Yleisen tietosuoja-asetuksen noudattamista valvovat kansalliset tietosuojaviranomaiset. Jokaisella ETA-maalla on oma riippumaton tietosuojaviranomainen, joka valvoo yleisen tietosuoja-asetuksen soveltamista ja käsittelee muun muassa kanteluja. Kun henkilötietoja käsitellään useammassa kuin yhdessä ETA-maassa, yleisessä tietosuoja-asetuksessa säädetään tietosuojaviranomaisten välisestä yhteistyömekanismista, jossa viranomaiset työskentelevät yhdessä yksimielisyyden saavuttamiseksi. Katso yleiskuva tietosuojaviranomaisista.
Yleisessä tietosuoja-asetuksessa annetaan ihmisille tiettyjä oikeuksia, kuten oikeus tehdä valitus tietosuojaviranomaiselle, jos heidän tietosuojaoikeuksiaan on loukattu.
Tietosuojaviranomaisten tehtävät ja toimivaltuudet
Tietosuojaviranomaisten tehtävät
Jokaisella Euroopan talousalueen tietosuojaviranomaisella on velvollisuus seurata ja valvoa yleisen tietosuoja-asetuksen soveltamista sekä edistää yleistä tietoisuutta ja ymmärrystä henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista. Tietosuojaviranomaisten tehtävänä on myös antaa neuvoja kansalliselle hallitukselle ja muille instituutioille sekä antaa ihmisille tietoa oikeuksiensa käytöstä. Tietosuojaviranomaiset edistävät myös rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta tietosuoja-asetuksen mukaisista velvoitteista. Tietosuojaviranomaiset käsittelevät yksityishenkilöiden tekemiä valituksia, selvittävät, noudattavatko organisaatiot tietosuoja-asetusta sekä tekevät yhteistyötä muiden maiden tietosuojaviranomaisten kanssa yleisen tietosuoja-asetuksen soveltamisessa. Viranomaiset vastaavat myös seuraavista asioista:
- vakiolausekkeiden vahvistaminen,
- yritystä koskevien sitovien BCR-sääntöjen hyväksyminen,
- käytännesääntöjen hyväksyminen,
- tietosuojan sertifiointimekanismien perustamisen edistäminen,
- osallistuminen Euroopan tietosuojaneuvoston toimintaan,
- muiden henkilötietojen suojaan liittyvien tehtävien hoitaminen.
Lue lisää
Tietosuojaviranomaisten toimivalta
Yleisen tietosuoja-asetuksen myötä kansallisten tietosuojaviranomaisten toimivaltuudet lisääntyivät huomattavasti. Yleisen tietosuoja-asetuksen 58 artiklassa määritellään tietosuojaviranomaisten toimivaltuudet ja jaetaan ne kolmeen pääryhmään:
- tutkintavaltuudet,
- korjaavat toimivaltuudet,
- neuvontavaltuudet.
Tutkintavaltuudet
Tietosuojaviranomaiset käyttävät tutkintavaltuuksiaan, kun ne selvittävät, rikkooko jokin toiminta yleistä tietosuoja-asetusta. Tietosuojaviranomaiset voivat muun muassa
- Määrätä organisaation toimittamaan sille kaikki selvitystä varten tarvittavat tiedot.
- Suorittaa tarkastuksia ja ilmoittaa organisaatioille havaitusta rikkomuksesta.
- Saada pääsyn kaikkiin organisaation hallussa oleviin henkilötietoihin ja tietoihin, jotka ovat tarpeen viranomaisen tehtävien suorittamiseksi EU:n ja kansallisen lainsäädännön mukaisesti. Tietosuojaviranomaisella on muun muassa pääsy mihin tahansa organisaation tiloihin sekä tietojenkäsittelylaitteisiin ja -välineisiin.
- Uudelleentarkastella yleisen tietosuoja-asetuksen 42 artiklan 7 kohdan nojalla myönnettyjä sertifiointeja.
