Tietosuojavastaavan nimittäminen, tehtävät ja asema

EU:n yleisen tietosuoja-asetuksen mukaan jokaisen kunnan tulee nimittää tietosuojavastaava.

​Tietosuoja-asetus sisältää yksityiskohtaiset säännökset tietosuojavastaavan asemasta ja tehtävistä. EU:n asiantuntijaryhmä WP 29 (Article 29 Working Party) on myös antanut tarkempaa ohjeistusta tietosuojavastaavista (linkki yleiskirjeen lopussa).

Yleiskirjeessä käydään läpi tietosuojavastaavan tehtäviä, oikeuksia ja velvollisuuksia sekä tietosuojavastaavan nimittämistä koskevaa lainsäädäntöä.

Tietosuojavastaavan nimittäminen

Yleisen tietosuoja-asetuksen mukaan tiettyjen rekisterinpitäjien ja henkilötietojen käsittelijöiden on nimitettävä tietosuojavastaava. Velvoite koskee kaikkia viranomaisia ja julkishallinnon elimiä. Jokaisen kunnan ja kuntayhtymän tulee siten nimittää itselleen tietosuojavastaava.

Velvollisuus nimittää tietosuojavastaava ei lähtökohtaisesti koske kunnan tytäryhteisöjä, koska ne eivät ole viranomaisia kuten kunnat. Julkissektorin toimijoiden lisäksi myös muut toimijat, joiden ydintehtävät muodostuvat henkilötietojen käsittelystä, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa tai joiden ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomiota tai rikkomuksia koskeviin tietoihin, ovat kuitenkin velvollisia nimittämään tietosuojavastaavan. Mikäli jokin näistä edellytyksistä koskee kunnan tytäryhteisöä, se on asetuksen mukaisesti velvollinen nimittämään tietosuojavastaavan.

Vaikka tietosuoja-asetuksessa ei nimenomaisesti vaadittaisikaan tietosuojavastaavan nimittämistä, organisaatioiden voi kuitenkin olla hyödyllistä nimittää tietosuojavastaava vapaaehtoisesti. Jos organisaatio nimittää tietosuojavastaavan vapaaehtoisesti, nimittämiseen, asemaan ja tehtäviin sovelletaan tietosuoja-asetuksen tietosuojavastaavaa koskevia vaatimuksia samalla tavoin kuin tilanteessa, jossa nimittäminen on pakollista.

Tietosuoja-asetus antaa mahdollisuuden erilaisiin vaihtoehtoihin tietosuojavastaavan nimittämisessä. Tietosuojavastaava voidaan nimittää koko kuntakonsernin yhteiseksi. Useampi kunta voi myös nimittää yhteisen tietosuojavastaavan niiden organisaatiorakenne ja koko huomioon ottaen. Tietosuojavastaava voi olla organisaation henkilöstöön kuuluva tai hoitaa tehtäviään palvelusopimuksen perusteella. Tietosuojavastaavaan tulee kuitenkin voida ottaa helposti yhteyttä jokaisesta toimipaikasta. Mikäli tietosuojavastaava toimii useassa organisaatiossa, tulee huolehtia siitä, että hänellä on tosiasialliset mahdollisuudet hoitaa tehtävää useassa organisaatiossa. Kunnassa voi toimia myös useampia tietosuojavastaavia.

Nimitettäessä tietosuojavastaavaa tulee ottaa huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä. Henkilön olisi hyvä olla perehtynyt organisaation hallinnollisiin sääntöihin ja menettelyihin. Asetus ei kuitenkaan aseta ehtoja tietosuojavastaavan ammattipätevyydelle.

Rekisterinpitäjän tulee julkistaa tietosuojavastaavan yhteystiedot ja ilmoittaa ne tietosuojavaltuutetun toimistolle. Tietosuojavastaavan yhteystiedot (postiosoite, puhelinnumero ja/tai sähköpostiosoite) tulisi julkistaa siten, että rekisteröidyt ja tietosuojavaltuutetun toimisto voivat tavoittaa tietosuojavastaavan helposti. Yleisön kanssa viestimiseen voidaan tarvittaessa käyttää myös muita viestintäkanavia. Tietosuojavastaavan yhteystiedoista olisi hyvä tiedottaa myös organisaatiossa sisäisesti.

