Käytännesääntöjen käsittely ja hyväksyminen tietosuojavaltuutetun toimistossa
Tietosuojavaltuutetun toimisto arvioi ja hyväksyy Suomessa kansallisesti sovellettavat käytännesäännöt. Käytännesääntöjen sisällölle asetetut vaatimukset perustuvat EU:n yleiseen tietosuoja-asetukseen ja Euroopan tietosuojaneuvoston (EDPB) hyväksymiin ohjeisiin, joissa annetaan käytännön ohjeita ja esimerkkejä käytännesääntöjen laatimisesta.
Euroopan tietosuojaneuvoston ohje käytännesäännöistä (pdf)
Tietosuojavaltuutetun toimisto arvioi käytännesääntöluonnoksen sisällön kahdessa vaiheessa
1. Ensimmäisessä vaiheessa tietosuojavaltuutetun toimisto arvioi, täyttääkö käytännesääntöluonnos Euroopan tietosuojaneuvoston ohjeen mukaiset käsiteltäväksi ottamista koskevat edellytykset.
- Jos edellytykset täyttyvät, tietosuojavaltuutetun toimisto ilmoittaa tarvittaessa käytännesääntöluonnoksen laatijalle käsittelyn jatkamisesta toiseen vaiheeseen.
- Jos edellytykset eivät täyty, tietosuojavaltuutetun toimisto ilmoittaa luonnoksen laatijalle käytännesääntöluonnoksen hylkäämisestä ja hylkäämisen perusteista.
2. Toisessa vaiheessa tietosuojavaltuutetun toimisto arvioi, täyttääkö käytännesääntöluonnos Euroopan tietosuojaneuvoston ohjeen mukaiset hyväksymistä koskevat edellytykset.
- Jos edellytykset täyttyvät, tietosuojavaltuutetun toimisto ilmoittaa käytännesääntöluonnoksen laatijalle luonnoksen hyväksymisestä käytännesäännöiksi.
- Jos edellytykset eivät täyty, tietosuojavaltuutetun toimisto ilmoittaa käytännesääntöluonnoksen laatijalle luonnoksen hylkäämisestä ja hylkäämisen perusteista.
Jos tietosuojavaltuutetun toimisto hylkää käytännesääntöluonnoksen käsittelyn ensimmäisessä tai toisessa vaiheessa, käytännesääntöjen laatija voi muokata luonnosta tietosuojavaltuutetun toimiston esittämien hylkäämisperusteiden perusteella ja toimittaa muokatun luonnoksen tietosuojavaltuutetun toimistoon uudelleen hyväksyttäväksi.
Jos tietosuojavaltuutetun toimisto hyväksyy käytännesääntöluonnoksen, tietosuojavaltuutetun toimisto rekisteröi käytännesäännöt ja julkaisee ne verkkosivuillaan. Tietosuojavaltuutetun toimisto toimittaa hyväksytyt käytännesäännöt myös Euroopan tietosuojaneuvostolle käytännesääntöjen julkaisemista varten.
Hyväksyttyihin käytännesääntöihin tehtävät olennaiset muutokset tulee toimittaa tietosuojavaltuutetun toimistolle hyväksyttäviksi. Olennaisena muutoksena voidaan pitää esimerkiksi uuden säännön lisäämistä käytännesääntöihin, mutta ei sellaisia pieniä muutoksia, jotka eivät vaikuta käytännesääntöjen soveltamiseen.
Milloin käytännesäännöt voidaan ottaa käsiteltäväksi?
1. Käytännesääntöluonnoksen on sisällettävä johdanto, jossa kerrotaan käytännesääntöjen tarkoituksesta, soveltamisalasta sekä siitä, miten käytännesäännöt helpottaisivat yleisen tietosuoja-asetuksen säännösten soveltamista.
2. Käytännesääntöjen ylläpitäjän edustavuus on perusteltava esimerkiksi sen edustamien organisaatioiden lukumäärän, käytännesääntöjen jäsenten mahdollisen lukumäärän sekä kyseessä olevan toimialan tai toimialalle tyypillisten henkilötietojen käsittelytoimien tuntemuksen perusteella.
3. Käytännesäännöissä on määriteltävä niiden aineellinen soveltamisala (kyseessä oleva henkilötietojen käsittely).
4. Käytännesäännöissä on määriteltävä niiden alueellinen soveltamisala eli ovatko kyseessä kansalliset vai kansainväliset käytännesäännöt (valtio tai valtiot, joissa suoritettavaan toimintaan sitä sovelletaan).
5. Yksityisen sektorin toimijoiden käytännesääntöjen noudattamisen valvontaan on nimettävä valvontaelin, joka valvoo käytännesääntöjen asianmukaista noudattamista.
