Useita EU-maita koskeva käsittely
Jos organisaatiosi toimii useammassa kuin yhdessä EU-maassa, sinun on selvitettävä, minkä maan valvontaviranomaisen kanssa organisaatiosi asioi. Tätä tietosuojaviranomaista kutsutaan johtavaksi valvontaviranomaiseksi.
Johtava viranomainen koordinoi henkilötietojen käsittelyn valvontaa yhdessä muiden osallistuvien valvontaviranomaisten kanssa. Organisaation tarvitsee siis yleensä asioida vain yhden valvontaviranomaisen kanssa, vaikka sen toiminta liittyisi useaan EU-maahan. Tätä järjestelyä kutsutaan yhden luukun periaatteeksi.
Rajat ylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka
- suoritetaan useammassa kuin yhdessä EU:n jäsenvaltiossa sijaitsevassa toimipaikassa ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon
- suoritetaan EU:ssa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa, mutta käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin.
Merkittävillä vaikutuksilla tarkoitetaan
- vaikutuksia ihmisen terveyteen, hyvinvointiin ja mielenrauhaan
- vaikutuksia ihmisen taloudelliseen asemaan tai olosuhteisiin
- ihmisten altistamista syrjinnälle ja epäoikeudenmukaiselle kohtelulle
- vahinkoa, menetyksiä, ahdistusta, tuskaa ja huolta
- häpeää ja maineen vahingoittumista
- käyttäytymisen muuttumista merkittävällä tavalla
- odottamattomia ei-toivottuja seuraamuksia
- oikeuksien rajoittumista tai mahdollisuuksien menettämistä
- arkaluontoisia, loukkaavia tai lasten henkilötietoja koskevaa käsittelyä
- laajamittaista henkilötietojen käsittelyä.
Johtavan valvontaviranomaisen määrittäminen
Johtava valvontaviranomainen määräytyy yleensä rekisterinpitäjän päätoimipaikan mukaan. Jos organisaatiosi päätoimipaikka on Suomessa, henkilötietojen käsittelyä valvoo pääsääntöisesti Suomen tietosuojavaltuutettu.
Jos rekisterinpitäjällä on useita toimipaikkoja EU:ssa, päätoimipaikaksi määritellään organisaation keskushallinnon sijaintipaikka. Jos kuitenkin jossain toisessa toimipaikassa tehdään päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista ja toimipaikassa on toimivalta panna täytäntöön kyseiset päätökset, kyseinen toimipaikka määritellään päätoimipaikaksi. On rekisterinpitäjän vastuulla esittää selkeästi, missä päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään.
Jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään eri toimipaikoissa, johtavia valvontaviranomaisia on useampi kuin yksi. Johtavat valvontaviranomaiset määräytyvät silloin sen mukaan, missä päätökset rajat ylittävistä käsittelytoimista tehdään. Organisaatio voi keskittää henkilötietojen käsittelytoimintaa koskevat päätöksentekovaltuudet yhteen toimipaikkaan, jos se haluaa hyötyä yhden luukunperiaatteesta, jossa yksi viranomainen valvoo organisaation kaikkea rajat ylittävää henkilötietojen käsittelyä.
Yhden luukun periaatteesta voivat hyötyä myös henkilötietojen käsittelijät, joilla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa. Henkilötietojen käsittelijän päätoimipaikka on sen keskushallinnon sijaintipaikka EU:ssa. Jos henkilötietojen käsittelijällä ei ole keskushallintoa EU:n alueella, johtava valvontaviranomainen määräytyy sen mukaan, missä EU:n alueella toimivassa toimipaikassa henkilötietoja pääasiassa käsitellään.
Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, rekisterinpitäjän johtava valvontaviranomainen on toimivaltainen johtava valvontaviranomainen. Silloin henkilötietojen käsittelijän johtava valvontaviranomainen on osallistuva valvontaviranomainen, jonka on osallistuttava yhteistyömenettelyyn.
Muiden EU-maiden tietosuojaviranomaiset osallistuvat johtavan valvontaviranomaisen koordinoimaan valvontaan osallistuvina valvontaviranomaisina, kun
- rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut kyseisen valvontaviranomaisen jäsenvaltion alueelle
- käsittely vaikuttaa merkittävästi tai on omiaan vaikuttamaan merkittävästi kyseisessä valvontaviranomaisen jäsenvaltiossa asuviin rekisteröityihin
- kyseiselle valvontaviranomaiselle on tehty valitus.
Tietosuojavastaavan yhteystietojen ilmoittaminen valvontaviranomaiselle
Organisaation (rekisterinpitäjä tai henkilötietojen käsittelijä) tietosuojavastaavan yhteystiedot ilmoitetaan sen maan valvontaviranomaiselle, jossa organisaation päätoimipaikka sijaitsee.
Jos henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään päätöksiä eri toimipaikoissa, on tietosuojavastaavan yhteystiedot ilmoitettava kaikkien niiden EU-maiden valvontaviranomaisille, joissa kyseiset toimipaikat sijaitsevat. Jos konserni nimittää yhteisen tietosuojavastaavan kaikkiin toimipaikkoihinsa, tulee tietosuojavastaavan yhteystiedot ilmoittaa jokaisen EU-maan valvontaviranomaiselle, jossa konsernilla on toimipaikka.
Lue lisää:
Tietosuoja-asetus: artikla 4 (16) ja johdanto-osan kohta 36 (EUR-Lex)
Ohjeet rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määrittämiseen (pdf)
Usein kysyttyä: Rekisterinpitäjän tai henkilötietojen käsittelijän johtavan valvontaviranomaisen määrittäminen (pdf)