Tietosuojavastaava (englanniksi Data Protection Officer, DPO) on henkilö, joka valvoo organisaation tietosuojan toteutumista riippumattomasti. Yleisen tietosuoja-asetuksen (GDPR) 37–39 artikla määrittelevät roolin: 37 artikla kertoo, milloin nimittäminen on pakollista, 38 artikla turvaa riippumattomuuden ja 39 artikla luettelee tehtävät. Keskeisin väärinkäsitys on, että tietosuojavastaava hoitaisi kaiken tietosuojatyön. Näin ei ole: rekisterinpitäjä, ei tietosuojavastaava, kantaa oikeudellisen vastuun vaatimustenmukaisuudesta. Tietosuojavastaava neuvoo, valvoo ja raportoi – hän ei toteuta. Tässä oppaassa käydään läpi, milloin tietosuojavastaava on pakollinen, mitä hän tekee ja miten hänen asemansa järjestetään oikein.
Milloin tietosuojavastaava on pakollinen?
GDPR 37 artiklan 1 kohta velvoittaa nimittämään tietosuojavastaavan kolmessa tilanteessa:
- Käsittelyn suorittaa viranomainen tai julkishallinnon elin (tuomioistuimia lukuun ottamatta niiden lainkäyttötehtävissä);
- Rekisterinpitäjän tai käsittelijän ydintoiminta muodostuu käsittelytoimista, jotka edellyttävät rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä seurantaa (esimerkiksi käyttäytymiseen perustuva verkkomainonta tai paikannus);
- Ydintoiminta muodostuu erityisten henkilötietoryhmien (9 artikla) tai rikostietojen (10 artikla) laajamittaisesta käsittelystä.
Suomen tietosuojalaki (1050/2018) ei laajenna näitä edellytyksiä, joten arviointi tehdään suoraan GDPR:n perusteella. “Laajamittaisuutta” arvioidaan rekisteröityjen määrän, tietomäärän, käsittelyn keston ja maantieteellisen laajuuden perusteella. Yksittäisen lääkärin tai lakimiehen potilas- tai asiakastietojen käsittely ei yleensä ole laajamittaista, mutta sairaalan tai vakuutusyhtiön on.
Vaikka nimittäminen ei olisi pakollista, sen voi tehdä vapaaehtoisesti. Vapaaehtoisesti nimitettyyn tietosuojavastaavaan sovelletaan samoja 37–39 artiklan sääntöjä. Jos et halua muodollista tietosuojavastaavaa, voit nimetä tietosuojasta vastaavan yhteyshenkilön, mutta älä kutsu häntä “tietosuojavastaavaksi”, jotta velvoitteet eivät aktivoidu vahingossa.
Tietosuojavastaavan tehtävät (39 artikla)
39 artiklan 1 kohta luettelee viisi vähimmäistehtävää:
- Neuvonta: informoida ja neuvoa rekisterinpitäjää, käsittelijää ja henkilöstöä heidän tietosuojavelvoitteistaan;
- Valvonta: valvoa GDPR:n ja organisaation tietosuojakäytäntöjen noudattamista, henkilöstön tietoisuutta, koulutusta ja auditointeja;
- Vaikutustenarviointi: antaa pyydettäessä neuvoja vaikutustenarvioinnista ja valvoa sen toteutusta (35 artikla);
- Yhteistyö Tietosuojavaltuutetun toimiston kanssa;
- Yhteyspiste valvontaviranomaiselle, mukaan lukien 36 artiklan mukainen ennakkokuuleminen.
39 artiklan 2 kohta lisää, että tehtävät on suoritettava ottaen huomioon käsittelyyn liittyvät riskit. Tietosuojavastaavan tulee siis priorisoida korkean riskin toimintoja. Käytännössä tietosuojavastaava avustaa usein myös käsittelytoimien selosteen ylläpidossa ja rekisteröityjen pyyntöjen käsittelyssä, kuten tarkastusoikeuden toteuttamisessa, vaikka näitä ei erikseen luetella 39 artiklassa.
Huomaa, että tietosuojavastaava valvoo ja neuvoo – hän ei tee päätöksiä käsittelyn tarkoituksista. Jos hän tekisi, hän joutuisi valvomaan omaa työtään, mikä on kielletty eturistiriita.
Riippumattomuus ja asema (38 artikla)
38 artikla suojaa tietosuojavastaavan riippumattomuutta neljällä keskeisellä tavalla:
- Rekisterinpitäjä ei saa antaa ohjeita tehtävien hoitamisesta (38 artiklan 3 kohta);
- Tietosuojavastaavaa ei saa erottaa tai rangaista tehtäviensä hoitamisen vuoksi;
- Tietosuojavastaava raportoi suoraan ylimmälle johdolle;
- Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan suoraan.
