Tietosuojavastaava toimii organisaation sisäisenä asiantuntijana, joka auttaa, neuvoo ja tukee tietosuojasäännösten noudattamisessa sekä seuraa henkilötietojen käsittelyä. Laki velvoittaa nimeämään jokaiseen yritykseen tietosuojavastaavan kun tietyt kriteerit täyttyvät. Mitä nämä kriteerit sitten ovat?
Tietosuojavastaavan nimeämisen kriteerit
- Tietosuojavastaava pitää nimittää aina kun henkilötietojen käsittelijänä on viranomainen.
- Yrityksen on nimettävä tietosuojavastaava, kun
- se valvoo yksilöitä säännöllisesti tai järjestelmällisesti tai käsittelee erityisiä tietoryhmiä
- tietojenkäsittely kuuluu sen ydinliiketoimintaan tai se käsittelee tietoja laajamittaisesti.
- Tietosuojavastaava tulee nimittää, mikäli henkilötietojen käsittelyyn liittyy järjestelmällistä ja säännöllistä toimintaa, kuten:
- sijainnin seuraamista suoraan tai välillisesti (esim. ajoneuvo)
- käyttötottumuksien seurantaa ja profilointia esim. mainontaa varten
- videovalvontaa julkisella paikalla, kuten yrityksen edessä liikennöidyllä kadulla
- hyvinvointi-, liikunta- ja terveystietojen keräämistä mobiilisovellusten tai puettavien laitteiden avulla
- seurantaa verkkoon liitettyjen IoT-laitteiden, älymittareiden, kodin automaation tai turvalaitteiden avulla
Monelle yritykselle on melkoinen yllätys esimerkiksi se, että jos henkilötietoja käsitellään hakukoneiden avulla tehtävää kohdemainontaa varten ihmisten verkkokäyttäytymisen perusteella, yrityksellä on oltava tietosuojavastaava. Myös jos esimerkiksi lääkäri käsittelee geneettisiä ja terveydellisiä henkilötietoja sairaalaa varten, tietosuojavastaava tarvitaan, mutta jos lääkäri kerää tietoja potilaidensa terveydestä, tietosuojavastaavaa ei todennäköisesti tarvita.
Asetus ei tarkemmin yksilöi, mikä on ”järjestelmällistä ja säännöllistä”, mutta EU:n Tietosuojaneuvosto on tehnyt määritelmästä linjauksen. Säännöllisen toiminnan ehdot täyttyvät, kun:
- se jatkuu tai toteutetaan tietyin aikavälein tietyn ajan
- se toistuu tai toistetaan määritettyinä aikoina
- se on ajoittaista tai jatkuvaa.
Järjestelmällisellä toiminnalla tarkoitetaan yhtä tai useampaa seuraavista:
- se on järjestelmän mukaista
- se on ennalta järjestettyä, organisoitua tai menetelmällistä
- se toteutetaan osana yleistä tiedonkeruusuunnitelmaa
- se toteutetaan osana strategiaa.
Tietosuojavastaava voidaan nimittää myös silloin, kun tietosuoja-asetus ei siihen velvoita. Jos organisaatio nimittää tietosuojavastaavan vapaaehtoisesti, tietosuojavastaavan nimittämiseen, asemaan ja tehtäviin sovelletaan tietosuoja-asetuksen vaatimuksia samalla tavoin kuin silloin, kun nimittäminen on pakollista.
