Tietosuojavastaava | Yrittajat.fi
Etusivu > Yrittajan Abc > Yritystoiminnan Abc > Yrittajan Tietosuojaopas

Etsi

Tietosuojavastaava

Yrittäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun

  • rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.

Tietosuojavastaavaa ei tarvita esimerkiksi, jos kyseessä on

  • pieni lakitoimisto
  • yhden lääkärin yhtiö.

Tietosuojavastaava tarvitaan, jos kyseessä on esimerkiksi

  • turvallisuusyhtiö, joka valvoo ostoskeskuksia ja julkisia paikkoja
  • lääkäriasema, jossa käsitellään potilastietoja laajamittaisesti
  • head-hunter-yhtiö, joka profiloi ihmisiä.
     

Tietosuojavastaavan nimittäminen

Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen. Tehtävä voidaan myös ulkoistaa esimerkiksi asianajotoimistolle tai konsultille. Tietosuojavastaavalla voi olla myös muita tehtäviä ja velvollisuuksia. Yrittäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja. Eturistiriita voi syntyä, jos yrittäjä toimii itse tietosuojavastaavana. Myös esimerkiksi yrityksen oma IT-johtaja tai markkinointijohtaja ei sovellu tehtävään.

Tietosuojavastaavaa nimitettäessä otetaan huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa tietosuoja-asetuksessa asetetut tehtävät.

Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle. Tietosuojavastaava antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja. Tietosuojavastaava antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista (ks. sivu Käsittelyn turvallisuus).

Konserni voi nimittää yhden yhteisen tietosuojavastaavan, jos häneen voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.
 

» Katso tietosuoja-asetuksen artikla 37.
 

Tietosuojavastaavan asema ja tehtävät

Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tehtävässään: Hänelle on annettava tehtävien täyttämisessä tarvittavat resurssit ja pääsy henkilötietoihin ja käsittelytoimiin. Hänen pitää saada ylläpitää osaamistaan tietosuojavastaavana.

Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Yritys ei saa ohjata tietosuojavastaavaa, kuinka hänen tulisi hoitaa tehtäviään tai määrätä ottamaan jokin tietty kanta jossain tietosuoja-asiassa. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.

Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tähän asetukseen perustuvien oikeuksiensa käyttöön. Tietosuojavastaava on tehtävässään salassapitovelvollinen.

Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:

  • antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia
  • seurata, että yrityksessä noudatetaan tätä asetusta, muita EU:n ja jäsenvaltion tietosuojalain säännöksiä
  • seurata rekisterinpitäjän tai henkilötietojen käsittelijän toimintaa
  • seurata vastuunjakoa ja sitä, että tiedon käsittelyyn osallistuvaa henkilöstöä koulutetaan
  • antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta
  • toimia valvontaviranomaisen yhteyshenkilönä käsittelyyn liittyvissä kysymyksissä, mukaan lukien ennakkokuuleminen ja kuuleminen muissa mahdollisissa kysymyksissä.

Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelyyn liittyvä riski sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Yritys on loppujen lopuksi vastuussa henkilötietojen tietosuoja-asetuksen mukaisesta käsittelystä. Tätä vastuuta ei voi siirtää tietosuojavastaavalle.
 

» Katso tietosuoja-asetuksen artiklat 38 ja 39.

» Takaisin Yrittäjän tietosuojaopas -etusivulle