Euroopan komission ehdotus uudeksi tietosuoja-asetukseksi rakentuu 11 luvusta, joiden sisältöä tarkastelen tässä blogissa artikkelisarjan muodossa nimenomaisesti asiakkuudenhallinnan toimintatapojen ja tietojärjestelmien näkökulmasta. Tässä artikkelissa käsittelen asetusehdotuksen IV lukua eli rekisterinpitäjää ja henkilötietojen käsittelijää.

Luvun pääteemoja ovat rekisterinpitäjän yleiset velvollisuudet, tietoturvallisuus, vaikutustenarviointi ja ennakkohyväksyntä, tietosuojavastaavan tehtävät sekä käytännesäännöt ja sertifiointeihin liittyvät asiat.

Aloitetaan tämäkin artikkeli avainkäsitteiden määrittelyllä. Asetusehdotus määrittää ne seuraavasti:

[Rekisterinpitäjällä tarkoitetaan] luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset, edellytykset ja keinot [– –].

[Henkilötietojen käsittelijällä tarkoitetaan] luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

CRM-maailmassa rekisterinpitäjä on siis mikä tahansa organisaatio, jolla on henkilötietoja sisältävä järjestelmä. Henkilötietojen käsittelijä on joko tuossa tai jossain toisessa organisaatiossa toimiva henkilö, joka käyttää CRM-järjestelmää. Henkilötietojen käsittelijä on joku toinen organisaatio tai henkilö, joka jollain tavalla työstää, rikastaa tai muuten käsittelee CRM-järjestelmän tietoja.

Rekisterinpitäjän yleiset velvollisuudet

22 artikla avaa suoraan painavalla vaatimuksella: ”Rekisterinpitäjän on hyväksyttävä toimintamenetelmät ja toteutettava tarvittavat toimenpiteet sen varmistamiseksi ja osoittamiseksi, että henkilötietojen käsittelyssä noudatetaan tätä asetusta.”

Näitä ovat erityisesti:

• Henkilötietojen käsittelyyn liittyen asiakirjojen säilytys. Tällaisia asiakirjoja ovat käytännössä nykyisten rekisteriselosteiden kaltaiset, mutta asetuksen tuomilla vaatimuksilla täydennetyt, dokumentit.
• Henkilötietojen käsittelyyn liittyvän tarvittavan tietoturvatason järjestäminen ja varmistaminen.
• Tietosuojaan liittyvän vaikutustenarvioinnin laatiminen.
• Tarvittaessa ennakkohyväksynnän hankinta valvontaviranomaiselta.
• Tarvittaessa tietosuojavastaavan nimittäminen.

Mikäli rekisterinpitäjä laiminlyö velvollisuutensa, voi valvontaviranomainen määrätä tälle merkittäviä sanktioita. Niitä käsittelen tarkemmin artikkelisarjan seuraavassa osassa.

22 artiklan 3 kohdassa myös edellytetään, että edellä kuvattujen toimenpiteiden tehokkuus tarkistetaan riippumattomien sisäisten tai ulkoisten tarkastajien toimesta. Jälleen kerran ei riitä, että asiat saattavat olla kunnossa. On siis pystyttävä osoittamaan, että asiat on suunniteltu, dokumentoitu, tehty ja tarkastettu.

23 artiklassa kuvataan sisäänrakennettu ja oletusarvoinen tietosuoja, joka rekisterinpitäjän on toteutettava. Käytännössä ne tarkoittavat CRM-maailmassa seuraavia asioita:

• Suunnitellaan ja dokumentoidaan toimintatavat niin, että asetuksessa määriteltyä tietosuojan tasoa noudatetaan yleisesti.
• Suunnitellaan ja dokumentoidaan toimintatavat niin, että henkilötietojen keruu, käsittely ja säilytys rajataan mahdollisimman pieneen tietojoukkoon ja mahdollisimman lyhyeen aikaan suhteessa tarpeeseen.
• Varmistetaan, että edellä mainittuja toimintatapoja noudatetaan ja että kaikki organisaatiossa henkilötietoja käsittelevät tuntevat ne.
• Varmistetaan erityisesti, että henkilötiedot pysyvät suojattuina, ts. että ne eivät vuoda organisaatiosta ulos.
• Varmistetaan, että CRM-järjestelmä on teknisesti asianmukainen ja uusien teknisten normien mukainen.

