-osioon:
Tietohallintopäällikkö, Opsec Oy

Miksi tietosuojavastaava kyselee meidän hankinnoista?

Syy on yksinkertainen. Aina kun organisaatioon o(s)tetaan uusia tietojärjestelmiä, ohjelmistoja tai pilvipalveluita tai aletaan käsittelemään asiakastietoja uusin tavoin, on tietosuoja huomioitava monella tavalla. Pilvipalveluita saa myös ilmaiseksi, kyse ei siis ole aina ostosta. Niillä kaikilla on silti käyttöehtonsa ja jos sinne viedään henkilötietoja, tulee ilmaispalvelunkin sopimukset laatia huolella.

Artikkelin kuva jakaa tyypilliset tietosuojalainsäädännön velvoitteet tavanomaiseen hankintaprosessiin. Toki prosessi harvoin etenee näin suunnitellun hienosti. Suorahankinnat ilman kilpailutuksia ja eri yksiköiden omat hankintabudjetit johtavat siihen, että hankintoja tekevät myös ihmiset, jotka eivät tiedä lainsäädännön vaatimuksia. Siksi usein sopimukset on tehty ja käyttö aloitettu ennen kuin tietosuojavastaava on asiasta kuullutkaan. Hankinnan vaiheet eivät myöskään toteudu aina hienosti peräkkäin, vaan väistämättä usein limittyvät ja koko prosessin hallinta voi olla hankalan tuntuista. Tietosuojalainsäädännön noudattaminen ei ole kuitenkaan tietosuojavastaavan vastuulla, vaan ihan yleisesti koko organisaation vastuulla – ihan kuin minkä tahansa muunkin lain noudattaminen. Tietosuojavastaava kyselee, koska hänen vastuullaan on lain noudattamisen valvonta.

Mutta voisiko asian tehdä ilman jatkuvaa kyselyä ja eri osastojen tekemisten kyttäämistä? Yllä olevassa kaaviossa punertavalla pohjalla on ne kohdat, joista tietosuojavastaava ei ennakkoon ole tietoinen. Kaikissa muissa tietosuojavastaava voi auttaa, vaikka ei yksin pysty kaikkea tekemään. Jos hankintaa tai käsittelytoimintaa suunnitteleva henkilö ottaisi tietosuojavastaavan heti suunnitteluvaiheessa mukaan, säästyttäisiin usein monilta ongelmilta, joiden selvittely jälkikäteen on turhauttavaa, vie työaikaa ja pahimmillaan tietosuoja on jo vaarantunut. Yhdessä tehty työ ja vastuiden jakaminen heti alussa selkiyttää usein myös hankalaa kokonaisuutta.

Ottakaa heti alkuvaiheessa tietosuojavastaava mukaan, kertokaa mitä on tarkoitus tehdä tai hankkia ja miten henkilötietoja käsiteltäisiin. Sitä kautta saatte apua niihin kaikkiin ikäviin selvityksiin, joita tietosuojavastaava alkaisi jälkikäteen kyselemään. Tässäkin hyvin suunniteltu on puoliksi tehty.