Ei voi olla. Houkutus näiden roolien yhdistämiselle on kuitenkin suuri. Se johtuu siitä, että tietoturvapäällikön ja tietosuojavastaavan tehtävät mielletään helposti samanlaisiksi ja toisiaan tukeviksi.
Kun asioita pohtii hieman pidemmälle, roolien erot alkavat hahmottua. Viimeistään käytännön työssä huomaa, että näiden roolien yhdistämisessä ei ole järkeä.
Olen kuvaillut tietoturvapäällikön ja tietosuojavastaavan tehtävien eroja erillisessä postauksessa. Ja toisessa postauksessa koonnut lyhyen vertailutaulukon. Kannattaa tutustua niihin ensin.
Pääsyy roolien erottamiselle on eturistiriita. GDPR:n mukaan tietosuojavastaavalla voi olla myös muita tehtäviä ja velvollisuuksia, mutta ne eivät saa aiheuttaa eturistiriitoja.
Tässä muutamia mahdollisia ristiriitoja, jos tietoturvapäällikkö toimisi tietosuojavastaavana:
Tietoturvapäällikkö tekee päätöksiä suojatoimenpiteistä, joilla henkilötietoja suojataan. Tietosuojavastaava ei saa tehdä näitä päätöksiä. Tietoturvapäällikkö ei saisi olla päättämässä oman vastuualueensa keskeisistä asioista.
Tietosuojavastaavan tehtävänä on valvoa henkilötietojen käsittelyä. Tällöin tietoturvapäällikön pitäisi valvoa myös itse itseään.
Tietoturvapäällikkö edustaa rekisterinpitäjää ja suojelee ensisijaisesti organisaation etua. Tietosuojavastaavana hänen tulisi edustaa ensisijaisesti rekisteröityjä. Kenen etu on tärkein?
Tietosuojavastaavan tehtävänä on neuvoa rekisterinpitäjää henkilötietojen käsittelyssä. Tällöin tietoturvapäällikkö joutuisi neuvomaan itse itseään.
Eli onko tässä järkeä:
Henkilö edustaa kaikkia tahoja. Hän neuvoo itse itseään ja keskustelee itsensä kanssa ratkaisuista. Lopuksi hän valvoo kaikkia – myös itseään. Huh!
Käytännössä ongelmat konkretisoituvat esimerkiksi tietoturvatyökalujen hankinnan ja käyttöönoton yhteydessä. IT-ympäristön suojelemiseksi on olemassa erilaisia työkaluja, joilla pystyy seuraamaan, mitä ympäristössä tapahtuu ja mitä henkilöt tekevät. Tietosuojan näkökulmasta henkilötietoja pitää käsitellä mahdollisimman vähän ja kaikki pitää pystyä yksityiskohtaisesti perustelemaan. Tietoturvan takaamiseksi halutaan puolestaan nähdä mahdollisimman paljon. Ja tiedon on oltava tarkkaa, etenkin poikkeamatilanteiden selvittämistä varten. Kuvittele se keskustelu, jota henkilö käy itsensä kanssa tämän asian tiimoilta…
Organisaation kannalta on hyödyllisintä, jos tietoturvapäällikkö ja tietosuojavastaava ovat eri henkilöitä, mutta he tekevät tiivistä yhteistyötä keskenään. Tietoturvapäällikön kannattaa olla hyvin perillä tietosuojavaatimuksista. Sekin auttaa, että tuntee tietosuojavastaavan tehtäväkenttää. Tietosuojavastaavan kannattaa puolestaan oppia ymmärtämään, mitä kaikkea tietoturvaan kuuluu ja mitä kaikkea teknisillä ratkaisuilla pystytään tekemään.
Lisätietoja TSV:n sivuilta Tietosuojavastaavan nimittäminen
Vastaa