Yrittäjä – pitääkö yritykseesi nimittää tietosuojavastaava? | Yrittajat.fi

Etsi

Yrittäjä – pitääkö yritykseesi nimittää tietosuojavastaava?

Tämän kysymyksen joutuu jokainen yritys käymään läpi ennen toukokuuta 2018. Euroopan unioni hyväksyi yleisen tietosuoja-asetuksen toukokuussa 2016. Asetuksen soveltaminen alkaa 25.5.2018. Tietosuoja-asetus velvoittaa tietynlaista toimintaa harjoittavat yritykset nimittään erityisen tietosuojavastaavan. EU:n tietosuojavaltuutettujen WP29 -yhteistyöryhmä julkaisi joulukuussa ohjeluonnoksen tietosuojavastaavan nimittämisvelvollisuudesta, asemasta ja tehtävistä. Ohjeluonnos ei ole vielä lopullinen, mutta antaa kuitenkin osviittaa tämän uuden velvollisuuden sisällöstä.

Mikä on tietosuojavastaava?

Tietosuoja-asetus asettaa uusia velvoitteita henkilötietoja kerääville ja käsitteleville tahoille: rekisterinpitäjille ja käsittelijöille. Lisäksi valvonta tehostuu ja sanktiot kovenevat. Asetuksella osalle rekisterinpitäjistä ja käsittelijöistä tulee velvollisuus nimittää erityinen tietosuojavastaava. Tietosuojavastaavan tehtävänä on toteuttaa tietyt, asetuksessa säädetyt tehtävät ja tuoda samalla rekisterinpitäjälle tai käsittelijälle erityisasiantuntemusta tietosuojalainsäädännön noudattamiseksi.

Onko tietosuojavastaava on pakollinen?

Tietosuoja-asetus ei velvoita kaikkia yrityksiä nimittämään tietosuojavastaavaa. Asetuksen mukaan rekisterinpitäjän tai käsittelijän pitää nimittää tietosuojavastaava ainakin seuraavissa tapauksissa:

1. kyseessä on viranomainen tai julkishallinnon elin lukuun ottamatta tiettyjä poikkeuksia;

2. rekisterinpitäjän tai käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai 

3. rekisterinpitäjän tai käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

Tietosuoja-asetus jättää kansallisen lainsäädännön varaan tarkemman määrittelyn, mikä katsotaan viranomaiseksi tai julkishallinnon elimeksi. Tämä tarkentunee siirtymäaikana. EU:n tietosuojavaltuutettujen yhteistyöryhmän ohjeluonnoksessa kuitenkin suositellaan hyvänä käytäntönä, että myös julkisia tehtäviä hoitavat yksityiset tahot nimeäisivät tietosuojavastaavan.

Myös ydintehtävien sekä laajamittaisen ja säännöllisen seurannan käsitteet jäävät ainakin tässä vaiheessa siirtymäaikaa vielä varsin avoimiksi. Tietosuojavaltuutettujen yhteistyöryhmän ohjeluonnos antaa jonkinlaista alustavaa tulkinta-apua. Sen perusteella yritysten olisi hyvä arvioida esimerkiksi sitä, kuinka erottamatonta henkilötietojen käsittely on yrityksen keskeisestä toiminnasta ja kuinka suuria henkilötietomääriä yrityksessä käsitellään, kuinka pitkään henkilötietojen käsittelyä harjoitetaan tai mikä on käsittelyn maantieteellinen laajuus. Ohjeluonnoksessa annettaan myös muutamia käytännön esimerkkejä siitä, mikä voitaisiin katsoa sellaiseksi toiminnaksi, että siitä voi asetuksen voimaantulon myötä seurata velvollisuus nimittää tietosuojavastaava. 

Varmaa on tässä vaiheessa vain se, että velvollisuus ei koske läheskään kaikkia yrityksiä. Erityisesti pk-yritysten kannalta olisi erittäin suotavaa, että viranomaistulkinnoilla ja -ohjeistuksella vielä selkeytettäisiin tietosuojavastaavan nimittämisvelvollisuuden sisältöä. 

