Tie­to­suo­ja­vas­taava ja tie­to­turva

Tässä kuvassa on Meitan Joensuun toimiston lasinen väliseinä, johon on teipattu Meitan logo ja Meitan teksti

Tie­to­suo­ja­vas­taava aiheut­taa käsit­teenä usein häm­men­nystä. Ensin­nä­kin häm­men­nystä aiheut­taa se, että tie­to­suo­ja­vas­taava ei nimes­tään huo­li­matta vas­taa orga­ni­saa­tion tie­to­suo­jasta, vaan vas­tuu tie­to­suo­jan toteu­tu­mi­sesta on viime kädessä tie­to­suo­ja­vas­taa­van orga­ni­saa­tiolla. Myös tie­to­suoja ja tie­to­turva voi­vat mennä käsit­teenä usein sekai­sin. Tie­to­suo­jalla tar­koi­te­taan hen­ki­lö­tie­to­jen oikea­mu­kaista käsit­te­lyä. Tie­to­tur­valla taas tar­koi­te­taan toi­men­pi­teitä, joilla pyri­tään säi­lyt­tä­mään tie­to­jen eheys, luot­ta­muk­sel­li­suus ja saa­ta­vuus. Mutta mikä on tie­to­suo­ja­vas­taa­van ja tie­to­tur­van raja­pinta? Tässä blo­gi­teks­tissä ker­ro­taan mitä tie­to­suoja-ase­tuk­sesta löy­tyy tie­to­suo­ja­vas­taa­vasta tie­to­tur­van näkö­kul­masta sekä miten Mei­tassa tie­to­suoja ja tie­to­turva teke­vät yhteis­työtä.

Tie­to­suo­ja­vas­taava ja tie­to­turva tie­to­suoja-ase­tuk­sen näkö­kul­masta

Tie­to­suo­ja­vas­taa­van teh­tä­vät on mää­ri­telty tie­to­suoja-ase­tuk­sessa. Tie­to­suo­ja­vas­taa­valla voi olla Dres­den-tapauk­sen mukaan mui­ta­kin teh­tä­viä tie­to­suoja-ase­tuk­sesta löy­ty­vien teh­tä­vien lisäksi. Nämä teh­tä­vät eivät saa kui­ten­kaan vaa­ran­taa tie­to­suo­ja­vas­taa­van laki­sää­teis­ten teh­tä­vien suo­rit­ta­mista. Tie­to­suo­ja­vas­taa­valla ei voida antaa sel­lai­sia teh­tä­viä, joissa tie­to­suo­ja­vas­taava alkaisi mää­rit­tää hen­ki­lö­tie­to­jen käsit­te­lyn tar­koi­tuk­sia tai kei­noja. Tie­to­tur­vassa taas mää­ri­tel­lään niitä kei­noja, joilla pyri­tään pitä­mään hen­ki­lö­tie­dot tur­vassa. Tie­to­suo­ja­vas­taava ei näin voi vas­tata tie­to­tur­vasta.

Orga­ni­saa­tion tulee ottaa tie­to­suo­ja­vas­taansa tie­to­suoja-ase­tuk­sen 38 artiklan 1 koh­dan mukaan asian­mu­kai­sesti ja riit­tä­vän ajoissa mukaan hen­ki­lö­tie­to­jen käsit­te­lyä kos­ke­vien kysy­mys­ten käsit­te­lyyn. Tämä onkin vält­tä­mä­töntä, jotta tie­to­suo­ja­vas­taava voi toteut­taa tie­to­suoja-ase­tuk­sen 39 artiklassa ole­vaa kak­sois­teh­tä­väänsä. Tie­to­suo­ja­vas­taa­van tulee antaa neu­voja tie­to­suo­ja­lain­sää­dän­nön tul­kin­nasta sekä val­voa tie­to­suo­ja­lain­sää­dän­nön nou­dat­ta­mista hen­ki­lö­tie­to­jen käsit­te­lyssä. Val­vo­mis­teh­tävä pitää sisäl­lään esi­mer­kiksi tie­to­suoja-ase­tuk­sen 25 ja 32 artiklo­jen toteu­tu­mi­sen, jotka pitä­vät sisäl­lään tie­to­turva vaa­ti­muk­sia. Pys­tyäk­seen toteut­ta­maan näitä teh­tä­viä, tie­to­suo­ja­vas­taa­van on oltava mukana teh­täessä hen­ki­lö­tie­to­jen tie­to­tur­vaa kos­ke­via pää­tök­siä.

