EU:n uusi tietosuoja-asetus on nyt ollut voimassa ja luettavissa huhtikuusta lähtien. Etukäteen oli jo tiedossa, että asetuksessa on monia epäselviä vaatimuksia joiden takia rekisterinpitäjien on ollut vaikea ymmärtää, miten juuri heidän toiminnassaan nämä olisi toteutettava. Tämän takia moni on odottanut luvattuja tarkempia ohjeistuksia kun kuuta nousevaa.

Odotus on nyt palkittu, tietosuojavaltuutettujen ryhmä on julkaissut ensimmäiset kolme ohjetta:

  • Ohje tietosuojavastaavasta
  • Ohje tiedon siirrettävyydestä
  • Ohje johtavan valvontaviranomaisen toimivallasta

Varmaan odotetuin näistä koskee ohjetta tietosuojavaltuutetusta, ja etenkin sitä, koska ja millaisen yrityksen on sellainen nimitettävä. Asetuksessa nimittämisperusteet on muotoiltu näin:

a) tietojenkäsittelyä suorittaa jokin muu viranomainen tai julkishallinnon elin kuin lainkäyttötehtäviään hoitava tuomioistuin;

b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa; tai

c) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu artikla 9 mukaisiin erityisiin henkilötietoryhmiin ja artiklassa 10 tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.

Suurin ongelma on ollut juuri b-kohta, jota on ollut ympäripyöreydessään mahdoton tulkita. Asetuksen väliversioissa b-kohtaan oli määritelty selkeitä rajoja, esim. jos työntekijämäärä on yli 250 tai rekisterissä on yli 5000 nimeä niin tietosuojavastaava olisi nimitettävä. Lopullisesta versiosta nämä jätettiin kuitenkin pois.

Juuri tätä b-kohtaa on ohjeessa avattu tarkemmin auki sekä annettu tilanteeseen sopivia esimerkkejä:

Ydintehtävät

Jos yrityksen ydintehtävät edellyttävät henkilötietojen käsittelyä, niin yrityksen on nimettävä tietosuojavastaava. Ohjeessa kuitenkin vielä tarkennetaan, että vaikka sinänsä henkilötietojen käsittely ei olisi yrityksen ydintehtävä, mutta sen toteuttaminen edellyttää henkilötietojen keräämistä niin yrityksen on nimitettävä tietosuojavastaava.

Esimerkkinä annetaan sairaala, jonka ydintehtävä on luonnollisesti terveydenhoito, mutta tämän toteuttamiseksi sen pitää kerätä ihmisten terveystietoja.

Toinen esimerkki on valvontapalveluyrityksestä, joka ydintehtävänä on turvallisuuden varmistaminen julkisissa tiloissa, kuten esim. ostoskeskuksissa. Tämä edellyttää mm. kameravalvontaa, jonka tuottama tallenne on henkilötietoa ja joka näinollen liittyy erottamattomasti ydintehtävän suorittamiseen.

Ohjeessa tarkennetaan myös, että kaikki yritykset käsittelevät henkilötietoja perusprosessien hoitamiseksi (kuten esim. palkanmaksu tai it-tuki), ja nämä eivät itsessään aiheuta velvoitetta tietosuojavastaavan nimittämiseksi.

Laajamittainen sekä säännöllinen ja järjestelmällinen seuranta

Nyt ohjeessa tarkennetaan, että laajamittaisella käsittelyllä tarkoitetaan nimenomaan rekisteröityjen määrää eikä organisaation kokoa. Eli muutaman hengenkin yritys on velvollinen nimittämään tietosuojavastaavan, jos se käsittelee suurta määrää henkilötietoja.

Tämä tarkoittaa käytännössä kaikkia yrityksiä, jotka tarjoavat esim. verkon analytiikka- tai mainonta sekä markkinointipalveluja muille yrityksille, koosta riippumatta.

Säännöllinen ja järjestelmällinen seuranta tarkennetaan sisältävän kaikenlaisen, muun muassa internetissä tapahtuvaan seurannan, kuten käyttäytymiseen perustuvan mainonnan tai kaikki paikannukseen perustuvat palvelut.

Ohjeessa on tässä kohtaa annettu suuri joukko esimerkkejä, mukana on itsestään selvästi pankit, vakuutusyhtiöt yms. mutta myös nettiin kytkeytyvät autot tai kodin ”älylaitteet”. Näin ollen IoT:n eli Esineiden internetin tarjoajilla on velvollisuus nimittää tietosuojavastaava.

Muita mielenkiintoisia pointteja liittyen tietosuojavastaavan roolin

Ohjeessa on muitakin mielenkiintoisia tarkennuksia ja ohjeita tietosuojavastaavan rooliin liittyen:

  • Tietosuojavastaava ei ole henkilökohtaisesti vastuussa asetuksen noudattamisesta. Vastuu asetuksen noudattamisesta on aina rekisterinpitäjällä tai käsittelijällä.
  • Jos yritys ei nimeä tietosuojavastaavaa, niin perustelut tälle olisi hyvä dokumentoida kirjallisesti.
  • Ohjeessa suositellaan nimittämään tietosuojavastaava, vaikkei yrityksellä vaatimusten perusteella olisi siihen velvollisuutta.
  • Ohjeessa varoitellaan mahdollisista eturistiriidoista yms. jos johtaja-tason henkilö nimetään tietosuojavastaavaksi. Aivan suoraan sitä ei kuitenkaan kielletä.

Ohjeita on nyt mahdollisuus kommentoida tammikuun loppuun asti, jonka jälkeen niistä julkaistaan lopulliset versiot. Alkuperäinen ohje löytyy täältä:

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

Niin kuin aina, ota yhteyttä jos tarvitset apua asetuksen toimeenpanoon liittyvissä asioissa!

Jätä sähköpostiosoitteesi ja saat tiedon uusimmista blogikirjoituksista