Rekisterinpitäjä on organisaatio tai henkilö, joka määrittelee henkilötietojen käsittelyn tarkoituksen ja keinot. GDPR:n eli EU:n yleisen tietosuoja-asetuksen mukaan rekisterinpitäjä kantaa päävastuun siitä, että henkilötietoja käsitellään lainmukaisesti, läpinäkyvästi ja turvallisesti. Rooli ei ole hallinnollinen muodollisuus, vaan se tuo mukanaan konkreettisia velvollisuuksia ja merkittävän oikeudellisen vastuun.
Monissa organisaatioissa rekisterinpitäjän roolia ei ole määritelty riittävän selkeästi, mikä johtaa tilanteisiin, joissa kukaan ei tosiasiassa vastaa henkilötietojen käsittelyn lainmukaisuudesta. Tietosuojaviranomainen voi tällaisessa tilanteessa kohdistaa valvontatoimenpiteet suoraan ylimpään johtoon. Ratkaisu lähtee vastuiden kirjallisesta määrittelystä ja siitä, että organisaatiossa tunnistetaan konkreettisesti, kuka päättää, miten ja miksi henkilötietoja käsitellään.
GDPR edellyttää rekisterinpitäjältä osoitusvelvollisuutta: pelkkä aikomus noudattaa tietosuoja-asetusta ei riitä, vaan noudattaminen on pystyttävä näyttämään toteen. Organisaatiot, joilta puuttuu ajantasainen seloste käsittelytoimista, tietosuojakäytännöt tai dokumentoitu riskiarvio, ovat haavoittuvaisessa asemassa sekä valvontaviranomaisen tarkastuksissa että mahdollisissa rekisteröityjen vaatimuksissa. Konkreettinen askel eteenpäin on käsittelytoimien kartoittaminen ja niiden kirjaaminen rakenteiseen muotoon.
Rekisterinpitäjä on GDPR:n mukaan luonnollinen henkilö, oikeushenkilö, viranomainen, virasto tai muu elin, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Määrittelevä tekijä on tosiasiallinen päätösvalta, ei sopimuksessa käytetty nimike.
Käytännössä rekisterinpitäjä on useimmiten yritys tai organisaatio, joka kerää asiakastietoja, ylläpitää henkilöstörekisteriä tai hyödyntää henkilötietoja palvelujensa tuottamisessa. Rekisterinpitäjä päättää esimerkiksi siitä, mitä tietoja kerätään, miten kauan niitä säilytetään ja kenelle niitä luovutetaan.
Rekisterinpitäjä eroaa käsittelijästä, joka toimii rekisterinpitäjän lukuun ja noudattaa tämän antamia ohjeita. Esimerkiksi palkanlaskentapalvelua tarjoava ulkopuolinen toimija on tyypillisesti henkilötietojen käsittelijä, kun taas työnantajayritys on rekisterinpitäjä. Rajanveto on oikeudellisesti merkityksellinen, koska se määrittää vastuunjaon osapuolten välillä.
Rekisterinpitäjällä on laaja joukko velvollisuuksia, jotka kattavat koko henkilötietojen käsittelyn elinkaaren. Keskeisimpiä ovat tietosuojaperiaatteiden noudattaminen, rekisteröityjen oikeuksien toteuttaminen, käsittelyn oikeusperustan varmistaminen sekä tietoturvaloukkausten ilmoittaminen viranomaiselle.
Rekisterinpitäjän on ennen kaikkea varmistettava, että henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Tämä tarkoittaa muun muassa sitä, että käsittelylle on aina jokin GDPR:n hyväksymä oikeusperuste, kuten rekisteröidyn suostumus, sopimuksen täyttäminen tai lakisääteinen velvoite.
Velvollisuuksiin kuuluu myös rekisteröityjen informointi heidän tietojensa käsittelystä, tietopyyntöihin vastaaminen määräajassa sekä tietosuojaa koskevien sopimusten tekeminen alihankkijoiden kanssa. Lisäksi tietyissä tilanteissa rekisterinpitäjän on nimettävä tietosuojavastaava ja laadittava tietosuojan vaikutustenarviointi ennen riskialtista käsittelytoimintaa.
Rekisterinpitäjä on ensisijaisesti vastuussa siitä, että kaikki sen organisaatiossa tai sen toimeksiannosta tapahtuva henkilötietojen käsittely täyttää GDPR:n vaatimukset. Vastuu on laaja ja kattaa myös alihankkijoiden toiminnan, jos rekisterinpitäjä ei ole asianmukaisesti ohjannut ja valvonut heitä.
