On kulunut kolme vuotta siitä, kun Euroopan unioni alkoi soveltaa alueella tietosuojan kannalta merkittävää lainsäädäntöä - yleistä tietosuoja-asetusta (joka tunnetaan paremmin nimellä GDPR). Se on maailman kattavin tietosuojaa ja tietoturvaa koskeva laki, ja se ulottuu kauas Euroopan ulkopuolelle. Joidenkin viime vuoden aikana tehtyjen tärkeiden päivitysten vuoksi julkaisemme alkuperäisen artikkelisarjan vuodelta 2018 uudelleen, jotta voimme ottaa huomioon GDPR:n kehittymisen. Tässä ensimmäisessä artikkelissa tarkastelemme yhtä keskeistä näkökohtaa - tietosuojavastaavan nimittämistä.
Mikä DPO tarkalleen ottaen on?
Kysymys on yksinkertainen, mutta vastaus edellyttää jonkin verran ymmärrystä GDPR:stä ja EU:n tietosuojasäännöistä.
Jokaisen EU:n kansalaisen oikeus yksityisyyteen ja henkilötietojen suojaan on turvattu perusoikeuskirjassa (7 ja 8 artikla). Henkilötietoja on suojeltava, ja niiden käsittelyllä on oltava laillinen tarkoitus ja sen on oltava avointa. Tärkein väline tämän varmistamiseksi ennen vuotta 2018 oli EU:n direktiivien ja eri jäsenvaltioiden paikallisen lainsäädännön yhdistelmä. Tämä kaikki muuttui 25. toukokuuta 2018, kun GDPR hyväksyttiin kaikissa EU:n ja ETA:n jäsenvaltioissa.
Tietosuojavastaava (DPO) työskentelee suojellakseen rekisteröityjen perusvapauksia ja -oikeuksia yksityisyyden ja tietosuojan osalta.
GDPR:n myötä tietosuojavastaavan rooli kirjattiin EU:n lainsäädäntöön. Joillekin laitoksille tietosuojavastaavan käyttäminen on pakollista, kun taas toiset voivat halutessaan valita sen. Seuraavien organisaatioiden on lain mukaan nimitettävä tietosuojavastaava:
- Julkiset/hallinnolliset laitokset
- Organisaatiot, jotka käsittelevät tietyntyyppisiä arkaluonteisia tietoja laajamittaisesti.
- Organisaatiot, jotka käsittelevät henkilötietoja, joihin liittyy laajamittaista seurantaa tai valvontaa.
Koska monet asiakkaamme joutuvat täyttämään tämän roolin, itslearning oli ensimmäisten LMS-palvelujen tarjoajien joukossa, jotka nimittivät tietosuojavastaavan. Sen lisäksi, että tietosuojavastaavamme valvoo omaa noudattamistamme ja antaa neuvoja ja koulutusta omalle henkilöstöllemme, hän on asiakkaidemme ja heidän tietosuojavastaaviensa käytettävissä keskustellakseen tietosuoja-asioista. Toimin tässä tehtävässä vuoteen 2020 asti, jolloin Sanoma Group osti itslearning . Tehtävä kuuluu nyt Riika Turuselle Sanomassa. Yksityiskohdat löytyvät GDPR-sivultamme.
TVH:n rooli
Palatakseni alkuperäiseen kysymykseen, mikä on DPO? Yksinkertaisesti sanottuna tietosuojavastaavat työskentelevät suojellakseen rekisteröityjen perusvapauksia ja -oikeuksia yksityisyyden ja tietosuojan alalla. Sen varmistamiseksi, että tietosuojavastaava asettaa rekisteröidyn oikeudet etusijalle eikä työnantajansa oikeuksia, tietosuoja-asetuksessa on erityissäännöksiä, joilla varmistetaan riippumattomuus. Tietosuojavastaavaa ei voida ohjeistaa tai rangaista tietosuojavaltuutettuna tehdystä työstä. Hänellä ei myöskään voi olla muuta tehtävää, joka voisi olla ristiriidassa henkilötietojen suojan kanssa.
Yleinen väärinkäsitys tehtävästä on se, että tietosuojavastaava on vastuussa GDPR:n noudattamisesta. Itse asiassa asia onpäinvastoin . TVH:lla ei voi olla virallista roolia, jossa tehdään päätöksiä, jotka voivat vaikuttaa GDPR:n noudattamiseen. Tilintarkastaja voi neuvoa kirjanpitäjää ja suositella kirjanpitotekniikoita, mutta hänen on pysyttävä riippumattomana.
Vastaavasti tietosuojavastaavaa on aina kuultava tärkeissä tietosuojaan liittyvissä asioissa hänen organisaatiossaan. Hän voisi ottaa vastuun organisaation kouluttamisesta EU:n tietosuoja-asetusten mukaisista velvollisuuksista. Tietosuojavastaavan olisi myös pystyttävä ennakoivasti arvioimaan ja valvomaan sääntöjen noudattamista ja raportoimaan siitä organisaation ylimmälle johtotasolle. TVH on myös yhteyshenkilö kunkin maan valvontaviranomaisille, jotka ovat vastuussa siitä, että henkilötietoja käsitellään oikeudenmukaisesti ja laillisesti.
TVH vastaa myös rekisteröityjen esittämien suorien pyyntöjen käsittelystä. Tämä rajoittuu kuitenkin pyyntöihin, jotka koskevat tapauksia, joissa organisaatio on vastuussa käsittelyn tarkoituksesta (rekisterinpitäjä). itslearning käsittelee suurimman osan tiedoista asiakkaidemme puolesta. Jos olet opiskelija, opettaja tai vanhempi, joka käyttää asiakkaidemme palveluita, sinun on otettava yhteyttä oppilaitokseen, jossa olet kirjoilla, käyttääksesi oikeuksiasi. Tietosuojavastaavamme tekee kuitenkin kaikkensa tukeakseen oppilaitostasi oikeuksiesi suojaamisessa.
Euroopan kansalaiset nauttivat nyt maailman korkeimmasta tietosuojasta GDPR:n ansiosta. Sen käyttöönoton jälkeen yhä useammat ihmiset ovat tulleet tietoisiksi siitä, että heidän tietonsa ovat arvokkaita ja että tietoturvaloukkausten riskiä on hallittava tiukasti. Me itslearning-yrityksessä suhtaudumme tietosuojaan erittäin vakavasti ja olemme sitoutuneet noudattamaan GDPR:n ja ISO 27001 -standardeja.
Lisätietoja GDPR:stä ja oikeuksistasi itslearning -käyttäjänä saat verkkosivuiltamme: itslearning on GDPR:n mukainen.