19. lokakuuta 2022 | Max Atallah
Tietosuojavastaava ja eturistiriidat
Tietosuojavastaavan (DPO) tehtävä on valvoa organisaation vaatimustenmukaisuutta (compliance) tietosuojassa. DPO on tietosuoja-asetuksessa (GDPR) säännelty lakisääteinen positio, jota voi lakisääteisyyden näkökulmasta verrata osakeyhtiölaissa säänneltyyn toimitusjohtajan positioon.
Käytännössä DPO valvoo organisaation tietosuojasääntöjen noudattamista, informoi organisaatiota mahdollisista puutteista tietosuojassa ja neuvoo organisaation johtoa sekä työntekijöitä tietosuoja-asioissa.
GDPR:n nojalla DPO:na toimivalla henkilöllä on oltava riittävä tietosuojaosaaminen tehtävässä toimimiseen ja lisäksi henkilöllä ei saa olla eturistiriitoja tehtävässä toimimiseen.
Kuten otsikosta arvata saattaa, tässä artikkelissa käsitellään DPO:n eturistiriitoja.
DPO:lla ei saa olla eturistiriitoja tehtävässä toimiessaan
DPO:n on kyettävä suorittamaan velvollisuutensa ja tehtävänsä ilman eturistiriitoja. Tämän todettua, DPO:na toimiva henkilö voi suorittaa myös muita kuin DPO-tehtäviä, mutta nämä eivät saa aiheuttaa eturistiriitoja. Tämän seurauksena DPO ei voi olla organisaatiossa sellaisessa asemassa, että hän voisi vaikuttaa henkilötietojen käsittelyyn. Kunkin yrityksen organisaatiorakenteen ainutlaatuisuuden vuoksi ristiriitaisia asemia on harkittava tapauskohtaisesti.
Ohjeiden ja oikeuskäytännön mukaan ristiriitaisia tehtäviä ovat erityisesti ylemmät johtajapositiot, kuten:
- Toimitusjohtaja
- COO (Chief Operating Officer, suom. Operatiivinen johtaja)
- Talousjohtaja
- Myyntijohtaja
- HR-johtaja
- Tietoturvajohtaja (Huom. oikeuskäytännössä sallittu poikkeuksia ks. kappale oikeuskäytännöstä)
Ristiriitaisiin tehtäviin voi sisältyä myös muita alempia rooleja, jos niissä on mahdollisuus vaikuttaa henkilötietojen käsittelyyn.
Toisin sanoen, DPO ei saisi toimia asiassa sekä tuomarina että valamiehistönä, koska kaksinkertainen asema johtaisi tilanteeseen, jossa DPO ikään kuin istuisi molemmissa pöydissä: hän sekä määrittäisi tietosuojatoiminnot että arvioisi niiden lain mukaisuutta.
DPO:n eturistiriitoja koskevasta oikeuskäytännöstä
DPO:n eturistiriidat ovat olleet EU-tasolla melko suosittu peruste hallinnollisten seuraamusmaksujen määräämiseksi.
Vuosina 2020-2021 Belgian tietosuojaviranomainen määräsi 50 000 euron ja 75 000 euron hallinnolliset seuraamusmaksut yrityksille, joiden DPO:illa oli eturistiriita tehtävässä toimimiseen:
- Ensimmäisessä tapauksessa DPO vastasi lisäksi johtajana sisäisestä tarkastuksesta, riskienarvioinnista ja vaatimustenmukaisuudesta (compliance). DPO:lla katsottiin olevan eturistiriita, sillä DPO pystyi vaikuttamaan henkilötietojen käsittelyn tarkoituksiin ja keinoihin.
- Toisessa tapauksessa DPO oli lisäksi pankin kolmen muun osaston johtaja, ja nämä muut tehtävät sisälsivät päätöksentekovaltaa henkilötietojen käsittelyn määrittämiseen, eikä johtoasemat olleet luonteeltaan ainoastaan neuvoa antavia tai ohjaavia. Täten DPO:lla katsottiin olevan eturistiriita.
Vuonna 2022 Berliinin tietosuojaviranomainen meni vielä pidemmälle ja määräsi vastaavassa tapauksessa 525 000 euron hallinnollisen seuraamusmaksun. Tapauksessa henkilö, joka oli nimetty DPO:ksi oli samalla kahden muun yritysryhmään kuuluvan yrityksen toimitusjohtaja. Henkilö siis vastasi DPO:na kahden yrityksen henkilötietojen käsittelystä, joiden toimitusjohtaja hän samalla oli, mikä aiheutti eturistiriidan.
Vuonna 2021 Belgian tietosuojaviranomainen kuitenkin myös nimenomaan totesi, että tietyt johtoasemat yrityksen organisaation sisällä voivat sinänsä olla sallittuja, kunhan asema on luonteeltaan neuvoa-antava, eikä siinä voi vaikuttaa henkilötietojen käsittelyn tarkoituksiin ja keinoihin. Tapauksessa todettiin, että tietoturvajohtajan (engl. chief information security officer, CISO) asema olisi yhdistettävissä DPO:n tehtäviin, jos:
- CISO suorittaa riskianalyysejä osaston johtajana ja esittää suositellut riskinhallintatoimenpiteet johdolle;
- Johto päättää suositeltujen toimenpiteiden käyttöönotosta;
- Tietoturvatoimenpiteet eivät kuulu CISO:n asemaan.
On toinen asia, kuinka moni CISO käytännössä toimii vain neuvoa antavassa roolissa ilman päätöksentekovaltaa henkilötietojen käsittelyn tarkoituksiin ja keinoihin.
Lopuksi
Ohjeiden ja oikeuskäytännön valossa DPO:na ei voi lähtökohtaisesti toimia organisaation tai osaston johtaja, sillä käytännössä johto määrittää henkilötietojen tarkoitukset ja keinot. Näin ollen organisaation tulisi olla varovainen yhdistäessään DPO:n aseman toisiin tehtäviin.
Ideaalitilanteessa DPO olisi suorassa työsuhteessa yhtiöön, sillä tällöin DPO:n on paljon helpompaa olla perillä yhtiön toiminnasta ja tietosuojan tasosta. DPO:n palkkaaminen ilman aseman yhdistämistä muihin tehtäviin voi kuitenkin osoittautua taloudellisesti raskaaksi joillekin organisaatioille.
DPO:n ulkoistaminen organisaation ulkopuoliselle palveluntarjoajalle voikin tarjota tietyille organisaatioille oivan avun tietosuojavelvollisuuksiensa täyttämiseksi tai tietosuojansa tehostamiseksi ilman uhkaa organisaation sisäisistä eturistiriidoista.
Artikkelin laadintaan osallistui lakimiesharjoittelijamme Savva Kuparinen.