EU:n tietosuoja-asetus on vihdoin saanut lopullisen muotonsa vuosien valmistelun jälkeen. EU-maissa suoraan sovellettava uusi pakottava laki astui voimaan 28.5.2016. Yritysten, viranomaisten, järjestöjen ym. tulee saattaa toimintansa uuden lainsäädännön mukaiseksi kahden vuoden siirtymäajan sisällä eli 25.5.2018 mennessä.
Tietosuoja-asetus tuo markkinoille uuden ammattikunnan: tietosuojavastaavan. Itse asiassa suomalaisissa osakeyhtiöissä ei ole kovin montaa lainsäädännön velvoittamaa orgaania / henkilöä, joten kyseessä on merkittävä muutos myös juridisesti.
Tietosuoja-asetuksen IV luku koskee rekisterinpitäjiä ja henkilötietojen käsittelijöitä. Luvun 4. jakso ja sen artiklat 37 – 39 säätävät tietosuojavastaavasta. Missä tilanteissa elinkeinotoimintaa harjoittavan yrityksen on valittava ja nimitettävä tietosuojavastaava? Asetuksen 37 artiklassa säädetään:
“Rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava aina kun
a) (…)
b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai
c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin (=rotu tai etninen alkuperä, poliittinen mielipide, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, geneettiset tai biometriset tiedot, terveyttä koskevat tiedot, seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot) ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.
Konserni voi nimittää yhden ainoan tietosuojavastaavan edellyttäen, että tietosuojavastaavaan voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta.”
Suomalaisen yrityksen tulee nyt analysoida, onko sen ydintehtävissä ”laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa”. Jos yrityksen ydintehtävät liittyvät esim. terveydenhoitoalaan, tulee yllä siteeratusta c-kohdasta suoraan vaatimus nimittää tietosuojavastaava.
Lakiehdotuksessa lähdettiin aluksi siitä, että tietynkokoisten yritysten ja tietynsuuruisten henkilörekisterien ylläpitäjien tulisi nimittää tietosuojavastaava. Tästä kaavamaisesta ratkaisusta kuitenkin luovuttiin ja siirryttiin ydintehtäväkonseptiin.
Mitä sitten on ”laajamittainen rekisteröityjen säännöllinen ja järjestelmällinen seuranta”? Mistä tietää, tuleeko teidän yritykseenne jatkossa nimittää tietosuojavastaava?
Asetuksen perusteluteksteissä asiaa avataan toteamalla: ”Yksityisellä sektorilla rekisterinpitäjän keskeinen toiminta liittyy tämän ensisijaisiin toimintoihin, eikä se liity oheistoimintona tapahtuvaan henkilötietojen käsittelyyn.” (resitaali nro 97).
Asetuksen alustavissa tulkinnoissa on lähdetty siitä, että seurannalla tarkoitetaan esimerkiksi rekisteröityjen digitaalisen toiminnan seurantaa eväste- ym. teknologioiden avulla sekä erilaisia profilointimenettelyjä. Näin ollen vaatimus tietosuojavastaavan nimittämisestä koskettaa esimerkiksi erilaisia digitaalisen markkinoinnin toimijoita, joiden ydintehtäviin kuuluu henkilöiden digitaalisten jalanjälkien seuranta ja sillä kerättävän tiedon käsittely.
Koska asetuksen sanamuoto jättää varaa erilaisille tulkinnoille, tulee suuri merkitys olemaan uudella Euroopan tietosuojaneuvostolla ja sen antamilla ohjausmateriaaleilla. Tietosuoja-asetuksella perustetaan kyseinen neuvosto, joka koostuu jäsenmaiden tietosuojavaltuutetuista (asetuksen artiklat 68 – 76). Neuvosto korvaa nykyisen ns. ”WP 29” –työryhmän. Tulen blogissani seuraamaan Euroopan tietosuojaneuvoston toiminnan käynnistymistä ja uusia tulkintaohjeita.
Seuraava kysymys suomalaisissakin yrityksissä on, kenet voidaan nimittää tietosuojavastaavaksi? Asetuksen mukaan nimittämisessä on huomioitava henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa asetuksessa tietosuojavastaavalle tarkoitetut tehtävät. Vastaavaksi ei siten voi nimetä ketä tahansa yrityksen olemassa olevasta henkilökunnasta.
Tietosuojavastaava voi asetuksen mukaan olla yrityksen henkilöstön jäsen tai palvelusopimuksen perusteella toimenkuvaa hoitava ulkopuolinen asiantunteva taho. Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle.
Lopuksi siteeraan asetuksen artikloista 38 ja 39 tietosuojavastaavan asemaa ja tehtäviä koskevia sisältöjä. Tietosuojavastaavan rooli on hyvin itsenäinen. Hän ei mm. saa ottaa tehtävässään vastaan ohjeita muilta, eikä häntä saa irtisanoa sen vuoksi, että hän hoitaa tehtäviään.
38 artikla: Tietosuojavastaavan asema
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on tuettava tietosuojavastaavaa tämän suorittaessa 39 artiklassa tarkoitettuja tehtäviä antamalla tälle resurssit, jotka ovat tarpeen näiden tehtävien täyttämisessä, samoin kuin pääsyn henkilötietoihin ja käsittelytoimiin, sekä tämän asiantuntemuksen ylläpitämiseksi.
- Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä. Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle.
- Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tähän asetukseen perustuvien oikeuksiensa käyttöön.
- Tietosuojavastaavaa sitoo hänen tehtäviensä suorittamista koskeva salassapitovelvollisuus unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.
- Tietosuojavastaava voi suorittaa muita tehtäviä ja velvollisuuksia. Rekisterinpitäjän tai henkilötietojen käsittelijän on varmistettava, että tällaiset tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja.
39 artikla: Tietosuojavastaavan tehtävät
- Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:
- tehdä yhteistyötä valvontaviranomaisen kanssa;
- seurata, että noudatetaan tätä asetusta, muita unionin tai jäsenvaltion tietosuojalainsäännöksiä ja rekisterinpitäjän tai henkilötietojen käsittelijän toimintamenettelyjä, jotka liittyvät henkilötietojen suojaan, mukaan lukien vastuunjako, tiedon lisääminen ja käsittelyyn osallistuvan henkilöstön koulutus ja tähän liittyvät tarkastukset;
- antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle sekä henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja, jotka koskevat niiden tämän asetuksen ja muiden unionin tai jäsenvaltioiden tietosuojasäännösten mukaisia velvollisuuksia;
- antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa sen toteutusta 35 artiklan mukaisesti;
- toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä, mukaan lukien 36 artiklan mukainen ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.
- Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.