Ennakkokuuleminen

Ennakkokuulemisella tarkoitetaan tilannetta, jossa rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista kuultava tietosuojaviranomaista.

Ennakkokuuleminen on toteutettava, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi. Ennakkokuulemista ei voida toimittaa ennen kuin rekisterinpitäjä on tehnyt tietosuojaa koskevan vaikutustenarvioinnin.

Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

Esimerkiksi:

  • laiton tietoihin pääsy, joka johtaisi rekisteröityjen henkeä uhkaavaan vaaraan, irtisanomiseen tai taloudelliseen uhkaan
  • riskin ilmeneminen näyttää selvältä ‒ ei ole keinoja esimerkiksi vähentää sellaisten henkilöiden lukumäärää, joilla on pääsy tietoihin jakamis-, käyttö- tai levitystapojen vuoksi tai tiedossa olevaa haavoittuvuutta ei pystytä korjaamaan.

Lisäksi rekisterinpitäjän on kuultava tietosuojaviranomaista aina, kun jäsenvaltion lainsäädännössä vaaditaan rekisterinpitäjiä kuulemaan tietosuojaviranomaista ja/tai saamaan tietosuojaviranomaiselta ennakkolupa.

Ennakkokuulemisen johdosta tietosuojavaltuutettu antaa rekisterinpitäjälle tai käsittelijälle kirjalliset ohjeet niistä toimenpiteistä, joihin on ryhdyttävä riskin alentamiseksi. Tarvittaessa tietosuojavaltuutettu voi ennakkokuulemisen yhteydessä käyttää myös sille tietosuoja-asetuksessa annettuja toimivaltuuksia, kuten varoitusta. Rekisteripitäjän ja käsittelijän on toteuttava ohjeen mukaiset lisätoiminpiteet ennen henkilötietojen käsittelyn aloittamista, jotta käsittely voidaan katsoa lainmukaiseksi.