Tietosuojavastaavan nimittäminen ‒ pakko vai tarve?

Kesäkuun alku on taas kerran tietosuoja-asioiden kannalta kiireistä aikaa. Oikeusministeriön asettama TATTI-työryhmä on tietojeni mukaan saamassa valmiiksi ensimmäisen osan työstään. Työn laajuudesta johtuen uskallan jopa sanoa, että hämmästyttävästi lähes aikataulussaan. Mietintö tulee antamaan monelle hankkeelle tarvittavat suuntaviivat.

WP29:n seuraavassa kokouksessa 7.‒8. kesäkuuta on esillä pitkä lista paljon kaivattuja ohjausasioita. Tulemme käymään asettamiemme alaryhmien työn perusteella "palautekeskustelun" ohjeistojen lopullista viilausta varten ainakin sertifikaateista, profiloinnista, suostumuksesta, tietoturvaloukkauksista ilmoittamisesta ja tietojen siirrosta. Heti kun kannanotot valmistuvat, tulemme ne tietysti julkaisemaan ja niistä tiedottamaan.

Kiirettä tosiaankin pitää, sillä kesäkuun kokouksen jälkeen vanha kunnon WP29 tulee kokoontumaan ainoastaan neljä kertaa, ellei sitten tule tarve järjestää ylimääräisiä kokouksia. Sen jälkeen se siirtyy historiaan, ja tilalle tulee uusi, uljas Euroopan tietosuojaneuvosto, EDPB. Kunhan saamme EDPB:n valmistelut vähän pitemmälle, palaan tässä blogissani aiheeseen.

Meiltä kysellään todella paljon tietosuoja-asetukseen liittyviä kysymyksiä. Aina emme suinkaan voi asetusinstrumentin luonteesta ja EDPB:n roolista ja toimivallasta johtuen kysymyksiin vastata. Odotamme asetukseen liittyvän kansallisen liikkumavaran käyttömahdollisuudesta johtuen myös TATTI-työryhmän mietintöä käyttöömme. Hyvä asia kuitenkin on, että tämä eurooppalainen yhteistyökoneisto jauhaa myllystään oppaita ja tulkintoja.

Eräs meidän toimistollemme esitetty kysymys on koskenut tietosuojavastaavien nimittämistä. Perinteiseen suomalaiseen tapaan kysyjät pohdiskelevat, milloin on pakollista nimittää tietosuojavastaava. Ymmärtääkseni yhä useammin pohdiskellaan samoin sitä, mistä sellaisen oikein löytäisi. Kysyntä hyville tietosuojavastaaville taitaa olla aika kova!

Itse lähestyisin rekisterinpitäjänä tätä teemaa pohtimalla, mistä löydän oman toimintani tueksi riittävän osaamisen avukseni. Tietosuojavastaavien olemassaolon oikeutushan tulee muun ohella siitä, että he kykenevät avustamaan organisaatiota ja ennen kaikkea sen johtoa tietosuojaan ja -turvaan liittyvissä kysymyksissä organisaation muun toiminnan, kuten myynnin, markkinoinnin, asiakassuhteiden hoidon sekä tutkimus- ja tuotekehityksen yhteydessä. Kun kerran tietosuojan tarkoituksena on tukea digitaalisten sisämarkkinoiden syntymistä, lienee selvää, että tietosuojavastaavan tarkoituksena on tukea kaupallisen organisaation kilpailukykyä. Jos edustaisin rekisterinpitäjän johtoa, haluaisin tällaisen resurssin käyttööni, edellyttipä laki sitä tai ei. Vastaavasti julkisella puolella pontimena voisi lakisääteisyyden lisäksi olla vaikkapa veronmaksajien rahojen säästäminen.

Oman mausteensa tietosuojavastaavan asemaan tuo, että suurelle yleisölle on kerrottava tietosuojavastaavan yhteystiedot. Meille viranomaisille on kerrottava myös tietosuojavastaavan nimi. Nyt tietosuojavaltuutetun toimistossa mietitään, miten tulemme hyödyntämään tätä näin syntyvää rekisteriä tietosuojavastaavien ja rekisteröityjen auttamiseksi.

Tietosuojavastaavien ja muiden tietosuoja-osaajien aiemmin kaipaamani ja ennustamani työmarkkinat ovat jo käynnistyneet. Vielä pitäisi sitten hoitaa tietosuojavastaavien verkostoituminen ja osaamisen jakaminen tässä yhdistysten luvatussa maassa.

Hyvää kesää!