Hyvinvointialueen tietosuojavastaavan asema ja organisaation voimavarat

Tietosuojavaltuutetun toimisto päivitti kesäkuussa ohjeitaan tietosuojavastaavan nimittäneelle organisaatiolle ja sen johdolle. Taustalla vaikutti Euroopan tietosuojaneuvoston tammikuinen raportti tietosuojavastaavien asemaa koskevasta selvityksestä, jonka mukaan tietosuojavastaavat kohtaavat edelleen haasteita tehtävissään. Raportissa annetaan suosituksia tietosuojavastaavien aseman vahvistamiseksi. Osana kansallisia toimenpiteitä, tietosuojavaltuutetun toimisto korostaa ohjeissaan tietosuojavastaavan aseman ja roolin kannalta oleellisimpia asioita.

Hyvinvointialueilla on EU:n yleisen tietosuoja-asetuksen mukaan velvollisuus nimittää tietosuojavastaava, sekä viranomaisasemansa että käsittelemiensä erityisen arkaluoteisten tietojen vuoksi. Lakisääteisen tietosuojavastaavan lisäksi asetettu muu tietosuojaorganisaatio tai tietosuojatyön järjestäminen voivat vaihdella hyvinvointialueiden välillä. Hyvinvointialueet ovat esimerkiksi voineet nimittää yhden tai kaksi tietosuojavastaavaa ja työn tueksi on voitu asettaa myös tietosuoja-asiantuntijoita, eri toimialojen tietosuojayhteyshenkilöitä sekä tietosuoja- ja tietoturvatyöryhmiä.

Kuten tietosuojavaltuutettukin huoneentaulussaan muistuttaa, tietosuojavastaava ei vastaa organisaation vaatimustenmukaisuudesta vaan tietosuojasäännösten noudattaminen on rekisterinpitäjän vastuulla. Tätä voidaan perustella myös tietosuojavastaavan tehtävässä korostuvalla tietosuoja-asetuksen edellyttämällä riippumattomuudella. Rekisterinpitäjän ei tule ohjata tai neuvoa, kuinka tietosuojavastaava hoitaa tehtäviään tai edellyttää, että tietosuojavastaava vastaa rekisterinpitäjälle kuuluvista tehtävistä kuten henkilötietojen käsittelyn tarkoitusten ja keinojen määrittelemisestä. 

Tietosuojavastaavan asetuksenmukainen rooli ei ole toimeenpaneva vaan neuvova, ohjaava ja valvova. Rekisterinpitäjän on tuettava tietosuojavastaavaa antamalla tälle tehtäviensä täyttämiseksi tarvittavat resurssit. Kuten tietosuojavaltuutettu täsmentää, riittävät resurssit näkyvät esimerkiksi riittävänä työaikana,
-välineinä ja osaamisena. Tietosuojavaltuutettu myös muistuttaa kouluttautumisen tärkeydestä muun muassa EU:n uuden digi- ja tekoälysääntelyn kannalta.

Tietosuojavastaavan aseman turvaamisen lisäksi organisaation on panostettava jatkuvan tietosuojatyön toteuttamisen resursointiin. Myös näiden resurssien on oltava tosiasiallisesti riittävät, toisin sanoen hyvinvointialueen on kyettävä vastaamaan sille asetettuihin tietosuojavaatimuksiin niin arjessa, organisaatiomuutoksissa kuin jatkuvasti epävakaammassa tietoturvaympäristössäkin. Myöskään kertaluonteinen tietosuojaprosesseista huolehtiminen ei riitä, organisaation tietosuojatilan tulee olla ajantasainen ja seurata lainsäädännön muutoksia sekä kansallisella että kansainvälisellä tasolla. 

Lisäresurssien hankkiminen on yksi ratkaisu resursointihaasteeseen. Tietosuojaavavastaavan ulkoistaminen voi lisätä luotettavuutta ja tehostaa tietosuojaorganisaation toimintaa. Ulkoistettu tietosuojavastaava kykenee toimimaan asemassaan ilman sisäisiä sidoksia ja keskittymään yksinomaan tietosuojakysymyksiin hyödyntäen yhtä organisaatiota laajempaa katsantokantaansa tai kokemustaan. Ulkoistaminen voi myös näyttäytyä myönteisenä panostuksena ja herättää luottamusta asiakkaissa ja sidosryhmissä.