Kuten monessa muussakin kohtaa asetusehdotusta, EU:n komissiolle varataan oikeus määritellä sisäänrakennetun ja oletusarvoisen tietosuojan käytännön toteutukseen liittyvät yksityiskohtaiset vaatimukset.

Unionin ulkopuoliset rekisterinpitäjät

Artikkelisarjan ensimmäisessä osassa kerroin jo, että 3 artiklan mukaisesti asetus tulee koskemaan myös Unionin ulkopuolella toimivia rekisterinpitäjiä, jotka käsittelevät EU-kansalaisten henkilötietoja.

25 artiklassa edellytetään, että tällaisten rekisterinpitäjien on määrättävä itselleen EU-alueelle sijoittunut edustaja. 28 ja 29 artiklan mukaan edustajan tehtävänä on toimia yhteyspisteenä rekisterinpitäjän ja viranomaisten välillä.

Edustaja voidaan jättää nimeämättä, jos Unionin ulkopuolinen rekisterinpitäjä:

• sijaitsee sellaisessa maassa, jonka tietosuojan tasoa komissio pitää riittävänä; tai
• sen palveluksessa on alle 250 työntekijää; tai
• se on viranomainen tai julkishallinnon elin; tai
• se tarjoaa tavaroita ja palveluita Unionin alueelle vain satunnaisesti.

Henkilötietojen käsittelijä

Kun rekisterinpitäjä hankkii henkilötietojen käsittelyä ulkopuoliselta toimijalta, kutsutaan tätä toimijaa henkilötietojen käsittelijäksi. Käytännössä kyse on useimmiten alan palveluja tarjoavasta organisaatiosta, mutta kyse voi olla mistä tahansa toimijasta, joka on yritys tai henkilö. CRM-ympäristössä tyypillisiä henkilötietojen käsittelijöitä ovat esimerkiksi seuraavat:

• CRM-ratkaisutoimittaja, joka konvertoi ja siirtää asiakkaan vanhan CRM-järjestelmän tiedot uuteen.
• Tietopalveluja tarjoava yritys, joka tuoreuttaa CRM-järjestelmän tietosisältöä.
• Kesäapulainen tai työharjoittelija, jonka tehtävänä on siivota CRM-tietokantaa.

26 artiklan 1 kohta määrää, että rekisterinpitäjän on tällaista palvelua hankkiessaan saatava henkilötietojen käsittelijältä takeet seuraavista asioista:

• Käsittely toteutetaan kokonaisuudessaan tietosuoja-asetuksen vaatimusten mukaisesti.
• Rekisteröityjen oikeuksia suojellaan.
• Käsittelyyn sovelletaan riittäviä teknisiä turvatoimia.
• Käsittelyyn sovelletaan oikeita toimintatapoja.

Artikla myös edellyttää, että käsittely perustuu sopimukseen, joka sitoo käsittelijän rekisterinpitäjään. Sopimuksessa on annettava henkilötietojen käsittelijälle erityisesti seuraavat vastuut:

• Käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden perusteella ja mukaisesti.
• Käsittelijä käyttää käsittelytoimien suorittamiseen vain sellaista henkilöstöä, joka on tehnyt salassapitosopimuksen tai jota koskee lakisääteinen salassapitovelvollisuus.
• Käsittelijä huolehtii käsittelyn turvallisuudesta 30 artiklan mukaisesti (tästä lisää edempänä).
• Käsittelijä käyttää alihankkijaa vain, jos on saanut siihen ennakkohyväksynnän rekisterinpitäjältä.
• Käsittelijä laatii rekisterinpitäjän kanssa tarvittavat tekniset ja organisatoriset vaatimukset, jotta III luvussa kuvatut rekisteröidyn oikeudet toteutuvat (mm. rekisteröidyn tiedonsaantioikeus, ja oikeudet tietojen oikaisemiseen, rajoitettuun käsittelyyn ja unohdetuksi tulemiseen).
• Käsittelijä auttaa rekisterinpitäjää varmistamaan, että käsittelyn turvallisuutta, henkilötietojen tietoturvaloukkausten käsittelyä, vaikutustenarviointia ja ennakkohyväksyntää koskevat velvollisuudet tulevat noudatetuiksi.
• Käsittelijä luovuttaa käsittelyn päätyttyä kaikki tulokset rekisterinpitäjälle, eikä sen jälkeen enää käsittele kyseisiä henkilötietoja.
• Käsittelijä toimittaa rekisterinpitäjälle ja valvontaviranomaiselle kaikki tiedot, joilla tässä artiklassa säädettyjen velvollisuuksien noudattamista voidaan valvoa.

Lisäksi henkilötietojen käsittelijän on tallennettava kirjallisesti kaikki edellä mainitut ohjeet ja rekisterinpitäjän velvollisuudet. (Tältä osin 26 artiklan 3 kohdan suomenkielisessä versiossa on käännösvirhe. Siinä viitataan ”2 artiklaan”, kun oikea viittaus olisi ”2 kohtaan”. Asetusehdotuksen englanninkielisessä laitoksessa viittaus on oikein.)

27 artikla määrää, että rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin – eli CRM-ympäristössä esimerkiksi kuka tahansa järjestelmän loppukäyttäjä –, saa käsitellä niitä vain rekisterinpitäjän antamien ohjeiden mukaisesti.

Käsittelyyn liittyvistä asiakirjoista säädetään 28 artiklassa. Rekisterinpitäjien ja henkilötietojen käsittelijöiden on säilytettävä asiakirjat kaikista vastuullaan tapahtuvista tietojenkäsittelytoimista. Velvollisuus koskee niitä organisaatioita, joiden palveluksessa on yli 250 työntekijää tai jotka käsittelevät henkilötietoja päätoimenaan.

Asiakirjoissa on oltava vähintään seuraavat tiedot:

• Rekisterinpitäjän ja mahdollisen henkilötietojen käsittelijän sekä rekisterinpitäjän mahdollisen edustajan nimi ja yhteystiedot.
• Tietosuojavastaavan nimi ja yhteystiedot, jos tietosuojavastaava on nimetty.
• Henkilötietojen käsittelyn tarkoitukset. Jos tarkoitus perustuu käsittelijän oikeutettuun etuun, on tuo etu kirjoitettava auki.
• Kuvaus rekisteröityjen ryhmistä ja niihin liittyvistä tietoryhmistä.
• Henkilötietojen vastaanottajat tai vastaanottajien ryhmät.
• Tiedot henkilötietojen siirrosta kolmanteen maahan tai kansainväliselle järjestölle ja kyseisen maan tai järjestön nimi. Lisäksi siirtoon liittyvistä takeista on annettava tietyissä tapauksissa erillinen selvitys.
• Yleinen maininta eri tietoryhmien poistamisen määräajoista.
• Kuvaus 22 artiklassa määrättyjen rekisterinpitäjän vastuulla olevien asioiden toteuttamiseen liittyvistä mekanismeista ja niihin liittyvistä tarkistuksista.

Asiakirjat on esitettävä pyydettäessä valvontaviranomaiselle. Viranomainen voi pyytää niitä joko rekisterinpitäjältä, henkilötietojen käsittelijältä tai rekisterinpitäjän edustajalta.

29 artikla määrää, että rekisterinpitäjä, henkilötietojen käsittelijä ja rekisterinpitäjän edustaja tekevät yhteistyötä valvontaviranomaisen kanssa. Käytännössä yhteistyö tarkoittaa mm. viranomaisen pääsyä kaikkiin henkilötietoihin ja muihin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävän suorittamiseksi sekä vastausten antamista ja toimenpiteiden suorittamista valvontaviranomaisen tiedustelemiin tai määräämiin asioihin.

