Henkilötietojen käsittelystä sekä käsittelyyn liittyvästä tietoturvasta ja tietosuojasta vastaa tietosuojalainsäädännön eli EU:n yleisen tietosuoja-asetuksen (EU 679/2016) ja kansallisen tietosuojalain (1050/2018) mukaan rekisterinpitäjä. Organisaation johdon tulee määritellä, mikä taho, rooli tai henkilö on rekisterinpitäjä kussakin organisaation henkilötietojen käsittelyn kokonaisuudessa (ns. henkilörekisteri) ja mikä taho, rooli, henkilö tai henkilöt edustavat rekisterinpitäjää. Organisaation johdon tulee määritellä, kuka käytännössä johtaa ja koordinoi tietosuojaa. (Andreasson et al. 2019, 77-78.)
Tietosuojavastaavan tehtävästä ja toimivallasta säädetään EU:n yleisessä tietosuoja-asetuksen (EU 679/2016) 39 artiklassa hyvinkin tarkasti, mutta lyhyesti sen voisi kiteyttää tietosuojaan liittyväksi neuvonnaksi, seuraamiseksi ja valvonnaksi sekä organisaation ylimmälle johdolle raportoimiseksi.
Tietosuoja-asetuksen (EU 679/2016) 38 artiklan 3. kohdassa määritellään tietosuojavastaavalle oikeus raportoida organisaation tietosuojan tilasta suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Tietosuojavastaavan keskeinen tehtävä on pitää organisaation johto tietoisena tietosuojan nykytilasta ja tarvittavista korjaavista toimenpiteistä (Korpisaari et al. 2018, 363.)
Organisaation johto vastaa kaikesta toiminnasta
Organisaation johdon tulee omistaa tietosuojatoiminta ja vastata tietosuojan toteutumisesta osana jokapäiväistä toimintaa. Johdon vastuulla on ohjata tarvittavat resurssit tietosuojan nykytilan arvioimiseksi, valtuuttaa ja mahdollistaa sen pohjalta tunnistettujen kehitystoimenpiteiden toteuttaminen. Tietosuoja tulisi sisällyttää johdon strategiseen ohjaukseen siten, että tietosuojan kehittämistä seurataan raportoinnin avulla säännöllisesti päätöksentekoa varten. (Valtiovarainministeriö 2016, 31 ja 36.)
Tietosuojan johtamisen tulee ilmeitä organisaation johtamisjärjestelmää kuvaavasta dokumentaatiosta selkeästi ja yksiselitteisesti nimetyillä rooleilla ja vastuilla. Johtamisjärjestelmän koostuminen useista dokumenteista ja vastuun kuvaaminen passiivimuodossa organisaatiolle ei vastaa EU:n yleisen tietosuoja-asetuksen (EU 679/2016) 39 resitaalin läpinäkyvyyden periaatetta, jonka mukaan henkilötietojen käsittelyyn liittyvien tietojen on oltava helposti saatavilla ja ymmärrettävässä muodossa.
Vaikka jokainen onkin osaltaan vastuussa tietosuojan toteutumisesta, ei tietosuojan johtaminen voi olla yhteisvastuullista. Organisaation johdon tulee tehdä tietosuojaa koskevat päätökset, tukea niitä rooleja ja toimintoja, joiden tehtäväksi toteuttaminen on annettu ja seurata raportoinnin avulla ovatko toimenpiteet riittäviä ja riittävän laadukkaita tietosuojan toteutumiseksi. (Riva 2021.)
Kirjoittajat
Ulla Riva opiskelee LAB-ammattikorkeakoulusta tradenomiksi (YAMK) uudistavan johtamisen koulutuslinjalla ja valmistuu syyslukukaudella 2021.
Kristiina Brusila-Meltovaara toimii LAB-ammattikorkeakoulussa liiketoiminnan yliopettajana.
Lähteet
Andreasson, A., Koivisto, J., Ylipartanen, A. 2015. 1. painos. Tietosuojakäsikirja johdolle. Helsinki: Tietosanoma Oy.
Andreasson, A., Riikonen, J., Ylipartanen, A. 2019. Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus. Helsinki: Tietosanoma Oy.
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus). [Viitattu 1.6.2021]. Saatavissa: https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679
Haapalehto, S. Tietosuojavastaavan nimittäminen, tehtävät ja asema. Yleiskirje 6/2018. Suomen Kuntaliitto. [Viitattu 31.5.2021]. Saatavissa: https://www.kuntaliitto.fi/yleiskirjeet/2018/tietosuojavastaavan-nimittaminen-tehtavat-ja-asema
Korpisaari, P., Pitkänen, O., Warma-Lehtinen, E. 2018. Uusi tietosuojalainsäädäntö. Helsinki: Alma Talent.
Riva, U. 2021. Tietosuojan johtaminen: Organisaation johdon rooli tietosuojan toteuttamisessa. LAB-ammattikorkeakoulu. [Viitattu 31.5.2021]. Saatavissa: http://www.urn.fi/URN:NBN:fi:amk-2021092017885
Tietosuojalaki. 1050/2018. [Viitattu 31.5.2021]. Saatavissa: https://www.finlex.fi/fi/laki/ajantasa/2018/20181050
Valtiovarainministeriö. 2016. EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016. [Viitattu 31.5.2021]. Saatavissa: http://urn.fi/URN:ISBN:978-952-251-778-4