Korjaavat toimivaltuudet
Jos selvityksen perusteella todetaan, että yleisen tietosuoja-asetuksen säännöksiä on rikottu tai jos katsotaan, että käsittelytoimeen liittyy riski tai se ei täytä tiettyjä vaatimuksia, tietosuojaviranomaisilla on oikeus käyttää yhtä tai useampaa korjaavaa toimivaltuuttaan, kuten
- Varoitus tai käsittelykielto: Jos henkilötietojen käsittelyyn liittyy riskejä, tietosuojaviranomainen voi antaa organisaatiolle varoituksen, jotta tietosuoja-asetuksen säännöksiä rikkovat käsittelytoimet voidaan estää. Tietosuojaviranomainen voi myös määrätä väliaikaisen tai pysyvän rajoituksen henkilötietojen käsittelylle tai käsittelykiellon. Lisäksi tietosuojaviranomainen voi määrätä organisaation ilmoittamaan tapahtuneesta tietoturvaloukkauksesta asianomaisille henkilöille.
- Määräys noudattaa tietosuoja-asetusta: tietosuojaviranomainen voi määrätä organisaation noudattamaan henkilön pyyntöä käyttää tietosuojaoikeuksiaan. Tarvittaessa organisaatio voidaan myös määrätä saattamaan henkilötietojen käsittelytoimensa yleisen tietosuoja-asetuksen mukaisiksi tietyllä tavalla ja tietyn ajan kuluessa.
- Tiedonsiirron keskeyttäminen tai sertifioinnin peruuttaminen: lisäksi tietosuojaviranomainen voi määrätä organisaation keskeyttämään henkilötietojen siirtämisen kolmansissa maissa oleville vastaanottajille. Lisäksi se voi peruuttaa sertifioinnin tai määrätä sertifiointielimen peruuttamaan myönnetyn sertifioinnin. Jos sertifiointivaatimukset eivät täyty, tietosuojaviranomainen voi määrätä sertifiointielimen olemaan myöntämättä sertifiointia.
- Huomautus: tietosuojaviranomainen voi antaa organisaatiolle huomautuksen yleisen tietosuoja-asetuksen rikkomisesta.
- Hallinnolliset seuraamusmaksut: Tietosuojaviranomainen voi määrätä organisaatiolle seuraamusmaksun muiden korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Seuraamusmaksun määrääminen edellyttää kunkin rikkomuksen tapauskohtaista arviointia. Arvioinnissa otetaan huomioon esimerkiksi rikkomisen luonne, vakavuus ja kesto, tahallisuus tai tuottamuksellisuus, mahdolliset toimenpiteet vahingon lieventämiseksi, toteutetut tekniset ja organisatoriset toimenpiteet (eli turvatoimet) sekä se, miten tietosuojaviranomainen on saanut tiedon asiasta.
Mahdollisen seuraamuksen enimmäismäärä riippuu rikkomuksen tyypistä:
- seuraamusmaksu voi olla enintään 10 miljoonaa euroa tai 2 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta (esimerkiksi sisäänrakennetun ja oletusarvoisen tietosuojan rikkominen, tietojen käsittelysopimuksen tekemättä jättäminen tai tietosuojaa koskevan vaikutustenarvioinnin tai tietosuojavastaavan nimittämisen laiminlyönti) tai
- seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai 4 prosenttia edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta (esimerkiksi tietosuojaperiaatteiden rikkominen, henkilötietojen luvaton käsittely ilman laillista perustetta tai rekisteröidyn oikeuksiin liittyvä rikkomus).
Lisätietoja hallinnollisista seuraamusmaksuista eri artiklojen rikkomisesta löydät yleisen tietosuoja-asetuksen 83 artiklasta ja tietosuojaneuvoston hallinnollisten seuraamusmaksun laskemista koskevasta ohjeesta.
