Tietosuojavastaavan nimittäminen

Organisaation on nimitettävä tietosuojavastaava silloin kun:

• kyseessä on viranomainen tai julkishallinnon elin, pois lukien tuomioistuimet

• organisaation ydintehtävät muodostuvat sellaisesta henkilötietojen käsittelystä, joka luonteensa, laajuutensa ja/tai tarkoitustensa vuoksi edellyttää laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, tai

• organisaation ydintehtävät muodostuvat laajamittaisesta henkilötietojen käsittelystä, joka koskee erityisiä henkilötietoryhmiä tai rikostuomioita tai rikkomuksia koskevia tietoja

Tietosuojavastaava muun muassa seuraa tietosuojan toteutumista organisaatiossa, neuvoo henkilötietoja käsitteleviä työntekijöitä, ja tekee yhteistyötä valvontaviranomaisen kanssa.

Tietosuojavastaavalle ei ole kelpoisuus- tai koulutusvaatimuksia, mutta hänellä tulee olla riittävä osaaminen ja kokemus tietosuojalainsäädännön soveltamisesta. Tietosuojavastaavaksi nimitettävän henkilön on voitava hoitaa tehtäviään riippumattomasti, eikä tietosuojavastaavaksi siksi voida nimittää sellaista henkilöä, jonka työtehtäviin organisaatiossa kuuluu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittely. Tällaisia työtehtäviä voi kuulua esimerkiksi tietoturvapäällikölle tai ylimmälle johdolle.