Insights

Palvelukseen halutaan: osaava tietosuojavastaava

EU:n yleisen tietosuoja-asetuksen myötä yhä useampi yritys joutuu vakavasti pohtimaan tietosuojavastaavan (Data Protection Officer) nimittämistä. Millaisia ominaisuuksia hyvältä tietosuojavastaavalta on lupa odottaa?

Blogi: Hannu Kasanen / Deloitte

Tietosuojavastaavan tehtäviin kuuluu valvoa henkilötietojen käsittelyn lainmukaisuutta ja nostaa esiin tietojenkäsittelyyn liittyviä riskejä ja puutteita. Aloittelevan tietosuojavastaavan onkin vaarallisen helppo pitäytyä vaatimustenmukaisuuden vahtikoiran roolissaan ja yksinkertaisesti kieltää kaikki riskialtis toiminta. Näin toimiessaan tietosuojavastaava vahvistaa negatiivista käsitystä tietosuojasta ja näyttäytyy itsekin lähinnä kehityksen jarruna.

Pahimmillaan tämä voi johtaa siihen, ettei tietosuojavastaavaa enää haluta paikalle, kun uusia kehitystoimia tai strategisia linjauksia valmistellaan. Tilanne on räikeässä ristiriidassa asetuksessa tietosuojavastaavalle annettujen tehtävien kanssa: tietosuojavastaavan tulisi osallistua kehitystoimien suunnitteluun mahdollisimman aikaisessa vaiheessa. Tämä on mahdollista vain, jos tietosuojavastaava on yrityksen johdon, tuotekehityksen ja muiden avainryhmien luotettu keskustelukumppani, jonka puoleen halutaan kääntyä ja jonka osaamiselle ja näkemyksille osataan antaa arvoa.

Kuinka tietosuojavastaava voi käytännössä päästä tällaiseen asemaan? Asetus antaa tietosuojavastaavalle selkänojan johon tukeutua, mutta yksin sen varaan ei kannata jättäytyä.

Ensinnäkin tietosuojavastaavan on hyvä muistaa, että hänen tehtäviinsä kuuluu paitsi valvoa myös tukea ja neuvoa henkilötietojen käsittelyssä ja – yrityksen toimialasta riippuen – myös niiden kaupallisessa hyödyntämisessä. Tässä kohtaa tietosuojavastaavan osaaminen joutuu todelliseen testiin: tietosuojavastaava ei osoita todellista asiantuntemusta pelkästään kieltoja jakelemalla, vaan kertomalla miten henkilötietoja voidaan turvallisin mielin käsitellä. Lakien ja asetusten ohella pätevä tietosuojavastaava tuntee henkilötietojen käsittelyssä ja suojaamisessa käytetyt menetelmät, ymmärtää liiketoiminnan tavoitteet ja tiedostaa toimintaympäristön asettamat realiteetit.

Esimerkiksi analytiikan ja big datan voi nähdä joko suurena mahdollisuutena tai suurena riskinä. Tekninen kehitys on tuonut yrityksille ennennäkemättömiä keinoja analysoida ja ennustaa omien asiakkaidensa tai suuren yleisön käyttäytymistä. Näiden keinojen hyödyntäminen voi olla avain yrityksen menestykseen. Tietosuojavastaavan tulisi olla avainasemassa tätä menestystarinaa kirjoitettaessa, ei toimia sen esteenä. Hän voi auttaa ymmärtämään millaisia yksityisyyttä suojaavia menetelmiä ratkaisun toteutuksessa on mahdollista soveltaa tai miten henkilötietojen käytöstä kannattaa eri kohderyhmille viestiä.

Tietosuojavastaavan kannattaa oma-aloitteisesti lähestyä organisaation avainhenkilöitä ja jakaa tietoa tietosuojan positiivisista puolista: henkilötietojen vastuullinen käsittely tarjoaa yritykselle mahdollisuuden rakentaa luottamusta ja erottautua kilpailijoista. Kannustan jokaista tietosuojavastaavaa jalkautumaan organisaatioon ja tarjoamaan apuaan esimerkiksi myynti- ja markkinointiosastolle.

Näin toimien tietosuojavastaava kehittää paitsi yleistä tietosuojatietoisuutta myös elintärkeitä verkostoja organisaation sisällä. Tietosuojabunkkerista käsin avointa vuoropuhelua on hankala käydä – avulias ja avoin asennoituminen toimii aina paremmin. Samalla tietosuojavastaava voi varmistaa, että tietosuoja saa sille kuuluvan sijan yrityksen avainhenkilöiden agendalla. Kyse ei enää ole ”vain” riskienhallinnasta tai vaatimustenmukaisuuden varmistamisesta, vaan liiketoiminnan kovasta ytimestä.

Tietosuojavastaavalla on eittämättä haastava rooli rekisterinpitäjän, rekisteröityjen ja viranomaisten asettamissa ristipaineissa. Riittävä asiaosaaminen sekä liiketoiminnan ja sen tarpeiden ymmärtäminen luovat perustan tehtävässä selviytymiselle, mutta todellinen menestys vaatii myös oikeaa asennetta. Tietosuojavastaavan toimi on palveluammatti.
 

Oliko tieto hyödyllistä?