“Tietosuojavastaavan tehtävät voi ulkoistaa vallan hyvin”, toteaa GDPR-asiantuntija ja ulkoistettu tietosuoja-vastaava Jaanaliisa Kuoppa. Yllättävän isot organisaatiot ovat päätyneet tähän ratkaisuun. Tehtävän hoitaminen vaatii erityisosaamista ja jatkuvaa osaamisen kehittämistä, mihin harvalla organisaatiolla on mahdollisuuksia. Useimmilla yrityksillä ei ole myöskään resursseja määritellä tehtävään täyttä työpäivää tekevää asiantuntijaa, Jaanaliisa jatkaa.
Ulkoistamisen hyöty piileekin siinä, että tehtävään perehtynyt asiantuntija kerää näkemystä ja ratkaisuja eri asiakkuuksista, mikä hyödyttää tehokkaasti ostavaa asiakasorganisaatiota.
Milloin tietosuojavastaavan tehtävää ei voi tai kannata ulkoistaa? Ulkoistamista ei suositella silloin, kun tietosuojavastaavalta edellytetään 100-prosenttista työpanosta ja intensiivistä yhteistyötä organisaation asiantuntijoiden ja johdon kanssa, Jaanaliisa kertoo. Tällöinkin ulkoistaminen on mahdollista, mutta ei välttämättä optimaalista asiakasorganisaation kannalta.
“Tietosuojavastaavan työmäärä vaihtelee merkittävästi toimialan, organisaation koon ja maantieteellisen laajuuden sekä sijainnin mukaan”, kertoo GDPR Techin yrittäjä, tiedonhallinta ja teknologia-arkkitehti Juha Sallinen.
Juha kertoo havainnollistavan esimerkin: “Yhdellä uudella asiakkaallamme oli aiemmin varattuna yhden henkilön osalta aikaa 4 tuntia kuukaudessa tietosuojatyöhön. Se johti tietosuojavelkaan, sillä annetussa ajassa ei ehdi ohjeistamaan, kouluttamaan, kouluttautumaan saati seuraamaan muutoksia tietosuojan tulkinnoista ja niin edelleen.” Asiakkaalla tartuttiin tietosuojavelkaan aluksi 16 tunnin kuukausitahdilla. Sittemmin on siirrytty 8 tuntiin kuukaudessa, täydennettynä tarvittavilla lisätöillä.
Kansainvälisessä organisaatiossa pelkästään Yhdysvaltojen osavaltiokohtaisten tietosuojamuutosten seuraaminen vie merkittävästi työaikaa. Kansainvälisillä organisaatioilla toimiva rakenne näyttää olevan ‘Global Head of Privacy’ operatiivisen tiimin tukemana, Juha kertoo. Tietosuojavastaavan tehtävänä on ohjeistaa ja valvoa, mikä usein edellyttää projektipäällikön kaltaista määrätietoista otetta.
GDPR Techin tekninen projektipäällikkö Mervi Hongisto kertoo oman näkemyksenä aiheeseen: “On oleellista määritellä, kuinka paljon tietosuojatyötä toteutetaan proaktiivisesti ja hallitusti toimistoaikana. Samalla tulee arvioida, millaisia riskejä ollaan valmiita hyväksymään tekemättömien tehtävien osalta.” Pienenkin työmäärän systemaattinen laiminlyönti on riskien hallinnan kannalta puutteellista ja siten ei-suositeltavaa.
Hyvä projektinhallinta tarjoaa konkreettiset työkalut ja näkymän tietosuojatyön keskeisistä prioriteeteista, Mervi jatkaa. Ulkoistettu projektipäällikkö luo parhaimmillaan asiakkaalle priorisointinäkymän, joka sovitetaan yhteen asiakkaan muiden työtehtävien kanssa. Samalla varmistetaan tehokas toteutus, joka kartuttaa myös asiakkaan omaa osaamista.
On tiedossa tapaus, jossa yksi konsultti toimii jopa 600 organisaation tietosuojavastaavana, Juha Sallinen kertoo. Tästä nousee esiin keskeinen kysymys resurssien riittävyydestä. Tilaajan vastuulla on varmistaa, että ostettu palvelu täyttää todelliset tietosuojatyön vaatimukset. Toimittajan puolestaan tulee pystyä osoittamaan, että resurssit ja osaaminen ovat riittäviä näinkin laajan asiakaskunnan palvelemiseen. Tämä korostaa tietosuojatyön laadun ja vastuullisuuden merkitystä organisaatioiden tietosuojakäytännöissä.
Ideaalitilanteessa organisaatiolla itsellään on riittävästi tietoa tehdäkseen päätöksen halutaanko tai voidaanko tietosuojavastaavan tehtävä ulkoistaa.
GDPR Techillä on strukturoitu, kustannustehokas ja helposti asiakkaan tarpeen mukaisesti räätälöitävissä oleva tapa tuottaa palvelua.
Vastuuta ei voi ulkoistaa, vaikka monia muita asioita voi.
DPOaaS (Data Protection Officer as a Service) on turvallinen ja kustannustehokas ratkaisu kun tarvitset asiantuntijan auttamaan yritystäsi täyttämään ajantasaiset, lakisääteiset tietosuojavelvoitteet ilman kokopäivätyöntekijän palkkaamista.
Ota yhteyttä myös, jos tarvitset määräaikaista sijaista, tietosuojatyölle varahenkilöä tai sparraamaan tietosuojatyön tilaa!
Artikkelissa esiintyvät asiantuntijat:
Jaanaliisa Kuoppa, GDPR-asiantuntija, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.
Juha Sallinen, Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.
Mervi Hongisto, Tekninen projektipäällikkö, ulkoistettu tietosuojavastaava. Osa DPO tiimiä.
Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.
Keitele Group on perheomisteinen yritys, joka on kasvanut yhdeksi Suomen suurimmista mekaanisen puunjalostuksen toimijoista ja maan suurimmaksi puutuotteiden valmistajaksi. Isossa,
GDPR:n kehitys – missä mennään nyt? GDPR-asetuksen siirtymäajan aloitus vuonna 2016 nosti tietosuojan tapetille. Kuluneiden 8 vuoden aikana on tapahtunut
Laitepilates-studio Kunnonkoutsi Laitepilates-studio Kunnonkoutsin perustaja Sanna Harolin on kokenut liikunta-alan ammattilainen, joka halusi luoda oman pilates studionsa vastatakseen paikalliseen kysyntään.
