Tietosuojavastaavan rooli

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Vaikutustenarvioinnin ohella tietosuojavastaava (DPO) on GDPR:n toinen merkittävä luomus. Ranskassa se korvaa loogisesti tietosuojavastaavan (CIL) eli tietosuojavastaavan (CPL). On kuitenkin huomattava, että Euroopan unioni on jo pitkään suositellut tietosuojavastaavan nimittämistä suuriin hallinnollisiin ja taloudellisiin rakenteisiin, ja että jotkut ovat noudattaneet tätä suositusta.

G29-maat työskentelivät tietosuojavastaavan roolin parissa ja hyväksyivät joitakin "ohjeita", jotka viimeisteltiin 5. huhtikuuta 2017. Nämä yksityiskohdat auttavat meitä hahmottelemaan tämän keskeisen tehtävän ääriviivat ja sisällön.

Tietosuojavastaavan nimeäminen on pakollista (artikla 37-1):

– julkiset elimet;

– organisaatiot, joiden ydintoiminnot edellyttävät yksilöiden säännöllistä ja järjestelmällistä seurantaa laajassa mittakaavassa. G29-ryhmä erottaa toisistaan tukitoiminnot, kuten palkanlaskennan tai IT:n, ja ydintoiminnot, jotka liittyvät organisaation ydinliiketoimintaan (esimerkiksi sairaalan terveystiedot). Samoin se tulkitsee "säännöllisen ja järjestelmällisen seurannan" käsitteen hyvin laajasti, eikä se rajoitu verkkoympäristöön;

– organisaatiot, joiden ydintoiminta johtaa siihen, että ne käsittelevät laajamittaisesti ”arkaluonteisia” tietoja tai rikostuomioihin ja rikkomuksiin liittyviä tietoja (G29 tarjoaa merkittäviä elementtejä ”laajamittaisen” käsitteen määrittämiseksi).

Yritysryhmä tai joukko julkisia elimiä voi nimittää yhden tietosuojavastaavan (artiklat 37-2 ja 37-3). G29-maat luonnollisesti suosittelevat vahvasti tietosuojavastaavan nimittämistä, jälleen kerran hyvänä käytäntönä.

Rekisterinpitäjä ja tarvittaessa henkilötietojen käsittelijä nimittävät tietosuojavastaavan hänen ammatillisten ominaisuuksiensa perusteella, ”erityisesti hänen tietosuojalainsäädännön ja -käytäntöjen erityistietämyksensä sekä kykynsä suorittaa tehtäviään” (artikla 37-5). Mitä monimutkaisempia käsittelytoimet ovat, sitä korkeammat ovat odotettavissa olevat taidot.

Tietosuojavastaava voi olla organisaation sisäinen tai ulkoinen, ja jälkimmäisessä tapauksessa hän suorittaa tehtävänsä sopimuksen perusteella. Jos palveluntarjoaja on tiimi, kunkin jäsenen tehtävät on määriteltävä ja tiimille on nimettävä johtaja. WP29 suosittelee, että tietosuojavastaava on helposti "saavutettavissa" ja että hänen sijaintinsa on Euroopan unionissa. Erityisesti silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut Euroopan unionin ulkopuolelle, on kuitenkin hyväksyttävää, että tietosuojavastaava on sijoittautunut EU:n ulkopuolelle, jos he voivat toimia sillä tavalla tehokkaammin.

Tietosuojavastaavalla ei ole pelkästään symbolinen rooli. Rekisterinpitäjän ja henkilötietojen käsittelijän on osallistuttava hänen toimintaansa "kaikkiin henkilötietojen suojaan liittyviin asioihin" (artikla 38-1). Kuka tahansa, jonka henkilötietoja käsitellään, voi ottaa häneen yhteyttä (artikla 38-4). Hänellä on "tarvittavat resurssit" tehtäviensä suorittamiseen, hänellä on pääsy tietoihin ja käsittelytoimiin, ja hänen on jopa kyettävä "ylläpitämään erikoisosaamistaan" (artikla 38-2). "Tarvittavilla resursseilla" G29 tarkoittaa myös tukea valvonnan, riittävän ajan, aineellisten olosuhteiden ja koulutuksen muodossa. Tietosuojavastaava on tavallaan pyhitetty.

Varsinkin kun hänen riippumattomuutensa on taattu. Hän ei itse asiassa voi "ottaa vastaan mitään ohjeita tehtäviensä suorittamisesta" (artikla 38-3). Rekisterinpitäjällä ja alihankkijalla ei ole mitään valtaa häneen (niillä on kuitenkin valta nimittää hänet), ja hän on vastuussa vain "korkeimmalle" johdolleen. Häntä koskee myös ammattisalaisuus ja luottamuksellisuusvelvollisuus (artikla 38-5).

Asemastaan huolimatta tietosuojavastaava ei ole vastuussa siitä, jos hänet teettänyt organisaatio ei noudata GDPR:ää. Vain rekisterinpitäjä ja/tai henkilötietojen käsittelijä ovat vastuussa. Rikosseuraamus voi syntyä vain tahallisen rikkomuksen yhteydessä.

Tietosuojavastaava voi suorittaa muita tehtäviä, joihin ei saa liittyä eturistiriitoja (artikla 38-6). Siksi hänen on mahdotonta suorittaa tehtäviä, jotka johtaisivat siihen, että hän päättää henkilötietojen käsittelyn tarkoituksista ja keinoista. Tietosuojavastaava ei siksi voi hoitaa organisaation johtotehtäviä tai työskennellä tiedonhallintaan vastaavassa osastossa. Vuonna 2015 CNIL teki tutkimuksen tietosuojavastaavien profiilien määrittämiseksi; havaittiin, ettei tyypillistä profiilia ollut: 47:llä %:llä oli tekninen profiili, 19:llä %:llä oikeudellinen profiili ja 10:llä %:llä hallinnollinen profiili. On todennäköistä, että ainakin aluksi tämä tyypillisen profiilin puuttuminen havaitaan tietosuojavastaavien keskuudessa.

Yleisen tietosuoja-asetuksen 39 artiklassa luetellaan valtuutetun tehtävät:

– tiedottaa ja neuvoa rekisterinpitäjää, henkilötietojen käsittelijää ja käsittelyä suorittavia työntekijöitä heidän velvollisuuksistaan, jotka liittyvät henkilötietojen käsittelyä koskeviin sääntöihin;

– valvoa säännösten noudattamista, mutta myös lisätä tietoisuutta ja kouluttaa käsittelytoimiin osallistuvaa henkilöstöä;

– antaa pyydettäessä neuvoja vaikutustenarvioinnista. WP29-ohjeet antavat selvästi tietosuojavastaavalle merkittävän roolin tässä arvioinnissa. Häntä on kuultava ajantasaisuudesta, menetelmistä ja sisällöstä, ja sen jälkeen on arvioitava sen laatua;

– tehdä yhteistyötä valvontaviranomaisen kanssa ja toimia sen yhteyshenkilönä. Kirjoitushetkellä CNIL kehittää lomaketta tietosuojavastaavan nimeämiseksi.

Sitä ei ole artikkelissa, mutta G29 lisää tietosuojavastaavalle uuden ja valinnaisen tehtävän: "Mikään ei estä rekisterinpitäjää tai henkilötietojen käsittelijää antamasta tietosuojavastaavalle tehtäväksi pitää rekisteriä rekisterinpitäjän tai henkilötietojen käsittelijän vastuulla suoritetuista käsittelytoimista." Ehkä tämä on ehdotus, jolla helpotetaan tiedonkulkua eri toimijoiden välillä?

Tämä ei olisi hyödytöntä. Koska tämän tehtävän analyysin päätteeksi sanomme itsellemme, ettei ole helppoa löytää edes suuresta yrityksestä henkilöä, joka on sekä pätevä hoitamaan tätä tärkeää roolia että vapaa kaikesta vastuusta tietojen käsittelyssä eturistiriitojen välttämiseksi. Ei ole todellakaan helppoa olla tietoinen asetuksen säännöksistä ja erityisesti niiden seurauksista, kun ei tarvitse itse soveltaa niitä työssään.

Tässä vaiheessa DPO:n nimeämiseen liittyvä ongelmanlausunto on yksinkertainen, vaikka se itse asiassa koostuu kolmesta erillisestä lausekkeesta:

Sisäisesti nimitettäessä on useita esteitä voitettavana, kuten sosiaalinen ulottuvuus ja työsopimuksen uudelleenneuvottelu. Tässä tapauksessa on itse asiassa melko varmaa, että tämän uuden tehtävän laajuutta ei tiedetty sopimuksen alkuperäisen allekirjoittamisen aikaan. Jos lisäämme tähän riskin käsitteen, suoran ja yksinomaisen alistumisen yrityksen hallinnolle eikä millekään muulle, kyseessä on sopimuksen olennainen muutos, eli uusi työsopimus. Ja kuka arvioi sitä sisäisesti ja valvoo sitä? Ja kuka tekee työnsä, koska he eivät voi enää toimia tuomareina ja välimiehinä...

Rekrytoi hänet, ja kysyntä kasvaa pilviin. Profiili on niin haluttu suurten ja keskisuurten yritysten keskuudessa, että pula johtaa todelliseen inflaatioon. Ja ongelma pysyy: kuka arvioi ja valvoo häntä?

Miksi siis ei delegoida tätä tietosuojavastaavan tehtävää valantehneelle ammattilaiselle, joka pystyisi hoitamaan tehtävänsä taidolla ja itsenäisyydellä, jota on vaikea sovittaa yhteen sisäisesti? Asetuksessa ei sanota mitään tästä mahdollisuudesta, ja on tarpeen nähdä käytännössä, onko se mahdollista ja ennakoitavissa (mikään ei estä meitä kyseenalaistamasta CNIL:ää tästä asiasta). Joka tapauksessa meistä se vaikuttaa mielenkiintoiselta, sillä se takaa rekisterinpitäjän ja tietosuojavastaavan välisen hyveellisen suhteen.

Ja lopuksi voimme yksinkertaisesti päättää olla nimittämättä tietosuojavastaavaa, koska sinulla ei yksinkertaisesti ole velvollisuutta tehdä niin.