Tietosuojavastaavan tehtävät

Yleinen tietosuoja-asetus (GDPR) edellyttää, että tietyissä tilanteissa organisaatio nimittää itselleen erityisen asiantuntijan, tietosuojavastaavan, joka neuvoo tietosuojasäädännön noudattamisessa ja rekisteröityjen oikeuksien turvaamisessa.

Mitä tehtäviä tietosuojavastaavalle kuuluu?

Tietosuojavastaavan tehtävänä on huolehtia siitä, että organisaatiossa noudatetaan tietosuojalainsäädäntöä. Tästä huolimatta on tärkeää tiedostaa, että tietosuojavastaavan nimittämisestä huolimatta organisaatio on itse vastuussa tietosuojan noudattamisesta. Esimerkiksi rekisterinpitäjä ei voi siis sysätä vastuuta rikkomuksista tietosuojavastaavan harteille. Tietosuojavastaavan tehtävät voidaankin nähdä avustavina tehtävinä, ja näihin tehtäviin kuuluu ainakin seuraavat asiat:

• Tietosuojalainsäädäntöön liittyvien tietojen ja neuvojen antaminen rekisterinpitäjälle tai henkilötietojen käsittelijälle ja näiden henkilöstölle.
• Tietosuojalainsäädännön noudattamisen seuraaminen.
• Rekisterinpitäjän tai henkilötietojen käsittelijän toimintatapojen seuraaminen. Toimintatapojen seuraamiseen voi kuulua esimerkiksi vastuunjaon, tiedon lisäämisen ja koulutustilaisuuksien arviointi.
• Tietosuojaa koskevassa vaikutusarvioinnissa avustaminen tarpeen mukaan.
• Yhteistyön tekeminen valvontaviranomaisten kanssa, johon kuuluu esimerkiksi yhteyshenkilönä toimiminen tietosuojakäsittelyyn liittyvissä kysymyksissä.

Näiden tehtävien lisäksi oleellinen osa tietosuojavastaavan työtä on kommunikointi rekisteröityjen kanssa. Rekisteröity saattaa tarvita lisätietoja henkilötietojensa käsittelystä tai pyytää tietojensa korjaamista, jolloin hän ottaa yhteyttä tietosuojavastaavaan. Siksi organisaation on tärkeää ilmoittaa selkeästi tietosuojavastaavan yhteystiedot esimerkiksi nettisivuillaan tai tietosuojaselosteen yhteydessä.

tietosuojavastaavan asema

Jotta tietosuojavastaava voisi parhaalla mahdollisella tavalla suorittaa hänelle määrättyjä tehtäviä, tulee organisaation ensinnäkin huolehtia siitä, että tietosuojavastaava otetaan varhaisessa vaiheessa mukaan henkilötietojen suojaa koskevien kysymysten käsittelyyn ja että hänelle taataan tarpeelliset resurssit ja käyttöoikeudet tehtäviensä hoitamiseksi. Lisäksi tietosuojavastaavalle on annettava työskentelyrauha. Tämä tarkoittaa sitä, ettei tietosuojavastaavaa saa neuvoa siinä, miten hänen tulisi tehtäväänsä hoitaa ja millaiseen lopputulokseen päätyä esimerkiksi valitusten osalta. Tietosuojavastaavaa ei luonnollisesti saa myöskään erottaa tai rankaista sen perusteella, että hän on hoitanut tehtäviään, mikä osaltaan edesauttaa tietosuojavastaavan mahdollisuutta toimia itsenäisesti ja riippumattomasti.

Tietosuojavastaavan nimeämisellä on organisaatiolle paljon hyötyä. Tietosuojavastaava ei ainoastaan neuvo organisaatiota käytännön tietosuoja-asioissa, kouluta henkilöstöä ja huolehdi asianmukaisesta yhteydenpidosta viranomaisten kanssa, vaan tietosuojavastaavan myötä organisaatio voi myös huolehtia osoitusvelvollisuudestaan. Organisaatiossa kannattaisikin pyrkiä luomaan sellaista ilmapiiriä, jossa tietosuojavastaava nähdään enemmänkin lainsäädännön noudattamisen tukijana ja ongelmanratkaisijana sen sijaan, että tietosuojavastaavaa pidettäisiin pakollisena taakkana, joka vain rajoittaa toimintaa.

Lue täältä lisää tietosuojavastaavan nimittämisestä.

Lähde §: yleinen tietosuoja-asetus

11.07.2024
Suomen Juristit lakimies