Ads 468x60px

keskiviikko 24. lokakuuta 2012

Tietosuojavastaavan tehtävät ja rooli organisaatiossa

Suurimmalla osalla suomalaisista isoista organisaatioista on jo jonkin aikaa ollut tietoturvavastaava. Tietosuojavastaavan on yksityissektorin toimijoista nimittänyt tähän mennessä kuitenkin vain suurimmat ja ”kauneimmat”.  Tähän lienee syinä ainakin pakottavan lainsäädännön puuttuminen, epätietoisuus tietosuojavastaavan järkevästä tehtäväkentästä sekä se, että usein tietosuoja-asiat tuntuvat edelleen majailevan organisaatioiden to do-listojen häntäpäässä.
Suomessa terveydenhuollon sektorilla tietosuojavastaavan nimittäminen on ollut pakollista jo vuodesta 2007, ja EU:n tulevan tietosuoja-asetuksen myötä ollaan ottamassa käyttöön yleistä rekisterinpitäjiä koskevaa velvollisuutta nimittää tietosuojavastaava. Asetuksen luonnostekstissä velvollisuus ei silti koske pieniä yksityisen sektorin rekisterinpitäjiä, tällä hetkellä raja-arvo on asetettu 250 työntekijän organisaatioihin, poislukien ns. erityistapaukset.
Tietosuojavastaavan tehtävä on avustaa organisaatiotaan lakisääteisten velvoitteiden hoitamisessa ja hyvän tietohallintotavan kehittämisessä. Tietosuojavastaavan tulisi olla erityisasiantuntija, joka toimii henkilöstön tukena päivittäisen henkilötietojen käsittelyn kysymyksissä, toimii yhteyshenkilönä viranomaisiin päin, sekä toimii neuvonantajana johdolle ja raportoi tietosuojan tilasta ja kehityskohteista. Tietosuojavastaava osallistuu mm. henkilötietojen käsittelyn prosessien ja valvonnan suunnitteluun, politiikan ja ohjeistuksen laadintaan, koulutuksen järjestämiseen sekä kontrolliympäristön määrittelyyn.
Tietosuojavastaavan tulisi olla organisaatiossaan mahdollisimman riippumaton tekijä, joka raportoi suoraan johdolle. Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys ja erityisesti tietosuojalainsäädäntöä ja alan käytänteitä koskeva erityisasiantuntemus sekä valmiudet suorittaa tietosuoja-asetuksessa määritetyt velvoitteet.
Käytännön haasteena suomalaisille rekisterinpitäjille tulee olemaan yllä mainitut pätevyysehdot täyttävien ja organisaation prosessit tuntevien henkilöiden löytäminen. Jotta tietosuojavastaava pystyisi hoitamaan tehtäviään menestyksekkäästi, on hänen tehtävät, vastuut ja asema määriteltävä selkeästi ja tarjottava riittävät resurssit toiminnalle. Muutoin vaarana on, että tietosuojavastaavan nimittäminen tapahtuu vain paperilla ja organisaation toiminta jatkuu entisellään. Tämä ei luonnollisesti ole lainsäätäjän tarkoitus, ja organisaatio voi hyötyä suuresti pätevän tietosuojavastaavan panoksesta, niin taloudellisten kuin niiden kuuluisien maineriskienkin välttämisessä.

Ei kommentteja:

Lähetä kommentti