Tulevan tietosuoja-asetuksen myötä useat Euroopassa toimivista yrityksistä ovat olleet seuraavan kysymyksen äärellä: onko meidän nimitettävä tietosuojavastaava? Minkälaisia yrityksiä vaatimus tietosuojavastaavasta koskee ja minkälaisia tarkalleen ovat hänen tehtävät? Lisbeth Svensson, Bisnode Groupin tietosuojavastaava, antaa vastauksen näihin ja moniin muihin kysymyksiin.

Mitkä ovat tietosuojavastaavan pääasialliset tehtävät?

Data Protection Officer (DPO), eli tietosuojavastaava vastaava siitä, että yrityksessä prosessoidaan henkilötietoja noudattaen voimassa olevaa lainsäädäntöä. Tähän liittyy tiedottamista, neuvonantoa sekä käytänteiden rakentamista. Näiden avulla varmistetaan, että organisaatiossa ymmärretään lainsäädännön vaikutukset ja työskennellään sen asettamien rajojen sisällä. Tietosuojavastaavan tulee varmistaa, että aiheeseen liittyvä dokumentaatio on kunnossa ja sitä pidetään ajan tasalla. Tietosuojavastaava on lisäksi tietosuojaviranomaisten pääasiallinen yhteyshenkilö.

Minkälaista osaamista ja tietosuojavastaavalta vaaditaan?

Ensinnäkin tietosuojavastaavalla on oltava syvä ymmärrys yksityisyyteen liittyvistä asioista, tähän sisältyy myös GDPR. Tietosuojavastaava on usein yhteydessä organisaation eri funktioiden kanssa, joten hyvä ymmärrys liiketoiminnasta sekä kollegoiden erilaisista työnkuvista on myös eduksi. Toisin sanoen, erinomaiset viestintätaidot ovat äärimmäisen tärkeässä asemassa. Oma taustani on erittäin laaja. Olen työskennellyt niin IT:n, myynnin, projektinhallinnan, henkilöstöhallinnon kuin datankin parissa. Tämä antaa minulle vankan perustan tietosuojavastaavan työlle.

Minkälainen on vastuualueesi Bisnodella?

Ensisijainen vastuuni on varmistaa, että suojelemme ja käsittelemme henkilötietoja lainsäädäntöä noudattaen. Tällä hetkellä olen mukana GDPR-ohjelmassamme ja vastaan erilaisiin kysymyksiin, jotka askarruttavat ihmisiä eri puolilla organisaatiota. Lisäksi varmistan, että tarvittavat käytännöt sekä prosessit ovat paikallaan ja otamme yksityisyyden huomioon järjestelmissämme ja projekteissamme. Tämä työ ei kuitenkaan lopu 25. toukokuuta. Tulevaisuudessa on erittäin tärkeää varmistua siitä, että tulemme pitämään yllä korkeaa tietosuojantasoa.

Minkälaisilla yrityksillä tulee olla tietosuojavastaava?

Viranomaisten sekä sellaisten yritysten, joiden ydintoimintaan kuuluu laajamittainen, säännöllinen ja systemaattinen rekisteröityjen monitorointi on nimitettävä tietosuojavastaava. Lisäksi tietosuojavastaava on nimitettävä, jos organisaatiossa prosessoidaan erityisiin datakategorioihin tai rikoksiin liittyvää henkilötietoa.

Suosittelen kuitenkin, että jokainen henkilötietoja käsittelevä yritys nimittää tietosuojavastaavan – tai ainakin valitsee yrityksestä sellaisen henkilön, joka huolehtii tietosuojasta riippuen yrityksen koosta sekä saatavilla olevan datan määrästä.

Miltä päivittäiset työtehtäväsi tulevat näyttämään toukokuun 25. jälkeen?

Tulen jatkamaan sitä työtä, jota teemme jo tänään. Samaan aikaan aloitan yrityksemme auditoinnin varmistaakseni, että noudatamme GDPR:n periaatteita. Olen varma, että toukokuun jälkeen tulemme vielä hienosäätämään prosessejamme kunhan olemme ensin työskennelleet hetken niitä noudattaen. Lisäksi tulen kasvattamaan tietoisuutta GDPR:stä koko organisaatiossamme ja tarvittaessa myös koulutan henkilöstöämme.

Onko Bisnodella tietosuojavastaava jokaisessa maassa?

Bisnodella on nimetty paikalliset tietosuojavastaavat. Osa näistä henkilöistä kuitenkin edustaa useampia markkinoita. Olemme nimenneet paikalliset tietosuojavastaavat siksi, että tietosuojavastaavan tulisi olla helposti tavoitettavissa ja lisäksi hänen tulisi ymmärtää paikallista lainsäädäntöä. On myös eduksi, että hän osaa paikallista kieltä. Ei kuitenkaa ole välttämätöntä, että kansainvälisessä organisaatiossa on useampia tietosuojavastaavia.

Mitkä ovat suurimpia haasteista työssäsi?

Haluan varmistaa, että tietosuojavastaavaa antaa aina kehitysprojektien aikaisessa vaiheessa neuvoja tietosuojaan liittyen. Kuten on useasti huomattu, on helpompi antaa neuvoja ennen kuin jotakin on rakennettu, ostettu tai toteutettu.

Mitä mahdollisuuksia Bisnodelle avautuu GDPRn jälkeen?

Liiketoimintamme ja sen mahdollisuudet pysyvät hyvin samanlaisina myös GDPR:n jälkeen. Äärimmäisen tärkeä tehtävä meille on auttaa asiakkaitamme varmistamaan, että heillä on tavoitteisiinsa nähden oikea tieto saatavilla ja, että tämä tieto on ajan tasalla.

Lisäksi GDPR-ohjelmassa tekemämme työ auttaa meitä nopeuttamaan myös muita liiketoimintaprosessejamme.  

Mitkä ovat mielestäsi suurimpia tietosuoja-asetukseen liittyviä väärinymmärryksiä?

Kolme teemaa nousevat toistuvasti esiin tietosuoja-asetukseen liittyen. Näiden teemojen ympäriltä saan myös paljon kysymyksiä.

Ensimmäinen liittyy datan siirtämiseen järjestelmästä toiseen. Kyllä, joissakin tapauksissa on mahdollista pyytää tietojen siirtämistä toiseen järjestelmään. Tämä ei kuitenkaan aina ole mahdollista. Lisäksi siirto-oikeus ei koske kaikentyypistä dataa.

Toinen yleinen väärinymmärrys liittyy suostumukseen. Tällä hetkellä puhutaan paljon siitä, että henkilötietojen käsittely vaatii aina suostumuksen. Tämä ei yksinkertaisesti ole totta. Tietosuoja-asetuksessa on kuusi oikeusperustetta henkilötietojen käsittelylle ja suostumus on niistä vain yksi.

Kolmas asia, joka usein aiheuttaa epätietosuutta on datan säilyttäminen. Monet uskovat, että tietosuoja-asetuksen myötä ei enää ole mahdollista säilyttää tarvittavia henkilötietoja. Todellisuudessa tietojen säilyttäminen on tarvittaessa mahdollista kunhan tietojen käsittelylle on olemassa oikeusperuste. Lain mukaan henkilötietoja ei kuitenkaan saa säilyttää suurempaa määrää kuin sille määritelty käyttötarkoitus vaatii. Tietoja ei myöskään saa säilyttää pidempään kuin käyttötarkoitus vaatii. Lisäksi samaan aikaan on varmistettava, että kunnioitetaan yksilön oikeuksia.