Henkilötietosuojatarkastaja – milloin sitä tarvitaan?

Palvelus

GDPR edellyttää, että jotkut henkilötietojen ylläpitäjät nimittävät henkilökohtaisen tietosuojavastaavan (DPO). Kaikki valtion viranomaiset, suuressa mittakaavassa arkaluonteisia tietoja käsittelevät tahot ja tahot, joiden pääasiallinen toiminta on ihmisten laajamittaista seurantaa, on nimettävä tietosuojavastaava. Milloin henkilötietosuojatarkastajaa tarvitaan?

Kuka on henkilötietojen suojan tarkastaja (DPO)?

Henkilötietosuojatarkastaja on rekisterinpitäjän tai käsittelijän nimeämä henkilö avustamaan henkilötietojen suojaa koskevien määräysten noudattamista yrityksessä tai yhteisössä. Tietosuojavastaava toimii välittäjänä asianomaisten tahojen (henkilötietosuojavirasto, tietojen käsittelijä ja rekisteröity) välillä. Lisäksi henkilötietosuojatarkastaja varmistaa vastuullisuusperiaatteen toteutumisen - auttaa riskiarvioinnin tai henkilötietojen suojan vaikutusten arvioinnin valmistelussa.

Henkilötietosuojavaltuutetun tehtävät ovat:

  • tiedottaa järjestelmänvalvojalle, käsittelijälle ja työntekijöille GDPR:stä johtuvista henkilötietojen suojaa koskevista velvoitteista,

  • antaa neuvoja henkilötietojen suojaa koskevien säännösten noudattamisessa,

  • valvoa henkilötietojen suojaa koskevien määräysten ja politiikkojen noudattamista,

  • avustaa henkilötietojen suojaa koskevan riski- tai vaikutusarvioinnin valmistelussa,

  • henkilötietojen suojassa suoritettavien tehtävien luottamuksellisuuden säilyttäminen,

  • toimii valvontaviranomaisen yhteyspisteenä.

Huomio!
Henkilötietosuojatarkastaja ei ole vastuussa GDPR:n noudattamatta jättämisestä. Velvollisuus noudattaa asianmukaisesti henkilötietojen suojaa koskevia säännöksiä on rekisterinpitäjällä tai henkilötietojen käsittelijällä. DPO:ta voidaan verrata avustajan, konsultin rooliin.

Kenen on nimitettävä tietosuojavastaava?

Julkisyhteisöjen, arkaluonteisia tietoja laajassa mittakaavassa käsittelevien tahojen ja tahojen, joiden pääasiallisena tehtävänä on tarkkailla ihmisiä laajamittaisesti, on nimettävä tietosuojavastaava. Myös muut tahot voivat nimittää tietosuojavastaavan, mutta se ei ole heille pakollista. Jos he kuitenkin nimeävät tällaisen velvoitteen puuttumisesta huolimatta tietosuojavastaavan, heidän olisi toimittava hänelle asetettujen vaatimusten mukaisesti (tehtävien osalta tarkastajan rooli).

Working Group 29 eli asiantuntijaryhmä, joka on nimetty antamaan ohjeita GDPR:n alalla, suosittelee, että jos tietty taho ei ole velvollinen nimittämään tietosuojavastaavaa, se laatii sen perustelevat asiakirjat.

Kenelle DPO:n tehtävä uskotaan - työntekijälle vai ulkopuoliselle taholle?

Henkilötietosuojatarkastaja voi olla järjestelmänvalvojan tai käsittelijän työntekijä tai suorittaa palvelusopimuksen mukaisia ​​tehtäviä.

Yritysryhmä voi nimittää yhden tietosuojavastaavan, jos heihin on helppo ottaa yhteyttä kustakin näistä yksiköistä, jokaisesta organisaatioyksiköstä. Yhteydenoton helpottamiseksi tarkastajan nimittäneen tahon tulisi julkistaa hänen yhteystietonsa.

Ylläpitäjä tai käsittelijä ei kutsu tai rankaise henkilötietosuojatarkastajaa hänen tehtäviensä suorittamisesta. Se raportoi suoraan rekisterinpitäjän tai käsittelijän ylimmälle johdolle.

Se voidaan kuitenkin perustelluissa tapauksissa peruuttaa esimerkiksi työsuhteeseen tai sopimuksiin liittyvistä syistä, kuten häirinnästä, varkaudesta tai vakavasta velvoitteiden rikkomisesta. Tämä koskee niin työntekijöiden tarkastajia kuin ulkopuolisia tarkastajia. GDPR ei selitä, miten ja milloin tietosuojavastaava voidaan peruuttaa ja korvata toisella henkilöllä – se riippuu tarkastajan nimittäneestä tahosta.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Kuinka nimittää tietosuojavastaava?

