Tietosuojavaltuutetun toimisto täydensi kesäkuussa ohjeitaan tietosuojavastaavan nimittäneille organisaatioille. Ohjeiden päivittämisen taustalla on Euroopan tietosuojaneuvoston julkaisema raportti tietosuojavastaavien asemaa koskevasta selvityksestä, jonka mukaan moni tietosuojavastaava kohtaa edelleen haasteita tehtävässään. Päivitetyissä ohjeissa nostetaan esiin muun muassa tietosuojavastaavan riippumaton asema ja resurssitarpeet.

Tietosuojavastaava on organisaation sisäinen asiantuntija, joka antaa tietoja ja neuvoja tietosuojasääntöjen mukaisista velvollisuuksista organisaation johdolle ja työntekijöille, ja seuraa tietosuojalainsäädännön noudattamista koko organisaatiossa. Rekisterinpitäjän ja henkilötietojen käsittelijän on EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan nimitettävä tietosuojavastaava muun muassa silloin, kun se käsittelee laajamittaisesti arkaluontoisia henkilötietoja, tai kun sen ydintehtävät muodostuvat käsittelytoimista, jotka edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa. Tietosuojavastaava voidaan nimittää myös vapaaehtoisesti silloin, kun tietosuoja-asetus ei siihen velvoita. Tällöin sovelletaan tietosuoja-asetuksen vaatimuksia samalla tavalla kuin silloin, kun nimittäminen on pakollista.

Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että tietosuojavastaava otetaan mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn organisaatiossa, jotta tietosuojavastaavalla on mahdollisuus puuttua havaitsemiinsa puutteisiin henkilötietojen käsittelyssä. Tietosuojavastaavalle on annettava riittävät resurssit tehtävänsä hoitamiseen, eli riittävästi työaikaa, työvälineitä ja mahdollisuus kehittää osaamistaan esimerkiksi kouluttautumalla. Tietosuojavastaavalla tulee olla mahdollisuus raportoida suoraan yrityksen ylimmälle johdolle. Tietosuojavastaavan näkemykselle tulee myös aina antaa asianmukainen painoarvo. Mikäli tietosuojavastaavan neuvoa ei noudatettaisi, on suositeltavaa dokumentoida perusteet, joiden vuoksi neuvoa ei ole noudatettu.

Tietosuojavastaava toimii sekä tietosuojavaltuutetun toimiston että rekisteröityjen yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa. Tietosuojavastaavan yhteystietojen on oltava helposti saatavilla esimerkiksi organisaation verkkosivuilla. Rekisteröidyt voivat ottaa yhteyttä tietosuojavastaavaan kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tietosuojaoikeuksiensa käyttöön kyseisessä organisaatiossa. Tietosuojavastaavalla olisi suositeltavaa olla varahenkilö, jotta esimerkiksi tietoturvaloukkaukset ja muut rekisteröidyn oikeuksia koskevat asiat tulevat viivytyksettä hoidetuiksi tietosuojavastaavan poissa ollessa.

Tietosuojavastaavan tulee olla riippumaton, eikä hänellä voi olla eturistiriitoja tietosuojavastaavan tehtäviensä kanssa. Tietosuojavastaavalle ei saa antaa ohjeita hänen tehtäviensä hoitamisesta, eikä häntä saa erottaa tai rangaista tehtäviensä hoitamisen vuoksi. Tietosuojavastaava ei ole henkilökohtaisesti vastuussa yleisen tietosuoja-asetuksen rikkomisesta, sillä tietosuojasäännösten noudattaminen on rekisterinpitäjän tai henkilötietojen käsittelijän vastuulla.