Yleinen tietosuoja-asetus (GDPR) edellyttää, että tietyissä tilanteissa organisaatio nimittää itselleen erityisen asiantuntijan, tietosuojavastaavan. Tietosuojavastaavan tehtäviin kuuluu yksinkertaistettuna henkilötietojen käsittelyn seuraaminen sekä tietosuojasääntelyn noudattamisessa auttaminen.

Tietosuojavastaavana voi olla joko rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstöön kuuluva sisäinen työntekijä tai ulkoinen palveluntarjoaja. Olennaista on, että tietosuojavastaavalla on tarvittavat valmiudet ja osaaminen tehtävän hoitamiseen (esimerkiksi koulutustaustan tai työkokemuksen puolesta) ja ettei tietosuojavastaavalla ole eturistiriitoja tehtävien hoitamisessa. Tämä voi tulla kyseeseen esimerkiksi silloin, jos tietosuojavastaavaksi haluttaisiin nimittää joku yrityksen ylimmän johdon edustajista. Kun tietosuojavastaava on löytynyt, tulee nimityksestä ilmoittaa Tietosuojavaltuutetun toimistoon. Ilmoittaminen hoituu helposti sähköisen lomakkeen avulla.

milloin organisaatio tarvitsee tietosuojavastaavan?

Tietosuojavastaavan nimittäminen on tietosuoja-asetuksen perusteella pakollista seuraavissa tapauksissa:

  • Viranomainen tai julkishallinnon elin (poislukien tuomioistuimet) suorittaa tietojenkäsittelyä.
  • Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät ovat luonteeltaan sellaisia, että ne edellyttävät henkilötietojen laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa (kuten liikuntatietojen seuraaminen älykellon avulla tai turvakameravalvonta).
  • Rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtäviin kuuluu erityisiin henkilötietoryhmiin, rikostuomioihin tai rikoksiin liittyvien henkilötietojen laajamittainen käsittely.

Tässä yhteydessä ydintoiminta tarkoittaa sellaista toimintaa, joka oleellisesti kuuluu rekisterinpitäjän tehtäviin, ja jota ei voi erottaa rekisterinpitäjän toiminnasta. Havainnollistaen tämä tarkoittaa esimerkiksi sitä, että yksityisen hammasklinikan ydintehtäviin liittyy olennaisesti terveystietojen käsittely, ja henkilötietojen käsittelyä ei voi erottaa palvelusta ilman, että toiminta vaarantuisi. Näin ollen hammasklinikka tarvitsee tietosuojavastaavan, sillä terveystiedot kuuluvat erityisiin henkilötietoryhmiin, ja käsittely on osa klinikan keskeistä toimintaa. Toisaalta, yritysten toimintaan kuuluu usein myös palkanmaksu, jonka yhteydessä henkilötietoja on käsiteltävä. Tämä on kuitenkin katsottu olevan oheistoimintaa, jonka perusteella tietosuojavastaavaa ei tarvitse nimittää.

Laajamittaisuutta arvioitaessa on puolestaan hyvä ottaa huomioon rekisteröityjen määrä, käsiteltävän tiedon määrä ja laatu, kuinka laajaa käsittely on maantieteellisesti, sekä kuinka pitkään tietoja käsitellään.

tietosuojavastaavan vapaaehtoinen nimittäminen

Yritykset voivat nimittää tietosuojavastaavan myös vapaaehtoisesti, ja monesti tämä onkin suositeltavaa esimerkiksi sen panoksen myötä, mitä tietosuojavastaava voi tuoda riskien hallintaan ja tietosuojakäytäntöjen kehittämiseen. Siinä tapauksessa, että yritys päättää nimittää tietosuojavastaavan vapaaehtoisesti, on tärkeää muistaa, että nimityksen myötä tulevat myös tietosuoja-asetuksen luomat velvoitteet. Tämä merkitsee sitä, että yrityksen on noudatettava tietosuojavastaavaan liittyviä sääntöjä, vaikka nimitys perustuisi vapaaehtoisuuteen. Jos rekisterinpitäjä ei jostain syystä halua sitoutua näihin velvoitteisiin, voi tietosuojavastaavan sijasta käyttää esimerkiksi ”tietosuoja-asiantuntija” -nimikettä, jolla ilmaistaan, ettei kyseessä ole tietosuoja-asetuksen mukainen tietosuojavastaava.

Tietosuojavastaavan nimeämisellä on organisaatiolle paljon hyötyä. Tietosuojavastaava ei ainoastaan neuvo organisaatiota tietosuojalakien noudattamisessa käytännön tilanteissa, kouluta henkilöstöä ja huolehdi asianmukaisesta yhteydenpidosta viranomaisten kanssa, vaan tietosuojavastaavan nimittäminen on myös oiva keino osoitusvelvollisuuden osoittamiseen. Tästä syystä tietosuojavastaavan nimeäminen kannattaa myös vapaaehtoisesti.

Lue täältä lisää tietosuojavastaavan tehtävistä.

Lähde §: yleinen tietosuoja-asetus

11.07.2024
Suomen Juristit lakimies

Nopeaa apua lakiasioihin.