Hei, Harkitsemme sekä resurssi- että pätevyyssyistä tietosuojavastaavan tehtävän ulkoistamista ulkopuoliselle taholle. Ymmärtääkseni se on täysin sallittua. Kiitos jos voitte vahvistaa asian. Mielessämme olevalla henkilöllä näyttää olevan hyvä tietämys siitä, miten GDPR toimii.

Hei ja kiitos, että käännyit puoleemme kysymyksesi kanssa!

Ulkopuolisen tietosuojavastaavan palkkaaminen

On täysin sallittua palkata ulkopuolinen taho tietosuojavastaavan rooliin – GDPR:n mukaan tietosuojavastaava voi olla joko rekisterinpitäjän tai henkilötietojen käsittelijän henkilöstön jäsen tai organisaation ulkopuolelta palvelusopimuksen perusteella palkattu henkilö.

Tietosuojavastaavan henkilö

Ulkopuolinen tietosuojavastaava voi olla joko luonnollinen henkilö tai oikeushenkilö. Jos oikeushenkilö toimii tietosuojavastaavana, on tärkeää määritellä, kuka tai ketkä edustavat kyseistä oikeushenkilöä palvelun toteutuksessa ja miten mahdollinen vastuunjako järjestetään, jos useampi henkilö on mukana tehtävässä.

Tietosuojavastaavan asiantuntemus

GDPR ei tarkasti määrittele vaadittavan asiantuntemuksen tasoa, mutta sen tulee olla suhteessa käsiteltävien tietojen arkaluontoisuuteen, monimutkaisuuteen ja määrään. Mikäli henkilötietojen käsittely on erityisen monimutkaista tai kattaa suuren määrän arkaluonteisia tietoja, saattaa tietosuojavastaava tarvita laajempaa asiantuntemusta ja enemmän tukea. Vaadittuun asiantuntemuksen tasoon vaikuttaa myös se, siirtääkö organisaatio systemaattisesti henkilötietoja EU:n ulkopuolelle vai tapahtuuko siirto vain satunnaisesti. Siksi tietosuojavastaavan valinnassa tulee huomioida organisaation erityiset tietosuojahaasteet.

Tietosuojavastaavan ammatillinen pätevyys

GDPR:ssä ei täsmällisesti määritellä, mitä ammatillisia pätevyyksiä tietosuojavastaavalla tulisi olla. Euroopan tietosuojaneuvoston mukaan tietosuojavastaavalla tulee kuitenkin olla asiantuntemusta kansallisesta ja EU:n tietosuojalainsäädännöstä sekä syvällinen ymmärrys yleisestä tietosuoja-asetuksesta. Lisäksi tietämys toimialasta ja rekisterinpitäjän organisaatiosta on hyödyllistä. Tietosuojavastaavan tulisi myös tuntea hyvin organisaatiossa suoritettavat tietojenkäsittelytoiminnot sekä olla perillä rekisterinpitäjän tietojärjestelmistä, tietoturvatarpeista ja tietosuojavaatimuksista.

Jos tietosuojavastaava on organisaatio, tulee kaikkien tietosuojavastaavan tehtäviä hoitavien täyttää GDPR:ssä asetetut vaatimukset. Jos kyseessä on julkinen viranomainen tai laitos, tietosuojavastaavalla tulisi lisäksi olla hyvä tuntemus organisaation hallinnollisista säännöistä ja menettelyistä.

Tietosuojavastaavan kyky hoitaa tehtäviään

Tietosuojavastaavalla tulee olla kyky hoitaa tietosuojavastaavalle GDPR:ssä määriteltyjä tehtäviä. Tietosuojavastaavan kyky hoitaa tehtäviään riippuu sekä hänen henkilökohtaisista ominaisuuksistaan että tietämyksestään ja hänen asemastaan organisaatiossa. Henkilökohtaisiin ominaisuuksiin kuuluvat esimerkiksi rehellisyys ja korkea ammattietiikka. Tietosuojavastaavalla on keskeinen rooli organisaation tietosuojakulttuurin edistämisessä ja hän auttaa toteuttamaan keskeisiä GDPR:n osia, kuten henkilötietojen käsittelyn periaatteet, rekisteröityjen oikeudet, sisäänrakennettu ja oletusarvoinen tietosuoja, tietojenkäsittelyrekisterit, tietoturva sekä tietosuojaloukkausten ilmoittaminen ja tiedottaminen.

Tarvitsetteko lisää apua?

Jos teillä on lisää kysyttävää tietosuojavastaaviin liittyen tai tarvitsette apua muissa asioissa, voitte ottaa meihin yhteyttä!

Kysymys: Mitä pätevyysvaatimuksia tietosuojavastaavalla on?