Useita EU-maita koskeva käsittely

Jos organisaatiosi toimii useammassa kuin yhdessä EU-maassa, sinun on selvitettävä, minkä maan valvontaviranomaisen kanssa organisaatiosi asioi. Tätä tietosuojaviranomaista kutsutaan johtavaksi valvontaviranomaiseksi.

Johtava valvontaviranomainen johtaa henkilötietojen käsittelyn valvontaa, jos organisaation suorittama henkilötietojen käsittely on rajat ylittävää.

Johtava viranomainen koordinoi henkilötietojen käsittelyn valvontaa yhdessä muiden osallistuvien valvontaviranomaisten kanssa. Organisaation tarvitsee siis yleensä asioida vain yhden valvontaviranomaisen kanssa, vaikka sen toiminta liittyisi useaan EU-maahan. Tätä järjestelyä kutsutaan yhden luukun periaatteeksi.

Johtavan valvontaviranomaisen määrittäminen

Johtava valvontaviranomainen määräytyy yleensä rekisterinpitäjän päätoimipaikan mukaan. Jos organisaatiosi päätoimipaikka on Suomessa, henkilötietojen käsittelyä valvoo pääsääntöisesti Suomen tietosuojavaltuutettu.

Jos rekisterinpitäjällä on useita toimipaikkoja EU:ssa, päätoimipaikaksi määritellään organisaation keskushallinnon sijaintipaikka. Jos kuitenkin jossain toisessa toimipaikassa tehdään päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista ja toimipaikassa on toimivalta panna täytäntöön kyseiset päätökset, kyseinen toimipaikka määritellään päätoimipaikaksi. On rekisterinpitäjän vastuulla esittää selkeästi, missä päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään.

Jos päätökset henkilötietojen käsittelyn tarkoituksista ja keinoista tehdään eri toimipaikoissa, johtavia valvontaviranomaisia on useampi kuin yksi. Johtavat valvontaviranomaiset määräytyvät silloin sen mukaan, missä päätökset rajat ylittävistä käsittelytoimista tehdään. Organisaatio voi keskittää henkilötietojen käsittelytoimintaa koskevat päätöksentekovaltuudet yhteen toimipaikkaan, jos se haluaa hyötyä yhden luukunperiaatteesta, jossa yksi viranomainen valvoo organisaation kaikkea rajat ylittävää henkilötietojen käsittelyä.

Yhden luukun periaatteesta voivat hyötyä myös henkilötietojen käsittelijät, joilla on toimipaikkoja useammassa kuin yhdessä jäsenvaltiossa. Henkilötietojen käsittelijän päätoimipaikka on sen keskushallinnon sijaintipaikka EU:ssa. Jos henkilötietojen käsittelijällä ei ole keskushallintoa EU:n alueella, johtava valvontaviranomainen määräytyy sen mukaan, missä EU:n alueella toimivassa toimipaikassa henkilötietoja pääasiassa käsitellään.

Tapauksissa, joihin liittyy sekä rekisterinpitäjä että henkilötietojen käsittelijä, rekisterinpitäjän johtava valvontaviranomainen on toimivaltainen johtava valvontaviranomainen. Silloin henkilötietojen käsittelijän johtava valvontaviranomainen on osallistuva valvontaviranomainen, jonka on osallistuttava yhteistyömenettelyyn.