Artikkelit

Tietosuojavastaavan tehtävän järjestämiselle neljä vaihtoehtoa

19.06.2024

Tietosuojavastaavan tehtävän järjestämiselle neljä vaihtoehtoa

EU:n tietosuoja-asetuksen mukaan kussakin virastossa on oltava nimetty tietosuojavastaava. Tehtävä on mahdollista ulkoistaa tai usealla virastolla voi olla yhteinen tietosuojavastaava. Tietosuojavastaavan tehtävän hoitamista koskevassa selvityksessä esitellään neljä vaihtoehtoa, joista valitaan sopiva malli varmistamaan tehokas ja yhtenäinen tietosuojatyö uudistuvassa sivistyshallinnossa. Selvitys perustuu virastoille tehtyyn kyselyyn.

Nykytilanteessa tehtävää hoidetaan virastoissa monin eri tavoin. Opetushallituksessa tehtävää hoitaa päätoiminen tietosuojavastaava, joka toimii myös Saavutettavuuskirjasto Celian tietosuojavasaavana. Muissa virastoissa tietosuojavastaavan tehtävä on esimerkiksi hallintojuristin muun virkamiehen laajempaa toimenkuvaa. Ministeriö ja Suomenlinnan hoitokunta ovat ulkoistaneet tehtävän kaupalliselle toimijalle.

Yhteensä tietosuojavastaavan tehtävän hoitamiseen kuluu virastoissa noin kolme henkilötyövuotta. Tietosuojan roolin nähdään korostuvan tulevaisuudessa, eikä tehtäviä voitane hoitaa tulevaisuudessa aiempaa pienemmällä työpanoksella.

Kyselyn vastauksista ja käydyistä keskusteluista nousee esiin useita keskeisiä lähtökohtia. Tärkeänä pidetään sitä, että tietosuojavastaava tuntee virastojen toimintaa. Nykytilassa osassa virastoissa työaikaa tehtävän hoitamiseen on niukasti. Tietosuojavastaavan tehtävä on erotettava henkilötietojen käsittelyn suunnittelusta, muusta operatiivisesta tietosuojatyöstä ja tietosuojajuridiikasta. Myös nämä tehtävät täytyy resursoida asianmukaisesti. 

Tehtäville varattava myös aikaa

Selvityksen perusteella uudessa virastorakenteessa tehtävän hoitaminen tavalla tai toisella resursseja jakaen ja käytäntöjä yhtenäistäen näyttää ulkoistamista tarkoituksenmukaisemmalta. Selvityksessä esitellään neljä vaihtoehtoista tapaa järjestää tietosuojavastaavien toiminta. 

1. Ministeriöön keskitetty malli: Tietosuojavastaavan tehtävät keskitetään ministeriöön, jossa kaksi henkilöä hoitaisi virastojen tietosuojavastaavan tehtävät. Tämä mahdollistaisi yhtenäiset käytännöt, yhtenäisen tilannekuvan ja tehokkaan valvonnan, mutta voi aiheuttaa etäisyyttä virastojen päivittäiseen toimintaan. Malli voisi myös aiheuttaa haasteita ministeriön henkilöstöön kuuluvan tietosuojavastaavan osallistuessa viraston toimintaan.

2. Yhteen virastoon keskitetty malli: Tietosuojavastaavat sijoitettaisiin yhteen virastoon, joka vastaisi tehtävän hoitamisesta muidenkin virastojen osalta. Myös tämä malli mahdollistaisi yhtenäiset käytännöt ja yhtenäisen tilannekuvan tietosuojasta. Etääntyminen virastojen tietosuojatyöstä olisi tässäkin mallissa riskinä.

3. Hybridimalli: Opetushallituksen ja Kotimaisten kielten keskuksen muodostamalla virastolla olisi oma tietosuojavastaava ja muut virastot jakaisivat kaksi tietosuojavastaavaa. Tämä mahdollistaisi synergiaedut ja yhteisten toimintamallien kehittämisen, mutta voi aiheuttaa haasteita virastojen erityistarpeiden huomioimisessa.

4. Virastokohtainen malli: Kukin uusi virasto vastaisi itse tietosuojavastaavan tehtävien organisoinnista ja muodostettaisiin yhteistyöverkosto tietosuojavastaavien tiedonvaihdon ja yhteisten käytäntöjen kehittämiseksi. Tämä tukisi virastojen autonomisuutta, mutta voi vaikeuttaa yhtenäisten käytäntöjen luomista.

Keskittämismalleissa on tärkeää huomioida virastojen erityistarpeet ja varmistaa, että tietosuojavastaaville on riittävästi työaikaa ja -välineitä tehtävien hoitamiseksi. Keskitetyissä malleissa myös kunkin viraston tietosuojan yhteyshenkilölle jää tehtäviä, eikä kokonaistyöaika vähene.