Verkkokursseistamme ehdottomasti suosituin on ollut “Tietosuojavastaavan ABC“. Ajattelinkin, että olisi varmasti aiheellista kirjoittaa tietosuojavastaavan rooliin liittyviä ajatuksiani myös tänne blogin puolelle.
Kyseessä on tärkeä tehtävä, sillä tietosuojavastaava toimii organisaation tietosuojan ja tietoturvan rakentamisen ja varmistamisen osalta merkittävässä roolissa. Tehtävän tärkeyttä korostaa luonnollisesti myös se, että tehtävään sisältyvät vastuut ja velvollisuudet on säädetty lainsäädännössäkin.
Rajasin tätä blogikirjoitusta siten, että keskityn erityisesti tietosuojavastaavan rooliin liittyviin haastaviin näkökohtiin, joiden selättäminen on hyvä huomioida omassa organisaatiossa.
Sosiaali- ja terveydenhuollon organisaatioissa toimineet tietosuojavastaavat joutuivat kevään 2018 jälkeen, joko omasta tahdostaan tai kehoitettuna, hoitamaan tehtäviään aiempaa laajemmassa mittakaavassa, jonka EU:n tietosuoja-asetus kevään 2018 voimaantulon jälkeen määritteli. Yleinen haaste tilanteessa on se, että päätoimisia tietosuojavastaavia on kohtalaisen harvassa organisaatiossa, vaikka tosiasiallinen tarve tietosuojavastaavan työpanokselle olisikin suuri, jo lain minimivelvoitteiden täyttämisen osalta. Tietosuojavastaavan tehtävä on siis varsin usein sellainen, joka hoidetaan oman työn ohessa, kun on sopivaa aikaa.
Tämä asettaa omia haasteitaan tietosuojavastaavan roolissa kasvamiselle ja kehittymiselle. Organisaatiossa päättävässä asemassa toimivien on hyvä tiedostaa se, että osaamaton tietosuojavastaava voi pahimmillaan olla organisaation yksi suurimmista tietosuojariskeistä, sillä kuka ohjaa ja neuvoo organisaatiota tietosuoja ja tietoturva asioissa, jos tietosuojavastaava ei sitä osaa tehdä?
Monille organisaatioille saattaa tulla hieman yllätyksenä se, miten pitkäjänteistä työ tietosuojan ja tietoturvan parissa on. Tuloksia ei kannata odottaa heti, eikä tämä ole edes kovin realistista. Samoin tietosuojavastaavan itsensä tulee tulla tutuksi henkilöstölle. Tämä tarkoittaa sitä, että tietosuojavastaava ottaa oma paikkansa organisaatiossa, ja työntekijät kokevat, että häneen voi luottaa. Vasta tämän jälkeen tietosuojavastaavan tekemä työ jalkautuu käytännön tasolle ja siltä voidaan odottaa konkreettisia tuloksia.
Teoriassa tietosuojavastaavan tulisi olla asiantuntija jo siinä vaiheessa, kun hän aloittaa tehtävässä. Näin siis ainakin siinä tapauksessa, kun lakipykäliä tulkitaan kirjaimellisesti.
EU:n tietosuoja-asetuksen mukaisesti tietosuojavastaavan tehtävään nimettävällä henkilöllä olisi hyvä olla tehtävän vaatimaa ammattipätevyyttä ja etenkin asiantuntemusta tietosuojalainsäädännöstä, sekä alaan liittyvistä hyvistä käytännöistä. Jos ollaan tarkkoja ei tietosuojavastaavan roolissa riitä kuitenkaan pelkästään EU:n tietosuoja-asetuksen tunteminen, vaan hänen tulee tuntea myös toimialaa koskevaa erityislainsäädäntöä. Tämä tulee huomioida erityisesti sosiaali- ja terveysalalla, jossa mm. asiakas- ja potilastietojen käsittelyyn ja kirjaamiseen liittyvistä eri käytännöistä on säädetty useassa laissa.
Tietosuojavastaavan onkin tärkeää osata tulkita mikä laki on missäkin eri tilanteessa ohjaava lainsäädäntö, onko käsillä olevaan asiaan olemassa valmista tulkintaa ja miten lakia tulkitaan ylipäätään? Arvailujen varassa ei pitäisi koskaan lähteä antamaan ohjeita ja linjauksia eri tilanteisiin. Toki liian varovainenkaan ei pidä olla, ehkä ennemminkin on tärkeää selvittää perusteellisesti, jos ei ole aivan varma tulkinnasta.
Yleinen harhaluulo ja ehkä koulutuksissakin jollakin tasolla korostettu väittämä on se, että tietosuojavastaava ei olisi vastuussa mistään. Tämä ajatus vaatii kuitenkin hieman täsmennystä. On totta, ettei tietosuojavastaava ole vastuussa organisaation tietosuojasta henkilökohtaisesti. Organisaation vastuulla on vastata henkilörekisteriin liittyvästä hallinnasta ja sen hallussa olevien rekisteritietojen oikeaoppisesta käsittelystä. Tietosuojavastaavalle on kuitenkin määritelty hänen vastuulla olevia tehtäviä, ja näiden tehtävien hoitamisesta tietosuojavastaava on itsenäisesti vastuussa.
Haastavaksi tilanne tulee siinä vaiheessa, mikäli tietosuojavastaavalle ei määritellä riittävästi resursseja tehtäviensä hoitamiseksi. Tällöin pallo lentää takaisin organisaation suuntaan, miten on ajateltu, että tietosuojavastaava käytännössä selviää kaikista tehtävistään kunnialla, jos hänellä ei ole käytössää riittäviä resursseja? Tässäkin toki tietosuojavastaavan tulee olla aktiivinen, on tärkeää, että tietosuojavastaava raportoi suoraan johdolle tai vähintään lähimälle esimiehelleen, jos tehtävien hoitamiseen ei ole laillisia tai riittäviä edellytyksiä.
Tietosuojavastaavan tulee olla varautunut erilaisiin ja yllättäviinkin tilanteisiin, joita hän kohtaa roolissaan. Tietosuojavastaavan asiantuntemus ei voi kasvaa ja kehittyä ilman säännöllistä kouluttautumista aiheen osalta.Tietosuojan ja tietoturvan moniosaajana tietosuojavastaava tulisi nähdä organisaation tärkeänä tekijänä, johon panostetaan, ja jonka toiveita kuunnellaan herkällä korvalla. Tämä sama pätee toki yrittäjiinkin, jotka ovat toisinaan hieman pakon sanelemana ottaneet kontolleen myös tietosuojavastaavan roolin. Tähän rooliin todellakin liittyy myös velvollisuuksia joista tulee olla tietoinen ja jotka tulee saattaa kuntoon myös käytännöntasolla. Lainsäädännön silmissä vaatimukset ovat samat kaikille, olitpa pieni tai iso toimija.
Mikäli sinusta tuntuu, että nyt olisi ehkä hyvä aika perehtyä tietosuojavastaavan rooliin liittyviin vaatimuksiin ja käytäntöihin hyppää mukaan “Tietosuojavastaavan ABC”- kurssillemme!