EU:n tietosuojaneuvosto EDPB:n alaisuudessa on eri jäsenmaissa, mukaan lukien Suomessa, käynnissä selvitykset tietosuojavastaavien asemasta ja heidän kokemistaan haasteita. Suomessa TSV lähetti kesäkuussa kyselynsä 33 julkiselle ja 17 kaupalliselle organisaatiolle, raporttia kyselyn tuloksista ei ole vielä julkaistu.
Ruotsissa 800 tietosuojavastaavaa kertoi kokemuksistaan
Ruotsin tietosuojaviranomaisen (IMY) raportti kansallisen kyselyn tuloksista on jo julkaistu, minkä kunniaksi kokosimme raportista lyhyen koosteen. Raportin pääset lukemaan täältä. IMY lähetti online-kyselynsä n. 4 600 toimijalle, joista liki 800 vastasi. IMY lähetti kyselyn niille toimijoille, jotka olivat rekisteröineet tietosuojavastaavansa IMY:lle. Kyselyn vastaanottajista siis 2/10 vastasi. IMY lähetti myös muistutukset vastaanottajille, mistä huolimatta vastausprosentti oli melko alhainen, 23 % mutta vastaajamäärä oli kuitenkin raportointimielessä riittävä. Kysymykset koskivat tietosuojavastaavien resursseja tietosuojan toteuttamiseen, tietosuojan toteuttamista organisaatiossa sekä GDPR:n tuomia haasteita.
Ja suurin murhe oli….
Kyselyssä vastaaja sai valita 12 vaihtoehdon joukosta GDPR:n suurimmat ongelmat. Vastaaja sai valita myös useamman vaihtoehdon. Näistä IMY kokosi luettelon (kuva alla), jossa voi vertailla vastauksia myös 2019 vuoden löydöksiin Ruotsissa. GDPR:n kanssa tekeminen vaatii jatkuvaa ponnistelua ja tietosuojavastaavien kokemat ensisijaiset rasitteet kehittyvät luonnollisesti ajan saatossa.
Tuloksien myötä voimme todeta, että yleinen ymmärryksen puute GDPR:stä on Ruotsissa helpottunut. Harvempi tietosuojavastaava siis pitää sääntöjen perustulkintaa itsessään suurena haasteena. Tämän tilalle on kärkeen on noussut huoli GDPR:n vaikutuksista ja rajoituksista rekisterinpitäjän toimintaan. Useammat tietosuojavastaavat ilmoittavat suurimmaksi ongelmaksi sen, että lait estävät tai hankaloittavat organisaation toimintaa. Tämän osalta on hyvä muistaa, että tämä hankaluus vaikuttaa palvelu- ja digitalisaatiokehitykseen niin yksityisellä, julkisella kuin myös ns. kolmannella sektorilla. Samantapainen huoli näkyy myös suomalaisten yhteisöjen GDPR-kokemuksissa oikeusministeriön äskeisellä kuulemiskierroksella, jonka tuloksia on tiivistetty aiemmassa ASML-blogissa. Mielenkiintoista aikanaan on nähdä mitä suomalaisten tietosuojavastaavien vastaukset kertovat heidän tilanteestaan ja näkemyksistään.
Tässä haasteiden top 5 Ruotsin tietosuojavastaavilla raportin mukaan:
- GDPR koetaan esteenä/ongelmana organisaatiolle
- Toimivien menettelytapojen ja prosessien saavuttaminen
- Tietosuojavastaavan roolissa tasapainoillaan neuvonnan ja valvonnan tarjoamisen välillä
- Henkilöstön puute
- Epäselvyys laintulkinnassa
Resursointi ja tuki haasteena
Huomionarvoista raportissa oli myös tietosuojavastaavien näkemykset työnsä asemasta ja resurssoinnista sekä tuesta tietosuojatyölle. Näistä voi mainita mm.:
# 1/10 kokevat oman organisaation työskentelevän jatkuvasti ja systemaattisesti tietosuoja-asioiden parissa
# vain puolet kokevat pystyvänsä vakuuttamaan johdon ja henkilötietojen käsittelijät tietosuoja-asioiden tärkeydestä
# puolet kokevat, etteivät he ole asioissa mukana riittävän ajoissa
# kokoaikaisesti työskentelevät tietosuojavastaavat kokevat tehtävän selkeämmäksi verrattuna niihin, jotka työskentelevät osa-aikaisesti samassa roolissa