Sosiaali- ja terveydenhuollon tietosuojavastaava

Sosiaali- ja terveydenhuollon puolella on säädetty lain tasolla tietosuojavastaavista vuodesta 2007 lähtien. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) ja laki sähköisestä lääkemääräyksestä (61/2007) edellyttävät, että jokainen sosiaali- ja terveydenhuollon palvelujen antaja, apteekki sekä KELA nimeävät tietosuojavastaavan. Kansallisessa lainsäädännössä ei aseteta sosiaali- ja terveydenhuollon tietosuojavastaavalle nimenomaista vaatimusta siitä, mikä koulutustausta tai ammattinimike tietosuojavastaavalla tulisi olla.

Edellä mainituilla tahoilla tulee jatkossakin toimia oma tietosuojavastaavansa. Sosiaali- ja terveydenhuollon tietosuojavastaavia koskevat myös asetuksen tietosuojavastaavia koskevat säännökset.

Tehtävät

Asetuksen 39 artiklan 1 kohdan mukaisesti tietosuojavastaava antaa neuvoja tietosuojaan liittyen rekisterinpitäjälle ja henkilötietoja käsitteleville työntekijöille. Hän seuraa asetuksen noudattamista sekä tietosuojaan liittyvän tiedottamisen ja koulutuksen toteutumista omassa organisaatiossaan. Tietosuojavastaava neuvoo vaikutustenarviointeihin liittyen ja toimii valvontaviranomaisen yhteyspisteenä.

Asetuksen 39 artiklan 1 kohdassa on annettu luettelo tehtävistä, jotka tietosuojavastaavalla on vähintään oltava. Rekisterinpitäjä voi kuitenkin antaa tietosuojavastaavalle muitakin tehtäviä liittyen organisaation tietosuojatyöhön. Tietosuojavastaavalle voidaan antaa tehtäväksi esimerkiksi laatia ja ylläpitää rekisterinpitäjän selostetta käsittelytoimista.

Tietosuojavastaavan on tehtäviään suorittaessaan otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski ottaen samalla huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Tietosuojavastaavana toimivan henkilön työtehtävät on määriteltävä työsopimuksessa tai virkasuhteisen kohdalla viranhoitomääräyksessä. Tämän lisäksi tietosuojavastaavan on tehtävässään noudatettava palvelussuhteen laadusta riippuen joko työsopimuslain työntekijälle asettamia velvoitteita tai kunnallisen viranhaltijalain viranhaltijaa koskevia velvoitteita.

Asema

Tietosuojavastaava on tehtävässään riippumaton eikä hän saa ottaa vastaan ohjeita asetuksen mukaisten tehtävien hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Tehtäviään suorittaessa tietosuojavastaavaa sitoo salassapitovelvollisuus Euroopan unionin lainsäädännön tai kansallisen lainsäädännön mukaisesti.

Tietosuojavastaava on otettava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn ja kehittämiseen, esimerkiksi, kun suunnitellaan tai kehitetään tietojärjestelmiä. Hänelle on asetuksen mukaan annettava riittävät resurssit sekä pääsy henkilötietoihin ja käsittelytoimiin. Tietosuojavastaavalle on varattava riittävä perehdytys ja koulutus asiantuntemuksen ylläpitämiseksi.

Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään tietosuojavastaavana. Rangaistus voi olla esimerkiksi varoituksen antaminen, ylennyksen tekemättä jättäminen tai viivästyminen, urakehityksen estäminen tai sellaisten etuuksien epääminen, joita muut työntekijät saavat. Näiden rangaistusten ei tarvitse tosiasiallisesti toteutua, vaan pelkkä uhka riittää edellyttäen, että sitä käytetään rankaisemaan tietosuojavastaavaa tehtäviensä hoitamisesta.

Tietosuojavastaava voidaan erottaa, jos erottaminen toteutetaan tavanomaisena johdon määräyksenä ja ehdoin, jotka sopimuslainsäädännön tai palvelussuhde- tai rikoslainsäädännön nojalla koskevat myös kaikkia muita työntekijöitä tai toimeksisaajia.

