EU:n yleisen tietosuoja-asetuksen myötä yhä useampi yritys joutuu vakavasti pohtimaan tietosuojavastaavan (Data Protection Officer) nimittämistä. Millaisia ominaisuuksia hyvältä tietosuojavastaavalta on lupa odottaa?

Blogi: Hannu Kasanen / Deloitte

Teksti on julkaistu alun perin Deloitten verkkosivuilla 

Tietosuojavastaavan tehtäviin kuuluu valvoa henkilötietojen käsittelyn lainmukaisuutta ja nostaa esiin tietojenkäsittelyyn liittyviä riskejä ja puutteita. Aloittelevan tietosuojavastaavan onkin vaarallisen helppo pitäytyä vaatimustenmukaisuuden vahtikoiran roolissaan ja yksinkertaisesti kieltää kaikki riskialtis toiminta. Näin toimiessaan tietosuojavastaava vahvistaa negatiivista käsitystä tietosuojasta ja näyttäytyy itsekin lähinnä kehityksen jarruna.

Pahimmillaan tämä voi johtaa siihen, ettei tietosuojavastaavaa enää haluta paikalle, kun uusia kehitystoimia tai strategisia linjauksia valmistellaan. Tilanne on räikeässä ristiriidassa asetuksessa tietosuojavastaavalle annettujen tehtävien kanssa: tietosuojavastaavan tulisi osallistua kehitystoimien suunnitteluun mahdollisimman aikaisessa vaiheessa. Tämä on mahdollista vain, jos tietosuojavastaava on yrityksen johdon, tuotekehityksen ja muiden avainryhmien luotettu keskustelukumppani, jonka puoleen halutaan kääntyä ja jonka osaamiselle ja näkemyksille osataan antaa arvoa.

Kuinka tietosuojavastaava voi käytännössä päästä tällaiseen asemaan? Asetus antaa tietosuojavastaavalle selkänojan johon tukeutua, mutta yksin sen varaan ei kannata jättäytyä.

Ensinnäkin tietosuojavastaavan on hyvä muistaa, että hänen tehtäviinsä kuuluu paitsi valvoa myös tukea ja neuvoa henkilötietojen käsittelyssä ja – yrityksen toimialasta riippuen – myös niiden kaupallisessa hyödyntämisessä. Tässä kohtaa tietosuojavastaavan osaaminen joutuu todelliseen testiin: tietosuojavastaava ei osoita todellista asiantuntemusta pelkästään kieltoja jakelemalla, vaan kertomalla miten henkilötietoja voidaan turvallisin mielin käsitellä. Lakien ja asetusten ohella pätevä tietosuojavastaava tuntee henkilötietojen käsittelyssä ja suojaamisessa käytetyt menetelmät, ymmärtää liiketoiminnan tavoitteet ja tiedostaa toimintaympäristön asettamat realiteetit.

Esimerkiksi analytiikan ja big datan voi nähdä joko suurena mahdollisuutena tai suurena riskinä. Tekninen kehitys on tuonut yrityksille ennennäkemättömiä keinoja analysoida ja ennustaa omien asiakkaidensa tai suuren yleisön käyttäytymistä. Näiden keinojen hyödyntäminen voi olla avain yrityksen menestykseen. Tietosuojavastaavan tulisi olla avainasemassa tätä menestystarinaa kirjoitettaessa, ei toimia sen esteenä. Hän voi auttaa ymmärtämään millaisia yksityisyyttä suojaavia menetelmiä ratkaisun toteutuksessa on mahdollista soveltaa tai miten henkilötietojen käytöstä kannattaa eri kohderyhmille viestiä.

Tietosuojavastaavan kannattaa oma-aloitteisesti lähestyä organisaation avainhenkilöitä ja jakaa tietoa tietosuojan positiivisista puolista: henkilötietojen vastuullinen käsittely tarjoaa yritykselle mahdollisuuden rakentaa luottamusta ja erottautua kilpailijoista. Kannustan jokaista tietosuojavastaavaa jalkautumaan organisaatioon ja tarjoamaan apuaan esimerkiksi myynti- ja markkinointiosastolle.

