Nykyaikaisessa tietoyhteiskunnassa tietoa liikkuu salamanopeasti ympäri maailmaa ja tietoon liittyen ilmaantuu jatkuvasti uudenlaisia riskejä. Yksi tapa, millä tietoyhteiskunnan haasteisiin tietoturvan ja tietosuojan osalta on yritetty Euroopan unionin lainsäädännön tasolla vastata, on tietosuojaosaamisen vaatiminen laintasolla henkilötietoa käsittelevissä organisaatioissa.
Yleisen tietosuoja-asetuksen voimaantulon myötä 25.5.2018 alkaen organisaation on pitänyt nimetä tietosuojavastaava tietosuoja-asetuksessa olevien ehtojen täyttyessä. Tietosuoja-asetuksen myötä nykyään velvollisuus nimetä tietosuojavastaava koskee sekä käsittelijöitä, että rekisterinpitäjiä. Aiemmin velvollisuus nimetä tietosuojavastaava oli vain osalla sosiaali- ja terveydenhuollon toimijoista.
Tässä blogissa pyrin tunnistamaan henkilötietojen käsittelijän tietosuojavastaavan ja rekisterinpitäjän tietosuojavastaavan on tehtävä yhteistyötä lainsäädännön nojalla. Kerron myös miten tietosuojavastaavien yhteistyö toimii Meitan ja asiakkaiden välillä.
Eri toimijoilla on eri vastuut
Tietosuoja-asetuksessa rekisterinpitäjällä tarkoitetaan sitä tahoa, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Käsittelijällä taas tarkoitetaan sitä tahoa, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta. Tietosuojavastaava on taas organisaation sisäinen asiantuntija, joka neuvoo ja valvoo henkilötietojen käsittelyä.
Esimerkiksi mikäli organisaatio ulkoistaa palkanlaskentansa toiselle organisaatiolle, ulkoistavalla organisaatiolla säilyy valta määritellä henkilötietojen käsittelyn tarkoitus (esimerkiksi palkanlaskenta) ja keinot (esimerkiksi kuinka pitkään palkanlaskennan tietoja säilytetään). Palkanlaskennan toteuttajan eli käsittelijän tulisi taas käsitellä henkilötietoja ulkoistavan organisaation (rekisterinpitäjän) antamien ohjeiden mukaisesti.
Palkanlaskennan toteuttajalla voisi tässä tapauksessa olla velvollisuus nimetä tietosuojavastaava, koska palkanlaskenta voi sisältää erityisiä henkilötietoryhmiä ammattiliittotiedon ja terveystietojen muodossa. Velvollisuus nimetä tietosuojavastaava vaatisi tämän lisäksi, että ulkoistetun palkanlaskennan toteuttaminen olisi organisaation toiminnan kannalta ydintoimintaa ja laajamittaista. Rekisterinpitäjällä taas voisi olla velvollisuus nimetä tietosuojavastaava tapauksessa esimerkiksi silloin, jos palkanmaksun ulkoistaja olisi julkishallinnon organisaatio.
Lainsäädännöstä tuleva yhteistyön taso
Miten sitten tällaisessa tapauksessa rekisterinpitäjän tietosuojavastaavan ja käsittelijän tulisi tehdä yhteistyötä? Tietosuojaryhmä wp29 linjasi aikanaan ohjeistuksessa, että käsittelijän tietosuojavastaavan ja rekisterinpitäjän tietosuojavastaavan tulisi tehdä yhteistyötä. Kyseinen ryhmä ei kuitenkaan linjannut sitä, millaista yhteistyön tulisi olla.
Käsittelijän tietosuojavastaavalla ja rekisterinpitäjän tietosuojavastaavilla on kuitenkin mielestäni yhteinen tavoite: luonnollisten henkilöiden henkilötietojen korkea suoja ja tietosuoja-asetuksen yhdenmukainen tulkinta. Molempien tietosuojavastaavien tulisi näin tehtäviensä kautta mahdollistaa varmistamaan rekisteröityjen henkilötietojen korkea suoja. Rekisterinpitäjän tietosuojavastaavan tehtävänä on valvoa rekisterinpitäjän käyttämien käsittelijöiden tekemää henkilötietojen käsittelyä, josta taas käsittelijän tietosuojavastaavalla on tietoa. On näin käsittelijän ja rekisterinpitäjien tietosuojavastaavien intressissä tehdä yhteistyötä.
Käsittelijällä ei ole paljon päätösvaltaa henkilötietojen suhteen. Rekisterinpitäjä päättää aina henkilötietojen käsittelyn tarkoituksen. Käsittelijä voi päättää vain ei-olennaista henkilötietojen käsittelyn keinoista, kuten esimerkiksi henkilötietojen käsittelyyn käytettävästä tietojärjestelmästä sekä yksityiskohtaisista tietoturvatoimenpiteistä rekisterinpitäjän antamien reunaehtojen puitteissa.
Käsittelijän ja rekisterinpitäjien neuvontavelvollisuus ja valvontavelvollisuus eroavat toisistaan tietosisällöltään. Käsittelijän tietosuojavastaavan neuvontavelvollisuus koskee ei-olennaisia henkilötietojen käsittelyn keinoja. Tietosuojavastaavan valvontavelvollisuus käsittelijän tietosuojavastaavan roolissa käsittää taas henkilötietojen käsittelijän toimet suhteessa rekisterinpitäjän antamiin ohjeisiin. Käsittelijän tietosuojavastaavan tulee näin valvoa, että käsittelijä käsittelee henkilötietoja rekisterinpitäjän antamien ohjeiden mukaisesti. Henkilötietojen käsittelijän tietosuojavastaavan pitää näin olla yhteydessä rekisterinpitäjään tai rekisterinpitäjän tietosuojavastaavan kysymyksissä, jotka eivät sisälly rekisterinpitäjän antamien ohjeiden sisälle. Rekisterinpitäjän tietosuojavastaavan neuvontavelvollisuus ja valvontavelvollisuus taas koskevat koko kaikkea henkilötietojen käsittelyä.
Meitan ja asiakkaiden tietosuojavastaavien välinen yhteistyö
Meitan tietosuojavastaava ja asiakkaidemme tietosuojavastaavat ovat yhteydessä toisiinsa säännöllisesti kokoontuvan Meitan ja asiakkaiden välisen tietosuojaryhmän kautta. Tässä tietosuojaryhmässä käsitellään ajankohtaisia tietoturva- ja tietosuoja asioita Meitan ympäristössä sekä maailmalla.
Meitan tahtotila on ryhmän kautta ja muullakin viestinnällä pitämään asiakkaiden tietosuojavastaavat mukana tietoturva- ja tietosuojaympäristöään koskevista muutoksista. Meita tiedottaa asiakkaiden tietosuojavastaavia asiakkaiden henkilötietoihin liittyvistä tapahtumista ja päätettävistä asioista mahdollisimman nopeasti. Meita tahtoo yhdessä asiakkaiden kanssa tehdä palvelutuotannostaan jatkuvasti paremman tietoturvan ja tietosuojan näkökulmasta. Meitan sitoutumisesta Meitan tietoturvan hallintajärjestelmän kehittämiseen ja jatkuvaan parantamiseen osoittaa kesällä 2023 saamamme ISO 27001-sertifikaatti.
Meitan tietosuojavastaavana pyrin olemaan helposti lähestyttävä asiakkaiden tietosuojavastaavia kohtaan. Tietosuoja ja tietoturva eivät ole asioita, joita voi ratkaista yksin, vaan ne vaativat aina yhteistyötä.
Joona Turunen
Meitan tietosuojavastaava