Tietosuojavastaavan tehtävä kuntaorganisaatiossa on haastava erityisasiantuntijan rooli, jossa onnistuminen edellyttää monenlaisia työelämätaitoja. Samu Ahvenjärven Pro gradu -tutkielma antaa näkökulmia toimivalle johdolle, mitä kompetensseja nimitettävältä henkilöltä tulisi vaatia ja kuinka tietosuojavastaavan rooli tulee organisoida kuntaorganisaatioissa.

EU:n yleisen tietosuoja-asetuksen myötä kuntaorganisaatioihin on tullut nimittää tietosuojavastaava. Tietosuoja-asetus jättää kuitenkin tulkinnanvaraa roolin organisointiin eri organisaatioissa. Loppuvuodesta 2020 julkaistussa tutkielmassa tutkittiin, millaisia kompetensseja kuntaorganisaation tietosuojavastaava työssään tarvitsee. Tutkielma vastaa myös siihen, miten vaatimustenmukainen asema voidaan järjestää ja millaisia resursseja tietosuojavastaava tarvitsee työssään.

Tietosuojavastaava tarvitsee työssään asiantuntijataitojen lisäksi erityisesti sosiaalisia- ja viestinnällisiä taitoja, mutta hänen tulee myös tuntea kuntaorganisaation henkilötietojen käsittely-ympäristö. Hänellä tulee olla kyky hahmottaa kokonaisuuksia ja hankkia tietoa sekä johtaa omaa työtään. Tietosuojavastaavan tärkein asiantuntijataito on sovellettavan lainsäädännön tunteminen ja osaaminen. Tietosuojavastaavalla tulee olla myös hyvät ICT-taidot sekä ymmärtää tietoturvallisuuteen liittyviä asioita ja samalla asiakirjahallintoa.

”Tämä on kyllä hankala asia ja en minäkään sitä omaa riippumattomuuttani allekirjoita.”

Tietosuoja-asetuksen tulkinnanvaraisuus näyttäytyy vaihtelevin käytännöin ja osittain myös liian vähin resurssein sekä aseman organisoinnilla vastoin tietosuoja-asetuksen vaatimuksia. Tutkielman mukaan tietosuojavastaavan tehtävässä menestyminen edellyttää, että rooli on organisoitu mahdollisimman korkealle kuntaorganisaation hierarkiassa ja tietosuojavastaavalle on järjestetty riittävät resurssit, kuten työaikaa työtehtävien hoitamiseksi. Tietosuojavastaavaksi nimitettävällä henkilöllä voi olla tietosuojaan liittyvien tehtävien lisäksi muitakin työtehtäviä, mutta ne eivät saa vaarantaa tietosuojavastaavan roolin riippumattomuutta tai itsenäisyyttä. Hänen tehtäviinsä kuuluu muun muassa dokumentaation laatiminen ja arviointi, henkilöstön kouluttaminen ja neuvominen sekä tietosuojariskien arviointi ja hallinta.

Aineisto kerättiin kevään 2019 aikana haastattelemalla yhdeksän kunnan tai kaupungin tietosuojavastaavaa. Haastattelut toteutettiin teemahaastatteluilla ja saatu aineisto analysoitiin teemoittelemalla.

Tutkimus löytyy kokonaisuudessaan Jyväskylän yliopiston julkaisuarkistosta osoitteesta JYX - Tietosuojavastaavan tehtävässä onnistuminen kuntaorganisaatiossa (jyu.fi)

Tietosuojavaltuutetun toimisto on julkaissut luonnoksen tietosuojan vaikutustenarvioinnin ohjeesta rekisterinpitäjien tueksi. Ohjeen rinnalle on laadittu myös yksinkertainen Excel-kirjaamistyökalu, jota voi halutessaan käyttää vaikutustenarvioinnin tekemisessä. Ohjetta ja työkalua kehitetään saadun palautteen perusteella kevään aikana.

Kommentteja ohjeeseen ja työkaluun voi lähettää 19.5.2021 mennessä osoitteeseen viestinta.tietosuoja(at)om.fi.

Lisätietoa tästä linkistä:

Tietosuojavaltuutetun toimisto pyytää kommentteja uudesta tietosuojan vaikutustenarviointia koskevasta ohjeesta - Tietosuojavaltuutetun toimisto