Ilmoitusvelvollisuus tietosuojavaltuutetun toimistolle muuttuu 25. toukokuuta
Tietosuojavaltuutetun toimistolle on lähetetty paljon tarpeettomia ilmoituksia henkilötietojen käsittelystä. Jos henkilötietojen käsittely perustuu esimerkiksi suostumukseen, asiakkuuteen tai jäsenyyteen, käsittelystä ei tarvitse ilmoittaa tietosuojavaltuutetulle. Tietosuojavaltuutetun toimisto ei vastaa tarpeettomiin ilmoituksiin. Rekisterinpitäjän ilmoitusvelvollisuus muuttuu 25. toukokuuta 2018, kun EU:n yleistä tietosuoja-asetusta ryhdytään soveltamaan.
Tietosuoja-asetukseen perustuvat pakolliset ilmoitukset
Organisaatioiden on valmistauduttava ilmoittamaan 25. toukokuuta alkaen
- ennakkokuulemisesta
- henkilötietojen tietoturvaloukkauksista
- tietosuojavastaavasta.
Tietosuoja-asetuksessa säädetään rekisterinpitäjän velvollisuudesta tehdä tietosuojaa koskeva vaikutustenarviointi, jos henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Vaikutustenarviointi on tehtävä muun muassa silloin, kun on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista.
Henkilötietolain aikana tehty ilmoitus ei korvaa vaikutustenarviointia. Myös ilmoituksen tehneen rekisterinpitäjän on arvioitava, onko organisaation tehtävä tietosuojaa koskeva vaikutustenarviointi. Valvontaviranomaista on kuultava ennakkoon tapauksissa, joissa tunnistettuihin riskeihin ei pystytä puuttumaan riittävästi.
Tietosuoja-asetuksen mukaan rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle henkilötietojen tietoturvaloukkauksesta, jos siitä voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille.
Lisäksi valvontaviranomaiselle on ilmoitettava organisaation tietosuojavastaavan yhteystiedot.
Tietosuojavastaava on nimitettävä, kun
- rekisterinpitäjä on julkishallinnon toimija (pois lukien tuomioistuimet)
- ydintehtävät edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
- henkilötietojen käsittely on laajamittaista, kohdistuu erityisiin henkilötietoryhmiin kuten terveystietoihin, etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen vakaumukseen tai seksuaaliseen suuntautumiseen tai rikoksia koskeviin tietoihin.
Tietosuojavaltuutetulle on ilmoitettava myös luottotietotoiminnan harjoittamisesta ja välitystietojen käsittelyn aloittamisesta. Näistä velvollisuuksista säädetään luottotietolaissa ja laissa sähköisen viestinnän palveluista (1.6.2018 asti tietoyhteiskuntakaari).