Milloin yritys tarvitsee tietosuojavastaavan?
Vaikka EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan toukokuussa 2018, sen soveltamiseen liittyy edelleen kysymyksiä. Tietosuojavastaavan nimeäminen on yksi niistä.

Monilla yrityksillä on tietosuojavastaava. Osassa on toimittu vapaaehtoisesti, sillä hyvin hoidettu tietosuojakäytäntö lisää asiakkaiden ja sidosryhmien luottamusta ja sitä kautta kilpailukykyä. Toisaalta on yrityksiä, joissa ei edes tiedetä, että niiden kuuluu nimetä tietosuojavastaava. Asetuksen lakiteksti ei ole tässä kovin yksiselitteinen. Jos olet epävarma, pitääkö sinun yrityksessäsi olla tietosuojavastaava, jatka lukemista. Saat selville mm.:
  • mitä eroa on rekisteristä vastaavalla ja tietosuojavastaavalla
  • mitä käytännön hyötyä tietosuojavastaavasta on
  • millä aloilla laki velvoittaa nimeämään tietosuojavastaavan
  • missä muussa tapauksessa yrityksen tulee toimia niin

Mitä eroa on tietosuojavastaavalla ja rekisteristä vastaavalla?
Lyhyesti ero näkyy siinä, että rekisteristä vastaava henkilö on yrityksen työntekijä ja toimii yrityksen kirjallisten ohjeiden mukaan: pitää rekisterit ajan tasalla, hoitaa yhteydenpidon rekisteröityjen kanssa ja toteuttaa heidän oikeutensa, kuten tarkastus- ja oikaisuoikeudet. Tietosuojavastaava taas on riippumaton erityisasiantuntija, joka seuraa yrityksessä tapahtuvaa henkilötietojen käsittelyä kokonaisuutena: käsittelyprosesseja, oikeusperusteita, ohjelmallisia ratkaisuja ja tietoturvaa. Hän varmistaa, että henkilötietojen käsittely on sekä asetuksen vaatimusten että yrityksen laatimien kirjallisten ohjeiden mukainen. Riippumattomuus tarkoittaa, että tietosuojavastaavan tehtävää ei voi rinnastaa erilliseen työsuhteeseen. Tietosuojavastaava edistää asetuksen noudattamista yrityksessä. Hän on tavallaan kuin vakuutus: tilkkii epäkohdat ja suojaa yritystä maineen ja markkina-aseman menetyksen ohella vahingonkorvauksilta.

Tietosuojavastaavan on asetuksen soveltamisen lisäksi hyvä hallita henkilötietojen käsittelyssä käytettävät teknologiat ja tietoturva. Tietosuojavastaavan tehtäviin kuuluu mm.
  • tuoda esiin havaitut puutteet ja ehdottaa parannuksia
  • neuvoa tietosuoja-asetuksen osalta yrityksen johtoa ja henkilötietoja käsitteleviä
  • tehdä tarvittaessa henkilötietojen käsittelyn tasapainotesti ja vaikutuksenarviointi (oikeus- ja turvallisuusperiaatteet)
  • toimia rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa
  • tehdä yhteistyötä tietosuojavaltuutetun toimiston kanssa

Milloin laki velvoittaa nimeämään tietosuojavastaavan?
Esimerkiksi silloin, kun henkilötietojen käsittelijänä on viranomainen, kuten verottaja, Kela tai julkishallinto, kuten kaupunki. Tietosuojavastaavasta on paljon hyötyä, mutta selliaisen nimittäminen on pakollinen myös yritykselle, jossa henkilötietoja käsitteellään laajamittaisesti tai laajempi käsittely kohdistuu erityistietoryhmiin, eli arkaluontoisiin tai salassa pidettäviin tietoihin. Tällaisia ovat potilastiedot, sijaintiin, toimeentuloon (palkka) liittyvät tiedot, ammattiliittoon sekä etniseen, uskonnolliseen tai sosiaaliseen ryhmään kuuluminen.

Lisäksi tietosuojavastaava tulee nimittää, mikäli henkilötietojen käsittelyyn liittyy järjestelmällistä ja säännöllistä:
  • sijainnin seuraamista verkko- tai mobiilisovellusten avulla
  • käyttötottumuksien seurantaa ja profilointia esim. mainontaa varten
  • videovalvontaa julkisella paikalla, kuten yrityksen edessä liikennöidyllä kadulla, yrityksen tiloissa tai laajaa (teollisuus)alevalvontaa
  • hyvinvointi-, liikunta- ja terveystietojen keräämistä mobiilisovellusten tai puettavien laitteiden avulla
  • seurantaa verkkoon liitettyjen IoT-laitteiden, älymittareiden, kodin automaation tai turvalaitteiden avulla

Asetuksessa ei tarkemmin yksilöidä, mikä on ”järjestelmällistä ja säännöllistä”, mutta EU:n tietosuojatyöryhmä, nykyinen Tietosuojaneuvosto, on tehnyt selkeän linjauksen. Järjestelmällisen ja säännöllisen toiminnan ehdot täyttyvät, kun se:
  • jatkuu tai toteutetaan tietyin aikavälein, tietyn ajan
  • toistuu tai toistetaan määritettyinä aikoina
  • on ajoittaista tai jatkuvaa
  • on ennalta järjestettyä, organisoitua tai menetelmällistä
  • toteutetaan osana yleistä tiedonkeruusuunnitelmaa
  • toteutetaan osana strategiaa

Tietosuojavastaavan nimeäminen on ajankohtainen myös, mikäli palvelujen tuottamisessa tai markkinoinnissa henkilötietojen käsittelyyn liittyy järjestelmällistä ja säännöllistä:
  • sijainnin seuraamista verkko- tai mobiilisovellusten avulla
  • dataohjattua markkinointia ja profilointia, esim. käyttötottumuksien seurantaa mainontaa varten
  • seurantaan perustuvaa uudelleenmarkkinointia (retargeting / remarketing)
  • kanta-asiakasohjelmia
  • hyvinvointi-, liikunta- ja terveystietojen seuraamista mobiilisovellusten tai puettavien laitteiden avulla
  • seurantaa verkkoon liitettyjen IoT-laitteiden, älymittareiden, kodin automaation tai turvalaitteiden avulla
  • videovalvontaa julkisella paikalla, kuten valvontakamera yrityksen edessä liikennöidyllä kadulla, jatkuvaa videovalvontaa yrityksen tiloissa, laajaa (teollisuus)alevalvontaa

Millä aloilla tietosuojavastaavaa tarvitaan?
Monilla aloilla ja tietyt ehdot täyttävässä toiminnassa. Kodin turvapalvelut, teollisuus- ja liiketilavalvonta, sähköyhtiöt ja yritykset, jotka hyödyntävät kameravalvontaa tai etäseurantaa tarvitsevat tietosuojavastaavan. Sama koskee palveluyrityksiä ja kauppoja, joilla on kanta-asiakasohjelmia. Markkinointitoimistoja, joiden ydintoimintaan kuuluvat mainonnan ja markkinoinnin palvelut digitaalisissa kanavissa ja datan laajamittainen kerääminen.

Tietosuojavastaava tulee nimetä työnvälityksen ja henkilöstöalalla (HR), sosiaali- ja terveydenhuollon tai niihin rinnastettavilla aloilla, joiden toiminnassa erityistietoryhmiin kuuluvien henkilötietojen käsittely on keskeinen. Esimerkkinä lääkäriasemat, yksityissairaalat ja kauneusklinikat, poikkeuksena yritykset, joissa potilasmäärä on pieni. Erityistietoryhmiin kuuluvia henkilötietoja käsitellään myös rakennusalalla, jossa työmaasta vastaavalla urakoitsijalla on velvollisuus pitää kirjaa kohteen työntekijöistä ja raportoida niistä kuukausittain Verohallinnolle. Sen vuoksi suurehkon työmaan pääurakoitsijat tai usein työmaakohteista vastaavat yritykset ovat velvollisia nimeämään tietosujavastaavan.

Tietosuojalaki (2018/1050) 6 § Erityisiä henkilötietoryhmiä koskeva käsittely luettelee 8. kohdan jälkeen joukon velvoitteita eritystietoryhmiä laajemmin käsitteleville organisaatioille. Tietosuojavastaavan nimeämisen lisäksi niihin kuuluvat mm. henkilötietojen salaaminen ja pseudonymisointi, rekistereihin pääsyn tiukka rajaaminen ja henkilötietoja käsittelevien toiminnan valvominen lokitietojen avulla.

Mistä tietosuojavastaava yritykselle?
Tietyin edellytyksin tietosuojavastaavan voi nimetä yrityksen omasta henkilöstöstä. Useimmiten palkataan ulkopuolinen konsultti. Riippumatta siitä, hoitaako tehtävää yrityksen oma vai ulkopuolelta palkattu henkilö, hänen yhteystietonsa tulee aina ilmoittaa tietosuojavaltuutetulle. Tietosuojavastaava kun toimii linkkinä valvontaviranomaisen ja rekisteriä ylläpitävän yrityksen välillä. Ilmoituksen voi tehdä täällä.

Tarvitaanko sinun yrityksessäsi tietosuojavastaavaa? Ulkoista tehtävä meille! Saat asiantuntijan kerran kuukaudessa tueksesi ja pidät tietosuojakäytännöt kunnossa.
katrin-kristiina
Katrin-Kristiina on toimitusjohtajamme, jolla on kahden vuosikymmenen kokemus digialalta. Hän kouluttaa ja konsultoi tietosuojan ja markkinoinnin automaation haltuunotossa.
Tilaa digityöläisten sisäpiiritieto!
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.