Yleinen

Tietosuojan oltava osa aktiivista johtamista

Julkaistu

Henkilötietojen käsittelystä sekä käsittelyyn liittyvästä tietoturvasta ja tietosuojasta vastaa tietosuojalainsäädännön eli EU:n yleisen tietosuoja-asetuksen (EU 679/2016) ja kansallisen tietosuojalain (1050/2018) mukaan rekisterinpitäjä. Organisaation johdon tulee määritellä, mikä taho, rooli tai henkilö on rekisterinpitäjä kussakin organisaation henkilötietojen käsittelyn kokonaisuudessa (ns. henkilörekisteri) ja mikä taho, rooli, henkilö tai henkilöt edustavat rekisterinpitäjää. Organisaation johdon tulee määritellä, kuka käytännössä johtaa ja koordinoi tietosuojaa. (Andreasson et al. 2019, 77-78.)

Tietosuojavastaavan tehtävästä ja toimivallasta säädetään EU:n yleisessä tietosuoja-asetuksen (EU 679/2016) 39 artiklassa hyvinkin tarkasti, mutta lyhyesti sen voisi kiteyttää tietosuojaan liittyväksi neuvonnaksi, seuraamiseksi ja valvonnaksi sekä organisaation ylimmälle johdolle raportoimiseksi.

[Alt-teksti: Johtamista käsitteleviä kirjoja pöydällä vierekkäin ja päällekkäin, aiheina muun muassa digiajan johtajuus ja tietosuoja.]
Kuva 1. Tietosuojan toteuttaminen edellyttää johdolta uuden tiedon omaksumista. (Kuva: Ulla Riva)

Tietosuoja-asetuksen (EU 679/2016) 38 artiklan 3. kohdassa määritellään tietosuojavastaavalle oikeus raportoida organisaation tietosuojan tilasta suoraan rekisterinpitäjän tai henkilötietojen käsittelijän ylimmälle johdolle. Tietosuojavastaavan keskeinen tehtävä on pitää organisaation johto tietoisena tietosuojan nykytilasta ja tarvittavista korjaavista toimenpiteistä (Korpisaari et al. 2018, 363.)

Organisaation johto vastaa kaikesta toiminnasta

Organisaation johdon tulee omistaa tietosuojatoiminta ja vastata tietosuojan toteutumisesta osana jokapäiväistä toimintaa. Johdon vastuulla on ohjata tarvittavat resurssit tietosuojan nykytilan arvioimiseksi, valtuuttaa ja mahdollistaa sen pohjalta tunnistettujen kehitystoimenpiteiden toteuttaminen. Tietosuoja tulisi sisällyttää johdon strategiseen ohjaukseen siten, että tietosuojan kehittämistä seurataan raportoinnin avulla säännöllisesti päätöksentekoa varten. (Valtiovarainministeriö 2016, 31 ja 36.)

Tietosuojan johtamisen tulee ilmeitä organisaation johtamisjärjestelmää kuvaavasta dokumentaatiosta selkeästi ja yksiselitteisesti nimetyillä rooleilla ja vastuilla.  Johtamisjärjestelmän koostuminen useista dokumenteista ja vastuun kuvaaminen passiivimuodossa organisaatiolle ei vastaa EU:n yleisen tietosuoja-asetuksen (EU 679/2016) 39 resitaalin läpinäkyvyyden periaatetta, jonka mukaan henkilötietojen käsittelyyn liittyvien tietojen on oltava helposti saatavilla ja ymmärrettävässä muodossa.

Vaikka jokainen onkin osaltaan vastuussa tietosuojan toteutumisesta, ei tietosuojan johtaminen voi olla yhteisvastuullista. Organisaation johdon tulee tehdä tietosuojaa koskevat päätökset, tukea niitä rooleja ja toimintoja, joiden tehtäväksi toteuttaminen on annettu ja seurata raportoinnin avulla ovatko toimenpiteet riittäviä ja riittävän laadukkaita tietosuojan toteutumiseksi. (Riva 2021.) 

Kirjoittajat

Ulla Riva opiskelee LAB-ammattikorkeakoulusta tradenomiksi (YAMK) uudistavan johtamisen koulutuslinjalla ja valmistuu syyslukukaudella 2021.
Kristiina Brusila-Meltovaara toimii LAB-ammattikorkeakoulussa liiketoiminnan yliopettajana.

Lähteet

Andreasson, A., Koivisto, J., Ylipartanen, A. 2015. 1. painos. Tietosuojakäsikirja johdolle. Helsinki: Tietosanoma Oy.

Andreasson, A., Riikonen, J., Ylipartanen, A. 2019. Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus. Helsinki: Tietosanoma Oy.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus). [Viitattu 1.6.2021]. Saatavissa: https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679

Haapalehto, S. Tietosuojavastaavan nimittäminen, tehtävät ja asema. Yleiskirje 6/2018. Suomen Kuntaliitto. [Viitattu 31.5.2021]. Saatavissa: https://www.kuntaliitto.fi/yleiskirjeet/2018/tietosuojavastaavan-nimittaminen-tehtavat-ja-asema

Korpisaari, P., Pitkänen, O., Warma-Lehtinen, E. 2018. Uusi tietosuojalainsäädäntö. Helsinki: Alma Talent.

Riva, U. 2021. Tietosuojan johtaminen: Organisaation johdon rooli tietosuojan toteuttamisessa. LAB-ammattikorkeakoulu. [Viitattu 31.5.2021]. Saatavissa: http://www.urn.fi/URN:NBN:fi:amk-2021092017885

Tietosuojalaki. 1050/2018. [Viitattu 31.5.2021]. Saatavissa: https://www.finlex.fi/fi/laki/ajantasa/2018/20181050

Valtiovarainministeriö. 2016. EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016. [Viitattu 31.5.2021]. Saatavissa: http://urn.fi/URN:ISBN:978-952-251-778-4

 

Saatat myös pitää

Julkaistu

Sote-alaa kehittämään yhteistyöverkostossa

Finnish Interprofessional Network, FIPNET, on suomalainen moniammatillisen oppimisen ja yhteistyön verkosto, jonka tavoitteena on edistää väestön terveyttä ja hyvinvointia moniammatillisesti koulutuksen ja […]

Julkaistu

Valittamisesta kehittämiseen

Kevätlukukausi lähenee loppuaan, ja kohta on aika sekä opettajien että opiskelijoiden arvioida toisiaan. Opettajien numeroarvioinnin sijasta opiskelijat usein päätyvät antamaan negatiivista palautetta, […]

Julkaistu

TKI-hankkeiden integrointi opetukseen

TKI-toiminnan kytkeminen ammattikorkeakoulujen opetukseen on tärkeää. TKI-toiminta on osa ammattikorkeakoulujen lakisääteistä toimintaa ja sen mukaan määräytyy 19% AMK:n rahoituksesta (Minedu 2020). Sarajärven […]