Neuvontavaltuudet
Jokaisella tietosuojaviranomaisella on hyväksymis- ja neuvontatoimivaltuuksia, joilla ne voivat tukea organisaatioita tai sallia tiettyjä käsittelytoimia. Esimerkkejä ovat:
- Ennakkokuuleminen: tietosuojaviranomainen neuvoo organisaatiota ennakkokuulemismenettelyssä.
- Lausunnot lainsäädäntötoimista: tietosuojaviranomainen antaa omasta aloitteestaan tai pyynnöstä lausuntoja maansa hallitukselle tai muille instituutioille ja suurelle yleisölle henkilötietojen suojaan liittyvistä kysymyksistä.
- Käytännesäännöt ja sertifiointi: tietosuojaviranomainen voi hyväksyä käytännesääntöjen luonnokset, akkreditoida sertifiointielimiä tai myöntää sertifikaatteja ja hyväksyä sertifiointiperusteita.
Edellä mainittujen toimivaltuuksien käyttämiseen sovelletaan suojatoimia, kuten tehokkaita oikeussuojakeinoja ja oikeudenmukaisia menettelyjä, sellaisina kuin ne on vahvistettu EU:n ja kansallisessa lainsäädännössä EU:n perusoikeuskirjan mukaisesti. Jokaisella tietosuojaviranomaisella on valtuudet saattaa yleisen tietosuoja-asetuksen rikkomiset oikeusviranomaisten tietoon ja tarvittaessa aloittaa tai ryhtyä muulla tavoin oikeustoimiin yleisen tietosuoja-asetuksen säännösten täytäntöönpanemiseksi. Tietosuojaviranomaisille voidaan myös antaa lisävaltuuksia kansallisessa lainsäädännössä.
Lue lisää
Yhteistyö ja yhden luukun mekanismi
Yleistä tietosuoja-asetusta sovelletaan kaikkialla Euroopan talousalueella, ja tietosuojasäännökset koskevat kaikkia ETA-maita. Tämä periaate tukee niin kansainvälisiä yrityksiä kuin pk-yrityksiä, kun ne haluavat kasvaa ja tarjota palveluja useammassa kuin yhdessä ETA-maassa.
Henkilötietojen käsittelystä kahdessa tai useammassa ETA-maassa aiheutuvan hallinnollisen taakan vähentämiseksi yleisessä tietosuoja-asetuksessa säädetään tietosuojaviranomaisten välisestä yhteistyöjärjestelmästä eli niin sanotusta yhden luukun mekanismista. Siinä useat tietosuojaviranomaiset tekevät yhteistyötä saavuttaakseen yksimielisyyden asiasta.
Jos organisaatio käsittelee henkilötietoja kahdessa tai useammassa ETA-maassa, toimivaltainen viranomainen valituksen tai tietoturvaloukkauksen käsittelyyn on sen maan tietosuojaviranomainen, jossa rekisterinpitäjän päätoimipaikka sijaitsee. Tämä helpottaa rekisterinpitäjien toimintaa, koska niiden ei tarvitse noudattaa erilaisia lakeja maissa, joissa ne toimivat. Lisäksi riittää, että organisaatio on yhteydessä vain yhden tietosuojaviranomaisen kanssa. Yrityksen tyypistä ja organisaation tarjoamista tuotteista ja palveluista riippuen maiden rajat ylittävä henkilötietojen käsittely voi koskea myös pk-yritystä. Monet pienemmät yritykset, kuten verkkokaupat, verkkosivustot tai mobiili- ja tietokonesovellukset, tarjoavat palveluja useissa maissa.
Jos pk-yrityksesi käsittelee yksityishenkilöiden tietoja eri ETA-maissa, sinun on otettava selvää, mikä on toimivaltainen tietosuojaviranomainen sinun tapauksessasi. Toimivaltainen viranomainen on yleensä sen maan tietosuojaviranomainen, jossa organisaatiosi pääkonttori sijaitsee ja jossa päätetään henkilötietojen käsittelyn tarkoituksesta ja tavoista.
