Tietosuojavastaavat toimivat keskeisessä roolissa organisaation vastaavan johdon apuna henkilötietojen käsittelykäytänteiden suunnittelussa ja jalkautuksessa työntekijöille. Myös silloin, kun EU:n yleisessä tietosuoja-asetuksessa ei nimenomaisesti vaadita tietosuojavastaavan nimittämistä, organisaatioiden voi olla hyödyllistä nimittää tietosuojavastaava vapaaehtoisesti.

  • Tietosuojavastaavaa nimitettäessä pitää ottaa huomioon henkilön ammattipätevyys ja erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa 39 artiklassa tarkoitetut tehtävät
  • Tietosuojavastaava voi olla rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai tietosuojavastaava voi hoitaa tehtäviään palvelusopimuksen perusteella
  • Rekisterinpitäjän tai henkilötietojen käsittelijän on julkistettava tietosuojavastaavan yhteystiedot ja ilmoitettava ne valvontaviranomaiselle

EU:n tietosuojaviranomaisista koostuva WP29-työryhmä on julkaissut ohjeet EU:n yleisen tietosuoja-asetuksen tulkinnasta suomeksi ja ruotsiksi. Samalla työryhmä julkaisi myös vastauksia usein kysyttyihin kysymyksiin tietosuojavastaavista. Ohjeet ja vastaukset ovat käännöksiä englanninkielisistä julkaisuista.

Tietosuojavastaavia koskevat ohjeet löydät tästä linkistä https://tietosuoja.fi/tietosuojavastaavat

 

EU:n tietosuojaviranomaisista koostuva WP29-työryhmä on julkaissut ohjeita EU:n yleisen tietosuoja-asetuksen tulkinnasta suomeksi ja ruotsiksi. Samalla työryhmä julkaisi myös vastauksia usein kysyttyihin kysymyksiin tietosuojavastaavista, johtavan valvontaviranomaisen määrittämisestä ja oikeudesta siirtää tiedot järjestelmästä toiseen. Ohjeet ja vastaukset ovat käännöksiä englanninkielisistä julkaisuista.
 
 
 
 
 
 
 
 
 
asfgEU:n tietosuojaviranomaisista koostuva WP29-työryhmä on julkaissut ohjeita EU:n yleisen tietosuoja-asetuksen tulkinnasta suomeksi ja ruotsiksi. Samalla työryhmä julkaisi myös vastauksia usein kysyttyihin kysymyksiin tietosuojavastaavista, johtavan valvontaviranomaisen määrittämisestä ja oikeudesta siirtää tiedot järjestelmästä toiseen. Ohjeet ja vastaukset ovat käännöksiä englanninkielisistä julkaisuista.

Tietosuojavastaavan nimittäminen sote-sektorilla

Jokaisella sosiaali- ja terveydenhuollon palvelujen antajalla ja apteekilla, sekä Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten lakimääräisesti nimettynä tietosuojavastaava. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (asiakastietolaki, 159/2007, 20 §)  ja laki sähköisestä lääkemääräyksestä (eReseptilaki, 61/2007, 24 §) edellyttävät myös, että sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan sekä apteekkarin tulee antaa henkilökunnalle kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan ja apteekkarin tulee myös huolehtia asiakastietolain 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta (näin myös eReseptilaki 22 b §). Näissäkin kaikissa edellä mainituissa tehtävissä organisaation johto voi hyödyntää tietosuojavastaavaa muun muassa ohjeiden, suunnitelmien ja koulutusten suunnittelu ja toimeenpanotehtävissä.

Tietosuojavastaavan nimittämisen laajentaminen ja aseman parantaminen (EU:n tietosuoja-asetus, 2016/679)

Asia on nyt EU:n tasollakin erityisen ajankohtainen. Keväällä 2016 hyväksytyn EU:n yleisen tietosuoja-asetuksen (2016/679, aletaan soveltamaan 5/2018-) 37 artiklan mukaan jatkossa Suomessa myös muille kuin sosiaali- ja terveydenhuollon toimialoille (mukaan lukien apteekit) tullee omat lakimääräisen velvoitteensa nimetä tietosuojavastaavia, joiden työrooliin kuuluu tietosuoja-asioiden hoitaminen. Kyseessä on EU:n tietosuojalainsäädännön kehittäminen ja yhdenmukaistaminen. Asia on siis tiedostettu laajasti koko Euroopassa. Henkilötietojen käsittelyn suunnittelusta ja toimeenpanosta vastaavia työntekijöitä on käytännössä jo nimetty eri sektoreilla Suomessa ja muualla maailmassa suuremmissa organisaatioissa ja kehittyneemmissä PK-yrityksissä. Tämä on tapahtunut oma-aloitteisesti, vapaaehtoisesti ilman lainsäädännön vaatimuksia. Näissä yrityksissä oikein mitoitettu tietosuoja eli henkilötietojen käsittely oikein toteutettuna koetaan yrityksen prosessien sujuvuuden tehostuessa liiketoiminnan menestystekijäksi.

Eu:n yleisen tietosuoja-asetuksen 38 artiklan perusteella tietosuojavastaavan asemaa on oleellisesti parannettu kansallisesta lainsäädännöstämme. Rekisterinpitäjä ei mm. saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tämä omalta osaltaan rohkaiseen tietosuojavastaavia puuttumaan nykyistä tehokkaammin organisaation epäkohtiin asiakastietojen käsittely- ja tietosuojakäytänteissä. EU:n tietosuoja-asetuksen artikla 38 lisäksi velvoittaa rekisterinpitäjiä tukemaan nimittämäänsä tietosuojavastaavaa kuten mm. aikaisempaa painavammin osoittamaan ja varmistamaan tietosuojavastaavalleen riittävät työaika-, työväline ja kouluttautumisresurssit 39 artiklan mukaisten tehtävien hoitamista varten.  

