Tietosuojavastaava on Staabissa yksi hallituksen sisältä valittavista ”sivupesteistä”. Muita näitä ovat esimerkiksi toimisto- ja yhdenvertaisuusvastaavat. Ainakin niin pitkään kun allekirjoittaneella on tietoa, on talousvastaava ollut myös tietosuojavastaava. Tämä johtuu siitä, että tietosuojan kannalta ehkä merkittävin asia Staabilta on jäsenrekisteri Kide.appissä, jota talousvastaava hoitaa.
Tullessani valituksi talous- ja tietosuojavastaavaksi, minulla ei ollut juuri hajua siitä mitä pesti pitää sisällään. ”Eikö tietosuoja ole jotain virustorjuntaa yms.?” ajattelin. Siinä tein klassisen amatöörivirheen ja sekoitin tietosuojan ja tietoturvan.
Tietosuojan tavoite on rekisteröidyn eli yksittäisen henkilön, jonka tietoja käsitellään, luottamuksen ja oikeuksien – kuten yksityisyyden – turvaaminen henkilötietoja käsiteltäessä. Tietoturvan tavoitteena taas on suojata kaikkia organisaation toiminnan kannalta tärkeitä tietoja.
Henkilötietojen luovuttajalla on oikeus saada tietoa tietojensa käsittelystä, saada pääsy tietoihin, oikaista virheellinen tieto, poistaa tiedot ja tulla unohdetuksi, rajoittaa tietojen käsittelyä, siirtää tiedot järjestelmästä toiseen, vastustaa tietojen käsittelyä, sekä olla joutumatta automaattisen päätöksenteon kohteeksi.
Tietosuojavastaavan tärkeimmät ohjenuorat ovat siis tietosuojalaki ja -asetus, sekä GDPR. Pesti ei tuntimäärällisesti ole kovinkaan työllistävä, mutta yksityisyys on minulle tärkeä arvo, ja siksi koen pestin sitäkin tärkeämmäksi. Käytännössä tehtäväni on sitä, että varmistan ettei jäsenrekisterissä tai vaikka tapahtumailmoittautumisissa kerättyjä tietoja käytetä asioihin, joihin ei tietojen luovuttaja ole antanut lupaa, ja etteivät ylimääräiset silmäparit pääse näitä näkemään. Käytännön esimerkkinä sitsi-ilmoittautumissa tarvittavat allergiatiedot, jotka voivat olla jollekin arkaluontoisia. Välillä pistelen viestiä hallituksen jäsenille, että poistapas nämä ja nämä tiedot Staabin Drivestä; niitä ei tarvita enää tai meillä ei ole lupaa niiden säilyttämiseen.
Pestini ulkopuolinen asia, missä tietosuoja näkyy toiminnassamme, on se, että yliopisto ei saa luovuttaa meille tietoja siitä, milloin joku valmistuu. Säännöissämme lukee, että Staabin jäsenyys kestää niin kauan kuin henkilöllä on opiskeluoikeus, mutta käytännössä emme voi tietää milloin joku valmistuu tai muuten menettää opiskeluoikeutensa. Tämä on myös suuresti hankaloittanut kattavan alumniverkoston luomista.
Ensi kerralla kun ilmoittaudut johonkin tapahtumaamme, lukaiseppas tietosuojaseloste kerrankin oikeasti. Saatat vaikka oppia jotain.
Tietosuoja (ja talous-) vastaavanne,
Artturi
