Tutkimuksen (International Association of Privacy Professionals, IAPP) mukaan tarvitaan vähintään 28.000 tietosuojavastaavaa (Data Protection Officer, DPO) vastaaman EU:n tietosuoja-asetuksen haasteisiin pelkästään Euroopassa. Myös esimerkiksi amerikkalaiset yritykset noudattavat EU:n tietosuoja-asetuksen vaatimuksia operoidessaan Euroopassa.

Suomessa tuhansia tietosuojavastaavia SOTE-sektorilla ja apteekeissa

Suomessa tietosuojavastaavat ovat olleet jo n. 10 vuotta pakollisia SOTE-sektorilla ja apteekeissa sekä Kelassa. SOTE-sektorilla ja apteekeissa on arviolta n. 5.000 palvelujen antajaa Suomessa. Lisäksi yritykset ovat käytännössä nimittäneet vapaaehtoisuuden pohjalta ilman lain vaatimustakin työntekijöitään hoitamaan tietosuoja-asioita eri nimikkeillä.

Jatkossa lisää tietosuojavastaavia myös Suomessa

EU:n tietosuoja-asetus laajentaa organisaatioiden velvollisuutta nimittää tietosuojavastaava. Tietosuojavastaava on jatkossa nimitettävä laajasti julkisella sektorilla (pois lukien tuomioistuimet) Suomessa. Myös yksityisellä sektorilla yritys tai organisaatio on velvollinen nimittämään tietosuojavastavan, kun se käsittelee päätoimenaan arkaluonteisia henkilötietoja suuressa määrin tai käsittelee päätoimenaan säännöllisesti ja systemaattisesti suuressa määrin rekisteröityjen henkilötietoja seurantaan (monitoring). Lisäksi EU:n jäsenmaat voivat kansallisessa lainsäädännössään säätää, että muulloinkin on johtajan nimitettävä organisaatioonsa tietosuojavastaava.

Lue lisää tutkimuksesta (IAPP) tästä linkistä.

Käytännön riskienhallinta muuttuu radikaalisti

Näyttäisi usein käytännössä siltä, että organisaation johto pitää tietosuojaa kyllä sinänsä erittäin tärkeänä ja tunnistaa tietosuojariskit, mutta riskien hallintaa ei käytännössä toteuteta tietosuojatyön organisoinnin ja tietosuojatyön tekemisen keinoilla. Tähän epäkohtaan EU:n tietosuoja-asetus tuo muutoksen. EU:n tietosuoja-asetuksen ns. accountability-periaatteen mukaan yrityksen on ankaran hallinnollisen sakon (jopa miljoonia euroja) uhalla osoitettava "tilintekokykyisyytensä" eli käytännössä toteutetut tietosuojatoimenpiteet sekä tietosuojatyön organisoinnin ja tietosuojatyön tekemisen dokumentaatiovelvollisuus. Enää ei riitä että pelkästään noudattaa lakeja "do it" vaan vaaditaan, että rekisterinpitäjä osoittaa "prove it" aktiivisesti ottaneensa tietosuojavaatimukset huomioon etukäteissuunnittelussa ja varsinaisessa tietosuojatyön toteuttamisessa, hyvä niin.

Euroopassa on ollut jo vuosia yleistä määrätä organisaatiolle tuntuvia hallinnollisia sakkoja tietosuojan ja -turvan laiminlyönneistä. Valvontaviranomaisen sakotuskäytäntö tulee EU:n tietosuoja-asetuksen myötä myös Suomeen. Kun yrityksen kohtaa esimerkiksi tietomurto, haetaan syyllisiä niistä, jotka ovat vastuussa suojauksen pettämisestä!

Lue lisää riskien hallinnasta, johtajan tietosuojatyön organisoinnista ja tietosuojavastaavan tietosuojatyön tekemisestä tuoreesta kirjastamme (Tietosuojakäsikirja johdolle (2016), 2. uudistettu laitos, 3. painos. https://www.linkedin.com/pulse/tietosuojak%C3%A4sikirja-johdolle-uusittu-ja-ajantasainen-ylipartanen?trk=hp-feed-article-title-comment