Tietoturvallisuus

30 artikla edellyttää, että henkilötietoja käsiteltäessä on huolehdittava käsittelyn turvallisuudesta (lihavointi lisätty):

Rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen käsittelyn ja suojattavien henkilötietojen luonteeseen liittyviin riskeihin nähden asianmukainen turvallisuustaso, ottaen huomioon uusin tekniikka ja toimenpiteiden toteuttamiskustannukset.

Rekisterinpitäjän on siis huolehdittava sekä tekniikasta että toimintatavoista. Lisäksi on arvioitava käsiteltävien henkilötietojen luonnetta ja riskitasoa, ja toimittava sen mukaisesti.

Riskiarvioinnin pohjalta rekisterinpitäjän on suoritettava toimenpiteet, joilla suojataan henkilötiedot:

• vahingossa tapahtuvalta tai laittomalta tuhoamiselta,
• vahingossa tapahtuvalta häviämiseltä,
• lainvastaiselta käsittelyltä,
• luvattomalta luovuttamiselta, levittämiseltä, tiedonsaannilta,
• henkilötietojen muuttamiselta.

CRM-ympäristöissä kolmas ja neljäs kohta ovat erityisen mielenkiintoisia. Toimintatapojen osalta voidaan toki todeta ohjeissa tai pelisäännöissä, että lainvastainen käsittely on kielletty, eli CRM:stä ei saa tutkia kenen tietoja tahansa, eikä nähtyjä tietoja saa levittää edelleen. Mutta miten hoidetaan artiklan edellyttämä tekninen toimenpide asiaan liittyen? Rajataanko vain kullekin käyttäjälle näytettäviä tietoja vai saadaanko lopulta CRM-järjestelmiin käyttölokit, joilla tietojen käyttöä voidaan seurata ja valvoa?

30 artiklan osalta ehdotuksessa esitetään, että EU:n komissio voi antaa yksityiskohtaisempia säädöksiä sen soveltamisesta.

Tietoturvaloukkaukset

31 ja 32 artiklat käsittelevät tietoturvaloukkauksia, eli tilanteita, joissa rekisteröityjen esimerkiksi vuotaa julkisuuteen tai niitä muutetaan tai tuhotaan vahingossa tai tahallisesti.

Tietoturvaloukkauksista on aina tiedotettava valvontaviranomaista, ja tiedotus on tehtävä ilman aiheetonta viivytystä, mutta kuitenkin 24 tunnin kuluessa. 31 artiklan 3 kohdassa kuvataan tiedot, jotka tässä yhteydessä on annettava.

Rekisterinpitäjän on myös dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niihin liittyvät seikat, vaikutukset ja toteutetut korjaavat toimet. Dokumentaation avulla valvontaviranomainen voi tarkistaa, että säädöksiä on noudatettu.

Viranomaisilmoituksen jälkeen rekisterinpitäjän on myös ilmoitettava tietoturvaloukkauksesta rekisteröidylle itselleen, jos loukkauksella on todennäköisiä haittavaikutuksia henkilötietojen suojalle tai yksityisyydelle. 32 artiklan 2 kohta kuvaa ne tiedot, jotka ilmoituksen yhteydessä annetaan.

Rekisteröidylle ei tarvitse ilmoittaa tietoturvaloukkauksesta, jos rekisterinpitäjä osoittaa valvontaviranomaista tyydyttävällä tavalla, että se on toteuttanut asianmukaiset tekniset suojatoimenpiteet ja että kyseisiä toimenpiteitä on sovellettu tietoturvaloukkauksen kohteena oleviin henkilötietoihin. Valvontaviranomainen voi kuitenkin vaatia ilmoituksen tekemistä rekisteröidylle, vaikka asetus ei muuten ilmoitusta edellyttäisi.