Nämä suojat ovat olemassa, jotta tietosuojavastaava voi arvioida ja raportoida rikkomuksista ilman pelkoa seuraamuksista. Jos hän havaitsee rikkomuksen, hänen on voitava raportoida siitä johdolle ja tarvittaessa valvontaviranomaiselle.
38 artiklan 6 kohta sallii tietosuojavastaavan hoitaa muitakin tehtäviä, kunhan niistä ei synny eturistiriitaa. Eturistiriita syntyy tyypillisesti, jos tietosuojavastaava toimii samanaikaisesti IT-johtajana, HR-johtajana tai talousjohtajana – eli roolissa, jossa hän itse määrää käsittelyn tarkoituksista. Rekisterinpitäjän on myös annettava tietosuojavastaavalle riittävät resurssit (38 artiklan 2 kohta): budjetti, koulutus, pääsy järjestelmiin ja riittävä työaika.
Sisäinen vai ulkoinen tietosuojavastaava?
37 artiklan 6 kohdan mukaan tietosuojavastaava voi olla organisaation työntekijä tai ulkopuolinen palveluntarjoaja. Konserni voi nimetä yhden yhteisen tietosuojavastaavan, jos hän on helposti tavoitettavissa jokaisesta toimipaikasta (37 artiklan 2 kohta).
Ulkoinen tietosuojavastaava sopii pienille ja keskisuurille organisaatioille, joilla ei ole omaa asiantuntemusta. Sisäinen malli sopii suurille tai monimutkaista käsittelyä harjoittaville organisaatioille. Molemmissa malleissa 37 artiklan 5 kohta edellyttää asiantuntemusta tietosuojalainsäädännöstä ja -käytännöistä. Mitään pakollista sertifikaattia ei ole, mutta osaamisen tason on vastattava käsittelyn monimutkaisuutta. Legiscopen kaltainen hallintaratkaisu tukee tietosuojavastaavaa dokumentoimalla neuvot, päätökset ja organisaation vasteet yhteen paikkaan.
Ulkoisen tietosuojavastaavan etuna on riippumattomuus ja laaja-alainen kokemus useista organisaatioista; haittana voi olla heikompi sisäisten prosessien tuntemus. Sisäisen tietosuojavastaavan etuna on organisaation syvä tuntemus; haittana eturistiriidan riski ja mahdollinen resurssipula. Valinta riippuu organisaation koosta, käsittelyn monimutkaisuudesta ja käytettävissä olevasta osaamisesta. Kummassakin mallissa on huolehdittava, että tietosuojavastaava saa riittävän ajan ja pääsyn tietoihin – ulkoinenkaan tietosuojavastaava ei voi toimia tehokkaasti, jos organisaatio ei toimita hänelle tarvittavia tietoja tai ota häntä mukaan päätöksentekoon ajoissa.
Tietosuojavaltuutetun toimisto ohjeistaa tietosuojavastaavan nimittämisestä tietosuojavastaavia koskevalla sivullaan, ja nimityksestä on tehtävä ilmoitus valvontaviranomaiselle. Lakiteksti löytyy GDPR:n 37–39 artiklasta EUR-Lexissä.
Yleisimmät virheet tietosuojavastaavan asemassa
Tietosuojavastaavan nimittäminen on vasta alku – suurin osa ongelmista syntyy hänen asemassaan. Neljä virhettä toistuu erityisen usein.
Eturistiriita. Yleisin virhe on nimittää tietosuojavastaavaksi IT-, HR- tai talousjohtaja, joka määrää itse käsittelyn tarkoituksista. Tällöin hän joutuisi valvomaan omia päätöksiään, mikä on 38 artiklan 6 kohdan kieltämä eturistiriita. Sama koskee toimitusjohtajaa pienessä yrityksessä. Ratkaisu on joko valita rooli, joka ei määrää käsittelystä, tai käyttää ulkoista tietosuojavastaavaa.
Riittämättömät resurssit. Tietosuojavastaava nimitetään usein “muiden töiden ohella” ilman aikaa, budjettia tai koulutusta. 38 artiklan 2 kohta velvoittaa antamaan riittävät resurssit. Ilman niitä valvonta jää muodolliseksi, ja vastuu palautuu rekisterinpitäjälle korostuneena.
Puuttuva raportointiyhteys. 38 artiklan 3 kohta edellyttää raportointia suoraan ylimmälle johdolle. Jos tietosuojavastaava raportoi keskijohdolle, joka voi suodattaa viestit, riippumattomuus ei toteudu.
Sivuuttaminen päätöksenteossa. 38 artiklan 1 kohta velvoittaa ottamaan tietosuojavastaavan mukaan kaikkiin henkilötietojen suojaa koskeviin kysymyksiin asianmukaisesti ja riittävän ajoissa. Käytännössä tämä tarkoittaa, että hänet on konsultoitava ennen uusien järjestelmien hankintaa, vaikutustenarviointien yhteydessä ja loukkaustilanteissa – ei vasta jälkikäteen. Tietosuojavastaavan sivuuttaminen on ollut eurooppalaisten valvontaviranomaisten toistuva huomion kohde ja johtanut seuraamuksiin muissa jäsenvaltioissa.
