Tietosuojan oltava osa aktiivista johtamista
artikkeli julkaistu alunperin Lab Focus-blogissa 21.9.2021. Kirjoittajien luvalla artikkeli julkaistiin myös OpiTietosuojaa.fi-sivustolla.
Kirjoittajat:
Ulla Riva opiskelee LAB-ammattikorkeakoulusta tradenomiksi (YAMK) uudistavan johtamisen koulutuslinjalla ja valmistuu syyslukukaudella 2021.
Kristiina Brusila-Meltovaara toimii LAB-ammattikorkeakoulussa liiketoiminnan yliopettajana.
Henkilötietojen käsittelystä sekä käsittelyyn liittyvästä tietoturvasta ja tietosuojasta vastaa tietosuojalainsäädännön eli EU:n yleisen tietosuoja-asetuksen (EU 679/2016) ja kansallisen tietosuojalain (1050/2018) mukaan rekisterinpitäjä. Organisaation johdon tulee määritellä, mikä taho, rooli tai henkilö on rekisterinpitäjä kussakin organisaation henkilötietojen käsittelyn kokonaisuudessa (ns. henkilörekisteri) ja mikä taho, rooli, henkilö tai henkilöt edustavat rekisterinpitäjää. Organisaation johdon tulee määritellä, kuka käytännössä johtaa ja koordinoi tietosuojaa. (Andreasson, Riikonen, Ylipartanen 2019, 77-78.)
Tietosuojavastaavan tehtävästä ja toimivallasta säädetään EU:n yleisessä tietosuoja-asetuksen (EU 679/2016) 39 artiklassa hyvinkin tarkasti, mutta lyhyesti sen voisi kiteyttää tietosuojaan liittyväksi neuvonnaksi, seuraamiseksi ja valvonnaksi sekä organisaation ylimmälle johdolle raportoimiseksi.
Tietosuoja-asetuksen (EU 679/2016) 38 artiklan 3. kohdassa määritellään tietosuojavastaavalle oikeus raportoida organisaation tietosuojan tilasta suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Tietosuojavastaavan keskeinen tehtävä on pitää organisaation johto tietoisena tietosuojan nykytilasta ja tarvittavista korjaavista toimenpiteistä (Korpisaari, Pitkänen, Warma-Lehtinen 2018, 363.)
Organisaation johto vastaa kaikesta toiminnasta
Organisaation johdon tulee omistaa tietosuojatoiminta ja vastata tietosuojan toteutumisesta osana jokapäiväistä toimintaa. Johdon vastuulla on ohjata tarvittavat resurssit tietosuojan nykytilan arvioimiseksi, valtuuttaa ja mahdollistaa sen pohjalta tunnistettujen kehitystoimenpiteiden toteuttaminen. Tietosuoja tulisi sisällyttää johdon strategiseen ohjaukseen siten, että tietosuojan kehittämistä seurataan raportoinnin avulla säännöllisesti päätöksentekoa varten. (Valtiovarainministeriö 2016, 31 ja 36.)
Tietosuojan johtamisen tulee ilmeitä organisaation johtamisjärjestelmää kuvaavasta dokumentaatiosta selkeästi ja yksiselitteisesti nimetyillä rooleilla ja vastuilla. Johtamisjärjestelmän koostuminen useista dokumenteista ja vastuun kuvaaminen passiivimuodossa organisaatiolle ei vastaa EU:n yleisen tietosuoja-asetuksen (EU 679/2016) 39 resitaalin läpinäkyvyyden periaatetta, jonka mukaan henkilötietojen käsittelyyn liittyvien tietojen on oltava helposti saatavilla ja ymmärrettävässä muodossa.
Vaikka jokainen onkin osaltaan vastuussa tietosuojan toteutumisesta, ei tietosuojan johtaminen voi olla yhteisvastuullista. Organisaation johdon tulee tehdä tietosuojaa koskevat päätökset, tukea niitä rooleja ja toimintoja, joiden tehtäväksi toteuttaminen on annettu ja seurata raportoinnin avulla ovatko toimenpiteet riittäviä ja riittävän laadukkaita tietosuojan toteutumiseksi. (Riva 2021.)
Lisätietoa aiheesta Ulla Rivan opinnäytetyöstä:
Tietosuojan johtaminen : organisaation johdon rooli tietosuojan toteuttamisessa