Vaikutustenarviointi ja ennakkohyväksyntä

IV luvun 3 jakso, eli tietosuojaa koskeva vaikutustenarviointi ja ennakkohyväksyntä, määrää rekisterinpitäjät ja henkilötietojen käsittelijät pohtimaan etukäteen henkilötietojen käsittelyn vaikutuksia ja tarvittaessa hankkimaan käsittelylle valvontaviranomaisen ennakkohyväksyntä.

33 artiklan mukaan vaikutustenarviointiin on ryhdyttävä, jos tietojenkäsittelytoimiin liittyy niiden luonteen, laajuuden tai tarkoitusten vuoksi rekisteröidyn oikeuksien ja vapauksien kannalta erityisiä riskejä. Tällaisia tilanteita ovat CRM-maailmassa esimerkiksi seuraavat:

• Henkilön henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka liittyy hänen taloudelliseen tilanteeseen, sijaintiin, terveyteen, henkilökohtaisiin mieltymyksiin, luotettavuuteen tai käyttäytymisen analysointiin tai ennakointiin ja jotka aiheuttavat kyseiselle henkilölle oikeusvaikutuksia tai vaikuttavat häneen merkittävällä tavalla.
• Lapsia koskevien henkilötietojen käsittely suuren mittakaavan rekisteröintijärjestelmissä.
• Valvontaviranomaisen tarpeelliseksi katsomat tilanteet.

Täydellinen lista on kuvattu 33 artiklan 2 kohdassa.

Vaikutustenarvioinnissa on esitettävä vähintään seuraavat asiat:

• Yleinen kuvaus suunnitelluista käsittelytoimista.
• Arvio niihin rekisteröidyn oikeuksien ja vapauksien kannalta liittyvistä riskeistä.
• Toimet, joiden avulla riskeihin on tarkoitus puuttua.
• Takeet, suojatoimenpiteet ja keinot, joilla varmistetaan henkilötietojen suojaus ja osoitetaan, että tietosuoja-asetusta on noudatettu.

Arviointiprosessissa rekisterinpitäjän on pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista.

34 artikla käsittelee ennakkohyväksyntää ja -kuulemista. Rekisterinpitäjän tai henkilötietojen käsittelijän on haettava ennakkohyväksyntää tai -kuulemista mm. seuraavissa tilanteissa:

• Henkilötietoja aiotaan siirtää kolmanteen maahan tai kansainväliselle järjestölle sopimuslausekkeiden perusteella (tästä lisää artikkelisarjan seuraavassa osassa).
• Vaikutustenarvioinnissa on tunnistettu käsittelyyn liittyvän merkittäviä erityisiä riskejä.
• Valvontaviranomainen vaatii ennakkokuulemista.

Valvontaviranomaisen on kiellettävä suunniteltu käsittely ja esitettävä tarvittavat ehdotukset havaittujen puutteiden poistamiseksi, jos se katsoo, että suunniteltu käsittely ei ole asetuksen mukaista.

Tietosuojavastaava

35 artikla määrää, että rekisterinpitäjän ja henkilötietojen käsittelijän on aina nimitettävä tietosuojavastaava, jos:

• tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin; tai
• tietojenkäsittelyä suorittaa yritys, jossa on vähintään 250 työntekijää; tai
• rekisterinpitäjän tai henkilötietojen käsittelijän keskeiset tehtävät muodostuvat sellaisista käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.

Yritysryhmissä riittää yhden tietosuojavastaavan nimitys.

Myös muut organisaatiot voivat halutessaan nimittää tietosuojavastaavan. Tietosuoja-asetuksen vaatimukset huomioiden pitäisin järkevänä, että jokainen CRM-järjestelmän omaava organisaatio nimeää itselleen tietosuojavastaavan.