6. Viranomaisten ja julkisten elinten suorittamaa henkilötietojen käsittelyä koskevien käytännesääntöjen osalta valvontaelimen nimeäminen ei ole pakollista. Myös tällaisten käytännesääntöjen kohdalla on kuitenkin määriteltävä mekanismit, joilla seurataan käytännesääntöjen noudattamista.
7. Käytännesääntöluonnoksen ylläpitäjän on toimitettava yhteenveto toimialan kuulemisesta ja mahdollisesta rekisteröityjen kuulemisesta.
8. Käytännesääntöjen ylläpitäjän on vahvistettava, että käytännesääntöluonnos on kansallisen lainsäädännön mukainen. Tämä on erityisen keskeistä silloin, kun henkilötietojen käsittelyyn sovelletaan erityislainsäädäntöä.
9. Käytännesäännöissä on käytettävä toimivaltaisen valvontaviranomaisen kieltä. Useassa jäsenvaltiossa sovellettavan käytännesääntöluonnoksen osalta voi toimittaa myös englanninkielisen version.
10. Käytännesääntöluonnos on toimitettava toimivaltaiselle valvontaviranomaiselle hyväksymistä varten.
Milloin käytännesäännöt voidaan hyväksyä?
Tietosuojavaltuutetun toimisto arvioi käytännesääntöluonnoksen hyväksymisen edellytyksiä sen jälkeen, kun käytännesääntöluonnos täyttää edellä luetellut käsiteltäväksi ottamisen edellytykset.
Jotta käytännesääntöluonnos voidaan hyväksyä, sen on täytettävä seuraavat edellytykset.
1. Käytännesäännöt täyttävät erityisen tarpeen. Niissä käsitellään tietyn toimialan tietosuojakysymyksiä, jotka voivat olla laajoja tai keskittyä vain tiettyihin käsittelytoimiin.
2. Käytännesäännöt helpottavat yleisen tietosuoja-asetuksen ymmärtämistä ja käytännön soveltamista erityisesti niille, jotka eivät ole tietosuoja-asiantuntijoita.
3. Käytännesäännöt täsmentävät yleisen tietosuoja-asetuksen soveltamista tietyllä toimialalla. Käytännesäännöissä määritellään organisatorisia toimenpiteitä ja konkreettisia ratkaisuja, joita käytännesääntöjen jäsenet voivat soveltaa noudattaakseen yleistä tietosuoja-asetusta.
- Käytännesääntöjä laadittaessa on kiinnitettävä huomiota siihen, että yleisen tietosuoja-asetuksen toistamista tai uudelleenmuotoilua on vältettävä.
4. Käytännesäännöt tarjoavat riittävät suojatoimet henkilötietojen käsittelyyn liittyvien riskien rajoittamiseen (esimerkiksi henkilötietojen suojaamiseen liittyvät hyvät käytännöt).
5. Käytännesäännöt sisältävät tehokkaan valvonnan mahdollistavat mekanismit, joilla käytännesääntöjen noudattaminen voidaan varmistaa.
- Oletteko toimittaneet perustelut ja kaiken asiaa koskevan tausta-aineiston?
- Oletteko rekisterinpitäjien tai henkilötietojen käsittelijöiden ryhmiä edustava järjestö tai muu elin?
- Oletteko toimittaneet luonnoksessa tietoja sen tueksi, että olette tehokas edustuselin, joka pystyy ymmärtämään jäsentensä tarpeita?
- Oletteko määritelleet selvästi käsittelytoiminnan tai sektorin ja ne käsittelyn ongelmat, joihin käytännesäännöillä on tarkoitus puuttua?
- Oletteko määritelleet käytännesääntöjenne alueellisen soveltamisalan ja liittäneet mukaan luettelon kaikista osallistuvista valvontaviranomaisista (tarvittaessa)?
- Oletteko toimittaneet tietoja, joilla perustellaan toimivaltaisen valvontaviranomaisen määrittely?
- Oletteko sisällyttäneet luonnokseen mekanismeja, joiden avulla käytännesääntöjen noudattamista on mahdollista valvoa tehokkaasti?
- Oletteko määritelleet valvontaelimen ja selittäneet, miten se täyttää käytännesääntöjen valvontaa koskevat vaatimukset?
- Oletteko liittäneet mukaan tietoja käytännesääntöjen laatimisen yhteydessä toteutetun kuulemisen laajuudesta?
- Oletteko vahvistaneet, että käytännesääntöjen luonnos on jäsenvaltion/jäsenvaltioiden (tapauksen mukaan) lainsäädännön mukainen?
- Täyttyvätkö kielivaatimukset?
- Onko toimittamassanne luonnoksessa riittävästi tietoja osoittamaan, että sen avulla yleistä tietosuoja-asetusta sovelletaan asianmukaisesti?