Tietosuojavastaava ei vastaa vaan auttaa, neuvoo ja tukee organisaatiotaan

Toukokuussa 2018 voimaan tuleva EU:n tietosuoja-asetus laajentaa tietosuojavastaavien ammattikuntaa.

Toukokuussa 2018 voimaan tuleva koko EU:ta koskeva tietosuoja-asetus (GDPR) synnyttää julkishallintoon ja esimerkiksi järjestöihin ja yrityksiin uuden toimijan: tietosuojavastaavan. Tähän asti tietosuojavastaavia on ollut vain sosiaali- ja terveysalalla.

Viranomaisille ja muille julkishallinnon toimijoille tietosuojavastaavan palkkaaminen on pakollista – lukuun ottamatta oikeuslaitosta. Samoin pakollista se on organisaatioille, jotka käsittelevät ihmisten arkaluonteisia henkilötietoja kuten terveyttä, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta, seksuaalista suuntautumista tai rikoksia.

Myös tietylle osalle yrityksistä tietosuojavastaavan nimeäminen on lakisääteistä.

– Se, pitääkö yrityksen nimetä tietosuojavastaava, riippuu yrityksen toimialasta. Jos henkilötietojen käsittely yrityksessä rajoittuu omien työntekijöiden ja asiakkaiden tietoihin, tietosuojavastaavaa ei tarvitse nimetä. Yrityksen koko tai tietojenkäsittelyn laajuus eivät vaikuta asiaan, linjaa asian Elinkeinoelämän keskusliiton EK:n lainopillinen asiamies Mikko Nyyssölä.

Nyyssölän mukaan pakollista tietosuojavastaavan nimeäminen on yrityksille, joiden liiketoiminnan ydintä ovat ihmisiä koskevien tietojen käsittely ”laajamittaisesti, säännöllisesti, ja seuranta on järjestelmällistä”.

Asetuksen tarkoittamia yrityksiä ovat esimerkiksi puhelin- ja telepalveluyritykset (seuranta, paikannus), turvapalvelufirmat (kameravalvonta) julkisen liikenteen harjoittajat (liikkumisen seuranta matkakorttien avulla), head hunter -yhtiöt (profilointi) sekä isommat terveydenhuollon toimijat (terveystiedot). Ihmisten terveystiedot katsotaan arkaluonteisiksi tiedoiksi.

– Kriteereitä on paljon, avainsana on seuranta, ja pienimuotoinen toiminta on sallittua ilman tietosuojavastaavaakin, muistuttaa Nyyssölä.

Tietosuoja-asioiden asiantuntija

Valtaosalle suomalaisista yrityksistä tietosuojavastaavan nimeäminen on siis vapaaehtoista. Tietosuojatyöryhmä suosittelee, että yritykset nimeäisivät tietosuojavastaavan, vaikka asetus ei sitä tarkkaan ottaen edellyttäisikään.

Monet yrityksiä neuvovat organisaatiot ovat eri mieltä; lisäähän uuden toimijan palkkaaminen kustannuksia ja tuo organisaatioon työntekijän, jonka tehtävänä on pitää huolta myös rekisteröityjen – ei siis vain yrityksen – eduista, ja jolla on vahva irtisanomissuoja.

Ellei tietosuojavastaavaa nimetä, päätös tulisi dokumentoida kirjallisesti, ohjeistaa tietosuojavaltuutetun toimisto. Samalla tulisi kirjata, kuka yrityksessä on tietosuoja-asetuksen noudattamisesta vastaava henkilö. Organisaatio voi palkata tehtävään omaa henkilöstöä tai ulkopuolisen konsultin. Tuolloin on kuitenkin varmistettava, ettei tehtävänimikkeestä, toimesta, asemasta tai tehtävistä ole epäselvyyttä. Asia on tuotava selvästi esille sekä organisaation sisäisessä että ulkoisessa viestinnässä.

Työnantaja voi kohdentaa tietosuojavastaavan tehtävät esimerkiksi yrityksen hallintoon, HR:ään tai lakiasioihin. 

– Vastuuhenkilöstä ei saa kuitenkaan käyttää tietosuojavastaavan titteliä, ellei tarkoituksena ole, että hänellä on asetuksessa määritelty ja vahvistettu asema, EK:n Mikko Nyyssölä sanoo.

Lakisääteisen ja vapaaehtoisen tietosuojavastaavan toimenkuvissa ei ole eroja. Konserni voi nimittää yhden yhteisen tietosuojavastaavan, jos häneen voidaan ottaa helposti yhteyttä jokaisesta toimipaikasta

– Tietosuojavastaava voi olla työsuhteinen työntekijä tai itsenäinen yrittäjä (sopimuksen perusteella). Hän on tietosuoja-asioiden asiantuntija, joka on yrityksen apuna ja tukena henkilötietojen käsittelyssä. Tittelistään huolimatta hän ei kuitenkaan vastaa henkilötietojen käsittelyn lainmukaisuudesta yrityksessä, vaan vastuu on aina yrityksellä, kuten tähänkin asti on ollut, Nyyssölä korostaa.

Yritys tai mikään muukaan organisaatio ei siis voi vierittää vastuuta henkilötietojen käsittelyn lainmukaisuudesta tietosuojavastaavalle.

Ei ihan tavallinen työntekijä

Mikä sitten on tietosuojavastaavan asema? Onko hän luottamushenkilö, tavallinen työntekijä vai jotain muuta?

– Tietosuojavastaava ei ole luottamushenkilö, mutta ei ihan tavallinen työntekijäkään. Asetuksen mukaan tietosuojavastaava ei nimittäin ota ohjeita vastaan tehtävässään. Hän on itsenäinen ja riippumaton, ja hän raportoi suoraan yrityksen ylimmälle johdolle. Eikä tietosuojavastaavaa ei saa erottaa sillä perusteella, että hän on hoitanut lakimääräisiä tehtäviään, Nyyssölä sanoo.