Tie­to­suo­ja­vas­taa­valla tulee­kin olla osaa­mista tie­to­tur­vaan liit­tyen. Tie­to­suo­ja­vas­taa­valla tulee olla ymmär­rystä orga­ni­saa­tionsa tie­to­suo­ja­tar­pei­den lisäksi myös tie­to­tur­va­tar­peista. Tie­to­suo­ja­vas­taa­valta edel­ly­tet­tä­vää tie­to­turva osaa­mista voi olla esi­mer­kiksi ymmär­rys tie­don­hal­lin­nasta, haa­voit­tu­vuuk­sista, tie­to­jär­jes­tel­mä­tyy­peistä, tie­dos­toista, tie­dos­to­jen hal­lin­ta­jär­jes­tel­mistä sekä riit­tä­vistä tie­to­jen suo­jaus­po­li­tii­koista.

Tie­to­suo­jan ja tie­to­tur­van yhteis­työ Mei­talla

Mei­tan tie­to­suo­ja­vas­taava ja tie­to­tur­va­tiimi on sijoi­tettu eri osiin Mei­tan orga­ni­saa­tiossa. Näin on pyritty var­mis­ta­maan tie­to­suo­ja­vas­taa­van riip­pu­ma­ton asema. Mei­tan tie­to­suo­ja­vas­taava ja tie­to­tur­va­tiimi teke­vät kui­ten­kin päi­vit­täin yhteis­työtä kes­ke­nään, pyr­kien teke­mään Mei­tan hen­ki­lö­tie­to­jen käsit­te­lystä jat­ku­vasti tie­to­tur­val­li­sem­paa. Mei­tassa toi­mii vii­koit­tain kokoon­tuva tie­to­turva- ja tie­to­suo­ja­työ­ryhmä, jossa on mukana laaja tie­to­turva- ja tie­to­suoja-asian­tun­ti­joi­den edus­tus. Tie­to­turva- ja tie­to­suo­ja­työ­ryh­mästä asioita nousee tie­to­turva- ja tie­to­suo­jaoh­jaus­ryh­mään, jossa on mukana Mei­tan joh­toa.

Tie­to­suo­ja­vas­taa­van työ ja vaa­dittu osaa­mi­sen taso eivät ole staat­tista, vaan ne muut­tu­vat koko ajan. Tie­to­suo­ja­vas­taa­van orga­ni­saa­tion tulee ottaa tämä huo­mioon ja resur­soida tie­to­suo­ja­vas­taa­vansa. Resur­soin­ti­vaa­ti­mus pitää sisäl­lään ylem­män joh­don tuen, riit­tä­vän ajan teh­tä­vien teke­mi­seen, varat, tie­to­suo­ja­vas­taa­van pää­syn tar­vit­ta­viin pal­ve­lui­hin sekä kou­lu­tuk­sen tar­joa­mi­sen. Tie­to­suo­ja­vas­taava tar­vit­see tukea onnis­tuak­seen työs­sään ja Mei­tan tie­to­turva sekä muu hen­ki­löstö on mah­dol­lis­ta­nut tie­to­suo­ja­vas­taa­van teh­tä­vässä onnis­tu­mi­sen sekä amma­til­li­sen kehit­ty­mi­sen Ilolla yhdessä.

Joona Turu­nen,
Mei­tan tie­to­suo­ja­vas­taava

Voit lukea lisää tie­to­suo­ja­vas­taa­van ase­masta ja teh­tä­vistä Mei­tan tie­to­suo­ja­vas­taava Joona Turusen Pro gradu ‑tut­kiel­masta Tie­to­suo­ja­vas­taa­van asema ja teh­tä­vät hen­ki­lö­tie­to­jen käsit­te­li­jän orga­ni­saa­tiossa, jonka teke­mi­sen mah­dol­listi Mei­tan tut­kin­toon täh­tää­vän kou­lu­tuk­sen tuke­mi­nen.