Käytännössä
- Esimerkiksi verkkokauppiaat, jotka myyvät vaatteita verkkokauppojensa kautta asiakkaille useissa ETA-maissa, käsittelevät usein henkilötietoja. Tällaisessa maiden rajat ylittävässä tilanteessa toimivaltainen viranomainen on se maa, jossa verkkokauppiaan päätoimipaikka sijaitsee.
Kun olet määrittänyt, mikä tietosuojaviranomainen on toimivaltainen eli niin sanottu johtava tietosuojaviranomainen, riittää, että kommunikoit ainoastaan sen kanssa. Johtava tietosuojaviranomainen tekee yhteistyötä ja keskustelee muiden osallistuvien ETA-maiden tietosuojaviranomaisten kanssa.
Jos valitus käsitellään toisen tietosuojaviranomaisen kanssa yhteistyömekanismin puitteissa, on tietosuojaviranomaisten tehtävä seuraavat toimenpiteet:
- Jos toisen maan tietosuojaviranomainen on vastaanottanut valituksen, sillä on velvollisuus ilmoittaa asiasta johtavalle tietosuojaviranomaiselle.
- Kyseinen tietosuojaviranomainen voi osallistua valitusta koskevan päätösluonnoksen laatimiseen.
- Kun johtava tietosuojaviranomainen valmistelee päätöstä, sen on otettava huomioon asian käsittelyyn osallistuvan tietosuojaviranomaisen näkemys.
Lue lisää
Johtavan tietosuojaviranomaisen määrittäminen
Keskeiset käsitteet
Henkilötietojen rajat ylittävä käsittely
Yleisen tietosuoja-asetuksen mukaan johtavan tietosuojaviranomaisen tunnistaminen on olennaista vain niille organisaatioille, jotka suorittavat rajat ylittävää henkilötietojen käsittelyä.
Yleisen tietosuoja-asetuksen mukaan ”rajat ylittävällä käsittelyllä” tarkoitetaan henkilötietojen käsittelyä, joka
- suoritetaan useammassa kuin yhdessä ETA-maassa ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen ETA-maahan tai
- suoritetaan organisaation ainoassa toimipaikassa ETA-alueella mutta joka vaikuttaa merkittävästi henkilöihin useammassa kuin yhdessä ETA-maassa.
Käytännössä
- Jos yrityksellä on toimipaikat esimerkiksi Saksassa ja Kroatiassa ja henkilötietoja käsitellään niiden toiminnan yhteydessä, kyse on rajat ylittävästä käsittelystä.
- Vaihtoehtoisesti yrityksellä voi olla toimipaikka vain Saksassa. Jos henkilötietojen käsittely vaikuttaa tai todennäköisesti vaikuttaa merkittävästi henkilöihin Saksassa ja Kroatiassa, kyse on kuitenkin myös rajat ylittävästä käsittelystä.
Mitä tarkoittaa ”merkittävä vaikutus”?
Vaikka organisaatio käsittelisi suurtakin määrää ihmisten henkilötietoja useassa ETA-maassa, se ei välttämättä tarkoita, että tietojen käsittelyllä olisi merkittävä vaikutus ihmisiin. Henkilötietojen käsittely, jolla on vain vähän tai ei lainkaan vaikutusta, ei ole rajat ylittävää käsittelyä riippumatta siitä, kuinka moneen henkilöön se vaikuttaa.