Henkilötietosuojavaltuutettu nimitetään ammatillisen pätevyyden, erityisesti tietosuojalainsäädännön ja -käytäntöjen ammatillisen tuntemuksen sekä kyvyn suorittaa henkilötietosuoja-alan tehtäviä, perusteella.

Tietosuojavastaaviin liittyvät rekisterinpitäjien tai käsittelijöiden velvollisuudet:

  • henkilötietosuojavastaavan välitön ottaminen mukaan henkilötietojen suojaan liittyviin asioihin;

  • toimittaa tietosuojavastaavalle tarvittavat materiaalit, jotta hän voi suorittaa tehtävänsä, esimerkiksi pääsy henkilötietoihin, käsittelytoimet ja asiantuntija-apu;

  • työntekijöille tiedottaminen tietosuojavastaavan nimittämisestä;

  • olla antamatta tietosuojavastaavalle ohjeita tehtäviensä suorittamisesta - tietosuojavastaavien - riippumatta siitä, ovatko he rekisterinpitäjän työntekijöitä - on voitava suorittaa tehtävänsä ja tehtävänsä itsenäisesti;

  • jos yksi työntekijöistä tulee tarkastajaksi, tulee tietosuojavastaavan tehtäviin varmistaa riittävä työaika, jotta nämä tehtävät eivät häiritse muita tehtäviä.

Rekisterinpitäjän tai käsittelijän on julkistettava tarkastajan yhteystiedot ja ilmoitettava niistä valvontaviranomaiselle eli tietosuojaviraston pääjohtajalle.

Milloin ja kenelle tulee ilmoittaa henkilötietosuojatarkastajan nimittämisestä?

Tietosuojavastaavan nimittämisestä tulee ilmoittaa valvontaelimelle eli henkilötietosuojaviraston johtajalle. Määräajat, joiden kuluessa ilmoitus on tehtävä, on määritelty Puolan muutetussa henkilötietojen suojaa koskevassa laissa.

Jos järjestelmänvalvoja nimittää tietosuojavastaavan, ilmoitus on tehtävä:

  • 1.9.2018 asti - kun rekisterinpitäjä on nimittänyt ABI:n ennen 25.5.2018 ja päättää, että sama henkilö toimii henkilötietosuojatarkastajana (uuden lain 158 §:n 1 ja 2 momentti),

  • 1.9.2018 asti - kun rekisterinpitäjä on nimittänyt tietoturvavastaavan (ISA) ennen 25.5.2018, mutta hän haluaa nimittää toisen henkilön toimimaan henkilötietosuojatarkastajana (uuden lain 158 §:n 1 momentti),

  • 31.7.2018 asti - kun järjestelmänvalvoja ei ole nimittänyt ABI:ta ennen 25.5.2018 (uuden lain 158 §:n 4 momentti),

  • 14 vuorokauden kuluessa tietosuojavastaavan nimeämisestä - kun rekisterinpitäjä ei ole nimittänyt ABI:ta ennen 25.5.2018, mutta päättää vapaaehtoisesti nimittää henkilötietosuojatarkastajan (uuden lain 10 §).

Prosessoreille, jotka:

  • ovat velvollisia nimittämään tietosuojavastaavan - ilmoituksen tulisi tapahtua 31. heinäkuuta 2018 mennessä (uuden lain 158 artiklan 5 kohta),

  • heillä ei ole velvollisuutta nimittää tietosuojavastaavaa, ja he päättävät nimittää tällaisen henkilön - ilmoitus on tehtävä 14 päivän kuluessa nimittämisestä (uuden lain 10 artiklan 1 kohta).

Tietosuojavastaavan nimittämistä koskevassa ilmoituksessa on oltava:

  • tarkastajan nimi, sukunimi ja sähköpostiosoite tai puhelinnumero,

  • etu- ja sukunimi ja asuinosoite - jos rekisterinpitäjä tai henkilötietojen käsittelijä on luonnollinen henkilö,

  • yrittäjän yritys ja toimipaikan osoite, jos hallinnoija tai jalostaja on elinkeinoelämää harjoittava luonnollinen henkilö,

  • rekisteröidyn toimipaikan täydellinen nimi ja osoite, jos rekisterinpitäjä tai henkilötietojen käsittelijä on muu kuin edellä olevissa kohdissa mainittu yhteisö,

  • REGON, jos se on määritetty järjestelmänvalvojalle tai prosessorille.

Tietosuojavastaavan nimittämistä koskevat ilmoitukset tulee tehdä sähköisessä muodossa ja kiinnittää hyväksytyllä sähköisellä allekirjoituksella tai luotettavan ePUAP-profiilin vahvistamalla allekirjoituksella. 25.5.2018 jälkeen tätä tarkoitusta varten oleva sähköinen lomake on saatavilla viraston verkkosivuilla.

Ilmoituksen voi tehdä myös nimittävän tahon asiamies. Ilmoituksen liitteenä on sähköisessä muodossa annettu valtakirja.