On kulunut jo kahdeksan vuotta siitä, kun Euroopan unioni alkoi soveltaa alueen tietosuojan kannalta käänteentekevää lainsäädäntöä –yleistä tietosuoja-asetusta(tunnetaan paremmin nimellä GDPR).Se on edelleen yksi maailman kattavimmista tietosuoja- ja tietoturvakehyksistä, ja se vaikuttaa edelleen lainsäädäntöön kaukana Euroopan ulkopuolellakin.
Vuonna 2018 voimaan tulleen GDPR-asetuksen sisältöä on tarkennettu ja selkeytetty sääntelyohjeiden, täytäntöönpanopäätösten ja tuomioistuinten ratkaisujen kautta kaikkialla Euroopan unionissa ja Euroopan talousalueella.
Tässä yhteydessä on hyödyllistä palata joihinkin GDPR:n mukanaan tuomiin keskeisiin käsitteisiin ja pohtia, miten niitä sovelletaan nykyään. Tässä artikkelissa tarkastelemme yhtä asetuksessa määriteltyä keskeistä roolia – tietosuojavastaavaa (DPO).
Kysymys on yksinkertainen, mutta vastaus vaatii jonkin verran ymmärrystä GDPR:stä ja EU:n tietosuojasäännöistä.
Jokaisen EU:n kansalaisen oikeus yksityisyyteen ja henkilötietojen suojaan on turvattu perusoikeuskirjassa (7 ja 8 artikla). Henkilötietoja on suojeltava, ja niiden käsittelyllä on oltava laillinen tarkoitus ja sen on oltava avointa. Tärkein väline tämän varmistamiseksi ennen vuotta 2018 oli EU:n direktiivien ja eri jäsenvaltioiden paikallisen lainsäädännön yhdistelmä. Tämä kaikki muuttui 25. toukokuuta 2018, kun GDPR hyväksyttiin kaikissa EU:n ja ETA:n jäsenvaltioissa.
Tietosuojavastaava (DPO) työskentelee suojellakseen rekisteröityjen perusvapauksia ja -oikeuksia yksityisyyden ja tietosuojan osalta.
GDPR:n myötä tietosuojavastaavan rooli kirjattiin EU:n lainsäädäntöön. Joillekin organisaatioille tietosuojavastaavan nimittäminen on pakollista, kun taas toiset voivat valita, ottavatko ne sen käyttöön. Seuraavien organisaatioiden on lain mukaan nimettävä tietosuojavastaava:
Tietoisina siitä, että monilla asiakkaillamme on tarve täyttää tämä rooli, itslearning yksi ensimmäisistä oppimisenhallintajärjestelmien (LMS) toimittajista, joka nimitti tietosuojavastaavan. Sen lisäksi, että tietosuojavastaavamme valvoo oman toimintamme sääntöjenmukaisuutta sekä tarjoaa neuvontaa ja koulutusta omalle henkilöstöllemme, hän on asiakkaidemme ja heidän tietosuojavastaaviensa käytettävissä tietosuoja-asioiden käsittelyä varten. Tehtävä hoidetaan tällä hetkellä Sanoma-konsernin sisällä. Lisätietoja löytyy GDPR-sivultamme.
Palataan siis alkuperäiseen kysymykseen: mikä on tietosuojavastaava? Yksinkertaisesti sanottuna tietosuojavastaavat huolehtivat rekisteröityjen perusoikeuksien ja -vapauksien turvaamisesta yksityisyyden ja tietosuojan osalta. Jotta tietosuojavastaava asettaa etusijalle rekisteröidyn oikeudet eikä työnantajansa etuja, GDPR:ssä on erityisiä säännöksiä, joilla varmistetaan hänen riippumattomuutensa. Tietosuojavastaavaa ei voida ohjeistaa tai rangaista työstä, jota hän tekee tietosuojan puolustajana. Hänellä ei myöskään voi olla toista tehtävää, joka voisi olla ristiriidassa henkilötietojen suojan kanssa.
Yleinen väärinkäsitys on, että tietosuojavastaava on vastuussa GDPR-asetuksen noudattamisesta. Todellisuudessa vastuu asetuksen noudattamisesta on edelleen organisaatiolla itsellään, kun taas tietosuojavastaava toimii neuvonantajana ja valvojana. Asiaa voi verrata kirjanpitäjän ja tilintarkastajan väliseen eroon: tilintarkastaja voi neuvoa kirjanpitäjää ja suositella kirjanpitomenetelmiä, mutta hänen on pysyttävä riippumattomana.
Samoin tietosuojavastaavaa on aina kuultava organisaatiossa käsiteltävissä tärkeissä tietosuoja-asioissa. Hän voi vastata organisaation henkilöstön kouluttamisesta eurooppalaisten tietosuojasäännösten mukaisista velvollisuuksista. Tietosuojavastaavan tulisi myös pystyä arvioimaan ja seuraamaan säännösten noudattamista ennakoivasti sekä raportoimaan asiasta organisaation ylimmälle johdolle. Tietosuojavastaava toimii myös yhteyshenkilönä kunkin maan valvontaviranomaisille, joiden tehtävänä on varmistaa, että henkilötietoja käsitellään oikeudenmukaisesti ja laillisesti.
Tietosuojavastaava vastaa myös rekisteröityjen suoraan esittämistä pyynnöistä. Tämä koskee kuitenkin vain tapauksia, joissa organisaatio on vastuussa käsittelyn tarkoituksesta (rekisterinpitäjä). itslearning osalta suurin osa käsittelemistämme tiedoista tapahtuu asiakkaidemme puolesta. Jos olet oppija, opettaja tai vanhempi, joka käyttää asiakkaidemme palveluita, sinun on otettava yhteyttä oppilaitokseen, jossa olet kirjoilla, jotta voit käyttää oikeuksiasi. Tietosuojavastaavamme tekee kuitenkin kaikkensa tukeakseen oppilaitostasi oikeuksiesi turvaamisessa.
GDPR on vahvistanut merkittävästi tietosuojaoikeuksia kaikkialla Euroopassa ja lisännyt tietoisuutta henkilötietojen käytöstä ja suojelusta. Kun tietosuoja kehittyy jatkuvasti uusien teknologioiden ja sääntelykehyksen myötä, tietosuojavastaavan rooli on edelleen keskeinen vastuullisuuden, läpinäkyvyyden ja luottamuksen varmistamisessa. Me at itslearning suhtaudumme tietosuojaan erittäin vakavasti ja noudatamme tiukasti GDPR-asetusta sekä ISO 27001 -standardeja.
Lisätietoja GDPR:stä ja oikeuksistasi itslearning -käyttäjänä saat verkkosivuiltamme: itslearning on GDPR:n mukainen.