Mikä ihmeen tietosuojavastaava?
Toukokuussa voimaantuleva tietosuoja-asetus tuo yrityksiin uuden toimijan, tietosuojavastaavan. Kevään lähestyessä monet ovat havahtuneet kysymään, mistä oikein on kyse ja koskeeko asia myös meitä. Onko tietosuojavastaava luottamushenkilö, tavallinen työntekijä vai jotakin aivan muuta? Asian selvittää EK:n lainopillinen asiamies Mikko Nyyssölä.
Se, pitääkö yrityksen nimetä tietosuojavastaava, riippuu yrityksen toimialasta. Jos henkilötietojen käsittely yrityksessä rajoittuu omien työntekijöiden ja asiakkaiden tietoihin, tietosuojavastaavaa ei tarvitse nimetä. Yrityksen koko tai tietojenkäsittelyn laajuus eivät vaikuta asiaan.
Vastaus muuttuu, jos ihmisiä koskevien tietojen käsittely on yrityksen liiketoiminnan ydintä. Tietosuojavastaavaa ei tosin tarvitse nimittää aina tällöinkään. Se on nimettävä, kun henkilötietojen käsittely – siis yrityksen liiketoiminta – edellyttää rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä seurantaa. Kriteereitä on paljon, avainsana on seuranta, ja esimerkiksi pienimuotoinen toiminta on sallittua ilman tietosuojavastaavaakin.
Esimerkkeinä asetuksen tarkoittamista yrityksistä on yleensä mainittu puhelin- ja telepalveluyritykset sekä julkisen liikenteen harjoittaja. Esimerkiksi kaupungille voi kertyä mittava tietopankki ihmisten liikkeistä.
Tietosuojavastaava pitää valita myös silloin, kun liiketoiminnan ydinalueena on arkaluonteisten tietojen laajamittainen käsittely. Ihmisten terveystiedot ovat tyypillisiä arkaluonteisia tietoja, joten terveydenhuollon isojen toimijoiden on nimettävä tietosuojavastaava, kun asetus astuu voimaan. Pienemmät yritykset jäävät tämänkin velvollisuuden ulkopuolelle.
Muille yrityksille tietosuojavastaavan asettaminen on vapaaehtoista. Tietosuojavastaavan asema sekä oikeudet ja velvollisuudet määräytyvät kuitenkin aina asetuksen mukaisesti, joten lakisääteisen ja vapaaehtoisen tietosuojavastaavan toimenkuvissa ei ole eroja.
Tietosuojavastaava voi olla työsuhteinen työntekijä tai itsenäisenä yrittäjä. Hän on tietosuoja-asioiden asiantuntija, joka on yrityksen apuna ja tukena henkilötietojen käsittelyssä. Hän ei kuitenkaan – tittelistään huolimatta – vastaa henkilötietojen käsittelyn lainmukaisuudesta yrityksessä.
Tietosuojavastaava ei ole työntekijöiden luottamushenkilö, muttei ihan tavallinen työntekijäkään. Asetuksen mukaan tietosuojavastaava ei nimittäin ota ohjeita vastaan tehtävässään. Hän on itsenäinen ja riippumaton, ja hän raportoi suoraan yrityksen ylimmälle johdolle. Tietosuojavastaavaa ei saa erottaa sillä perusteella, että hän on hoitanut lakimääräisiä tehtäviään.
Tältä osin voi todeta, että asetuksen synkronointi muuhun lainsäädäntöön on jäänyt hieman puutteelliseksi. Työsuhteen tärkein tunnusmerkki on nimittäin työntekijän velvollisuus noudattaa työnantajan ohjeita ja määräyksiä. Jos se puuttuu, oikeussuhdetta ei ole yleensä pidetty työsuhteena. Nähtäväksi jää, syntyykö uusista säännöksistä ongelmia.
Vastuu tietosuoja-asetuksen ja muun lainsäädännön noudattamisesta on aina yrityksellä riippumatta siitä, onko se valinnut tietosuojavastaavan vai ei. Näin se on ollut tähänkin asti. Tehtävät voidaan allokoida työnantajan päätöksellä esimerkiksi yrityksen hallintoon, HR:ään tai lakiasioihin. Vastuuhenkilöstä ei saa kuitenkaan käyttää tietosuojavastaavan titteliä, ellei tarkoituksena ole, että hänellä on asetuksessa määritelty ja vahvistettu asema.