Tietosuojavastaava yrityksessä
Toukokuussa 2018 voimaantullut EU:n tietosuoja-asetus velvoittaa osan yrityksistä nimittämään tietosuojavastaavan. Vaikka tietosuojavastaavaa ei olisikaan pakko nimittää, monissa yrityksissä nimitys on tehty tietosuojan varmistamiseksi.
Milloin yritykseen on nimitettävä tietosuojavastaava?
Tietosuojavastaava on nimitettävä, jos yrityksen ydintehtävät muodostuvat henkilötietojen käsittelytoimista, jotka luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Tietosuojavastaava on nimitettävä myös, jos yrityksen ydintehtävät muodostuvat laajamittaisesta henkilötietojen käsittelystä, joka kohdistuu erityisiin tietoryhmiin. Ratkaisevaa ei ole yrityksen koko, vaan asiakkaiden ja kerättävien tietojen määrä ja laatu.
Kenet voidaan nimittää tietosuojavastaavaksi?
Tietosuojavastaavaa valittaessa on huomioitava henkilön ammattipätevyys, asiantuntemus tietosuojalainsäädännöstä ja -käytänteistä sekä valmiudet selviytyä tietosuojavastaavan tehtävästä. Varsinaisia vaatimuksia koulutuksesta tai kokemuksen määrästä ei ole.
Tietosuojavastaava voidaan nimittää yrityksen omasta henkilökunnasta tai tehtävää voidaan hoitaa palvelusopimuksen perusteella.
Erityisesti silloin, kun tietosuojavastaava nimitetään omasta henkilökunnasta, on huomattava, että tietosuojavastaavalta vaaditaan riippumattomuutta. Esimerkiksi henkilöt, jotka vastaavat yrityksen tietojärjestelmistä tai päättävät henkilötietojen käyttötarkoituksista, eivät voi toimia tehtävässä. Pienissä ja keskisuurissa yrityksissä voi olla haastavaa löytää sopivaa riippumatonta henkilöä tietosuojavastaavaksi. Tällöin vaihtoehtona on tietosuojavastaavapalvelun hankkiminen. Tietosuojavastaavan palvelut voi ulkoistaa esimerkiksi asianajotoimistolle.
Tietosuojavastaavan asema ja tehtävät
Tietosuojavastaavan asema yrityksessä on varsin itsenäinen, sillä hän raportoi suoraan ylimmälle johdolle. Yritys ei saa ohjata tietosuojavastaavaa tämän tehtävien hoidossa tai määrätä ottamaan tiettyä kantaa käsiteltävään tietosuoja-asiaan. Yrityksen johdon täytyy varmistaa, että tietosuojavastaava otetaan asianmukaisesti ja ajoissa mukaan henkilötietojen suojaa koskevien kysymysten käsittelyyn. Tietosuojavastaavan tulee olla yrityksen johdon keskustelukumppani tietosuoja-asioiden suunnittelussa ja toteutuksessa, ja läsnä tietosuoja-asioita koskevassa päätöksenteossa. Tietosuojavastaava ei kuitenkaan osallistu päätöksentekoon.
Yrityksen tulee tukea tietosuojavastaavaa tehtävissään; tietosuojavastaavalle on muun muassa tarjottava tarvittavat resurssit, pääsy henkilötietoihin ja niiden käsittelytoimeen sekä koulutusta.
Johto on vastuussa tietosuoja-asetuksen noudattamisesta
Tietosuojavastaava ei ole vastuussa tietosuoja-asetuksen mukaisten velvollisuuksien noudattamisesta yrityksessä, vaan vastuu on yrityksen johdolla. Johdon on siis tietosuojavastaavan olemassaolosta huolimatta huolehdittava, että yritys noudattaa tietosuoja-asetusta ja kykenee myös näyttämään, että henkilötietoja käsitellään tietosuoja-asetuksen mukaisesti. Tietosuojavastaava tukee johtoa tässä tehtävässä.