Jaa sivu
Auta verkostoasi oppimaan uutta!
Data Protection Officer (DPO), eli tietosuojavastaava vastaava siitä, että yrityksessä prosessoidaan henkilötietoja noudattaen voimassa olevaa lainsäädäntöä. Tähän liittyy tiedottamista, neuvonantoa sekä käytänteiden rakentamista. Näiden avulla varmistetaan, että organisaatiossa ymmärretään lainsäädännön vaikutukset ja työskennellään sen asettamien rajojen sisällä. Tietosuojavastaavan tulee varmistaa, että aiheeseen liittyvä dokumentaatio on kunnossa ja sitä pidetään ajan tasalla. Tietosuojavastaava on lisäksi tietosuojaviranomaisten pääasiallinen yhteyshenkilö.
Ensinnäkin tietosuojavastaavalla on oltava syvä ymmärrys yksityisyyteen liittyvistä asioista, tähän sisältyy myös GDPR. Tietosuojavastaava on usein yhteydessä organisaation eri funktioiden kanssa, joten hyvä ymmärrys liiketoiminnasta sekä kollegoiden erilaisista työnkuvista on myös eduksi. Toisin sanoen, erinomaiset viestintätaidot ovat äärimmäisen tärkeässä asemassa. Oma taustani on erittäin laaja. Olen työskennellyt niin IT:n, myynnin, projektinhallinnan, henkilöstöhallinnon kuin datankin parissa. Tämä antaa minulle vankan perustan tietosuojavastaavan työlle.
Ensisijainen vastuuni on varmistaa, että suojelemme ja käsittelemme henkilötietoja lainsäädäntöä noudattaen. Tällä hetkellä olen mukana GDPR-ohjelmassamme ja vastaan erilaisiin kysymyksiin, jotka askarruttavat ihmisiä eri puolilla organisaatiota. Lisäksi varmistan, että tarvittavat käytännöt sekä prosessit ovat paikallaan ja otamme yksityisyyden huomioon järjestelmissämme ja projekteissamme. Tämä työ ei kuitenkaan lopu 25. toukokuuta. Tulevaisuudessa on erittäin tärkeää varmistua siitä, että tulemme pitämään yllä korkeaa tietosuojantasoa.
Viranomaisten sekä sellaisten yritysten, joiden ydintoimintaan kuuluu laajamittainen, säännöllinen ja systemaattinen rekisteröityjen monitorointi on nimitettävä tietosuojavastaava. Lisäksi tietosuojavastaava on nimitettävä, jos organisaatiossa prosessoidaan erityisiin datakategorioihin tai rikoksiin liittyvää henkilötietoa.
Suosittelen kuitenkin, että jokainen henkilötietoja käsittelevä yritys nimittää tietosuojavastaavan – tai ainakin valitsee yrityksestä sellaisen henkilön, joka huolehtii tietosuojasta riippuen yrityksen koosta sekä saatavilla olevan datan määrästä.
Tulen jatkamaan sitä työtä, jota teemme jo tänään. Samaan aikaan aloitan yrityksemme auditoinnin varmistaakseni, että noudatamme GDPR:n periaatteita. Olen varma, että toukokuun jälkeen tulemme vielä hienosäätämään prosessejamme kunhan olemme ensin työskennelleet hetken niitä noudattaen. Lisäksi tulen kasvattamaan tietoisuutta GDPR:stä koko organisaatiossamme ja tarvittaessa myös koulutan henkilöstöämme.
Bisnodella on nimetty paikalliset tietosuojavastaavat. Osa näistä henkilöistä kuitenkin edustaa useampia markkinoita. Olemme nimenneet paikalliset tietosuojavastaavat siksi, että tietosuojavastaavan tulisi olla helposti tavoitettavissa ja lisäksi hänen tulisi ymmärtää paikallista lainsäädäntöä. On myös eduksi, että hän osaa paikallista kieltä. Ei kuitenkaa ole välttämätöntä, että kansainvälisessä organisaatiossa on useampia tietosuojavastaavia.
Haluan varmistaa, että tietosuojavastaavaa antaa aina kehitysprojektien aikaisessa vaiheessa neuvoja tietosuojaan liittyen. Kuten on useasti huomattu, on helpompi antaa neuvoja ennen kuin jotakin on rakennettu, ostettu tai toteutettu.
Liiketoimintamme ja sen mahdollisuudet pysyvät hyvin samanlaisina myös GDPR:n jälkeen. Äärimmäisen tärkeä tehtävä meille on auttaa asiakkaitamme varmistamaan, että heillä on tavoitteisiinsa nähden oikea tieto saatavilla ja, että tämä tieto on ajan tasalla.
Lisäksi GDPR-ohjelmassa tekemämme työ auttaa meitä nopeuttamaan myös muita liiketoimintaprosessejamme.
Kolme teemaa nousevat toistuvasti esiin tietosuoja-asetukseen liittyen. Näiden teemojen ympäriltä saan myös paljon kysymyksiä.
Ensimmäinen liittyy datan siirtämiseen järjestelmästä toiseen. Kyllä, joissakin tapauksissa on mahdollista pyytää tietojen siirtämistä toiseen järjestelmään. Tämä ei kuitenkaan aina ole mahdollista. Lisäksi siirto-oikeus ei koske kaikentyypistä dataa.
Toinen yleinen väärinymmärrys liittyy suostumukseen. Tällä hetkellä puhutaan paljon siitä, että henkilötietojen käsittely vaatii aina suostumuksen. Tämä ei yksinkertaisesti ole totta. Tietosuoja-asetuksessa on kuusi oikeusperustetta henkilötietojen käsittelylle ja suostumus on niistä vain yksi.
Kolmas asia, joka usein aiheuttaa epätietosuutta on datan säilyttäminen. Monet uskovat, että tietosuoja-asetuksen myötä ei enää ole mahdollista säilyttää tarvittavia henkilötietoja. Todellisuudessa tietojen säilyttäminen on tarvittaessa mahdollista kunhan tietojen käsittelylle on olemassa oikeusperuste. Lain mukaan henkilötietoja ei kuitenkaan saa säilyttää suurempaa määrää kuin sille määritelty käyttötarkoitus vaatii. Tietoja ei myöskään saa säilyttää pidempään kuin käyttötarkoitus vaatii. Lisäksi samaan aikaan on varmistettava, että kunnioitetaan yksilön oikeuksia.
Tietosuojavastaava, Bisnode Group
Lisbeth Svensson toimii Bisnode Groupin tietosuojavastaavana. Bisnodella Lisbeth on aloittanut vuonna 2008 ja vuodesta 2016 hän on hoitanut tietosuojavastaavan tehtäviä. Lisbethillä on laaja-alaista osaamista mm. teknologiasta, markkinoinnista, myynnistä ja projektinhallinnasta. Tämän laaja kokemus on auttanut häntä muodostamaan monipuolisen näkemyksen tietosuojaan liittyvistä teemoista. Lisbeth uskoo, että tietosuojavastaavalla on tärkeä rooli osana yrityksen pitkän tähtäimen liiketoimintastrategiaa.