Tietosuojavastaavan nimittää organisaation johto. Tietosuojavastaavan asemaa ei Nyyssölän mukaan kuitenkaan ole synkronoitu saumattomasti muuhun työlainsäädäntöön. 

– Työsuhteen tärkein tunnusmerkki on nimittäin työntekijän velvollisuus noudattaa työnantajan ohjeita ja määräyksiä. Jos se puuttuu, oikeussuhdetta ei ole yleensä pidetty työsuhteena. Nähtäväksi jää, syntyykö näistä säännöksistä ongelmia.

Yhteyshenkilö valvontaviranomaisiin 

Tietosuojavastaava on asetuksen mukaan organisaation sisäinen erityisasiantuntija ja henkilöstön neuvoja sekä kouluttaja tietosuoja-asioissa. Lisäksi hän on yhteyshenkilö sekä valvontaviranomaisille että rekisteröidyille, joilla on oikeus selvittää, mitä tietoja heistä on organisaatiossa kerätty ja tallennettu – ja myös tarkastaa tietojensa oikeellisuuden sekä halutessaan pyytää ne poistamaan.

Tietosuojavastaavan tehtäviä ovat:

  • Seurata ja valvoa tietosuojasääntöjen noudattamista koko organisaatiossa.
  • Antaa tietoja, neuvoja ja ohjeita tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille.
  • Seurata vastuunjakoa ja sitä, että tiedon käsittelyyn osallistuvaa henkilöstöä koulutetaan.
  • Antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoa vaikutustenarvioinnin toteutusta.
  • Toimia rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa.
  • Tehdä yhteistyötä valvontaviranomaisten kanssa ja toimia valvontaviranomaisten yhteyshenkilönä.

Asetuksen mukaan tietosuojavastaavan on oltava riippumaton, eikä hänellä saa olla eturistiriitoja tietosuojavastaavan tehtävän kanssa. 

– Tietosuojavastaava ei voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelyn tarkoitusten ja keinojen määrittely on rekisterinpitäjälle (organisaatiolle) kuuluva tehtävä. Eturistiriitoja voi syntyä, jos tietosuojavastaavaksi on nimetty esimerkiksi tietoturvavastaava tai ylimmän johdon edustaja, varoittaa tietosuojavaltuutetun toimisto ohjeistuksessaan.

Tietosuojavastaava yhteistiedot on julkaistava ja ilmoitettava viranomaisille. Tämä on säädetty siksi, että rekisteröidyt ja valvontaviranomainen voivat suoraan ja helposti olla yhteydessä tietosuojavastaavaan.

Tietosuojan supersankari?

EU:n tietosuoja-asetuksessa ei ole tarkemmin määritelty tietosuojavastaavan ammattipätevyyttä.

Käytännössä tietosuojavastaavan on oltava miltei supersankari: paitsi riippumaton myös osattava suunnilleen kaikkea.

Tietosuojavastaavan tehtävään valitun on tunnettava sekä EU:n tietosuoja-asetus että kansallinen lainsäädäntö. Hänen on tunnettava toimiala, jolla hän työskentelee: esimerkiksi yrityksen hallinnolliset käytänteet ja menetelmät. Hänen on oltava perillä myös rekisteröityjen oikeuksista, henkilötietojen käsittelyn turvallisuudesta ja tietoturvaloukkausten ilmoittamisesta.

Niin ikään tehtävään nimetyllä on oltava valmiudet edistää tietosuojakulttuuria organisaatiossa.

Tietosuojavastaavan henkilökohtaisia ominaisuuksia ovat rehellisyys ja korkea ammattietiikka. Tehtävässään tietosuojavastaavalla on salassapitovelvollisuus.

Rekisterinpitäjän eli organisaation on tuettava tietosuojavastaava tehtävässään. Tietosuojavastaava on 38 artiklan 1 kohdan mukaan otettava ”riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn”. Hänellä on oikeus saada tarvittavat resurssit: esimerkiksi kouluttautua ja ylläpitää osaamistaan tietosuojavastaavana. 

Huonosti asiansa osaava tietosuojavastaava voi olla yritykselle myös tietosuojariski.

Mitä sanoo laki?

EU:n yleinen tietosuoja-asetus (GDPR) on tullut voimaan 25.5.2016, ja sitä aletaan soveltaa täysimääräisesti 25.5.2018.

Tietosuojavastaava on keskeinen osa Euroopan unionin yleistä tietosuoja-asetustusta. Tietosuojavastaavan nimittämistä, asemaa ja tehtäviä on käsitelty yleisen tietosuoja-asetuksen artikloissa 37, 38 ja 39.

Koska Euroopan unionin tietosuoja-asetus on pakottavaa lainsäädäntöä, ei kansallinen lainsäädäntö voi olla ristiriidassa sen kanssa. Ristiriitaisuuksien poistamiseksi Suomen lainsäädäntöä tarkistetaan asetuksen mukaiseksi. Valmisteilla on uusi tietosuojalaki, josta hallitus antoi esityksensä HE 9/2018 eduskunnalle 1.2.2018. Laki täydentää EU:n yleistä tietosuoja-asetusta.

Tähän asti tietosuojan yleissääntely on perustunut henkilötietolakiin (523/1999).

Julkaistu: 18.04.2018

Ota yhteyttä

Kiinnostuitko? Heräsikö lisäkysymyksiä? Kerromme mielellämme lisää - jätä yhteystietosi alla olevalla lomakkeella, niin palaamme tuota pikaa asiaan!

*pakollinen kenttä

Palvelua toteuttamassa