Tietosuojavastaavan tehtävät

Tietosuojavastaavan tehtävänä on toimia rekisterinpitäjän apuna organisaation erityisasiantuntijana ja antaa asiantuntijatukea organisaation henkilöstölle. Tietosuojavastaava avustaa myös organisaation johtoa asiakastietojen käsittelyprosessien ja muun tietosuojan suunnittelussa ja toimeenpanossa. Viimekätinen vastuu rekisterinpidosta ja asiakastietojen laillisesta käsittelystä on organisaation johdolla: rekisterinpidon vastuuta ei voi ulkoistaa tietosuojavastaavalle. Tietosuojavastaavan toiminnan tukena toimivat varsinkin isoissa organisaatioissa muun muassa juristit, tietoturvahenkilöstö sekä tietoturvaan ja tietosuojaan liittyvät mahdolliset työryhmät. Voidakseen tukea rekisterinpitäjää mahdollisimman tehokkaasti tulisi tietosuojavastaavan voida suorittaa edellä mainitut tehtävät ja niihin liittyvät suunnittelu, seuranta ja raportointitehtävät mahdollisimman itsenäisesti.

Tietosuojavastaavan tulee tuntea kyseisen organisaation asiakaspalvelu-, tietojenkäsittely- sekä asiakirjahallinnon prosessit ja niille asetettavat vaatimukset. Tietosuojavastaavan tulee kouluttautua mahdollisuuksien mukaan ja vähintäänkin tuntea toimialaansa liittyvät lainsäädäntö, ohjeet ja määräykset. Lainsäädännössä ei aseteta nimenomaista vaatimusta siitä, mikä koulutustausta tai ammattinimike tietosuojavastaavalla tulisi olla. Hänellä tulisi kuitenkin olla riittävä koulutus tehtäväänsä, riittävä asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa EU:n tietosuoja-asetuksen 39 artiklassa tarkoitetut tehtävät.  Tässä tarkoituksessa tulee rekisterinpitäjän taata tietosuojavastaavalleen mahdollisuus ylläpitää ja kehittää erityisammattitaitoaan.

Tietosuojavastaavan tulee myös voida raportoida suoraan organisaation ylimmälle johdolle sekä osallistua riittävän varhain ja korkealla tasolla organisaation asiakaspalveluprosessien suunnittelu- ja kehittämistehtäviin. Hänellä tulee olla mahdollisuus osallistua ja lausua käsityksensä organisaation suunnittelemista henkilötietojen käsittelyä koskevista hallinnollisista uudistuksista, sekä EU:n tietosuoja-asetuksen 35 artiklan ns. tietosuojaa koskevista vaikutusten arvioinneista (DPIA, Data Protection Impact Assessment). EU:n tietosuoja-asetuksen 39 artiklan mukaan jatkossa tietosuojavastaava toimii rekisterinpitäjän yhteyspisteenä tietosuojaviranomaisiin päin. Tietosuojavastaavan tehtävissä tulee noudattaa luonnollisesti salassapitosäännöksiä.

Lainsäädäntö ei aseta esteitä sille, että tietosuojavastaava toimii myös useamman organisaation tietosuojavastaavana. Jos näin menetellään, tulee kuitenkin huolehtia siitä, että nimitettävällä tietosuojavastaavalla on tosiasialliset mahdollisuudet hoitaa tätä tehtävää useammassa organisaatiossa. Tällöin tulee huomioida muun muassa organisaatioiden koko ja samankaltaisuus, tietosuojavastaavan muiden tehtävien laajuus, tosiasialliset mahdollisuudet perehtyä kyseisten organisaatioiden henkilötietojen käsittelyyn käytännössä sekä tosiasialliset mahdollisuudet toimia yhteistyössä organisaatioiden johdon apuna ja henkilöstön tukena. Lisäksi käytännössä on välttämätöntä hallita tai tuntea eri organisaatioiden toiminnalliset prosessit ja niiden erityispiirteet.

TIETOSUOJAVASTAAVAN MUISTILISTA:

  • Osallistu oman työroolisi suunnitteluun toiminnasta vastaavan johdon kanssa
  • Selvitä organisaatiosi juridinen vastuunjako
  • Vaadi määritellyistä työtehtävistäsi kirjalliset päätökset
  • Selvitä onko organisaatiossasi sinuun ulottuva vastuuvakuutus
  • Laadi toimintaasi vuosikello ja mittaristo
  • Pyri vaikuttamaan asioihin heti ja korkealle toiminnan johtoon
  • Nosta tietosuoja-asiat esille projektien ja hankintojen suunnitteluvaiheessa
  • Puutu epäkohtiin, ota rohkeasti kantaa, kyseenalaista käytäntöjä ja kehitä prosesseja
  • Noudata käytönvalvonnassa vuosisuunnitelmaa
  • Raportoi johdolle määrämuotoisesti ja kirjallisesti
  • Tue henkilökuntaa tietosuojakysymyksissä mm. järjestämällä koulutusta
  • Huolehdi, että saat kouluttautua riittävästi
  • Verkostoidu mm. perustamalla tietosuojaryhmä
  • Etsi, tutki, ratko! Tutustu lakeihin, kannanottoihin ja ratkaisuihin
  • Konsultoi asiantuntijoita ja juristeja
  • Muista myös: www.tietosuoja.fi

Lisätietoa:

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 1. 2. laitos. Tietosanoma.

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 2. Tietosanoma.