billionphotos 1210097 256x256

Tietosuojavaltuutetun toimisto sekä sosiaali- ja terveysministeriö ovat laatineet esitteen

TIETOSUOJAVASTAAVAN TOIMENKUVA, TEHTÄVÄT JA ASEMA

Esitteessä aluksi kuvataan lyhyesti rekisterinpitäjän velvoitteet.

Tietosuojavastaavan tehtävänä on toimia asiantuntijana ja auttaa rekisterinpitäjää näiden ao. velvoitteiden toteuttamisessa.

Rekisterinpitäjän vastuulla on mm. seuraavia velvoitteita:

- määritellä henkilötietojen keräämisen ja käsittelyn tarkoitus,

- suunnitella henkilötietojen käsittelytoimet koko tiedon elinkaaren ajaksi,

- analysoida, kirjata muistiin ja kuvata rekisterinpitäjän tehtävien hoitoon liittyvät

  henkilötietojen käsittelyt ja niihin liittyvät vastuut, toimivallat ja menettelyt,

- varmistua henkilötietojen käsittelyn lainmukaisuudesta,

- huolehtia tietojen laadusta, tarpeellisuudesta ja virheettömyydestä,

- varmistua henkilötietojen suojaamisesta,

- huolehtia rekisteröityjen oikeuksien toteutumisesta, erityisesti tarkastus-, tiedonkorjaus- ja kielto-oikeuden toteuttamisesta,

- laatia tietosuojaseloste ja informoida rekisteröityjä

- huolehtia mahdollisesti tarvittavien viranomaisilmoitusten tekemisestä,

- laatia henkilöstön käyttöön tietosuoja-ohjeet,

- seurata ja valvoa henkilötietojen käsittelyä.

 

Rekisterinpitäjän toimintaa ja velvoitteitaita tukevaa tarkoitusta varten,

tietosuojavastaavan toimenkuvaan voi kuulua mm. seuraavia tehtäviä:

- osallistuu organisaation henkilötietojen käsittelyä koskevaan suunnittelutoimintaan,

- osallistuu rekisterinpitäjän hyväksymiä tietosuoja- ja tietoturvaohjeita

  koskevaan valmisteluun ja ylläpitoon,

- seuraa ja valvoo henkilötietojen käsittelyä ja niiden suojausmenetelmiä,

- osallistuu rekisterinpitäjän henkilöstölle annettavan tietosuojakoulutuksen toteuttamiseen,

- tukee henkilökuntaa ja rekisteröityjä tietosuoja-asioissa,

- toimii yhdyssiteenä valvontaviranomaisiin,

- raportoi organisaation johdolle tietosuojan (ja tietoturvallisuuden) tilasta ja kehittämistarpeista

  (sisäiset auditoinnit ja käytönvalvonta),

- vastaa organisaation johdon osoittamista muista tietosuojaa tukevista tehtävistä.

Tietosuojavastaavan nimittäminen sote-sektorilla

Jokaisella sosiaali- ja terveydenhuollon palvelujen antajalla ja apteekilla, sekä Kansaneläkelaitoksella on oltava seuranta- ja valvontatehtävää varten lakimääräisesti nimettynä tietosuojavastaava. Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (asiakastietolaki, 159/2007, 20 §)  ja laki sähköisestä lääkemääräyksestä (eReseptilaki, 61/2007, 24 §) edellyttävät myös, että sosiaalihuollon ja terveydenhuollon toimintayksikön vastaavan johtajan sekä apteekkarin tulee antaa henkilökunnalle kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietojen käsittelyssä. Vastaavan johtajan ja apteekkarin tulee myös huolehtia asiakastietolain 19 h §:ssä tarkoitetun omavalvontasuunnitelman laatimisesta ja noudattamisesta (näin myös eReseptilaki 22 b §). Näissäkin kaikissa edellä mainituissa tehtävissä organisaation johto voi hyödyntää tietosuojavastaavaa muun muassa ohjeiden, suunnitelmien ja koulutusten suunnittelu ja toimeenpanotehtävissä.

