Tietosuojavaltuutetun toimisto päivitti hiljattain sivuillaan julkaistuja ohjeita tietosuojavastaavan nimittäneelle organisaatiolle. Ohjeiden täydentämisen taustalla on Euroopan tietosuojaneuvoston tammikuussa 2024 julkaisema tietosuojavastaavien asemaa koskeva raportti, jonka mukaan tietosuojavastaavat kokevat edelleen tehtävässään haasteita.
Kesälomakauden lähestyessä onkin hyvä palauttaa mieleen tietosuojavastaavan tehtävät ja toisaalta organisaation tietosuojasääntelystä johtuvat velvollisuudet. Vaikka tietosuojavastaavakin on lomansa ansainnut, organisaatio ei voi pitää kesälomaa tietosuojasääntelyn noudattamisesta. Esimerkiksi ilmoituskynnyksen ylittävät henkilötietojen tietoturvaloukkaukset tulee loma-aikanakin raportoida viranomaiselle aina 72 tunnin kuluessa ja rekisteröityjen tieto- ja poistopyyntöihin on vastattava määräajassa. Tietosuojavastaavalle tulee siis järjestää sijainen, joka huolehtii tietosuojavastaavan loman ajan pakollisten tehtävien hoitamisesta.
Mitkä ovat tietosuojavastaavan tärkeimmät tehtävät?
Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa ja valvoo henkilötietojen käsittelyä sekä neuvoo tietosuojasääntelyn noudattamisessa. Hän voi osana rooliaan koordinoida organisaation tietosuojatyötä ja hänen tulee valvoa, että tietosuojaa toteutetaan organisaatiossa asianmukaisesti.
Tietosuojavastaava ei kuitenkaan nimestään huolimatta kanna henkilökohtaista vastuuta tietosuojasääntelyn noudattamisesta, vaan vastuu tietosuojasääntelyn noudattamisesta on aina yrityksen ylimmällä johdolla. Tietosuojavastaavan tehtävänä on ohjeistaa johtoa ja henkilöstöä tietosuojasääntelyn vaatimuksista organisaation käsitellessä henkilötietoja.
Tietosuojavastaavan tehtäviin kuuluu myös antaa pyydettäessä neuvoja liiketoiminnalle tietosuojan vaikutustenarviointien tekemisessä. Lisäksi hän toimii rekisteröityjen ja tietosuojaviranomaisen yhteyshenkilönä tietosuojaan liittyvissä asioissa.
Mitä organisaation tulee huomioida tietosuojavastaavan roolin osalta?
Ohjeessa muistutetaan organisaatioita siitä, että tietosuojavastaavan kanssa tulee tehdä yhteistyötä ja tämä tulee ottaa tiimeineen mahdollisimman aikaisessa vaiheessa mukaan tietosuojakysymysten käsittelyyn. Tietosuojavastaavaa ei saa pitää pimennossa silloin kun tehdään tietosuojaan vaikuttavia päätöksiä, vaan tietosuojavastaavan kanta tulee tarkistaa aina ennen päätösten tekemistä. Tietosuojavastaavalle ei siis voida tuoda ilmoitusasiana esimerkiksi sitä, että organisaatio on siirtymässä käyttämään uutta CRM-järjestelmää tai ottamassa käyttöön asiakaspalvelubotin, vaan hänet tulisi ottaa jo aikaisessa vaiheessa mukaan henkilötietojen käsittelyn kannalta olennaisiin hankinta- ja muutosprosesseihin.
Tietosuojavastaavan näkemykset tulee ylipäätään ottaa tietosuojaliitännäisissä asioissa huomioon, ja mikäli tietosuojavastaavan kannasta poiketaan, tulee perusteet poikkeamiselle dokumentoida kirjallisesti. Lisäksi organisaation tulee varmistaa riittävä ja säännöllinen tiedonkulku tietosuojavastaavan ja johdon välillä. Tietosuojavastaavalla tuleekin olla mahdollisuus raportoida suoraan ylimmälle johdolle ja mahdollisuus osallistua säännöllisesti ylemmän tai keskijohdon kokouksiin.
Miten organisaatio voi tukea tietosuojavastaavan asemaa?
Jotta tietosuojavastaava voi onnistua tehtävässään, organisaation tulee varmistaa, että tällä on riittävästi resursseja, kuten työaikaa tehtävän hoitamiseen ja mahdollisuuksia asiantuntijuutensa ylläpitämiseen. Tämä tarkoittaa mahdollisuutta kouluttautua ja varautua esimerkiksi EU:n uuteen digi- ja tekoälysääntelyyn tai kybersääntelyyn, jos tämä on työn ja organisaation toiminnan kannalta olennaista.
Tietosuojavastaavan on oltava asemassaan riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Eturistiriidan muodostaa tehtävä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Jokainen organisaatio on erilainen ja tästä syystä eturistiriitoja on tarkasteltava tapaus- ja tehtäväkohtaisesti. Esimerkiksi erilaisten johtotehtävien on oikeuskäytännössä yleensä katsottu muodostavan eturistiriidan tietosuojavastaavan tehtävän kanssa. Tietosuojavastaavan roolin riippumattomuus tulee huomioida myös siten, että tietosuojavastaavalle ei saa antaa ohjeita tämän tehtävien hoitamisesta eikä häntä voida erottaa tai rangaista tietosuojatehtävien hoitamisen vuoksi.
Kaipaatko tukea tietosuojavastaavan tehtävien hoitoon? Mietityttääkö tietosuojavastaavan asemaan tai rooliin liittyvät kysymykset? Kaipaatko tukea ammatilliseen kehitykseesi ja kouluttautumiseen? Uupuuko teiltä tietosuojavastaavan kesälomasijainen?
Fondian tietosuojatiimillä on pitkä kokemus tietosuojajohtamisesta, tietosuojavastaavien tukemisesta ja käytännönläheisestä operatiivisesta tietosuojatyöstä. Tarjoamme myös mielenkiintoisia koulutuksia ja tietoa ajankohtaisista lainsäädäntöhankkeista ja käytännöistä. Mikäli organisaatioltasi puuttuu kokonaan tietosuojavastaava, tarjoamme myös riippumatonta DPOaaS-palvelua.
Originally published by 3 July 2024
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.