EU:n tietosuoja-asetus (GDPR) säätää tietosuojavastaavan (DPO) asettamisesta. Artikla 37 1-kohdassa on listattu kriteerit jolloin tietosuojavastaava pitää asettaa. Kohdat viranomaisia ja arkaluonteisia tietoja käsittelevistä toimijoista ovat kohtuullisen selvät mutta artiklan b-kohdasta löytyy kriteerit joita vielä monessa paikassa pähkäillään.
Suora kopio artiklatekstistä:
b) rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa,laajuutensa ja/tai tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistäseurantaa.
Tekstiä ei ole paljon mutta tulkinnanvaraisuutta löytyy helposti termeistä ”ydintehtävät”, ”luonteensa, laajuutensa ja/tai tarkoituksensa vuoksi edellyttävät”, ”laajamittaista”, ”säännöllistä ja järjestelmällistä”, ”seurantaa”.
Joku voi kriteerien äärellä sanoa että välikö hällä, pointtina on että jokaisen henkilötietoja vähänkin enemmän käsittelevän modernin yrityksen pitäisi nimetä itselleen tietosuojavastaava. Tuon tyyppisessä lausumassa on oma pointtinsa mutta katsotaanpa minkälainen tietosuojavastaavan positio asetukseen oikein on leivottu sisään. Minkälainen on tietosuojavastaavan profiili, minkälaisen kaapuun GDPR tietosuojavastaavan kietoo?
Marvelin tiukka supersankari?
Otetaanpa kooste eräistä tietosuojavastavaa koskevista säännöksistä:
- Tietosuojavastaava on 38 artiklan 1 kohdan mukaan otettava ”riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn”. WP 29 tarkentaa vielä: ”is involved from the earliest stage possible in all issues relating to data protection….All relevant information must be passed on to the DPO in a timely manner in order to allow him or her to provide adequate advice.”
- Yrityksen on varmistettava ”ettei tietosuojavastaava ota vastaan ohjeita näiden tehtävien hoitamisen yhteydessä.”
- Tietosuojavastaavalla voi olla muita tehtäviä mutta yrityksen on varmistettava että ”tehtävät ja velvollisuudet eivät aiheuta eturistiriitoja”.
- Pitäisi olla hyvä ymmärrys liiketoimintasektorista, oman yrityksen liiketoiminnasta, henkilötietojen käsittelytilanteiden kirjosta, tietojärjestelmistä, tietoturvallisuudesta ja käyttäjien yksityisyyden suojan tarpeista, tähän päälle vielä korkea ammatillinen etiikka (WP 29:n listausta tietosuojavastaavan kompetenssista). Jos ulkoistaa tietosuojan tehtäviä niin WP 29 laittaa vielä kirsikaksi kakun päälle vaatimukset DPO-palveluita tarjoavalle yritykselle: ”it is essential each member of the organisation exercising the functions of a DPO fulfils all applicable requirements ”.
Eli olisi oltava mukana aivan kaikessa henkilötietojen käsittelyssä, ei ohjeita mistään suunnasta, oltava täysin riippumaton ja osattava suunnilleen kaikkea. Löytyisiköhän Marvelin supersankarikaartista DPO-viitan omaava hahmoa? Melkoinen hahmo tilauksessa!
Monet ovat kokeneet tietosuojavastaavan tiukan riippumattomuusvaatimuksen hiukan hankalana maastona. Etenkin pienemmissä yrityksissä monet tietosuojavastaavat ovat ihan resurssisyistä samanaikaisesti operatiivisissa liiketoimintapositioissa tehden päivittäin tärkeää työtä niin liiketoiminnan kuin tietosuojavastaavan tehtävien saralla. ”Jos olet töissä yrityksessä niin olet töissä yrityksessä ja mukana liiketoiminnassa, sillä sipuli” eräs henkilö asian tiivisti. Saksassa on Baijerissa kansallisen lainsäädännön nojalla oltu riippumattomuudessa uber-tömäkkänä. Eräs yritys sai sakot kun ei suostunut nimeämään erillistä henkilöä DPO:ksi kun yrityksen IT-johtaja oli toiminut myös tietosuojavastaavana minkä katsottiin johtavan lain vastaiseen intressiristiriitaan (kyse ei siis GDPR-casesta).
Sisäinen tarkastaja vai…?
Jos okuläärit ovat sopivan tiukassa kulmassa niin tietosuojavastaavaa koskevista GDPR-säännöksistä voi tosiaan saada hyvinkin tiukan kudelman. Voi tulla tuntu että tietosuojavastaava on joka kulman takaa kurkistava ja valvova tietosuoja sisäinen tarkastaja. Voisi kysyä että miksi ei muista laeista ole synnytetty yrityksiin vastaavia valvojia ja tarkastajia, esimerkiksi veroasiamies, verkkokauppavalvoja, asiakasasiamies, IPR-upseeri…(tämä ei todellakaan ole ehdotus).
Mutta säännöksen suora soveltaminen on harvoin jos koskaan säännöksen parasta soveltamista ja tulkintaa. Vaikka GDPR (39.b art) antaa tietosuojavastaavan yhdeksi ydintehtäväksi tietosuoja-asetuksen noudattamisen valvomisen niin GDPR:n toimenkuvasta löytyy velvoiteitta ja piirteitä jotka muuttavat kuvaa tietosuojavastaavasta tarkastaja/valvoja-moodista laaja-alaisemmaksi, rikkaammaksi, monisyisemmäksi. Tietosuojavastaavan tehtäviin kuuluu GDPR:n mukaan myös tietojen ja neuvojen antaminen, tiedon lisääminen ja henkilöstön koulutuksesta huolehtiminen.
Tietosuoja-ohjautuva organisaatio
Vaikka GDPR kirjoittaa tietosuojavastaavasta kuin yksittäisestä henkilöstä ja termistäkin syntyy henkilötason tunto ja tunnelma niin on itsestään selvää että tietosuojavastaava on tiimi- ja verkostotoiminto. Palvelufunktio jossa monialainen osaajakatras yhdessä huolehtii tietosuoja-asioista ja tietosuojakulttuurin kehityksestä sekä osaamisen kasvusta ja jalkauttamisesta yrityksessä.
Jos allekirjoitaneen pitäisi (kulttuurisesti) valita onko tietosuojavastaava tietosuojan A. Valvoja vai B. Kehittäjä niin lukitsisin B:n kaverille kilauttamatta. Voisi vanhaa fraasia soveltaen ajatella että tietosuojavastaavan tehtävä olisi tehdä toimestaan tarpeeton. Luoda yksityisyyden suojaa mahdollisimman hyvin ymmärtävä, arjen tietosuojaa ja datan hyödyntämistä mahdollisimman itseohjautuvasti toteuttava organisaatio.
PS: Vinkki: Jos yrityksellä ei ole velvoitetta asettaa GDPR:n tarkoittamaa tietosuojavastaavaa mutta yritys haluaa silti luoda sen tyyppisen position niin käytännön vinkki: Kannattaa tarkkaan miettiä laittaako position nimeksi ”Tietosuojavastaava” sillä ainakin WP 29 on tulkintaohjeessaan ottanut kannan että tällöin GDPR:n tietosuojavastaavaa koskevat artiklat 37-39-artiklat koskevat yritystä vaikka velvoitetta DPO:n asettamiseen ei olisi ollutkaan. Tittelit siis mietintään…
