TIETOSUOJAVASTAAVA
Mikä on tietosuojavastaava?
Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa. Tietosuojavastaava voi olla työsuhteinen työntekijä tai tehtävä voidaan ulkoistaa sopimuksen perusteella kolmannelle. Tietosuojavastaavan yhteystiedot on ilmoitettava tietosuojavaltuutetun toimistolle. Tietosuojavastaavan yhteystietojen on oltava helposti myös yleisön saatavilla.
Milloin tietosuojavastaava pitää nimittää?
Rekisterinpitäjän tai henkilötietojen käsittelijän on nimitettävä tietosuojavastaava mm. silloin, kun niiden ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.
Vaikka tietosuoja-asetuksessa ei nimenomaisesti vaadittaisikaan tietosuojavastaavan nimittämistä, organisaatioiden voi kuitenkin olla hyödyllistä nimittää tietosuojavastaava vapaaehtoisesti. Jos organisaatio nimittää tietosuojavastaavan vapaaehtoisesti, nimittämiseen, asemaan ja tehtäviin sovelletaan tietosuoja-asetuksen tietosuojavastaavaa koskevia vaatimuksia samalla tavoin kuin tilanteessa, jossa nimittäminen on pakollista. Kevyempi menettely on nimittää esimerkiksi tietosuojakoordinaattori tai muutoin vastuuttaa tietosuoja-asioita tietylle työntekijälle tai tiimille, jolloin tietosuoja-asetuksen tietosuojavastaavia koskevia normeja, kuten ilmoitusvelvollisuutta tai pätevyysvaatimuksia, ei sellaisenaan sovelleta.
Jos päädytään siihen, että tietosuojavastaavaa ei nimitetä, on suositeltavaa dokumentoida se, miksi tietosuojavastaavaa ei ole nimitetty sekä kuka on yrityksessä tietosuoja-asetuksen noudattamisesta vastaava henkilö.
Kuka voi toimia tietosuojavastaavana?
Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys, erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa hänelle kuuluvat tehtävät. Tietosuojavastaavan on muun muassa seurattava, että organisaatiossa noudatetaan tietosuojalainsäädäntöä. Hänen tehtäviinsä kuuluu myös neuvoa rekisterinpitäjää tai henkilötietojen käsittelijää sekä henkilötietoja käsitteleviä työntekijöitä tietosuoja-asioissa.
Tietosuojavastaavan on oltava riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Tietosuojavastaava ei voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot.
Mitkä ovat tietosuojavastaavan tehtävät?
Tietosuojavastaavalla on oltava ainakin seuraavat tehtävät:
-
antaa henkilötietoja käsitteleville työntekijöille tietoja ja neuvoja
-
seurata, että asetusta noudatetaan
-
antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa niiden toteutusta
-
tehdä yhteistyötä valvontaviranomaisen kanssa
-
toimia valvontaviranomaisen yhteyspisteenä käsittelyyn liittyvissä kysymyksissä
Tietosuojavastaavalle voidaan antaa muitakin tehtäviä liittyen organisaation tietosuojatyöhön. Tietosuojavastaavalle voidaan antaa tehtäväksi esimerkiksi laatia ja ylläpitää rekisterinpitäjän selostetta käsittelytoimista. Tietosuojavastaava ei ole henkilökohtaisesti vastuussa yleisen tietosuoja-asetuksen noudattamatta jättämisestä. Tietosuojasäännösten noudattaminen on aina rekisterinpitäjän ja/tai henkilötietojen käsittelijän vastuulla.
Millainen on tietosuojavastaavan asema?
Tietosuojavastaava on tehtävässään riippumaton, eikä hän saa ottaa vastaan ohjeita asetuksen mukaisten tehtävien hoitamisen yhteydessä. Tietosuojavastaava raportoi suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Tehtäviään suorittaessa tietosuojavastaavaa sitoo salassapitovelvollisuus Euroopan unionin lainsäädännön tai kansallisen lainsäädännön mukaisesti.
Tietosuojavastaava on otettava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn ja kehittämiseen, esimerkiksi, kun suunnitellaan tai kehitetään tietojärjestelmiä. Hänelle on asetuksen mukaan annettava riittävät resurssit sekä pääsy henkilötietoihin ja käsittelytoimiin. Tietosuojavastaavalle on varattava riittävä perehdytys ja koulutus asiantuntemuksen ylläpitämiseksi.
Rekisterinpitäjä tai henkilötietojen käsittelijä ei saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään tietosuojavastaavana. Rangaistus voi olla esimerkiksi varoituksen antaminen, ylennyksen tekemättä jättäminen tai viivästyminen, urakehityksen estäminen tai sellaisten etuuksien epääminen, joita muut työntekijät saavat.
Tietosuojavastaava voidaan erottaa, jos erottaminen toteutetaan tavanomaisena johdon määräyksenä ja ehdoin, jotka sopimuslainsäädännön tai palvelussuhde- tai rikoslainsäädännön nojalla koskevat myös kaikkia muita työntekijöitä tai toimeksisaajia.
Miten Folks voi auttaa?
Folksin asiantuntijat voivat toimia sopimuksen perusteella yrityksen ulkoistettuna tietosuojavastaavana. Useimmiten toimimme kuitenkin tietosuojavastaavan tai -koordinaattorin tukena, jolloin tarjoamme tietosuojavastaavan ja hänen edustamansa organisaation käyttöön vuosien kokemuksemme ja tietoa alan parhaista käytännöistä. Näin organisaation sisäisiä tietosuojakyvykkyyksiä voidaan kehittää nopeassa tahdissa.