Tietosuojavastaava voi olla organisaation oma työntekijä tai tehtävä voidaan hankkia ostopalveluna. 35 artiklan 5–7 kohdan mukaan tietosuojavastaavaa nimitettäessä on kiinnitettävä huomiota erityisesti seuraaviin seikkoihin:

• Ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus. Erityisasiantuntemuksen taso määritetään suoritetun tietojenkäsittelyn ja käsiteltävien tietojen edellyttämän suojan perusteella.
• Valmiudet suorittaa 37 artiklassa erityisesti tietosuojavastaavalle määritettyjä tehtäviä (tästä lisää edempänä).
• Muiden ammatillisten velvollisuuksien yhteensovittaminen tietosuojavastaavan tehtävien ja velvollisuuksien kanssa niin, että eturistiriitoja ei synny.
• Tietosuojavastaava nimitetään tehtäviinsä vähintään kahden vuoden ajaksi. Tietosuojavastaava voidaan erottaa toimestaan vain jos hän ei enää täytä tehtäviensä suorittamisen edellyttämiä vaatimuksia.

Varsinkin viimeisen kohdan vaatimus on syytä huomioida organisaatioissa. Tietosuojavastaavaa ei voida erottaa tietosuojavastaavan toimesta (eikä käytännössä työsuhteestaan) muuten kuin sillä perusteella, että hän ei ole enää sovelias tietosuojavastaavan tehtävään.

Tietosuojavastaavan nimi ja yhteystiedot on ilmoitettava valvontaviranomaiselle ja yleisölle. Rekisteröidyillä on oikeus ottaa yhteys tietosuojavastaavaan kaikissa tietojensa käsittelyyn liittyvissä asioissa.

36 artikla määrää tietosuojavastaavan asemasta:

• Tietosuojavastaava on otettava mukaan kaikkeen henkilötietojen suojaa koskevien kysymysten käsittelyyn. Artikla nimenomaisesti korostaa, että mukaanotto on tehtävä asianmukaisesti ja riittävän ajoissa. Tietosuojavastaava ei siis ole kumileimasin, jolle suunnitelmat esitellään projektin päättyessä, vaan hänen on oltava mukana suunnittelussa.
• Tietosuojavastaava toimii riippumattomasti eikä ota vastaan ohjeita tehtäviensä hoitamiseen. Tämän varmistamiseksi tietosuojavastaava raportoi suoraan rekisterinpitäjän johdolle.
• Tietosuojavastaavaa on tuettava tämän tehtävien suorittamisessa ja annettava tälle tarvittava henkilöstö, toimitilat, varusteet ja muut resurssit, jotka ovat tarpeen tämän tehtävien hoitamisessa.

Tietosuojavastaavan tehtävät määritetään 37 artiklassa seuraaviksi:

• Antaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tietoja ja neuvoja, jotka koskevat tietosuoja-asetuksen mukaisia velvollisuuksia, ja dokumentoi nämä neuvot ja tiedot sekä niihin saadut vastaukset.
• Seuraa henkilötietojen suojaan liittyvien toimintamenetelmien täytäntöönpanoa ja soveltamista, eli esimerkiksi vastuunjakoa, käsittelyyn osallistuvan henkilöstön koulutusta ja tarkastuksia.
• Seuraa tietosuoja-asetuksen täytäntöönpanoa ja soveltamista erityisesti sisäänrakennettuun ja oletusarvoiseen tietosuojaan sekä tietoturvaan liittyviä vaatimuksia sekä rekisteröidylle ilmoittamista ja niitä rekisteröityjen esittämiä pyyntöjä, jotka koskevat tietosuoja-asetuksessa määritettyjä oikeuksia.
• Varmistaa, että 28 artiklassa määrätyt rekisterinpitäjän ja henkilötietojen käsittelijän toimintaan liittyvät asiakirjat säilytetään.
• Seuraa, että 31 ja 32 artiklassa määrätyt tietoturvaloukkauksia koskevat asiakirjat säilytetään ja että tietoturvaloukkauksista ilmoitetaan.
• Seuraa vaikutustenarvioinnin laatimista ja ennakkohyväksynnän tai ennakkokuulumisen soveltamista, jos niitä vaaditaan.
• Seuraa valvontaviranomaisen pyyntöihin vastaamista ja tekee toimintavaltuuksiensa mukaisesti yhteistyötä valvontaviranomaisten kanssa joko tämän pyynnöstä tai oma-aloitteisesti.
• Toimii valvontaviranomaisen yhteyspisteenä ja tarvittaessa konsultoi valvontaviranomaista oma-aloitteisesti.