Tietosuojaviranomaiset tulkitsevat tapauskohtaisesti, kuinka määritellään ”merkittävä vaikutus”. Arvioinnissa otetaan huomioon henkilötietojen käsittelyn konteksti, tietojen luonne, käsittelyn tarkoitus ja muun muassa seuraavat seikat:
- aiheuttaako henkilötietojen käsittely vahinkoa, menetyksiä tai kärsimystä ihmisille,
- onko käsittelyllä todellinen vaikutus ihmisten oikeuksien rajoittamiseen tai mahdollisuuden epäämiseen,
- vaikuttaako käsittely ihmisten terveyteen, hyvinvointiin tai mielenrauhaan,
- vaikuttaako käsittely ihmisten taloudelliseen asemaan tai olosuhteisiin,
- altistaako käsittely ihmiset syrjinnälle tai epäoikeudenmukaiselle kohtelulle,
- sisältääkö käsittely erityisten henkilötietojen tai muiden arkaluonteisten tietojen, erityisesti lasten henkilötietojen, käsittelyä,
- johtaako se tai voiko se todennäköisesti johtaa ihmisten käyttäytymisen muuttumiseen merkittävästi,
- onko käsittelyllä ennakoimattomia tai ei-toivottuja seurauksia ihmisille,
- aiheuttaako käsittely ihmisille kielteisiä seurauksia, kuten mainehaittaa, tai
- liittyykö siihen laajasti erityyppisten henkilötietojen käsittelyä.
Johtava tietosuojaviranomainen
Niin kutsuttu johtava tietosuojaviranomainen on se tietosuojan valvontaviranomainen, jolla on ensisijainen vastuu rajat ylittävän asioiden käsittelystä esimerkiksi silloin, kun henkilö tekee valituksen henkilötietojensa käsittelystä. Johtava tietosuojaviranomainen koordinoi selvitystä ja tekee yhteistyötä niin kutsuttujen osallistuvien tietosuojaviranomaisten kanssa. Johtavan tietosuojaviranomaisen määrittäminen riippuu rekisterinpitäjän ”päätoimipaikan” tai ”ainoan toimipaikan” sijainnin määrittämisestä EU:ssa.
Jos organisaatio on sijoittautunut vain yhteen ETA-maahan, sillä on ainoastaan yksi toimipaikka ETA:ssa. Tässä tapauksessa kyseisen maan tietosuojaviranomainen on johtava tietosuojaviranomainen.
Jos organisaatio on sijoittautunut useampaan kuin yhteen ETA-maahan, sen päätoimipaikka on määritettävä, jotta johtava tietosuojaviranomainen voidaan tunnistaa.
Lue lisää
Päätoimipaikka
Päätoimipaikan sijainnin määrittämiseksi on ensin tunnistettava organisaation keskushallinnon sijaintipaikka Euroopan talousalueella (päätoimipaikka), jos sellainen on. Täällä päätetään henkilötietojen käsittelyn tarkoituksesta ja keinosta.
Jos keskushallinnossa tehdään päätöksiä rajat ylittävistä henkilötietojen käsittelystä, ETA-alueella on yksi johtava tietosuojaviranomainen monikansallisen yrityksen eri tietojenkäsittelytoimia varten. Joissakin tapauksissa myös muu toimipaikka kuin keskushallinto voi tehdä itsenäisiä päätöksiä tietyistä henkilötietojen käsittelytoimista. Näissä tilanteissa on tärkeää, että yritys määrittelee tarkkaan, missä sen henkilötietoja koskevat päätökset tehdään. Päätoimipaikan tunnistaminen on rekisterinpitäjien ja henkilötietojen käsittelijöiden etu, sillä se selkeyttää, minkä tietosuojaviranomaisen kanssa niiden on asioitava.
Lue lisää
Käytännössä
- Vaatteiden jälleenmyyjän päätoimipaikka (eli keskushallintopaikka) sijaitsee Sofiassa, Bulgariassa. Sillä on useissa muissa ETA-maissa toimipaikkoja, jotka tarjoavat yksityishenkilöille palveluja kyseisissä maissa. Kaikki liikkeet käyttävät samaa ohjelmistoa, joilla ne käsittelevät asiakkaiden henkilötietoja markkinointitarkoituksiin. Kaikki päätökset asiakkaiden henkilötietojen käsittelyn tarkoituksesta ja tavoista markkinointitarkoituksiin tehdään sen Sofian päätoimipaikassa. Tämä tarkoittaa, että yrityksen johtava tietosuojaviranomainen tässä rajat ylittävässä henkilötietojen käsittelyssä on Bulgarian tietosuojaviranomainen.
