Tietojenkäsittelijä

Tietojenkäsittelijä on taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaisesti. Poliittisen mainonnan yhteydessä käsittelijät käsittelevät henkilötietoja kohdentamis- tai mainosten toimitustarkoituksiin, mutta eivät päätä siitä, miten tai miksi tietoja käytetään. Rekisterinpitäjä on viime kädessä vastuussa lainmukaisesta käsittelystä.

Oikeusperusta

"Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun."

— 4 artiklan 8 kohta, asetus (EU) 2016/679 (yleinen tietosuoja-asetus)

Vaikka asetus (EU) 2024/900 ei määrittele tietojenkäsittelijää, se viittaa tietosuojalainsäädäntöön ja asettaa erityisiä velvoitteita rekisterinpitäjille ja käsittelijöille, kun henkilötietoja käytetään poliittisen mainonnan kohdentamiseen verkossa.

Miksi se on tärkeää

Tietojenkäsittelijöiden roolin ymmärtäminen on ratkaisevan tärkeää sekä yleisen tietosuoja-asetuksen että poliittista mainontaa koskevan asetuksen noudattamisen kannalta. Kun poliittinen puolue, kampanja tai sponsori käyttää verkkoalustaa, mainosteknologian tarjoajaa tai analytiikkayritystä kohdistettujen poliittisten mainosten toimittamiseen, kyseinen tarjoaja toimii tyypillisesti käsittelijänä. Sponsori tai poliittinen toimija pysyy rekisterinpitäjänä ja hänen on varmistettava, että käsittelijä täyttää kaikki lakisääteiset vaatimukset.

Käsittelijöiden on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, autettava rekisterinpitäjiä heidän velvoitteidensa täyttämisessä (kuten rekisteröidyn pyyntöihin vastaamisessa) ja käsiteltävä tietoja vain dokumentoitujen ohjeiden mukaisesti. Ne eivät voi käyttää henkilötietoja omiin tarkoituksiinsa. Jos käsittelijä määrittää omat käsittelytarkoituksensa, siitä tulee rekisterinpitäjä ja se ottaa täyden vastuun tietosuojalainsäädännön mukaisesti.

Poliittisen mainonnan osalta tämä erottelu on merkityksellinen, koska henkilötietojen käyttämiseen kohdentamisessa sovelletaan tiukkoja rajoituksia asetuksen (EU) 2024/900 III luvun mukaisesti. Rekisterinpitäjien on varmistettava, että heidän käsittelijänsä noudattavat kohdentamisrajoituksia, suostumusvaatimuksia ja tiettyjä arkaluonteisia tietoluokkia koskevaa käyttökieltoa.

Keskeiset kohdat

Toimii ohjeiden mukaisesti: Käsittelijät käsittelevät henkilötietoja vain rekisterinpitäjän ohjeiden mukaisesti; ne eivät voi päättää, miten tai miksi tietoja käsitellään.
Pysyy vastuussa: Rekisterinpitäjät ovat viime kädessä vastuussa siitä, että käsittelijät noudattavat yleistä tietosuoja-asetusta ja poliittista mainontaa koskevia sääntöjä.
Kirjalliset sopimukset vaaditaan: Rekisterinpitäjillä on oltava käsittelijöiden kanssa sopimus tai oikeudellinen toimi, jossa määritellään käsittelyehdot, turvatoimenpiteet ja velvoitteet.
Avustaa noudattamisessa: Käsittelijöiden on autettava rekisterinpitäjiä vastaamaan rekisteröityjen oikeuksia koskeviin pyyntöihin, suorittamaan vaikutustenarvioita ja raportoimaan tietoturvaloukkauksista.
Voi tulla rekisterinpitäjäksi: Jos käsittelijä määrittää käsittelyn tarkoitukset ja keinot, se luokitellaan uudelleen rekisterinpitäjäksi, jolla on täysi oikeudellinen vastuu.
Erityissäännöt kohdentamiselle: Kun käsittelijät toimittavat kohdennettuja poliittisia mainoksia verkossa, niiden on noudatettava III luvun rajoituksia eivätkä ne saa käyttää erityisiä tietoluokkia kohdentamistarkoituksiin.

Tietojenkäsittelijä vs. rekisterinpitäjä

Rekisterinpitäjä määrittää henkilötietojen käsittelyn tarkoitukset ja keinot — päättää, mitä tietoja kerätään, miten niitä käytetään ja miksi. Tietojenkäsittelijä toimii vain rekisterinpitäjän ohjeiden mukaisesti eikä tee näitä päätöksiä.

Poliittisessa mainonnassa kohdistetun mainoskampanjan käynnistävä poliittinen puolue on rekisterinpitäjä. Sosiaalisen median alusta tai mainosteknologiapalvelu, joka toimittaa kyseiset mainokset puolueen ohjeiden mukaisesti, on käsittelijä. Jos alusta käyttää tietoja myös omiin tarkoituksiinsa (esim. suositusalgoritmien parantamiseen), se toimii rekisterinpitäjänä kyseisen erillisen tarkoituksen osalta.

Erottelu on ratkaisevan tärkeä, koska rekisterinpitäjillä ja käsittelijöillä on erilaiset velvoitteet yleisen tietosuoja-asetuksen mukaisesti, ja vastuu noudattamatta jättämisestä on viime kädessä rekisterinpitäjällä.

Liittyvät termit

Kyllä. EU-asetuksena TTPA on suoraan sovellettavissa kaikissa jäsenvaltioissa ilman kansallista täytäntöönpanoa. Jäsenvaltioiden tarvitsee vain nimetä viranomaiset ja asettaa seuraamukset.

Läpinäkyvyysvaatimukset varmistavat, että kaikki poliittiset toimijat toimivat samojen sääntöjen mukaisesti. Äänestäjät voivat nähdä, kenellä on resursseja ja miten niitä käytetään, mikä tukee reilua kilpailua.

Avoimuus rakentaa luottamusta osoittamalla äänestäjille, että poliittiset toimijat toimivat avoimesti. Piilotettu rahoitus tai kohdentaminen heikentää luottamusta demokraattisiin prosesseihin.

Edellyttämällä selkeää merkintää ja helposti saatavilla olevia avoimuustietoja TTPA auttaa ihmisiä tunnistamaan poliittisen mainonnan ja ymmärtämään, kuka heitä yrittää vaikuttaa.

Poliittiseen mainontaan kuuluu jokainen maksettu viesti, joka edistää poliittista toimijaa, vaikuttaa äänestäjien käyttäytymiseen, vaikuttaa vaalien tai kansanäänestysten tulokseen tai vaikuttaa lainsäädäntö- tai sääntelyprosesseihin. Se sisältää myös kaikki poliittisen toimijan mainonnan tai poliittisen toimijan puolesta tehdyn mainonnan.

Ei. TTPA ei vaikuta kansallisiin sääntöihin, jotka koskevat poliittisten mainosten sisältöä, vaalikampanjoiden rahoitusta, vaalikausia tai yleisiä poliittisen mainonnan kieltoja. Se lisää avoimuusvaatimuksia olemassa olevien kansallisten lakien päälle.

Virallinen nimi on Euroopan parlamentin ja neuvoston asetus (EU) 2024/900 poliittisen mainonnan avoimuudesta ja kohdentamisesta. Se julkaistiin 20. maaliskuuta 2024.

Kyllä. TTPA kattaa kaiken poliittisen mainonnan, olipa se verkossa tai verkon ulkopuolella, mukaan lukien painetun mainonnan, mainostaulut, television, radion ja digitaaliset kanavat. Luvun III kohdentamissäännöt koskevat ainoastaan verkkomainontaa.