Tietosuojavastaavan tehtävät

Tietosuoja-asetus määrää tietosuojavastaavalle varsin laajan tehtäväkirjon. Asetuksen 39 artiklan mukaan tietosuojavastaavalla on ainakin seuraavat tehtäviä:

a) antaa rekisterinpitäjälle tai käsittelijälle tietoja ja neuvoja tietosuojalainsäädännön asettamista velvollisuuksista ja rekisteröityjen oikeuksien toteuttamisesta;

b) seuraa tietosuojalainsäädännön noudattamista ja rekisterinpitäjän tai käsittelijän henkilötietojen suojaan liittyviä menettelyjä, kuten vastuunjakokysymyksen ja henkilöstön koulutuksen järjestämistä;

c) antaa pyydettäessä neuvoja ja valvoa asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarvioinnin toteuttamista;

d) tekee tarpeen mukaan yhteistyötä valvontaviranomaisen kanssa;

e) toimii valvontaviranomaisen yhteyshenkilönä käsittelyyn liittyvissä kysymyksissä, kuten esimerkiksi asetuksen 36 artiklan mukaisessa ennakkokuulemisessa. 


Tietosuojavastaavan on tehtävässään otettava myös huomioon esimerkiksi käsittelyn luonteesta, laajuudesta ja tarkoituksesta aiheutuvat riskit. Tietosuojavastaavan yhteystiedot on julkistettava ja ilmoitettava valvontaviranomaiselle.

Tietosuojavastaava toimii siis oman erityisasiantuntemuksensa puitteissa rekisterinpitäjän tai käsittelijän apuna tietosuojasääntelyn noudattamiseen liittyvissä kysymyksissä. Tietosuojavastaavan aseman tulee olla riippumaton, ja käytännön toimintamahdollisuuksien riittävät. Tietosuojavastaava voi olla rekisterinpitäjän tai käsittelijän henkilöstön jäsen tai palvelun voi myös ulkoistaa palveluntarjoajalle.

Rekisterinpitäjä tai käsittelijä ei kuitenkaan koskaan voi ulkoistaa tietosuojavastaavalle asetuksen mukaista vastuutaan. Yritys rekisterinpitäjänä tai käsittelijänä on aina vastuussa asetuksen velvoitteiden noudattamisesta, riippumatta siitä tuleeko sen nimittää tietosuojavastaavaa.

Tulisiko kaikkien yritysten nimetä tietosuoja-asioista vastaava?

Tietosuoja-asetus tulee koskemaan jokaista yritystä, jonka toiminnassa käsitellään henkilötietoja. Sanktioriski asettaa tietosuojasääntelyn aivan uudenlaiseen asemaan. Riippumatta siitä, onko yrityksellä tietosuoja-asetuksen perusteella velvollisuutta tietosuojavastaavan nimittämiseen, on sillä aina täysimääräinen vastuu tietosuojasääntelyn noudattamisesta. Viimekädessä todella huomattavien taloudellisten sanktioiden ja maineriskin uhalla. 

Valmistautumisen helpottamiseksi on suositeltavaa antaa tietosuoja-asioiden hoitaminen ja uuteen tietosuojasääntelyyn valmistautuminen selkeästi jonkin tahon hoidettavaksi. Yrityksen koosta ja toiminnasta riippuen taho voi olla joko yrittäjä itse, yrityksen työntekijä, tietty tiimi tai ulkoinen palveluntarjoaja. Tärkeintä on, että tulevan tietosuojasääntelyn toiminnalle asettamat uudet vaatimukset on tiedostettu ja niihin reagoitu riittävän ajoissa ennen asetuksen soveltamisen alkamista 25.5.2018. 

Lisätietoa tietosuojauudistuksesta ja vinkkejä valmistautumiseen

Tulevaan sääntelyyn liittyvää ohjeistusta on jo julkaistu ja julkaistaan lisää siirtymäajan kuluessa ennen toukokuuta 2018. Yrittäjän kannattaa olla valppaana ja seurata asian etenemistä ja erityisesti tietosuojaviranomaisten kannanottoja.

Suomen Yrittäjät on koonnut jäsenyrityksille tietopaketin tietosuojauudistuksesta. Siihen voit tutustua tästä.

EU:n tietosuojavaltuutettujen WP29 -yhteistyöryhmän luonnos ohjeistukseksi tietosuojavastaavan tehtävästä.

Tietosuoja-asetuksen suomenkielinen versio