Tietosuojavaltuutetun toimisto julkaisi käytännesääntöjen valvontaelinten akkreditointikriteeristön

Käytännesäännöt ovat toimialakohtaisia tietosuojavaltuutetun toimiston hyväksymiä ohjeita tietosuojalainsäädännön soveltamisesta. Yksityisellä sektorilla käytännesääntöjen toteuttamista valvoo viranomaisen akkreditoima valvontaelin, ja Suomessa akkreditoijana toimii tietosuojavaltuutetun toimisto. Käytännesääntöihin sitoutuminen auttaa organisaatioita tietosuoja-asetuksen noudattamisessa ja osoitusvelvollisuuden toteuttamisessa.

Käytännesääntöjä laativat yhdistykset tai muut toimijat, jotka edustavat toimialansa rekisterinpitäjiä ja henkilötietojen käsittelijöitä. Rekisterinpitäjät ja henkilötietojen käsittelijät voivat halutessaan sitoutua käytännesääntöihin ja sillä tavoin varmistaa, että he soveltavat tietosuoja-asetusta asianmukaisesti toimialansa tyypillisissä tietosuojakysymyksissä.

Käytännesäännöt voivat olla kansallisia tai ylikansallisia. Jotta käytännesääntöjä sovellettaisiin tehokkaasti, niiden valvonnassa on noudatettava määrättyjä valvontamekanismeja. On suositeltavaa, että käytännesääntöjä laativat toimijat tekevät ehdotuksen valvontaelimestä jo käytännesääntöjen valmisteluvaiheessa. Valvontaviranomaisen akkreditoimaa valvontaelintä edellytetään, jos käytännesääntöjä sovelletaan yksityisellä sektorilla. Jos käytännesäännöt koskevat viranomaisia tai muita julkisia elimiä, valvontaelintä ei vaadita.

Valvontaelimen on oltava asiantunteva ja puolueeton

Tietosuojavaltuutetun toimiston akkreditointikriteeristön mukaan valvontaelimen on oltava toiminnassaan riippumaton ja puolueeton. Valvontaelimellä on oltava riittävästi asiantuntemusta sekä asianmukaiset ja läpinäkyvät toimintatavat, joilla varmistetaan käytännesääntöjen noudattamisen tehokas valvonta.  Valvontaelimen on myös toimitettava vuosittainen toimintaraportti tietosuojavaltuutetun toimistolle.

Nyt julkaistu akkreditointikriteeristö on laadittu tietosuojavaltuutetun toimistossa, ja kriteerejä on käsitelty Euroopan tietosuojaneuvoston yhdenmukaisuusmekanismissa. Viranomaisten yhteisen käsittelyn tarkoituksena on yhdenmukaistaa valvontaelimille asetettavia kriteerejä ja käytännesääntöjen valvontaa kaikissa ETA-maissa.

Toimialakohtaisissa käytännesäännöissä voidaan kertoa esimerkiksi, miten henkilötietojen käsittelyä on suunniteltava ja riskejä arvioitava, millaisia oikeutettuja etuja rekisterinpitäjällä voi olla ja miten rekisteröidyn oikeuksien toteutuminen taataan. Käytännesäännöissä voidaan antaa ohjeita myös muun muassa lasten tietosuojan tai henkilötietojen pseudonymisoinnin toteuttamiseen.

Kaikki kansallisten valvontaviranomaisten hyväksymät käytännesäännöt julkaistaan Euroopan tietosuojaneuvoston verkkosivuilla.

• Suomen kansallisen valvontaviranomaisen akkreditointikriteeristö yleisen tietosuoja-asetuksen mukaisten käytännesääntöjen valvontaelimille (pdf)
• Euroopan tietosuojaneuvoston ohje käytännesäännöistä (englanniksi): Asetuksen (EU) 2016/679 mukaisia käytännesääntöjä ja valvontaelimiä koskevat suuntaviivat 1/2019 (pdf)

Lisätietoja:

tietosuojavaltuutetun kirjaamo: [email protected]