Oikeudellinen vastuu konkretisoituu erityisesti kahdessa tilanteessa: tietosuojaviranomaisen valvontamenettelyssä ja rekisteröidyn vahingonkorvausvaatimuksessa. Rekisteröidyllä on oikeus vaatia korvausta aineellisesta tai aineettomasta vahingosta, jonka asetuksen vastainen käsittely on aiheuttanut.
Vastuun laajuus riippuu aina tapauksen yksilöllisistä olosuhteista. Oikeudellinen arviointi ottaa huomioon muun muassa rikkomuksen vakavuuden, sen keston, organisaation yhteistyöhalukkuuden viranomaisen kanssa sekä sen, onko rekisterinpitäjä ryhtynyt toimenpiteisiin vahingon lieventämiseksi.
Kyllä. GDPR tunnistaa yhteisrekisterinpitäjyyden tilanteen, jossa kaksi tai useampi organisaatio määrittelee yhdessä henkilötietojen käsittelyn tarkoitukset ja keinot. Yhteisrekisterinpitäjyys ei edellytä täysin identtisiä tavoitteita, vaan riittää, että organisaatiot osallistuvat yhteiseen käsittelytoimeen.
Yhteisrekisterinpitäjien on laadittava keskinäinen sopimus, jossa määritellään selkeästi kummankin osapuolen vastuut suhteessa rekisteröityihin. Sopimuksen keskeinen sisältö on asetettava rekisteröityjen saataville, vaikka kaikkia yksityiskohtia ei tarvitsekaan julkistaa.
Yhteisrekisterinpitäjyys on käytännössä yleinen esimerkiksi konserniyhtiöiden välisessä yhteistyössä, yhteismarkkinointikampanjoissa tai tilanteissa, joissa kaksi yritystä käyttää samaa alustaa asiakastietojen hallintaan. Rajanveto yhteisrekisterinpitäjyyden ja erillisten rekisterinpitäjien välillä voi olla tulkinnanvarainen, ja sen arviointi edellyttää tapauskohtaista harkintaa.
Rekisterinpitäjä osoittaa vaatimustenmukaisuuden osoitusvelvollisuuden periaatteen mukaisesti dokumentoimalla käsittelytoimensa ja toteuttamansa suojatoimet. Keskeisiä välineitä ovat seloste käsittelytoimista, tietosuojakäytännöt, henkilöstön koulutustiedot sekä sopimukset käsittelijöiden kanssa.
Osoitusvelvollisuus tarkoittaa käytännössä sitä, että rekisterinpitäjän on kyettävä milloin tahansa näyttämään, mitä henkilötietoja käsitellään, millä perusteella, kuinka kauan ja millaisin suojatoimin. Dokumentaatio ei ole kertaluonteinen projekti, vaan jatkuva prosessi, joka päivittyy toiminnan muuttuessa.
Teknisiä ja organisatorisia toimenpiteitä, kuten tietojen pseudonymisointia, pääsynhallintaa ja säännöllisiä tietoturva-arviointeja, pidetään konkreettisina osoituksina vastuullisesta käsittelystä. Myös tietosuojavastaavan nimeäminen silloin, kun se on pakollista tai vapaaehtoista, vahvistaa organisaation sitoutumista tietosuoja-asetuksen noudattamiseen.
Tietosuojavelvoitteiden laiminlyönti voi johtaa hallinnolliseen sakkoon, joka voi GDPR:n vakavimmissa rikkomuksissa nousta jopa 20 miljoonaan euroon tai neljään prosenttiin organisaation vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi.
Hallinnolliset sanktiot jakautuvat kahteen tasoon. Lievemmistä rikkomuksista, kuten puutteellisesta dokumentaatiosta tai tietosuojavastaavan nimittämisen laiminlyönnistä, sakko voi olla enintään 10 miljoonaa euroa tai kaksi prosenttia liikevaihdosta. Vakavammat rikkomukset, kuten käsittelyn oikeusperustan puuttuminen tai rekisteröityjen oikeuksien järjestelmällinen loukkaaminen, voivat johtaa ylemmän tason sakkoon.
Rahallisten seuraamusten lisäksi tietosuojaviranomainen voi antaa huomautuksia, varoituksia ja määräyksiä käsittelyn keskeyttämisestä tai henkilötietojen poistamisesta. Mainehaitta ja asiakasluottamuksen menetys voivat liiketoiminnan kannalta osoittautua yhtä merkittäviksi seurauksiksi kuin viranomaissakko. Meillä Hedman Partnersilla on kokemusta tietosuoja-asioiden neuvonnasta, ja autamme organisaatioita arvioimaan omaa vaatimustenmukaisuuttaan ennen kuin ongelmat eskaloituvat.