tietosuojaviranomainen onkin jo asettanut koko joukon seuraamuksia, kun henkilötietojen käsittely ei ole ollut tietosuoja-asetuksen mukaista. Osa on ollut neuvoja ja ohjeita, mutta ensimmäiset rahalliset sanktiotkin on nähty kuluneen kesän aikana.

Kertauksena keskeisimmät termit

  • Rekisterinpitäjä – ylläpitää rekisteriä ja määrittää henkilötietojen käyttötavat ja -tarkoitukset
  • Henkilötietojen käsittelijä – käsittelee henkilötietoja rekisterinpitäjän lukuun rekisterinpitäjän päättämällä tavalla
  • Rekisteröity – rekisterissä oleva tunnistettava tai tunnistettavissa oleva henkilö, jonka tietoja käsitellään

Poikkeustilanteet, joissa EU:n yleistä tietosuoja-asetusta ei sovelleta?

EU:n yleistä tietosuoja-asetusta ei sovelleta tilanteissa, joissa;

  • - rekisteröity on kuollut,
  • - rekisteröity on oikeushenkilö tai
  • - henkilötietoja käsittelee henkilö, joka toimii sellaisessa tarkoituksessa, jotka eivät kuulu hänen alaansa, liiketoimintaansa tai ammattiinsa

 

Kenellä on velvollisuus asettaa tietosuojavastaava?

Viranomaisella tai julkishallinnollin elimillä on velvollisuus asettaa tietosuojavastaava tiettyjä poikkeuksia lukuun ottamatta. Yksityisen sektorin yritysten ei ole automaattisesti pakollista nimittää tietosuojavastaavaa, vaikka se monissa tapauksissa onkin suositeltavaa. Tietosuojavastaavan asettaminen on kuitenkin pakollista myös yritykselle, mikäli se;

  • - valvoo rekisteröityjä säännöllisesti tai järjestelmällisesti,
  • - käsittelee erityisiä tietoryhmiä,
  • - tietojenkäsittely kuuluu sen ydinliiketoimintaan tai
  • - se käsittelee laajamittaisesti tietoja

 

Mikä on säännöllistä tai järjestelmällistä rekisteröityjen valvontaa?

Tietosuoja-asetuksessa ei valitettavasti tarkemmin avata, mikä on säännöllistä tai järjestelmällistä. Tietosuojaneuvosto on onneksi tehnyt linjauksen, jonka mukaan säännöllisen ja järjestelmällisen toiminnan ehdot täyttyvät, kun toiminta;

  • - jatkuu tai toteutetaan tietyin aikavälein (tietyn ajan)
  • - toistuu tai toistetaan määritettyinä aikoina
  • - on ajoittaista tai jatkuvaa
  • - on ennalta järjestettyä, organisoitua tai menetelmällistä
  • - toteutetaan osana yleistä tietokeruusuunnitelmaa
  • - toteutetaan osana strategiaa
  •  

Näin ollen esimerkiksi turvallisuusalan yritykset, jotka hyödyntävät kameravalvontaa tai etäseurantaa, tarvitsevat tietosuojavastaavan. Myös esimerkiksi yritysten CRM-järjestelmät asiakastietoineen muodostavat rekisterin.

 

Mitkä ovat tietosuojavastaavat tehtäviä?

Tietosuojavastaavan tehtävänä on riippumattomana asiantuntijana mm.

  • - valvoa yrityksessä tapahtuvaa henkilötietojen käsittelyä tuoden esiin havaittuja puutteita ja ehdottaen parannuksia
  • - tehdä yhteistyötä tietosuojavaltuutetun toimiston kanssa
  • - toimia henkilötietojen käsittelyyn liittyvissä asioissa rekisteröityjen yhteyshenkilönä
  • - antaa neuvoja yrityksen johdolle ja henkilötietoja käsitteleville tietosuojaan liittyvissä asioissa

 

Mitä riippumattomuus tarkoittaa, entä voidaanko tehtävä ulkoistaa?

Tietosuojavastaavan riippumattomuus tarkoittaa, että hänellä ei voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Tietosuojavastaava ei voi myöskään olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyt ja keinot. Eturistiriitoja voi aiheutua, mikäli tietosuojavastaavana toimii tietoturvavastaava tai ylimmän johdon edustaja.

 

Tietosuojavastaavan ei tarvitse olla kaikissa tapauksissa täysipäiväinen tehtävä, eikä etenkään olla yrityksen oma henkilö. Ulkoistettu tietosuojavastaava voi toimia yritysjohdon ja henkilötietoja käsittelevien henkilöiden tukena varmistaen tietosuojan korkean tason koko organisaatiossa.