Tietosuojablogi: Neljä eri mallia hoitaa tietosuojan henkilöresursointia

Tietosuojan henkilöresursointi on onnistuessaan organisaatiolle sopiva yhdistelmä tietosuoja-asiantuntijuutta ja organisaation toiminnan tuntemusta. Sopivan yhdistelmän löytymiselle voi haasteita tuottaa organisaation muuttuvat tarpeet, jotka saattavat muuttaa osatekijöiden välistä painoarvoa nopeallakin tahdilla.

 

Tietosuojavastaava – ollako vai eikö olla

Organisaatioilla - niin julkisella kuin yksityisellä sektorilla - on ollut velvoitteena vuodesta 2018 alkaen huolehtia toimintansa olevan tietosuoja-asetuksen (EU:n yleinen tietosuoja-asetus 2016/679, GDPR) sekä kansallisen tietosuojalainsäädännön vaatimusten mukaista henkilötietojen käsittelyssä. Organisaatioissa tähän vaatimuksenmukaisuuden saavuttamiseen ja ylläpitoon on panostettu eri tavoin skaalalla ”ei tämä nyt meitä oikein koske” eli ei juuri lainkaan, toisen ääripään ollessa tyyliä ”tämä on luonnollinen osa toimintaamme” eli harkitusti panostaen niin toimintatapojen sekä -prosessien muutoksiin kuin niitä tukeviin henkilö- ja työvälineresursseihin. Monessa organisaatiossa, etenkin vuoden 2018 korvilla, hommaa on hoidettu myös ”laitetaan tämä nyt kerralla kuntoon” -projekteilla, joissa haasteeksi on saattanut muodostua asetuksen vaatimustenmukaisuuden ylläpito edes minimitasolla projektien päätyttyä.

Henkilöresursoinnin osalta tietosuoja-asetuksen vaatimustenmukaisuuden toteutuminen edellyttää tietosuojavastaavan nimeämistä organisaatioon jonkin verran tulkinnanvaraisella tavalla, poikkeuksena julkishallinnon toimijat, joilla vastaava tulee aina olla. Nimeäminen voi olla myös osa-aikainen vastuutus (tietosuoja-asetus, artikla 38.6), joka saattaa palvella riittävällä tasolla organisaation sisäisen tietosuojakonsultoinnin tarpeita ja muita asetuksessa määriteltyjen tehtävien hoitoa (artikla 39). Tällöinkin tietosuojavastaavalle tulee taata mahdollisuus kouluttautua tehtävässä toimimiseen muiden tarvittavien resurssien lisäksi (artikla 38.2).

 

Tietosuoja edellyttää asiantuntijuutta

Tietosuoja on asiantuntijatoimiala johtuen muun muassa alan sääntelyn kehittyvästä luonteesta sekä etenkin sen soveltamiskohteiden, kuten digitalisaation, jatkuvasti kiihtyvästä etenemisestä myös henkilötietojen käsittelyn osalta.

Tietosuojan käytännön toteuttajia ovat organisaatiot käsitellessään rekisteröityjen henkilötietoja. Käsittelyä voidaan tehdä rekisterinpitäjän, henkilötietojen käsittelijän tai alikäsittelijän rooleissa. Monesti yhdellä organisaatiolla on eri toimintojensa kautta kaikki edellä mainitut kolme roolia. Organisaatiot kulkevat myös omaa kehityspolkuaan ulkoisten ja sisäisten muutospaineiden saattelemana, mikä luo lisää kompleksisuutta henkilötietojen käsittelyn pysymiseen tietosuoja-asetuksen ja kansallisen tietosuojalainsäädännön vaatimusten tasolla.

Miten tietosuojan henkilöresursointi tulisi sitten hoitaa niin, että organisaatiolla olisi käytössään sopiva yhdistelmä tietosuoja-asiantuntijuutta ja organisaation toiminnan tuntemusta? Alla neljä ratkaisuvaihtoehtoa tälle kysymykselle:

 

  1.  Tietosuoja-asiantuntijuutta ylläpidetään ja kehitetään pääsääntöisesti organisaation sisällä omien joko täysipäiväisesti tai osa-aikaisesti nimettyjen henkilöiden kautta

