Euroopan tietosuojaneuvosto julkaisi raportin tietosuojavastaavien asemaa koskevasta selvityksestä – moni tietosuojavastaava kohtaa edelleen haasteita tehtävässään

Euroopan tietosuojaneuvosto on hyväksynyt tammikuun täysistunnossaan raportin yhteisestä toimenpiteestään, jossa selvitettiin tietosuojavastaavien nimittämistä ja asemaa organisaatioissa eri EU-maissa. Raportissa kuvataan selvityksessä tunnistettuja kehityskohteita ja annetaan suosituksia tietosuojavastaavien roolin vahvistamiseksi. Selvitykseen saatiin yhteensä yli 17 000 vastausta, joiden pohjalta tietosuojaneuvoston raportti on laadittu.

EU-maiden tietosuojaviranomaiset selvittivät vuoden 2023 aikana, miten tietosuojavastaavien nimittäminen ja asema ovat toteutuneet organisaatioissa eri toimialoilla ja sektoreilla. Tietosuojaneuvoston yhteiseen koordinoituun toimenpiteeseen osallistui 25 tietosuojan valvontaviranomaista Euroopassa.

Suomessa tietosuojavaltuutetun toimisto selvitti tilannetta kyselyllä, joka lähetettiin 50 tietosuojavastaavalle toukokuussa 2023. Selvityksen kohteeksi valikoitui seitsemän valtion virastoa, 20 kuntaa, kuusi hyvinvointialuetta, kuusi rahoituspalvelujen tarjoajaa, kolme teleoperaattoria ja kahdeksan alustapalvelujen tarjoajaa. Kaikki organisaatiot vastasivat kyselyyn. Kyselyn kansalliset tulokset ovat nähtävissä raportin liitteessä.

Tietosuojavaltuutetun toimisto tunnisti selvityksen pohjalta tarpeita jatkotoimenpiteille tiettyjen organisaatioiden osalta Suomessa. Jatkotoimenpiteet etenevät lähiviikkojen aikana.

Haasteita edelleen resursoinnissa ja osaamisen tukemisessa

Suurin osa selvitykseen vastanneista eri EU-maissa toimivista tietosuojavastaavista ilmoitti, että heillä on työn tekemiseen tarvittava osaaminen ja että he saavat tehtäväänsä säännöllistä koulutusta. Suurimmalla osalla tietosuojavastaavista on selvityksen perusteella myös selkeästi määritellyt tehtävät, eikä heidän tehtäviensä hoitamiseen pyritä vaikuttamaan. Tietosuojavastaavien mukaan heitä kuullaan useimmissa tapauksissa ja heidän näkemyksensä otetaan melko hyvin huomioon.

Selvityksessä tunnistettiin myös useita haasteita, jotka liittyvät muun muassa puutteellisiin resursseihin, tietosuojavastaavan riippumattomaan asemaan ja ylimmälle johdolle raportointiin. Osa tietosuojavastaavista ilmoitti, ettei heidän vastuulleen ollut annettu kaikkia tietosuojalainsäädännön edellyttämiä tehtäviä. Osa myös koki, ettei heille tarjota riittävästi mahdollisuuksia osaamisensa kehittämiseen.

Joissakin organisaatioissa tietosuojavastaavaa ei ollut nimetty lainkaan, vaikka siihen olisi lakisääteinen velvoite.

Tietosuojaneuvosto kehottaa kiinnittämään huomiota tietosuojavastaavien riippumattomuuden varmistamiseen

Havaittuihin haasteisiin vastaamiseksi raportissa annetaan suosituksia tietosuojavastaavien aseman vahvistamiseksi, heidän riippumattomuutensa turvaamiseksi ja tarvittavien resurssien takaamiseksi.

Organisaatioita kehotetaan esimerkiksi varmistamaan, että tietosuojavastaavalla on riittävästi mahdollisuuksia, aikaa ja resursseja päivittää osaamistaan. Lisäksi tietosuojaviranomaisten tulisi edelleen lisätä tietoisuutta tietosuojavastaaviin liittyvistä velvollisuuksista.

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Euroopan tietosuojaneuvoston raportti tietosuojavastaavia koskevasta selvityksestä neuvoston verkkosivuilla (englanniksi)

Euroopan tietosuojaneuvoston tiedote: EDPB identifies areas of improvement to promote the role and recognition of DPOs (17.1.2024)

Kansallisen selvityksen aineisto: Kansallisen selvityksen aineisto:

Tietosuojavastaaville lähetetty kysely (pdf)

Listaus organisaatioista, joiden tietosuojavastaavat valittiin vastaamaan kyselyyn (pdf)

Tietosuojavaltuutetun toimiston tiedotteet:

Tietosuojavaltuutetun toimisto selvittää tietosuojavastaavien asemaa Suomessa – selvitys on osa Euroopan tietosuojaneuvoston yhteistä toimenpidettä (15.3.2023)

​​​​​​​Tietosuojavastaavien asemaa selvittävä kysely on käynnistynyt (22.5.2023)

Tietosuojavastaavat ovat organisaatioiden sisäisiä tietosuoja-asiantuntijoita, jotka neuvovat tietosuojasäännösten noudattamisessa ja toimivat rekisteröityjen yhteyshenkilöinä henkilötietojen käsittelyyn liittyvissä asioissa. Tietosuojavastaavan yhteystiedot on ilmoitettava tietosuojavaltuutetun toimistolle.

Euroopan tietosuojaneuvosto (EDPB) on riippumaton EU:n elin, joka koostuu EU:n kansallisista tietosuojaviranomaisista ja Euroopan tietosuojavaltuutetun edustajista. Myös ETA-maat Islanti, Norja ja Liechtenstein ovat tietosuojaneuvoston jäseniä. Euroopan tietosuojaneuvosto vastaa EU:n yleisen tietosuoja-asetuksen sekä poliisi- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta.