Asianajotoimiston tietosuojavelvoitteet due diligence -tarkastuksessa - rekisterinpitäjä vai henkilötietojen käsittelijä?
Rantanen, Armida (2019-12-30)
Asianajotoimiston tietosuojavelvoitteet due diligence -tarkastuksessa - rekisterinpitäjä vai henkilötietojen käsittelijä?
(30.12.2019)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe202001212899
https://urn.fi/URN:NBN:fi-fe202001212899
Tiivistelmä
Vuonna 2018 voimaan tullut yleinen tietosuoja-asetus toi mukanaan merkittäviä muutoksia henkilötietojen käsittelyyn ja käsittelystä aiheutuviin vastuisiin ja velvollisuuksiin. Vaikka asetuksen tarkoituksena on ollut vastata teknologiakehitykseen ja sen myötä muuttuneeseen henkilötietojen käsittelyyn, on asetus säädetty teknologianeutraaliksi. Sen vuoksi asetuksella on huomattavia vaikutuksia lähes kaikkien yhtiöiden toiminnan järjestämiseen – asetus on lisännyt niin hallinnollisia velvoitteita kuin henkilötietojen käsittelystä aiheutuvia kustannuksia. Yrityksen vastuut ja velvoitteet riippuvat siitä, määritelläänkö yritys asetuksen nojalla rekisterinpitäjäksi vai henkilötietojen käsittelijäksi. Rekisterinpitäjän vastuu asetuksen noudattamisesta ja noudattamisen osoittamisesta on kokonaisvaltaisempaa ja laajempaa kuin henkilötietojen käsittelijän vastuu, minkä vuoksi käsittelyyn osallistuvien tahojen roolit on määriteltävä ennen käsittelyn aloittamista. Tässä tutkielmassa tarkastellaan asianajotoimiston roolia tietosuoja-asetuksen näkökulmasta silloin, kun se suorittaa asiakkaansa lukuun yrityskauppaa edeltävää due diligence -tarkastusta, jossa käsitellään henkilötietoja. Kysymyksen problematiikka liittyy yhtäältä siihen, määritteleekö asianajotoimisto henkilötietojen käsittelyn tarkoitukset ja keinot, jolloin se olisi katsottava rekisterinpitäjäksi, sekä toisaalta siihen, että asianajotoimisto tekee tarkastusta asiakkaansa lukuun, mikä on yksi henkilötietojen käsittelijän määritelmään kuuluva kriteeri. Lisäksi on arvioitu, voisiko asianajotoimisto olla yhteisrekisterinpitäjä jonkun tarkastukseen osallistuvan tahon kanssa. Osakysymyksenä tutkielmassa tarkastellaan lisäksi sitä, millä tietosuoja-asetuksen mukaisella oikeusperusteella due diligence -tarkastuksessa voidaan käsitellä henkilötietoja. Tutkielman metodi on lainopillinen ja keskittyy määritelmien arvioinnissa erityisesti sanamuodon mukaiseen tulkintaan. Lisäksi, EU-oikeuden lainopilliselle tarkastelulle tyypilliseen tapaan on kysymystä lähestytty myös teleologisella metodilla, eli lähestymällä normia sääntelyn tarkoituksen ja päämäärän kautta. Tämä näkyy erityisesti siinä, että kysymykseen vastaamiseksi
on arvioitu, miten eri osapuolet kykenisivät toteuttamaan rekisterinpitäjän ja henkilötietojen käsittelijän vastuita. Johtopäätöksenä tutkielmassa todetaan, että asianajotoimiston rooli tarkastuksessa henkilötietojen käsittelyn osalta on rekisterinpitäjä. Se, toimiiko asianajotoimisto yhteisrekisterinpitäjänä asiakkaansa kanssa, riippuu muun muassa asiakkaan ja asianajotoimiston välisestä sopimuksesta ja asiakkaan tosiasiallisesta osallistumisesta henkilötietojen käsittelyyn.
on arvioitu, miten eri osapuolet kykenisivät toteuttamaan rekisterinpitäjän ja henkilötietojen käsittelijän vastuita. Johtopäätöksenä tutkielmassa todetaan, että asianajotoimiston rooli tarkastuksessa henkilötietojen käsittelyn osalta on rekisterinpitäjä. Se, toimiiko asianajotoimisto yhteisrekisterinpitäjänä asiakkaansa kanssa, riippuu muun muassa asiakkaan ja asianajotoimiston välisestä sopimuksesta ja asiakkaan tosiasiallisesta osallistumisesta henkilötietojen käsittelyyn.