Tietosuojavastaavan nimittämisen laajentaminen ja aseman parantaminen (EU:n tietosuoja-asetus, 2016/679)

Asia on nyt EU:n tasollakin erityisen ajankohtainen. Keväällä 2016 hyväksytyn EU:n yleisen tietosuoja-asetuksen (2016/679, aletaan soveltamaan 5/2018-) 37 artiklan mukaan jatkossa Suomessa myös muille kuin sosiaali- ja terveydenhuollon toimialoille (mukaan lukien apteekit) tullee omat lakimääräisen velvoitteensa nimetä tietosuojavastaavia, joiden työrooliin kuuluu tietosuoja-asioiden hoitaminen. Kyseessä on EU:n tietosuojalainsäädännön kehittäminen ja yhdenmukaistaminen. Asia on siis tiedostettu laajasti koko Euroopassa. Henkilötietojen käsittelyn suunnittelusta ja toimeenpanosta vastaavia työntekijöitä on käytännössä jo nimetty eri sektoreilla Suomessa ja muualla maailmassa suuremmissa organisaatioissa ja kehittyneemmissä PK-yrityksissä. Tämä on tapahtunut oma-aloitteisesti, vapaaehtoisesti ilman lainsäädännön vaatimuksia. Näissä yrityksissä oikein mitoitettu tietosuoja eli henkilötietojen käsittely oikein toteutettuna koetaan yrityksen prosessien sujuvuuden tehostuessa liiketoiminnan menestystekijäksi.

Eu:n yleisen tietosuoja-asetuksen 38 artiklan perusteella tietosuojavastaavan asemaa on oleellisesti parannettu kansallisesta lainsäädännöstämme. Rekisterinpitäjä ei mm. saa erottaa tai rangaista tietosuojavastaavaa sen vuoksi, että hän on hoitanut tehtäviään. Tämä omalta osaltaan rohkaiseen tietosuojavastaavia puuttumaan nykyistä tehokkaammin organisaation epäkohtiin asiakastietojen käsittely- ja tietosuojakäytänteissä. EU:n tietosuoja-asetuksen artikla 38 lisäksi velvoittaa rekisterinpitäjiä tukemaan nimittämäänsä tietosuojavastaavaa kuten mm. aikaisempaa painavammin osoittamaan ja varmistamaan tietosuojavastaavalleen riittävät työaika-, työväline ja kouluttautumisresurssit 39 artiklan mukaisten tehtävien hoitamista varten.  

Tietosuojavastaavan tehtävät

Tietosuojavastaavan tehtävänä on toimia rekisterinpitäjän apuna organisaation erityisasiantuntijana ja antaa asiantuntijatukea organisaation henkilöstölle. Tietosuojavastaava avustaa myös organisaation johtoa asiakastietojen käsittelyprosessien ja muun tietosuojan suunnittelussa ja toimeenpanossa. Viimekätinen vastuu rekisterinpidosta ja asiakastietojen laillisesta käsittelystä on organisaation johdolla: rekisterinpidon vastuuta ei voi ulkoistaa tietosuojavastaavalle. Tietosuojavastaavan toiminnan tukena toimivat varsinkin isoissa organisaatioissa muun muassa juristit, tietoturvahenkilöstö sekä tietoturvaan ja tietosuojaan liittyvät mahdolliset työryhmät. Voidakseen tukea rekisterinpitäjää mahdollisimman tehokkaasti tulisi tietosuojavastaavan voida suorittaa edellä mainitut tehtävät ja niihin liittyvät suunnittelu, seuranta ja raportointitehtävät mahdollisimman itsenäisesti.

