Tietosuojavastaava – uhka vai mahdollisuus?

Tietosuojavastaava – uhka vai mahdollisuus?

Paljon keskustelua on herättänyt tietosuoja-asetuksen mukana tuoma ”uutuus” tietosuojavastaava, sen asema ja toimenkuva. Nykyisin voimassa oleva lainsäädäntö vaatii sosiaali- ja terveydenhuollon toimijoita nimeämään tietosuojavastaavan. Tietosuoja-asetus laajentaa tätä velvollisuutta muillekin toimialoille ja monen muun tahon tulisi myös nimittää tietosuojavastaava toukokuuhun 2018 mennessä.

Kenen nimettävä tietosuojavastaava?

Julkisen sektorin velvollisuus nimetä tietosuojavastaava on asetuksessa säädetty suhteellisen selkeästi. Yksityisen sektorin osalta asia jää avoimemmaksi, asetuksen mukaan tietosuojavastaava olisi nimettävä jos organisaation keskeinen toiminta edellyttää laajamittaista, säännöllistä ja järjestelmällistä rekisteröityjen seurantaa. Epäselväksi jääneen muotoilun tarkoituksena lienee ollut se, että kun jätetään muotoilu avoimeksi, niin minkään merkityksellisen toiminnan ei voi katsoa jäävän artiklan soveltamisalan ulkopuolelle.

EU:n jäsenvaltioiden tietosuojaviranomaisista koostuva WP29 on ohjeessaan hieman avannut tämän säännöksen ajatusta. Vaikka henkilötietojen käsittely ei olisi yrityksen ydintehtävä mutta tämän tehtävän toteuttaminen edellyttää henkilötietojen keräämistä, niin yrityksen on nimettävä tietosuojavastaava (jos tietyt käsittelyn laajuutta ja järjestelmällisyyttä koskevat lisäkriteerit täyttyvät). Olennaista olisi arvioida, miten erottamaton osa henkilötietojen käsittely on yrityksen keskeisestä toiminnasta, kuinka laajoja henkilötietovirtoja yrityksessä kulkee, kuinka jatkuvaa ja järjestelmällistä henkilötietojen käsittely on. Laajamittaisuudella viitataan rekisteröityjen määrään, ei esimerkiksi organisaation työntekijöiden määrään. Pienempikin yritys on siis velvollinen nimittämään tietosuojavastaavan jos sen toiminnassa seurataan rekisteröityjä laajasti, säännöllisesti ja järjestelmällisesti.

Teleoperaattorin kannalta WP29 on ottanut selkeästi kantaa tietosuojavastaavan nimeämisvelvollisuuteen. WP29 ohjeistuksessa on tuotu esiin, että laajamittaisena pidetään teleoperaattorin suorittamaa datan käsittelyä (sisältö, välitystiedot, sijainti) ja säännöllisenä ja järjestelmällisenä viestintäverkon ylläpitoa sekä viestintäpalvelujen tarjoamista. Teleoperaattorilla velvollisuus nimetä tietosuojavastaava siis on. Teleoperaattorin on seurattava rekisteröityjä säännöllisesti ja järjestelmällisesti, jotta se pystyy tarjoamaan palveluitaan ja pienempienkin teleoperaattoreiden toimesta käsitellään huomattavia määriä henkilötietoja.

Mikä tietosuojavastaava sitten on?

Tietosuojavastaava voi toimia palvelusopimuksen perusteella tai kuulua henkilöstöön. Tietosuoja-asetus on määritellyt tiettyjä tehtäviä tietosuojavastaavalle, kuten neuvominen, asetuksen noudattamisen seuraaminen ja viranomaisten yhteyspisteenä toimiminen. Yleisemmin voisi sanoa, että hänen tehtävänsä on tuoda yritykselle erityisasiantuntemusta tietosuojaan liittyen. Tietotuojavastaavan tehtävänä on varmistaa ja valvoa, että tietosuoja toteutuu yrityksessä. Tietosuojavastaavaa ei tule pitää minään välttämättömänä pahana, päinvastoin hän on organisaation erityisasiantuntija, joka auttaa rekisterinpitäjää tai käsittelijää toteuttamaan velvollisuutensa. Hänen tehtävänsä voidaan määritellä organisaation tarpeiden mukaan: henkilöstön kouluttamista, ohjeistamista, tietosuojavelvoitteiden noudattamisen valvomista ja varmistamista. Tärkeä tehtävä voi olla myös esimerkiksi sopimusten laadinnassa ja neuvotteluissa tukeminen.

Tietosuojavastaavalla voi olla myös muita tehtäviä kuin tietosuojasta huolehtiminen. Tehtävien hoitaminen ei saa kuitenkaan aiheuttaa eturistiriitaa tietosuojavastaavan aseman kanssa. Tämän vuoksi ei ole suositeltavaa, että esimerkiksi johto toimisi tietosuojavastaavana. On kuitenkin syytä muistaa, että tietosuojavastaava ei ole henkilökohtaisessa vastuussa tietosuojan toteutumisesta. Vastuu kuuluu johdolle, eikä vastuuta voida ulkoistaa nimittämällä tietosuojavastaava. Tietosuojavastaava toimii itsenäisesti ja raportoi suoraan yrityksen johdolle.

Pakkopullaa?

Vaikka yrityksessä ei tarvitsisikaan asetuksen mukaan välttämättä nimetä tietosuojavastaavaa, miksei sitä tekisi joka tapauksessa? Organisaatiossa olisi hyvä olla henkilö, joka johtaisi tietosuojan toteuttamista jos toimintaan vähänkin enemmän sisältyy henkilötietojen käsittelyä. Henkilötietojen käsittelyn ja tietosuojan merkitys on kasvanut merkittävästi ja jatkaa kasvamistaan, se on asia, josta organisaatioilla ei ole varaa luistaa. Syytä olisi pohtia muutakin kuin vain mahdollisia hallinnollisia sakkoja, mitä hyvin tai huonosti hoidettu tietosuoja tekee esimerkiksi organisaation maineelle? Jos tietosuoja pyritään ottamaan vähänkään vakavasti organisaation toiminnassa, edellyttää se tiettyä järjestelmällisyyttä ja jatkuvuutta, ei sitä että tietosuoja otetaan puheeksi kerran vuodessa. Jotta tämä pystytään toteuttamaan, on oltava taho joka ottaa asian johtaakseen organisaatiossa.

Jos syystä tai toisesta jätät tietosuojavastaavan nimeämättä, olisi hyvä dokumentoida syyt, miksi tällaiseen ratkaisuun on päädytty. Näin pystyt osoittamaan viranomaiselle, että relevantit asiat on otettu huomioon asiaa päätettäessä.

Lisätietoja Finnet-liitosta:

lakimies Lotta Ylä-Sulkava, lotta.yla-sulkava (at) finnet.fi