Tietosuojavastaavan asema on siis vahva ja tehtävät laajat. Hänen on oltava tietoinen kaikista organisaation henkilötietojen käsittelyyn liittyvistä käytännöistä, toimenpiteistä ja kehityshankkeista. Hänen on oma-aloitteisesti valvottava tietosuoja-asetuksen toteutumista ja toimittava viranomaisten kanssa yhteistyössä.

Tärkeää on myös huomioida, että tietosuojavastaavan nimittäminen ei vapauta rekisterinpitäjää henkilötietojen käsittelyyn liittyvästä vastuusta. Tietosuojavastaava toimii organisaation asiantuntijana, neuvonantajana ja tarkastajana, ja edesauttaa rekisterinpitäjää vastuidensa ja velvoitteidensa hoitamisessa.

Lopuksi

III luvun määräämät velvoitteet ovat raskaita ja niiden toteuttaminen edellyttää huomattavaa ammattimaisuutta rekisterinpitäjiltä. Kuten jo monessa kohtaa artikkelisarjaa olen todennut, enää ei riitä, että asiat saattavat olla oikein. Niiden on oltava oikein, ja tuohon oikeellisuuteen liittyy vahva vastuu ja tilivelvollisuus.

Kun peilaan 22–29 artiklan yleisiä velvollisuuksia viimeisen 15 vuoden aikana tapaamiini organisaatioihin, ei mieleen tule montaakaan, jolla kaikki edellytykset täyttyisivät. Myös välineiden osalta on kehitettävää tehtävänä, jotta asetuksen tekniset vaatimukset täyttyisivät ja jotta tiettyjä toimintaprosesseihin liittyviä vaatimuksia saadaan toteutettua. Onneksi tietosuoja-asetuksen todennäköiseen voimaantuloon on vielä pari vuotta aikaa, ja onneksi myös useimmissa organisaatioissa on vilpitön halu saattaa asiat kuntoon ja toimia lainsäädännön mukaisesti.

3 jaksossa kuvattu vaikutustenarviointi on mielestäni kokonaisuutena hyvä. Se ohjaa henkilötietoja käsittelevien ajatusmaailmaa oikeaan suuntaan: ensin suunnitellaan tehtävät asiat, sitten arvioidaan niiden vaikutukset ja vasta sen jälkeen – jos kaikki on kunnossa – ryhdytään toimenpiteisiin. Liian usein asiakastietojen käsittelyssä tehdään ensin merkittäviä ponnisteluita ja vasta sitten tutkitaan, mitä tuli tehtyä.

4 jakson tietosuojavastaava on myös positiivinen tekijä. Enää ei voida lähteä siitä, että joku vastaa henkilötietojen käsittelyn seurannasta, vaan tuo joku on jatkossa selvästi nimettävä. Tärkeää on myös huomata, että mainittu vastuu ei ole toteutusvastuu vaan asiantuntijavastuu ja neuvonantajan rooli. Tietosuojavastaavan tehtäviin ja rooliin liittyvät vaatimukset ovat niin moniulotteisia, että uskon roolin ympärille syntyvän merkittävää palveluliiketoimintaa. Harvassa organisaatiossa on asiantuntijoita, jotka voivat omien toimiensa ohella hypätä asetuksessa kuvattuihin saappaisiin. Työnantajillakin voi esiintyä haluttomuutta nimittää ihmisiä positioihin, joista heitä ei helpolla saa poistettua.

Artikkelisarjan seuraavassa ja samalla viimeisessä osassa käsittelen henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille sekä niitä sanktioita, joita tietosuoja-asetuksen noudattamatta jättämisestä voi seurata.