Tietosuojavastaavan tulee tuntea kyseisen organisaation asiakaspalvelu-, tietojenkäsittely- sekä asiakirjahallinnon prosessit ja niille asetettavat vaatimukset. Tietosuojavastaavan tulee kouluttautua mahdollisuuksien mukaan ja vähintäänkin tuntea toimialaansa liittyvät lainsäädäntö, ohjeet ja määräykset. Lainsäädännössä ei aseteta nimenomaista vaatimusta siitä, mikä koulutustausta tai ammattinimike tietosuojavastaavalla tulisi olla. Hänellä tulisi kuitenkin olla riittävä koulutus tehtäväänsä, riittävä asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet suorittaa EU:n tietosuoja-asetuksen 39 artiklassa tarkoitetut tehtävät.  Tässä tarkoituksessa tulee rekisterinpitäjän taata tietosuojavastaavalleen mahdollisuus ylläpitää ja kehittää erityisammattitaitoaan.

Tietosuojavastaavan tulee myös voida raportoida suoraan organisaation ylimmälle johdolle sekä osallistua riittävän varhain ja korkealla tasolla organisaation asiakaspalveluprosessien suunnittelu- ja kehittämistehtäviin. Hänellä tulee olla mahdollisuus osallistua ja lausua käsityksensä organisaation suunnittelemista henkilötietojen käsittelyä koskevista hallinnollisista uudistuksista, sekä EU:n tietosuoja-asetuksen 35 artiklan ns. tietosuojaa koskevista vaikutusten arvioinneista (DPIA, Data Protection Impact Assessment). EU:n tietosuoja-asetuksen 39 artiklan mukaan jatkossa tietosuojavastaava toimii rekisterinpitäjän yhteyspisteenä tietosuojaviranomaisiin päin. Tietosuojavastaavan tehtävissä tulee noudattaa luonnollisesti salassapitosäännöksiä.

Lainsäädäntö ei aseta esteitä sille, että tietosuojavastaava toimii myös useamman organisaation tietosuojavastaavana. Jos näin menetellään, tulee kuitenkin huolehtia siitä, että nimitettävällä tietosuojavastaavalla on tosiasialliset mahdollisuudet hoitaa tätä tehtävää useammassa organisaatiossa. Tällöin tulee huomioida muun muassa organisaatioiden koko ja samankaltaisuus, tietosuojavastaavan muiden tehtävien laajuus, tosiasialliset mahdollisuudet perehtyä kyseisten organisaatioiden henkilötietojen käsittelyyn käytännössä sekä tosiasialliset mahdollisuudet toimia yhteistyössä organisaatioiden johdon apuna ja henkilöstön tukena. Lisäksi käytännössä on välttämätöntä hallita tai tuntea eri organisaatioiden toiminnalliset prosessit ja niiden erityispiirteet.

TIETOSUOJAVASTAAVAN MUISTILISTA:

  • Osallistu oman työroolisi suunnitteluun toiminnasta vastaavan johdon kanssa
  • Selvitä organisaatiosi juridinen vastuunjako
  • Vaadi määritellyistä työtehtävistäsi kirjalliset päätökset
  • Selvitä onko organisaatiossasi sinuun ulottuva vastuuvakuutus
  • Laadi toimintaasi vuosikello ja mittaristo
  • Pyri vaikuttamaan asioihin heti ja korkealle toiminnan johtoon
  • Nosta tietosuoja-asiat esille projektien ja hankintojen suunnitteluvaiheessa
  • Puutu epäkohtiin, ota rohkeasti kantaa, kyseenalaista käytäntöjä ja kehitä prosesseja
  • Noudata käytönvalvonnassa vuosisuunnitelmaa
  • Raportoi johdolle määrämuotoisesti ja kirjallisesti
  • Tue henkilökuntaa tietosuojakysymyksissä mm. järjestämällä koulutusta
  • Huolehdi, että saat kouluttautua riittävästi
  • Verkostoidu mm. perustamalla tietosuojaryhmä
  • Etsi, tutki, ratko! Tutustu lakeihin, kannanottoihin ja ratkaisuihin
  • Konsultoi asiantuntijoita ja juristeja
  • Muista myös: www.tietosuoja.fi

Lisätietoa:

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 1. 2. laitos. Tietosanoma.

Andreasson, Ari & Koivisto, Juha & Ylipartanen, Arto 2014: Tietosuojavastaavan käsikirja 2. Tietosanoma.