    Tämä ratkaisuvaihtoehto istuu oto-toteutuksenakin etenkin organisaatiolle, jolla tietosuoja on luonnollinen, tai tietosuoja-asetuksen määritelmillä aidosti ”oletusarvoinen ja sisäänrakennettu” osa toimintaa. Organisaation johto vastaa tällöinkin ylemmän tason tietosuojan johtamisesta, organisaation kaikilla jäsenillä on aktiivinen ymmärrys omista vastuistaan heidän tehtävissään tapahtuvassa henkilötietojen käsittelyssä, ja he voivat tarvittaessa kääntyä myös organisaation sisällä toimivan tai toimivien tietosuoja-asiantuntijoiden puoleen lisäneuvoa saadakseen. Sisäiset asiantuntijat pystyvät ylläpitämään tietosuojaosaamistaan myös luonnollisena osana joko täysipäiväistä tai osa-aikaista tehtävävastuutustaan.

  2. Tietosuoja-asiantuntijuutta ostetaan organisaatioon jatkuvana palveluna

    Tietosuojavastaavapalvelun ostaminen sopii esimerkiksi organisaatiolle, joka haluaa tietosuoja-asiantuntijuuden ylläpidon hoituvan osana palvelua. Tällöin oman organisaation ulkopuolelta toimivan asiantuntijan tulee perehtyä organisaation toimintaan riittävällä tasolla pystyäkseen palvelemaan organisaation tietosuojan konsultointi- sekä muita tehtävätarpeita. Johdon tietosuojan johtamisvastuu säilyy tässäkin mallissa muiden edellä mainittujen asioiden lisäksi. Palveluna ostettaessa tietosuojavastaava toimii tehtävässään yleensä osa-aikaisesti organisaatiossa.

  3. Tietosuojassa on käytössä säännöllisesti omien nimettyjen henkilöiden lisäksi asiantuntijuutta ulkoiselta palvelutoimittajalta

    Etenkin vahvassa kehitysvaiheessa olevalle organisaatiolle voi tulla vastaan säännöllisesti tilanteita, joissa sisäisillä tietosuoja-asiantuntijoilla ei välttämättä ole mahdollisuutta hoitaa kaikkia tarvittavia tietosuojatoimenpiteitä niiden edellyttämällä tasolla. Lisätueksi hankittava ulkoinen tietosuoja-asiantuntijuus yhdistyy helpoimmin tarvittavan organisaation toiminnan tuntemisen kanssa silloin, kun palvelua hankitaan pääsääntöisesti samalta palvelutoimittajalta tuttujen henkilöiden tuottamana. Tällöin voi asiantuntijuutta mahdollisesti myös kehittää tai siirtää organisaation sisään osana tuotettavaa palvelua.
  4. Tietosuojassa käytetään satunnaisesti omien nimettyjen henkilöiden lisäksi ulkoiselta palvelutoimittajalta saatavaa asiantuntijuutta

    Isompaa kehityshankevaihetta läpikäyvälle organisaatiolle voi tulla satunnaista ulkoisen, riippumattoman tietosuoja-asiantuntijuuden täsmätarvetta tiettyyn asiakokonaisuuteen liittyen, esimerkiksi vaikutustenarvioinnin fasilitointiin tai tietosuojan kehitystarpeiden kartoittamiseen. Tällöin palvelutoimittajan valinnassa painottuu yleensä se, miten hyvin toimittaja pystyy vastaamaan asiantuntijuuden täsmätarpeeseen. Myös tässä resursointimallissa ostettavaan palveluun voi mahdollisesti liittyä mukaan asiantuntijuuden siirtoa omaan organisaatioon.

 

Organisaation toiminnassa voi olla käytössä eri vaiheissa kaikkia yllä kuvattuja neljää mallia hoitaa tietosuojan henkilöresursointia, joku niiden innovatiivinen yhdistelmä tai täysin erilainen toimintamalli. Koska eri organisaatioiden tarpeet sekä muut resursointimahdollisuudet vaihtelevat, malleissa ei ole paremmuusjärjestystä - niiden soveltuvuutta pystyvät arvioimaan vain organisaatiot itse.

 

Mikäli haluat tietää lisää tietosuojaresursoinnin eri mahdollisuuksista, jatkamme mielellämme keskustelua kanssasi. Saat meihin helpoiten yhteyttä osoitteen myynti[at]netum.fi kautta!