Näkökulmia

Tietosuojavastaava – vaatimustenmukaisuuden vahtikoira vai kasvun kiihdyttäjä?

Blogi: Hannu Kasanen

EU:n yleisen tietosuoja-asetuksen, GDPR:n, myötä yhä useampi yritys on joutunut pohtimaan tietosuojavastaavan (Data Protection Officer, DPO) nimittämistä. Millainen on hyvä ja pätevä tietosuojavastaava? Mitä ominaisuuksia häneltä on syytä odottaa? Mitä hyötyä tietosuojavastaavasta ylipäätään on?

26.9.2018

Tietosuojavastaavan kuuluu valvoa henkilötietojen käsittelyn lainmukaisuutta ja nostaa esiin tietojenkäsittelyyn liittyviä riskejä ja puutteita. Tietosuojavastaavan on vaarallisen helppo pitäytyä vahtikoiran roolissa ja yksinkertaisesti kieltää kaikki riskialtis toiminta. Näin toimiessaan tietosuojavastaava vain vahvistaa negatiivista käsitystä tietosuojasta ja näyttäytyy itsekin lähinnä kehityksen jarruna.

Pahimmillaan tämä voi johtaa siihen, ettei tietosuojavastaavaa enää haluta paikalle, kun uusia kehitystoimia tai strategisia linjauksia valmistellaan. Tilanne on räikeässä ristiriidassa asetuksessa määriteltyjen tietosuojavastaavan tehtävien kanssa: tietosuojavastaavan tulisi osallistua kehitystoimien suunnitteluun mahdollisimman aikaisessa vaiheessa. Tämä on mahdollista vain, jos tietosuojavastaava on yrityksen johdon, tuotekehityksen ja muiden avainryhmien luotettu keskustelukumppani, jonka puoleen halutaan kääntyä ja jonka osaamiselle ja näkemyksille osataan antaa arvoa.

Miten ansaita työyhteisön luottamus? 

Tietosuojavastaavan tehtäviin kuuluu myös tukeminen ja neuvominen henkilötietojen käsittelyssä ja – yrityksen toimialasta riippuen – myös niiden kaupallisessa hyödyntämisessä. Tässä kohtaa tietosuojavastaavan osaaminen joutuu todelliseen testiin, sillä ammattitaitoista asiantuntemusta ei osoiteta pelkästään kieltoja jakelemalla, vaan kertomalla miten henkilötietoja voi turvallisin mielin käsitellä. Lakien ja asetusten ohella pätevä tietosuojavastaava tuntee henkilötietojen käsittelyssä ja suojaamisessa käytetyt menetelmät, ymmärtää liiketoiminnan tavoitteet ja tiedostaa toimintaympäristön asettamat realiteetit.

Kyse ei ole pelkästä riskienhallinnasta tai vaatimustenmukaisuuden vahtimisesta, vaan liiketoiminnan kovasta ytimestä.

Tekninen kehitys on tuonut yrityksille ennennäkemättömiä keinoja analysoida ja ennustaa omien asiakkaidensa tai laajan yleisön käyttäytymistä, joka voi parhaimmillaan kiihdyttää yrityksen kasvua. Esimerkiksi analytiikka ja big data voidaan nähdä suurena mahdollisuutena. Tietosuojavastaavan tulisi olla avainasemassa tätä menestystarinaa kirjoitettaessa, ei toimia sen esteenä. Hän voi auttaa ymmärtämään millaisia yksityisyyttä suojaavia menetelmiä ratkaisun toteutuksessa on mahdollista soveltaa, tai miten henkilötietojen käytöstä kannattaa viestiä eri kohderyhmille.

Positiivinen kierre lähtee rullaamaan tietosuojabunkkerista poistumalla 

Kannustan jokaista tietosuojavastaavaa lähestymään organisaation avainhenkilöitä oma-aloitteisesti ja jakamaan tietoa tietosuojan positiivisista puolista: henkilötietojen vastuullinen käsittely tarjoaa yritykselle mahdollisuuden rakentaa luottamusta ja erottautua kilpailijoista. Avun tarjoaminen esimerkiksi myynti- ja markkinointiosastolle on hyvä alku! Näin tietosuojavastaava kehittää paitsi yleistä tietosuojatietoisuutta myös elintärkeitä verkostojaan organisaation sisällä. Tietosuojabunkkerista käsin avointa vuoropuhelua on hankala käydä.

Tietosuojavastaavalla on eittämättä haastava rooli rekisterinpitäjän, rekisteröityjen ja viranomaisten asettamissa ristipaineissa. Riittävä asiaosaaminen sekä liiketoiminnan ja sen tarpeiden ymmärtäminen luovat perustan tehtävässä selviytymiselle, mutta todellinen menestys vaatii myös oikeaa asennetta: tietosuojavastaavan toimi on bisnes- ja palveluammatti.

Oliko tieto hyödyllistä?