TIETOSUOJAOPAS 24 7. REKISTERINPITÄJÄN VELVOLLISUUDET 7.1 Tietosuojan hallinnointi, roolit ja vastuut 7.1.1 Tietosuojavastaava Tietosuojavastaavan nimittäminen koskee erityisesti julkista sektoria, sillä aina kun viranomainen käsittelee henkilötietojen, tulee olla tietosuojavastaava. Poikkeuksen muodostavat tuomioistuimet, joilla tätä velvollisuutta ei ole. Yksityisellä sektorilla ainoastaan tiettyjen toimijoiden on nimettävä tietosuojavastaava. Tällöin edellytyksenä on, että rekisterinpitäjän ja henkilötietojen käsittelijän ydintehtävät muodostuvat • käsittelytoimista, jotka ovat luonteeltaan sellaisia, että ne edellyttävät rekisteröityjen laajamittaista, säännöllistä ja järjestelmällistä seurantaa, tai • laajamittaisesta käsittelystä, joka kohdistuu arkaluonteisiin henkilötietoihin ja rikostuomioita tai rikkomuksia koskeviin henkilötietoihin. Konserni voi nimittää yhden ainoan tietosuojavastaavan. Vastaavasti julkisella puolella voidaan nimittää yksi tietosuojavastaava ottaen huomioon toimijan organisaatiorakenne ja koko. Tietosuojavastaavaa nimitettäessä ratkaisevia tekijöitä ovat ammattipätevyys sekä erityisesti osaaminen ja asiantuntemus tietosuojalainsäädännöstä, säännösten soveltamisesta käytäntöön ja alan käytännöistä. Tietosuojavastaava voi kuulua henkilökuntaan tai hän voi olla organisaatioon nähden ulkopuolinen ja hoitaa tehtävää sopimuksen perusteella. Suuri osa suomalaisista yrityksistä, joilla tulee olla tietosuojavastaava, ovat nimenneet hänet talon sisältä. Tietosuojavastaava voi hoitaa muitakin tehtäviä valtuutetun toimiensa lisäksi. Tällöin kannattaa huomioida, etteivät muut velvollisuudet saa aiheuttaa eturistiriitoja tietosuojaan liittyvien tehtävien hoidossa kuuluupa vastaava henkilökuntaan tai ei. Organisaation toiminnassa tietosuojavastaava on otettava riittävän ajoissa ja asianmukaisesti mukaan kaikkiin tietosuojaa koskeviin kysymyksiin. Hänelle on annettava tehtävän hoitoon riittävät resurssit ja pääsy kaikkiin henkilötietoihin ja niihin liittyviin käsittelytoimiin. Tietosuojavastaavalla tulee olla mahdollisuus ylläpitää asiantuntemustaan. Tietosuojavastaavalla tulee olla riippumaton asema organisaatiossa tietosuoja-asioita hoitaessaan. Hän ei saa tehtäviensä hoitamisen yhteydessä ottaa vastaan ohjeita esimerkiksi esimieheltään. Hän raportoi toimistaan ja havainnoistaan suoraan organisaation ylimmälle johdolle. Vastaavan on tehtävä yhteistyötä organisaation eri yksiköiden kanssa. Tietosuojavastaavalla on salassapitovelvollisuus tehtävää hoitaessaan tietoonsa tulleiden asioiden ja tietojen osalta. Häntä ei saa erottaa tai rangaista sen vuoksi, että hän on hoitanut tehtäviään. Hän siis nauttii laajempaa irtisanomissuojaa. Tietosuojavastaavan tehtävät Tietosuojavastaavan on pantava täytäntöön organisaatiossaan tietosuoja-asetuksen edellyttämät toimet eli hän valvoo, että lainsäädäntöä käytännössä noudatetaan. Hänen tulee kouluttaa henkilökuntaa ja antaa neuvoja kaikissa tie-
RkJQdWJsaXNoZXIy Mjk0MTY=