itslearningin tietosuojasta vastaava henkilö (Data Protection Officer, DPO) John-Arthur Berg tulee kirjoittamaan kolme merkintää tietosuojasta. Tämä merkintä on ensimmäinen noista kolmesta. Aloitetaanpa vastaamalla yleisimpään kysymykseen: mikä on DPO?
Mikä on DPO?
Kysymys on yksinkertainen, mutta ymmärtääkseen vastauksen perinpohjaisesti, täytyy omata perusymmärrys GDPR:stä (EU:n tietosuoja-asetus).
Jokaisella EU:n kansalaisella on oikeus yksityisyyteen ja henkilökohtaisen tiedon turvaamiseen perusoikeuksien artiklan 7 ja 8 mukaan. Henkilökohtainen tieto tulee olla suojattua ja sen käsittelylle tulee olla oikeudelliset perusteet. Lisäksi tietojen käsittelyn tulee olla läpinäkyvää. Työkaluina tämän varmistamiseksi on tähän asti toiminut muutamat EU:n direktiivit ja kansalliset lait eri jäsenvaltioissa. Toukokuun 25. 2018 lähtien tietojen käsittely yhdenmukaistetaan GDPR-asetuksella, josta automaattisesti muotoutuu laki kaikissa jäsenvaltioissa sekä Euroopan talousalueella.
Monet jäsenvaltiot ovat jo tähänkin mennessä edellyttäneet tietosuojasta vastaavien henkilöiden nimittämistä. GDPR:n myötä DPO:n rooli on määritelty lakiin. Joillekin organisaatioille tietosuojasta vastaavan henkilön nimeäminen tulee pakolliseksi, toiset organisaatiot voivat nimetä henkilön halutessaan. Seuraaville organisaatioille DPO:n nimittäminen on pakollista:
- Julkiset / valtion omistamat laitokset
- Organisaatiot jotka käsittelevät suuria määriä henkilökohtaista dataa
- Organisaation prosesseissa kertyy laajamittaista seurantadataa yksityishenkilöistä
Tietäen että monet asiakkaistamme joutuvat nimeämään DPO:n, olemme tehneet niin myös itse.
Ja takaisin alkuperäiseen kysymykseen: mikä on DPO? Yksinkertaisesti sanottuna DPO työskentelee taatakseen käyttäjille ne vapaudet ja oikeudet jotka heille kuuluvat tietosuoja-asetuksen mukaisesti. Varmistaakseen tämän, DPO asettaa käyttäjän oikeudet etusijalle, yrityksen edun yläpuolelle. GDPR määrittelee, että DPO:n toiminnan tulee olla riippumatonta. DPO:n työtä ei voi ohjata eikä siitä voida palkita tai rangaista. DPO:lla ei myöskään samanaiaikaisesti saa olla toista roolia, joka estäisi vastuun hoitamisen riippumattomasti.
Yleisin harhaluulo DPO:n rooliin liittyen on ajatus siitä että DPO on vastuussa GDPR:n toteutumisesta. Tilanne on itseasiassa päinvastainen. DPO:lla ei voi olla virallista roolia GDPR:n toteutuksessa, vaan hän toimii asetuksen toteutumisen auditoijana. DPO ohjaa ja neuvoo päätöksenteossa, mutta pysyttelee riippumattomana.
DPO tulee aina olla tavoitettavissa, kun kyse on tiedon suojaamisesta organisaatiossa. Hänen tehtävänään on kouluttaa henkilökunta ymmärtämään tiedosuoja-asetuksen edellyttämät tehtävät. DPO:n tulee myös aktiisivesti seurata tietosuojan toteutumista organisaatiossa ja raportoida havainnoistaan eteneepäin aina ylimmälle johdolle asti. DPO on myös se henkilö, johon viranomaiset voivat olla yhteydessä mikäli tietosuojan tasoa on syytä tarkastella lähemmin.
Edellä kuvatun lisäksi DPO vastaa siitä, että organisaatiolle tulleet tietopyynnöt käsitellään. Tämä toki rajoittuu ainoastaan niihin tapauksiin, joissa organisaatiolla on velvollisuus luovuttaa tietoa eteenpäin. itslearningin kohdalla, kaikki data jota käsittelemme on asiakkaidemme omistamaa ja käsittelemme sitä asiakkaidemme pyynnöstä. Jos olet opiskelija, opettaja tai huoltaja, sinun tulee olla yhteydessä organisaatiosi yhteyshenkilöön saadaksesi selville omat oikeutesi. itslearningin DPO antaa toki neuvoja siinä kuinka voit lähestyä oman organisaatiosi pääkäyttäjää ja millaiseen tietoon sinulla on oikeus.
Toivon, että olen vastannut kattavasti kysymykseen ”Mikä on DPO?”. Seuraava artikkeli julkaistaan ensi viikolla. Sen aiheena on ”Miksi GDPR?”.
John-Arthur Berg, DPO
No Pings Yet