Näiden virheiden välttäminen on halvempaa kuin niiden korjaaminen. Legiscopen kaltainen ratkaisu tukee tietosuojavastaavan työtä dokumentoimalla neuvot, päätökset ja organisaation vasteet, jolloin hänen osallistumisensa on myös osoitettavissa.
Usein kysytyt kysymykset
Milloin tietosuojavastaava on pakollista nimittää?
37 artiklan 1 kohta velvoittaa nimittämään tietosuojavastaavan viranomaisille, organisaatioille joiden ydintoiminta edellyttää rekisteröityjen laajamittaista järjestelmällistä seurantaa, sekä organisaatioille jotka käsittelevät laajamittaisesti erityisiä henkilötietoryhmiä tai rikostietoja.
Voiko tietosuojavastaava joutua henkilökohtaiseen vastuuseen rikkomuksista?
Ei lähtökohtaisesti. Vastuu on rekisterinpitäjällä tai käsittelijällä. 38 artikla nimenomaisesti suojaa tietosuojavastaavaa erottamiselta ja rankaisemiselta tehtäviensä hoitamisen vuoksi. Henkilökohtainen vastuu voi syntyä vain, jos tietosuojavastaava on itse aktiivisesti osallistunut rikkomukseen.
Voiko IT-johtaja toimia tietosuojavastaavana?
Yleensä ei. IT-johtaja määrää käsittelyn keinoista, jolloin syntyy 38 artiklan 6 kohdan kieltämä eturistiriita: hän joutuisi valvomaan omia päätöksiään. Sama koskee HR-johtajaa ja talousjohtajaa. Eturistiriita on ollut valvontaviranomaisten toistuva huomion kohde.
Mitä pätevyyttä tietosuojavastaavalta vaaditaan?
37 artiklan 5 kohta edellyttää asiantuntemusta tietosuojalainsäädännöstä ja -käytännöistä. Mitään pakollista tutkintoa tai sertifikaattia ei vaadita, mutta osaamisen tason on vastattava käsittelyn monimutkaisuutta. Käytännössä edellytetään GDPR:n, toimialakohtaisen sääntelyn ja tietoturvan tuntemusta.
Tarvitseeko tietosuojavastaavan nimitys ilmoittaa viranomaiselle?
Kyllä. 37 artiklan 7 kohta velvoittaa julkaisemaan tietosuojavastaavan yhteystiedot ja ilmoittamaan ne valvontaviranomaiselle. Suomessa ilmoitus tehdään Tietosuojavaltuutetun toimistolle sen sähköisen lomakkeen kautta. Yhteystiedot on myös mainittava organisaation tietosuojaselosteessa, jotta rekisteröidyt voivat ottaa yhteyttä suoraan.
Voiko tietosuojavastaava olla useamman yrityksen yhteinen?
Voi. Konserni voi nimetä yhden yhteisen tietosuojavastaavan (37 artiklan 2 kohta), jos hän on helposti tavoitettavissa jokaisesta toimipaikasta. Myös erilliset organisaatiot voivat käyttää samaa ulkoista tietosuojavastaavaa. Ratkaisevaa on, että tavoitettavuus ja resurssit riittävät kaikkien organisaatioiden tarpeisiin – yksi ylikuormitettu tietosuojavastaava kymmenelle yritykselle ei täytä vaatimusta.
Mikä on tietosuojavastaavan ja rekisterinpitäjän vastuunjako?
Rekisterinpitäjä tekee päätökset ja kantaa oikeudellisen vastuun. Tietosuojavastaava neuvoo, valvoo ja raportoi. Jos rekisterinpitäjä toimii vastoin tietosuojavastaavan neuvoa, päätös ja vastuu ovat rekisterinpitäjän – mutta neuvo on syytä dokumentoida. Tietosuojavastaava ei voi määrätä rekisterinpitäjää toimimaan, mutta hänen sivuuttamisensa toistuvasti on itsessään 38 artiklan rikkomus.
Yhteenveto
Tietosuojavastaava on riippumaton valvontatehtävä, ei tietosuojatyön toteuttaja. GDPR 37 artikla määrittää, milloin nimittäminen on pakollista: viranomaiset, laajamittainen järjestelmällinen seuranta ja erityisten tietoryhmien laajamittainen käsittely. 39 artikla luettelee viisi tehtävää neuvonnasta viranomaisyhteistyöhön, ja 38 artikla turvaa riippumattomuuden. Varmista, että tietosuojavastaavalla on riittävät resurssit, suora raportointiyhteys johdolle eikä eturistiriitaa. Nimitys on ilmoitettava Tietosuojavaltuutetun toimistolle. Tietosuojavastaava on koko tietosuojaohjelman kulmakivi – mutta vastuu jää aina rekisterinpitäjälle.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial