Tietosuojavastaavat

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka seuraa henkilötietojen käsittelyä ja auttaa tietosuojasäännösten noudattamisessa.

Tietosuojavastaava

  • seuraa tietosuojasääntöjen noudattamista koko organisaatiossa ja tuo esiin havaitsemiaan puutteita
  • antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista johdolle ja henkilötietoja käsitteleville työntekijöille
  • antaa pyydettäessä neuvoja tietosuojan vaikutustenarvioinnin tekemisestä ja valvoo vaikutustenarvioinnin toteutusta
  • on rekisteröityjen yhteyshenkilö henkilötietojen käsittelyyn liittyvissä asioissa
  • on tietosuojavaltuutetun toimiston yhteyshenkilö ja tekee yhteistyötä tietosuojavaltuutetun toimiston kanssa.

Ohjeita tietosuojavastaavan nimittäneelle organisaatiolle ja sen johdolle

1

Tietosuojavastaavaa tulee tukea tietosuojalainsäädännön mukaisesti ja tämän kanssa tulee tehdä yhteistyötä, jotta tietosuojavastaava voi rakentaa roolinsa asianmukaisen kattavalla ja riippumattomalla tavalla.

2

Tietosuojavastaavalla on oltava riittävät resurssit tehtävän asianmukaiseen hoitamiseen eli riittävästi työaikaa, -välineitä ja osaamista. Tietosuojavastaavalla tulee olla mahdollisuus päivittää osaamistaan kouluttautumalla. Kouluttautumisessa on hyvä huomioida muun muassa EU:n uusi digi- ja tekoälysääntely, jos se on olennaista tietosuojavastaavan tehtävien kannalta.

3

Tietosuojavastaavalla on hyvä olla varahenkilö, koska tietoturvaloukkausilmoitusten tekeminen ja rekisteröidyn oikeuksia koskevien asioiden hoitaminen eivät saa viivästyä tietosuojavastaavan poissaolon vuoksi.

4

Tietosuojavastaava tai hänen tiiminsä tulee ottaa mahdollisimman aikaisessa vaiheessa mukaan tietosuojakysymysten käsittelyyn.

5

Tietosuojavastaavalle tulee toimittaa viipymättä kaikki olennaiset tiedot, jotta hän voi antaa asianmukaisia neuvoja. Tietosuojavastaavan on suositeltavaa olla paikalla aina silloin, kun tehdään tietosuojaan vaikuttavia päätöksiä.

6

Tietosuojavastaavan tehtävät ja velvollisuudet on suositeltavaa määritellä selkeästi ja kirjallisesti, ja niistä tulee informoida organisaation henkilöstöä.

7

Tietosuojavastaavalla on oltava mahdollisuus raportoida suoraan ylimmälle johdolle. Tietosuojavastaava kutsutaan säännöllisesti ylemmän tai keskitason johdon kokouksiin.

8

Tietosuojavastaavan näkemykselle tulee aina antaa asianmukainen painoarvo. Mahdollisissa erimielisyystilanteissa on suositeltavaa dokumentoida perusteet, joiden vuoksi tietosuojavastaavan neuvoa ei noudateta.

9

Tietosuojavastaavaa tulee kuulla mahdollisimman nopeasti, jos ilmenee tietoturvaloukkaus tai muu tietosuojaan liittyvä ongelma.

10

Tietosuojavastaava ei ole henkilökohtaisesti vastuussa yleisen tietosuoja-asetuksen rikkomisesta. Tietosuojasäännösten noudattaminen on rekisterinpitäjän tai henkilötietojen käsittelijän vastuulla.

11

Tietosuojavastaavan on oltava riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtäviensä kanssa. Koska jokainen organisaatio on erilainen, eturistiriitoja on tarkasteltava tapauskohtaisesti. Hän ei siis voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot, sillä se on rekisterinpitäjälle kuuluva tehtävä.

12

Tietosuojavastaavalle ei saa antaa ohjeita tämän tehtävien hoitamisesta. Tietosuojavastaavaa ei saa erottaa tai rangaista tietosuojatehtävien hoitamisen vuoksi.

Lue lisää:
​​​​​​​Ohjeita tietosuojavastaavan nimittäneelle organisaatiolle ja sen johdolle (pdf)

Usein kysyttyä tietosuojavastaavista

Tietosuojavastaavan nimittäminen

Tietosuoja-asetus: artiklat 37‒39, johdanto-osan kohta 97 (EUR-Lexin verkkosivuilla)

Tietosuojatyöryhmä WP29:n tietosuojavastaavia koskevat ohjeet (pdf)

Tietosuojatyöryhmä WP29:n vastauksia usein kysyttyihin kysymyksiin: Tietosuojavastaavat (pdf)

Euroopan tietosuojaneuvoston raportti tietosuojavastaavia koskevasta selvityksestä (EDPB:n verkkosivuilla, englanniksi)​​​​​​​

Tietosuojavaltuutetun toimiston uutiskirje