Kuka on velvollinen nimittämään tietosuojavastaavan?

Kuka on velvollinen nimittämään tietosuojavastaavan?

posted in: Yleinen | 0

Euroopan Unionin yleinen tietosuoja-asetus (tietosuoja-asetus) velvoittaa tiettyjä organisaatioita riippumatta siitä ovatko he rekisterinpitäjiä vaiko henkilötietojen käsittelijöitä nimittämään tietosuojavastaavan ja tähän liittyen velvoitteen laiminlyöntiin on myös kytketty merkittävä liikevaihtoperusteinen sanktio.

Tietosuojavastaavalla on tietosuoja-asetuksessa asetettujen velvoitteiden keskellä merkittävä rooli, joskaan tietosuojavastaavan toimi ei ole uusi keksintö. Aiempi EU:n tietosuoja direktiivi (95/46/EY) ei edellyttänyt tietosuojavastaavan nimittämistä, mutta useissa kansallisissa säännöksissä vastaavista tahoista on kuitenkin ollut jo olemassa olevia säännöksiä. Myös Suomessa jokainen sosiaali- ja terveydenhuollon palvelutarjoaja ja apteekki on ollut lain nojalla velvollinen nimittämään tietosuojavastaavan jo ennen tietosuoja-asetuksen aikaa. Tietosuoja-asetuksen mukaan tietosuojavastaava tulee nimittää aina kun:

tietojenkäsittelyä̈ suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin;

  1. rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä̈ seurantaa; tai
  2. rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä̈, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

Kuten valitettavasti useat tietosuoja-asetuksen muutkin artiklat, myös artikla koskien tietosuojavastaavan nimittämistä sisältää avoimia määritelmiä ja siten niistä johtuvia tulkintakysymyksiä. WP29 työryhmä, jonka tehtävä on laatia ohjeistusta ja kannanottoja tietosuoja-asetuksen soveltamisalalla, on pyrkinyt selventämään näitä kesäkuussa 2017 julkaistussa kannanotossa. Kannanotossa on muun muassa selvennetty, että viranomaisen tai julkishallinnon elimen määritelmä tulee johtaa kansallisesta lainsäädännöstä. Yksityisten yritysten kannalta olennaisia ovat kuitenkin etenkin kohdat b) ja c) eli muun muassa sen selvittäminen, milloin on kyse laajamittaisesta säännöllisestä ja järjestelmällisestä seurannasta ja mitä tarkoitetaan rekisterinpitäjän tai käsittelijän ydintehtävillä.

WP29 kannanoton mukaan ydintehtävillä tarkoitetaan yrityksen sellaisia keskeisiä toimintoja, jotka ovat välttämättömiä yhtiön omien liiketoiminnallisten tavoitteiden saavuttamiseksi tai vastaavasti näiden erottamaton osa. Esimerkkinä siitä koska henkilötietojen käsittely on erottamaton osa yrityksen ydintehtäviä, on sairaanhoito, jota ei voida toteuttaa ilman välttämättömiä terveystietoja. Vastakohtana ydintehtäville tässä kontekstissa ovat ns. tukitoiminnot, kuten HR ja IT-toiminnot, joissa henkilötietojen käsittely saattaa olla välttämätöntä esimerkiksi palkanlaskua varten, mutta ne eivät ole yrityksen päätoimintoja.

Koska sitten ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä̈ seurantaa? WP29 työryhmä on kannanotossaan pilkkonut oheisen määritelmän osiin, jolloin kyse on yhtäältä siitä, milloin kyse on laajamittaisesta seurannasta ja mikä täyttää säännöllisen ja järjestelmällisen seurannan kriteerit, kun tietosuoja-asetus ei ota kantaa esimerkiksi seurattavien henkilöiden määrään. Koska myöskään laajamittaiselle määrittämiselle ei ole asetuksessa annettu raja-arvoja, jää rajanveto rekisterinpitäjälle tai käsittelijälle itselleen. WP 29 työryhmän mukaan arvioinnissa tulisi kuitenkin ottaa huomioon ainakin seuraavat seikat:

 

  • rekisteröityjen määrä (joko henkilömäärä tai suhteellinen osuus väestöstä)
  • tiedon määrä / kerättävien henkilötietoryhmien määrä
  • tiedon käsittelyn kesto ja pysyvyys
  • käsittelyn maantieteellinen laajuus

Esimerkiksi sairaalan tai pankin asiakastietojen käsittely katsotaan WP20 työryhmän mukaan sellaisenaan laajamittaiseksi. Samoin tulkittaisiin muun muassa hakutietokoneen henkilötietojen käsittelyä kohdennettuun markkinointiin ja matkustusdatan keräämistä matkakorttien kautta. Vastaavasti taas yksittäisen lääkärin potilastietojen käsittelyä ei pidettäisi laajamittaisena.

Rekisteröityjen säännöllisellä ja järjestelmällisellä seurannalla taas tarkoitetaan vähintäänkin kaikkea rekisteröityjen internetissä tapahtuvaa seuraamista ja profilointia esimerkiksi kohdennetun ja käyttäytymiseen pohjautuvat markkinoinnin suorittamista varten. Muita esimerkkejä ovat dataan pohjautuvat markkinointitoimet, riskiperusteinen profilointi, applikaatioiden paikkaseuranta ja yhdisteltävät laitteet kuten älyautot ja kodin automatiikka. Seuraaminen voidaan katsoa säännölliseksi, mikäli se on jatkuvaa tai sitä tapahtuu säännöllisesti tai tietyin väliajoin tietyn ajanjakson aikana tai seuranta toistuu määrättyjä kertoja. Seuranta taas on järjestelmällistä, jos se pohjautuu tiettyyn järjestelmään, on osa etukäteen suunniteltua tai järjestettyä, on osa yleistä tietojen keräystä koskevaa suunnitelmaa tai osa yrityksen strategiaa.

Kohdasta c) on syytä todeta WP29 työryhmän huomio, että asetuksessa on virheellisesti käytetty sanaa ”ja” kun se tulisi olla ”tai”. Tietosuojavastaavan nimittämiseksi on siis yksin riittävää, että rekisterinpitäjä tai henkilötietojen käsittelijä käsittelee laajamittaisesti artiklassa 9 mainittuja erityisiä henkilötietoryhmiä, artiklan 10 mukaisten tietojen mukaisten tietojen käsittelyä samanaikaisesti ei siis edellytetä toisin kuin sanamuoto nykyisellään näyttäisi edellyttävän.

Yhtiöiden on myös syytä huomioida, että myös muut lain nojalla siihen velvoitetut tahot voivat vapaaehtoisesti nimittää tietosuojavastaavan, ja Komission WP29 työryhmä suosittaa tämän vapaaehtoisen oikeuden käyttämistä. Vastaavasti niiden tahojen, jotka eivät ole arvionsa mukaan velvollisia nimittämään tietosuojavastaavaa on, läpi tietosuoja-asetuksen soveltuvasta osoittamisvelvollisuudesta (Accountability) johtuen, suositeltavaa dokumentoida se sisäinen arviointi, jonka perusteella kyseiseen lopputulokseen on päädytty. Analyysia on myös syytä päivittää, mikäli yhtiö esimerkiksi ryhtyy uusiin käsittelytoimiin, sen arvioimiseksi muuttuuko arvio uusien toimintojen perusteella. Rajatapauksissa suosittelemme yrityksiä harkitsemaan ainakin osa-aikaisen tietosuojavastaavan nimeämistä velvoitteen laiminlyöntiin liittyvän sanktioriskin johdosta. Toinen mahdollinen vaihtoehto yritykselle voisi olla ulkopuolisen, esimerkiksi osa-aikaisesti toimivan tietosuojavastaavan nimittäminen.

Jos kumpikaan edellä mainituista ei tietosuojavastaavan asemalle ja tehtävälle tietosuoja-asetuksessa sisällytetyt vaatimukset ja niistä yhtiölle aiheutuvat kulu- ja muut seuraamukset huomioiden ole mahdollinen vaihtoehto, suosittelemme rajatapaukseksi katsottavaa yhtiötä kuitenkin valitsemaan henkilön, joka huolehtii keskitetysti yhtiön tietosuojakysymyksistä, mutta jota ei kuitenkaan yhtiön edellä mainitulla perustellulla näkemyksellä nimitetä tietosuojavastaavaksi. Näin tietosuojakysymykset ovat yrityksessä kuitenkin kootusti yhden henkilön vastuulla ja tämä positio voidaan tarvittaessa myöhemmin muuttaa tietosuojavastaavaksi, jos viranomaisten tulkinnan mukaan yhtiöllä kuitenkin olisi sellainen oltava.   On hyvä huomioida, että tietosuojavastaavan nimittämiseen liittyy tietosuoja-asetuksen sanktioriskin lisäksi nimittäin myös johdon vastuukysymykset (esim. case Fujitsu).

Jenni Veijalainen, Associate & Jan Lindberg, Partner

TRUST.