Tietosuojavastaavan ulkoistaminen on voitu nähdä myös riskinä riippumattomuudelle. Voitaneen kuitenkin ajatella, että riski eturistiriitoihin on olemassa myös tilanteissa, joissa organisaation sisältä nimettyä tietosuojavastaavaa rasittavat myös muut tehtävät ja velvollisuudet tai muut mahdolliset organisaation sisäiset kytkökset tai suhteet. Esimerkiksi niukka resursointi ja organisaation sisäiset väärinkäsitykset tietosuojavastaavan asemasta voivat haastaa organisaation sisäisen tietosuojavastaavan riippumattomuutta. Sisäinen tietosuojavastaava voi kohdata myös haasteita tehdessään asemansa mukaisia päätöksiä, erityisesti jos päätöksillä voi olla kielteisiä vaikutuksia muulle organisaatiolle tai sen johdolle.

Organisaatio ei siis voi siirtää vastuuta tietosuojan vaatimustenmukaisuudesta tietosuojavastaavalle tai ulkoistaa sitä. Hyvinvointialueen tietosuojatyötä voidaan kuitenkin tehostaa monin tavoin. Tietosuojavastaavan resurssien riittävyyttä voidaan tarkastella ja hankkia hänelle räätälöityä tarpeellista tukea esimerkiksi koulutuksen, työparin tai tiettyihin teemoihin kohdistuvien selvitysten muodossa. Tietosuojavastaavan nimeämien ongelmakohtien tai puutteiden parantamiseksi voidaan turvautua ulkopuoliseen lisätukeen, esimerkiksi tietosuojavastaavan koordinoimaa työtä toteuttavin tietosuoja-asiantuntijoin tai tietosuojajuristein. Läheskään aina asioiden tekeminen omin voimin ei ole kustannustehokkain vaihtoehto. 

Ulkopuolinen tietosuojatuki tarjoaa konkreettisia hyötyjä hyvinvointialueille:

1. Asiantuntemus: Ulkopuolinen tietosuojatuki tarjoaa hyvinvointialueelle laajan tietämyksen sekä kokemusta. Keskeiset tietosuojaan liittyvät kysymykset voidaan tunnistaa ja käsitellä tehokkaasti.
2. Kustannustehokkuus: Ulkopuolista tietosuojatukea voidaan käyttää projektiluontoisesti tai jatkuvana palveluna tarpeen mukaan. Tarkoituksenmukaisin tuki mahdollistaa resurssien tehokkaimman käytön sekä muotoutuu ja muuttuu organisaation tarpeiden mukaan.
3. Seuranta: Ulkopuolinen tietosuojatuki on omiaan muuttuvan sääntelyn ja parhaiden käytäntöjen seurannassa. Hyvinvointialueiden arki on hektistä, lisävoimia hyödyntämällä tietosuojatilanne ei jää kerran tehtyjen toimenpiteiden varaan vaan mukautuu nopeasti uusiin vaatimuksiin ja teknologisiin muutoksiin.
4. Riskien hallinta: Hyvinvointialueilla käsitellään suuria määriä arkaluonteisia henkilötietoja ja alueet ovat vähintäänkin todennäköisiä kohteita kyberhyökkäyksille ja tietomurroille. Ulkopuolinen tietosuojatuki on panostus rekisterinpitäjän velvoitteiden toteuttamiseen, ennakointiin ja riskienhallintaan.  

Meillä KPMG:llä on vahva ymmärrys hyvinvointialueiden ja muiden julkisorganisaatioiden tietosuojatyön tarpeista. Eri alojen ammattilaisista koostuva tietosuojatiimimme sekä tietosuoja-asiantuntijamme ovat valmiina tukemaan hyvinvointialueita kokonaisvaltaisesti arjen työtaakkaa keventäen.

Artikkelin ovat kirjoittaneet KPMGn tietosuojajuristit Rasmus Hämäläinen ja Néa Rantala.