Näin toimien tietosuojavastaava kehittää paitsi yleistä tietosuojatietoisuutta myös elintärkeitä verkostoja organisaation sisällä. Tietosuojabunkkerista käsin avointa vuoropuhelua on hankala käydä – avulias ja avoin asennoituminen toimii aina paremmin. Samalla tietosuojavastaava voi varmistaa, että tietosuoja saa sille kuuluvan sijan yrityksen avainhenkilöiden agendalla. Kyse ei enää ole ”vain” riskienhallinnasta tai vaatimustenmukaisuuden varmistamisesta, vaan liiketoiminnan kovasta ytimestä.

Tietosuojavastaavalla on eittämättä haastava rooli rekisterinpitäjän, rekisteröityjen ja viranomaisten asettamissa ristipaineissa. Riittävä asiaosaaminen sekä liiketoiminnan ja sen tarpeiden ymmärtäminen luovat perustan tehtävässä selviytymiselle, mutta todellinen menestys vaatii myös oikeaa asennetta. Tietosuojavastaavan toimi on palveluammatti.

Tietoja

Otin yhteyttä kirjailijakollegaani Arto Ylipartaseen ja ehdotin Osaava tietosuojavastaava -teoksen kirjoittamisprojektia. Päätimme pyytää mukaan päätoimisesti tietosuojavastaavan tehtäviä vuosia hoitanutta Jaana Riikosta, hän suostui. Pähkäilimme sisällön sellaiseksi, mikä on noussut erilaisissa seminaareissa ja koulutuksissa tietosuojavastaavia askarruttaviksi teemoiksi. Halusimme kirjaan myös ulkopuolisten asiantuntijoiden näkemyksiä ja pyysimme mm. teknologiajohtaja Aki Siposelta (Microsoft), tietosuojapalveluista vastaava johtaja Hannu Kasaselta (Deloitte) ja tietosuojaan erikoistuneelta asianajaja Jukka Långilta (Dittmar & Indrenius) ajatuksia, joita saisimme kirjassa hyödyntää. He tuottivat erittäin hyvää materiaalia, josta on lisäarvoa kirjalle. Lisäksi haastattelin siskoani Kristiina Andreassonia, joka on erittäin pitkänlinjan viestinnän ammattilainen. Koimme kirjoittajina, että osaavan tietosuojavastaavan työrooliin sisältyy merkittävästi asioita, joissa viestintätaidot ratkaisevat - oli kyse sitten ohjeiden perehdyttämisestä tai kriisiviestinnästä.

Kustantajaksi tuli Heikki Haavikon vetämä Tietosanoma Oy, joka oli heti kiinnostunut sisällyttämään tietosuojaperheeseensä ajankohtaisesta sisällöstä koostuvan tietosuojateoksen. Osaava tietosuojavastaava -teoksesta tulee mahtava lisä tietosuojavastaavien työkalupakkiin heidän toimiessaan johdon asiantuntija-apuna.

Kirjassa käsitellään mm.

- EU:n yleistä tietosuoja-asetusta (2016/679) ja sen suhdetta kansalliseen lainsäädäntöön,

- organisaation tietosuojan nykytilan arviointia ja analysointia eli nykytilan suhdetta EU:n yleisen tietosuoja-asetuksen tavoitetilaan,

- tietosuojatyön organisoinnin merkitystä,

- tietosuojavastaavan asemaa ja tehtäviä tietosuojatyön tekemisessä,

- tietosuojavastaavan suhdetta johdon apuna ja henkilöstön tukena

- tietosuojariskien hallintaa mm. sopimuksien ja vakuutusten avulla sekä

- ns. osoitusvelvoitteen toteuttamista, tietotilinpäätöstä ja raportointia.

 

Kirja on ennakkomyynnissä kustantajan verkkokaupassa

http://kauppa.tietosanoma.fi/9789518854190

osaava tietosuojavastaava kansi

Tietoja
  1. Uunituore opas auttaa EU:n tietosuoja-asetukseen valmistautumisessa
  2. Lausunnolla oleva esitys: sosiaali- ja terveydenhuollon tiedot samaan rekisteriin
  3. Tammikuussa 2017 tulossa kysely yli 1.000 Sote-sektorin tietosuojavastaavalle
  4. Tärkeää tietoa tietosuojavastaavan (DPO) nimittämisestä, asemasta, tehtävistä ja vastuusta