Tietosuojavastaava on henkilö, jonka tehtävä on valvoa tietosuojan noudattamista organisaatiossa.
Milloin yritys tarvitsee tietosuojavastaavan
GDPR:n artikla 37 edellyttää tietosuojavastaavan nimeämistä kolmessa tilanteessa: julkishallinto, laajamittainen säännöllinen henkilöiden seuranta tai laajamittainen erityisten henkilötietoryhmien käsittely.
"Laajamittaisuutta" arvioidaan kokonaisuutena: käsittelyn volyymi, maantieteellinen ulottuvuus, kesto ja rekisteröityjen määrä. Sairaala käsittelee laajamittaisesti terveystietoja. Yksittäinen lääkäriasema ei välttämättä. SaaS-yritys, jonka palvelua käyttää tuhansia ihmisiä EU-alueella ja joka seuraa käyttäjien toimintaa analytiikalla, todennäköisesti täyttää kriteerin.
Vaikka nimeämisvelvollisuutta ei olisi, moni yritys hyötyy DPO:sta, erityisesti ulkoistettuna. Se osoittaa asiakkaille ja kumppaneille, että tietosuojaan suhtaudutaan vakavasti.
Mitä tietosuojavastaava tekee
DPO:n lakisääteiset tehtävät ovat: neuvoa organisaatiota tietosuojavelvoitteista, valvoa GDPR:n ja kansallisen lainsäädännön noudattamista, osallistua vaikutustenarviointeihin, toimia yhteyshenkilönä valvontaviranomaiseen ja rekisteröityihin.
Arjessa DPO myös koordinoi dokumentaation ylläpitoa, arvioi uusia järjestelmiä ja palveluja tietosuojanäkökulmasta, auttaa loukkausten käsittelyssä ja kouluttaa henkilöstöä. Kyse ei ole paperinpyörittäjästä vaan aktiivisesta roolista, joka vaatii sekä juridista osaamista että käytännön ymmärrystä.
Voiko tietosuojavastaavan ulkoistaa
Kyllä. GDPR sallii sen nimenomaisesti. Ulkoistettu DPO hoitaa samat tehtävät kuin sisäinen.
Ulkoistaminen on yleensä järkevin vaihtoehto yrityksille, joille kokoaikainen DPO olisi ylimitoitettu, mutta joilla on aito tarve asiantuntemukselle. Ulkoistettu DPO tuo mukanaan kokemuksen useista organisaatioista ja toimialoista, jota yksittäisellä sisäisellä henkilöllä harvoin on.
Mitä tehdä
- Arvioi, täyttyvätkö nimeämisvelvollisuuden kriteerit
- Jos kyllä, nimeä DPO (sisäinen tai ulkoinen) ja ilmoita yhteystiedot tietosuojavaltuutetulle
- Jos ei, harkitse silti ulkoistettua DPO:ta, sillä se voi olla paras tapa saada asiantuntemusta kustannustehokkaasti
Lawder tarjoaa ulkoistetun tietosuojavastaavan palvelua, joka kattaa lakisääteiset tehtävät ja käytännön tuen.
Tietosuojavastaavan vastuut ja riskit
Tärkeä asia, joka usein ymmärretään väärin: DPO ei ole henkilökohtaisesti vastuussa GDPR:n noudattamisesta. Vastuu on aina rekisterinpitäjällä eli yrityksellä itsellään.
DPO:n rooli on neuvoa ja valvoa, ei päättää. Häntä ei saa rangaista tehtäviensä hoitamisesta, eikä hänelle saa antaa ohjeita siitä, miten tehtäviä pitäisi suorittaa. Riippumattomuus on GDPR:n vaatimus.
DPO:n nimeäminen ei siis siirrä vastuuta pois yritykseltä – se tuo organisaatioon osaamista, joka auttaa vastuun kantamisessa.