Opsec Oy:n tietosuojavastaava Jari Ala-Varvi

Tietosuojavastaavan tehtävät vaativat asiantuntemusta ja osaamista

Tietosuojalainsäädäntö velvoittaa jossain tapauksissa organisaatiota nimeämään tietosuojavastaavan, mutta usein organisaatiot myös hyötyvät tietosuojavastaavan vapaaehtoisesta nimittämisestä. Tietosuojavastaavaa nimitettäessä tulee aina ottaa huomioon henkilön pätevyys tehtävään.

Tietyissä tapauksissa lainsäädäntö velvoittaa organisaatiota nimittämään tietosuojavastaavan

Tietosuojavastaavan nimittäminen on organisaatiossa pakollista, jos:

  • tietojenkäsittelyä suorittaa viranomainen tai julkishallinnon elin
  • rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa
  • rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu erityisiin henkilötietoryhmiin tai rikostuomioita tai rikkomuksia koskeviin tietoihin.

Lainsäädännössä voidaan vaatia tietosuojavastaavan nimittämistä myös muissa tilanteissa.

Vapaaehtoinen tietosuojavastaavan nimittäminen

Suomalaisten yritysten kohdalla lakisääteinen velvollisuus nimetä tietosuojavastaava harvoin täyttyy, mutta monet yritykset ovat päättäneet nimetä tietosuojavastaavan vapaaehtoisesti. Joillekin yrityksille se on tärkeä osa yhteiskuntavastuun tai sosiaalisen vastuun osoittamisessa työntekijöille, asiakkaille ja yhteistyökumppaneille.

Toisille kyse on paljon yksinkertaisemmasta asiasta. Tietosuoja-asetuksen velvoitteet koskevat jokaista yritystä ja joskus on vaan helpompaa ja kustannustehokkaampaa antaa tehtävä jollekin, joka tietää mitä tehdä.

Tietosuojavastaavan on oltava pätevä tehtäväänsä

Lainsäädännössä mainitaan, että tietosuojavastaavaa nimitettäessä tulisi ottaa huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä, yleisestä tietosuoja-asetuksesta ja alan käytänteistä. Tietosuojavastaavalla tulisi myös olla valmiudet suorittaa lainsäädäntöön kirjatut tietosuojavastaavan tehtävät.

Tietosuojavastaavan tehtävä on:

  • auttaa tietosuojalainsäädännön toteuttamisessa
  • seurata tietosuojasääntöjen noudattamista ja tuoda esille havaitsemiaan puutteita
  • raportoida johdolle sekä antaa tietoja ja neuvoja henkilötietoja käsitteleville työntekijöille
  • toteuttaa tietosuojan vaikutustenarviointia
  • auttaa rekisteröityjä (työntekijöitä, kumppaneita ja asiakkaita) omien oikeuksien toteuttamisessa

Tietosuojavastaavalla on hyvä olla käytössään myös asiantuntevat resurssit tehtäviensä hoitamisessa. Toimialan tuntemus on tarpeen, mutta usein tietosuojavastaava joutuu ottamaan kantaa niin käsittelytoimien toteutustapaan kuin yleisiin tietoturvaperiaatteisiin ja niiden toteutumiseen. Tietosuojavastaavalla on siis hyvä olla näkemystä myös riskienhallinnasta ja tietoturvallisuuden toteutuksista organisaatioissa.

Tietosuojavastaavalla on keskeinen asema organisaation tietosuojakulttuurin vahvistamisessa ja yleisen tietosuoja-asetuksen olennaisten osien täytäntöönpanossa. Tällaisia osia ovat esimerkiksi:

  • tietojenkäsittelyn periaatteet
  • rekisteröityjen oikeudet
  • sisäänrakennettu ja oletusarvoinen tietosuoja
  • rekisteröidyille informointi ja yhteydenpito rekisteröityihin
  • käsittelyn turvallisuus
  • yhteistyö viranomaisten suuntaan

Tietosuojavastaavan asiantuntemuksen tason on oltava suhteessa organisaation käsittelemien tietojen arkaluonteisuuteen, monimutkaisuuteen ja määrään. Tietosuojavastaava on siis valittava huolellisesti ja varmistuttava siitä, että hän kykenee organisaatiosi lainmukaisuusvaatimusten toteuttamiseen.

Jari Ala-Varvi
tietosuojavastaava

Jos organisaatiostasi ei löydy resursseja tai sopivaa henkilöä hoitamaan tietosuojavastaavan tehtäviä, voit ulkoistaa tietosuojavastaavan tehtävät meidän ammattitaitoisille asiantuntijoille. Ota rohkeasti yhteyttä, niin keskustellaan yhdessä organisaatiosi tietosuojavastaavan tehtävästä tai nimittämisen tarpeellisuudesta tai hyödyistä sinulle.