Organisaatiot, jotka eivät ole sijoittautuneet Euroopan talousalueelle
Jos organisaatio ei ole sijoittautunut Euroopan talousalueelle, mutta sen toimintaan sovelletaan yleistä tietosuoja-asetusta, koska se kuuluu yleisen tietosuoja-asetuksen alueelliseen soveltamisalaan, sillä saattaa olla velvollisuus nimittää edustaja johonkin ETA-maahan.
Jos organisaatiolla ei ole toimipaikkaa ETA-alueella, pelkkä edustajan nimittäminen johonkin ETA-maahan ei tarkoita sitä, että yhden luukun mekanismia sovellettaisiin. Tämän vuoksi organisaation, joilla ei ole toimipaikkaa ETA-alueella, on asioitava paikallisen edustajansa välityksellä tietosuojaviranomaisten kanssa kaikissa niissä maissa, joissa ne toimivat.
Lue lisää
Euroopan tietosuojaneuvoston rooli
Euroopan tietosuojaneuvosto on riippumaton eurooppalainen elin, joka edistää tietosuojasääntöjen yhdenmukaista soveltamista koko Euroopan talousalueella sekä tietosuojaviranomaisten välistä yhteistyötä. Tietosuojaneuvosto koostuu tietosuojaviranomaisten päälliköistä ja Euroopan tietosuojavaltuutetusta.
Lue lisää tietosuojaneuvostosta
Tietosuojaneuvostossa tietosuojaviranomaiset tekevät yhteistyötä seuraavissa asioissa:
- yleisten ohjeiden antaminen (mm. ohjeet, lausunnot, suositukset ja parhaat käytännöt) tietosuojalainsäädännöstä, erityisesti yleisestä tietosuoja-asetuksesta,
- Euroopan komission neuvominen kaikissa henkilötietojen suojaan liittyvissä kysymyksissä ja EU:n uusissa lainsäädäntöehdotuksissa,
- yhdenmukaisuuspäätösten ja lausuntojen antaminen rajat ylittävissä tietosuojatapauksissa.
Euroopan tietosuojaneuvosto ei vastaa yksittäisiin pyyntöihin, vaan antaa yleisiä ohjeita.
Tietosuojaneuvosto on antanut useita tulkintaohjeita, jotka hyödyttävät myös pk-yrityksiä. Ohjeissa selvennetään erilaisia tietosuoja-asetuksen käsitteitä, kuten henkilötietojen käsittelyn perusperiaatteita, sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita, kansainvälisiä tiedonsiirtoja ja rekisteröityjen oikeuksia. Kaikki ohjeet löytyvät täältä.
Yhdenmukaisuusmekanismi
Tietosuojaviranomaisten yhdenmukaisuusmekanismi voi vaikuttaa suoraan pk-yrityksiin. Mekanismi voidaan käynnistää, jos johtava tietosuojaviranomainen ja osallistuvat tietosuojaviranomaiset eivät pääse yksimielisyyteen tietystä rajat ylittävästä tapauksesta. Tällaisissa tapauksissa asia siirretään Euroopan tietosuojaneuvostolle, joka tekee sitovan päätöksen kiistan ratkaisemiseksi.
Lisäksi tietosuojaneuvosto antaa yhdenmukaisuuslausuntoja tietyistä ETA-maiden tietosuojaviranomaisten laatimista päätösluonnoksista, joilla on rajat ylittäviä vaikutuksia (esim. uudet vakiosopimukset tai käytännesäännöt).
Tietosuojaneuvosto voi myös antaa yhdenmukaisuuslausuntoja mistä tahansa yleisen tietosuoja-asetuksen yleiseen soveltamiseen liittyvistä kysymyksestä tai asiasta, joka vaikuttaa useampaan kuin yhteen ETA-maahan. Tavoitteena on varmistaa, että tietosuoja-asetusta tulkitaan ja sovelletaan yhdenmukaisesti kaikissa ETA-maissa.