Muiden työtehtävien hoitaminen ja eturistiriidat

Tietosuojavastaava voi tehtävänsä ohella suorittaa muita tehtäviä, mutta ne eivät saa aiheuttaa eturistiriitoja. Tämä tarkoittaa erityisesti sitä, että tietosuojavastaava ei voi olla organisaatiossa sellaisessa asemassa, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Koska kullakin organisaatiolla on oma organisaatiorakenteensa, eturistiriitoja on tarkasteltava tapauskohtaisesti.

Yleisesti voidaan katsoa, että esimerkiksi ylemmät johtoasemat (esim. kunnanjohtaja, hallintojohtaja, talousjohtaja, johtava asiantuntijalääkäri, henkilöstöjohtaja tai tietoteknisen osaston johtaja) voivat aiheuttaa eturistiriidan organisaatiossa, mutta sama koskee myös muita tehtäviä organisaatiorakenteen alemmilla tasoilla, jos näissä tehtävissä on määritettävä tietojenkäsittelyn tarkoitukset ja keinot.

Vastuut

Tietosuojavastaava ei ole henkilökohtaisesti vastuussa yleisen tietosuoja-asetuksen noudattamatta jättämisestä, jos asetusta ei ole noudatettu. Tietosuojasäännösten noudattaminen on aina rekisterinpitäjän ja/tai henkilötietojen käsittelijän vastuulla.

Jos rekisterinpitäjä tai henkilötietojen käsittelijä tekee päätöksiä, jotka eivät ole yleisen tietosuoja-asetuksen ja tietosuojavastaavan neuvojen mukaisia, suositeltavaa olisi antaa tietosuojavastaavalle tilaisuus esittää eriävä mielipiteensä ylimmälle johdolle ja päätöksentekijöille. Mahdollisissa erimielisyystilanteissa on suositeltavaa dokumentoida perusteet, joiden vuoksi tietosuojavastaavan neuvoa ei noudateta.

Tietosuoja-asetuksessa ei oteta kantaa siihen, tulisiko viranomaisessa työskentelevän tietosuojavastaavan olla työ- vai virkasuhteessa. Sekä työsopimuslain että kunnallisen viranhaltijalain mukaan määräaikaiselle työ- tai virkasuhteelle tulee olla kyseisen tehtävän luonteesta johtuva määräaikaisuuden peruste (esim. sijaisuus, avoimen viran hoito, kausiluotoinen työ). Koska tietosuojavastaavan tehtävä on luonteeltaan pysyvä, kyseeseen tulee vain toistaiseksi voimassa oleva palvelussuhde.

Työsopimuslain 12 luvun 1.3 §:n mukaan työntekijän, joka tahallaan tai huolimattomuudesta aiheuttaa työssään työnantajalle vahinkoa, on korvattava työnantajalle aiheuttamansa vahinko vahingonkorvauslain 4 luvun 1 §:ssä säädettyjen perusteiden mukaan. Työntekijän vahingonkorvausvelvollisuutta ei voi lisätä enempää työ- kuin työehtosopimuksellakaan.

Viranhaltijan vahingonkorvausvelvollisuudesta säädetään vahingonkorvauslaissa. Vahingonkorvauslain 4 luvun 2 §:n mukaan virkamies vastaa virassaan virheellään tai laiminlyönnillään aiheuttamastaan vahingosta 4 luvun 1 §:ssä mainittujen perusteiden mukaisesti.

WP29-työryhmän suomenkielinen Tietosuojavastaavia koskevat ohjeet:
https://tietosuoja.fi/euroopan-tietosuojaneuvoston-ohjeet

Tietosuojavaltuutetun sivut:
https://tietosuoja.fi

EU:n yleinen tietosuoja-asetus:
https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.FIN&toc=OJ:L:2016:119:FULL

Kuntaliiton tietosuoja-asetusta käsittelevät sivut:
https://www.kuntaliitto.fi/asiantuntijapalvelut/laki/julkisuus-ja-tietosuoja/tietosuoja-asetus

SUOMEN KUNTALIITTO

Hanna Tainio
varatoimitusjohtaja                                                       

Saija Haapalehto          
lakimies