Usein kysyttyä tietosuojavastaavista

Tietosuojavastaavan yhteystietojen on oltava julkisesti saatavilla esimerkiksi organisaation verkkosivuilla. Tietosuojavastaavalla voi olla myös oma asiakaspalvelunumero tai yhteydenottolomake.

Tietosuojavastaavan sähköpostiosoite voi olla esimerkiksi muotoa [email protected]. Organisaatio voi harkintansa mukaan ilmoittaa myös tietosuojavastaavan nimen.

Tietosuojavastaavan yhteystietojen on oltava helposti saatavilla. Rekisteröidyt voivat olla yhteydessä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja rekisteröidyn oikeuksien käyttöön.

Rekisteröidyt voivat olla yhteydessä tietosuojavastaavaan kaikissa kysymyksissä, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tietosuojaoikeuksiensa käyttöön kyseisessä organisaatiossa.

Tietosuojavastaavan yhteystietojen on oltava helposti saatavilla esimerkiksi organisaation verkkosivuilla. Myös organisaation muun henkilöstön on hyvä tietää, että henkilötietojen käsittelyä koskevat kysymykset voi välittää tietosuojavastaavalle. Yleensä on tehokkaampaa sekä rekisteröidylle että organisaatiolle, jos rekisteröity on suoraan yhteydessä tietosuojavastaavaan.

Rekisteröityjen oikeuksiin liittyviin tiedusteluihin vastaaminen tuottaa tietosuojavastaavalle arvokasta tietoa organisaation tietosuojan tasosta ja lainsäädännön noudattamisesta. On tärkeää, että kaikki tietosuojaan liittyvät epäkohdat tulevat tietosuojavastaavan tietoon.

Tietosuojavastaavan on oltava riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtävien kanssa. Koska jokainen organisaatio on erilainen, eturistiriitoja on tarkasteltava tapauskohtaisesti.

Tietosuojavastaava ei voi olla sellaisessa asemassa tai tehtävässä, jossa hänen on määritettävä henkilötietojen käsittelyn tarkoitukset ja keinot. Henkilötietojen käsittelyn tarkoitusten ja keinojen määrittely on rekisterinpitäjälle kuuluva tehtävä. Eturistiriitoja voi syntyä, jos tietosuojavastaavaksi on nimetty esimerkiksi tietoturvavastaava tai ylimmän johdon edustaja.

Tiettyjä tutkintovaatimuksia ei ole säädetty. Esimerkiksi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen laajamittainen käsittely voi käytännössä vaikuttaa tietosuojavastaavan pätevyysvaatimuksiin.

Tietosuojavastaavaa nimitettäessä on otettava huomioon henkilön ammattipätevyys, erityisesti asiantuntemus tietosuojalainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa hänelle kuuluvat tehtävät. Tietosuojavastaavan on muun muassa seurattava, että organisaatiossa noudatetaan tietosuojalainsäädäntöä. Hänen tehtäviinsä kuuluu myös neuvoa rekisterinpitäjää tai henkilötietojen käsittelijää sekä henkilötietoja käsitteleviä työntekijöitä tietosuoja-asioissa.

Tietosuoja-asetus edellyttää, että organisaation on nimitettävä tietosuojavastaava, jos se

käsittelee laajamittaisesti arkaluonteisia tietoja
seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
on julkishallinnon toimija, joka ei ole tuomioistuin.

Tästä asetuksen velvollisuudesta voidaan katsoa seuraavan, että tietosuojavastaava pitää olla koko ajan nimettynä.

Organisaation on nimitettävä tietosuojavastaava, jos se

käsittelee laajamittaisesti arkaluonteisia tietoja
seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
on julkishallinnon toimija, joka ei ole tuomioistuin.

Tästä tietosuoja-asetuksen velvollisuudesta voidaan katsoa seuraavan, että tietosuojavastaava pitää olla koko ajan nimettynä.

Organisaation on järjestettävä tietosuojavastaavalle sijainen, joka hoitaa tietosuojavastaavan tehtäviä loma-aikoina. Tietoturvaloukkausilmoitukset ja rekisteröidyn oikeuksia koskevat asiat eivät saa viivästyä tietosuojavastaavan poissaolon vuoksi.

Organisaation on pyrittävä siihen, että myös tietosuojavastaavan sijainen on riippumattomassa asemassa.

Tietosuojavastaavan sähköpostiosoitteen on hyvä olla rooliin liittyvä, esimerkiksi [email protected]. Silloin sijainen voi lukea sähköpostia, ja tietosuojavastaavan viestintä on sujuvaa myös poissaolojen ja henkilövaihdosten yhteydessä.

Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että henkilötietoja käsitellään ohjeiden mukaisesti. Henkilökunnalle on annettava perehdytystä, ohjeita ja koulutusta. Henkilöstön tietosuojaosaamista voidaan myös mitata testien avulla.

Perehdytys ja ohjeet voivat sisältää tietoa esimerkiksi seuraavista asioista:

Mikä on henkilötieto
Miten henkilötietoja käsitellään
Mitä henkilötietoja saa käsitellä (vain sellaisia, jotka ovat työtehtävien kannalta tarpeellisia)
Missä tietojärjestelmissä henkilötietoja käsitellään
Miten tietoturvasta ja käyttäjähallinnasta on huolehdittava
Miten toimia tietoturvaloukkaustilanteissa (esimerkiksi jos sähköposti lähetetään väärään osoitteeseen)
Kuka on organisaation tietosuojavastaava, mitä hänen tehtäviinsä kuuluu ja missä hän voi auttaa henkilöstöä

On tärkeää, että myös muut organisaatio- ja toimialakohtaiset tarpeet henkilötietojen käsittelyssä tunnistetaan, ja perehdytys ja ohjaus suunnitellaan tarpeiden mukaan.

Ohjeiden ja perehdytyksen antaminen on myös osa rekisterinpitäjän osoitusvelvollisuutta.

Onko tietosuojavastaavan nimen ja yhteystietojen oltava organisaatiomme verkkosivuilla?

Millaisissa kysymyksissä rekisteröidyt voivat olla yhteydessä tietosuojavastaavaan?

Kuka ei voi olla tietosuojavastaava?

Millainen koulutus ja kokemus tietosuojavastaavalla on oltava?

Tietosuojavastaavamme on vaihtumassa. Pitääkö tietosuojavastaava olla aina nimettynä vai voimmeko olla ilman tietosuojavastaavaa ennen kuin uusi henkilö aloittaa työnsä?

Voimmeko nimittää tietosuojavastaavan vapaaehtoisesti?

Onko tietosuojavastaavalla oltava sijainen esimerkiksi loma-aikoina?

Mitä asioita henkilöstön tietosuojaperehdytyksessä tulisi ottaa huomioon?

Oikopolkuja