Tietosuojatyön organisointi ja nykytila-analyysi

Tietosuoja-asioiden hoitoon pitäisi aina löytyä määritelty työrooli kuten tietosuojavastaava. Työn organisoinnissa on tärkeää muistaa organisaation sisäinen järjestäytyminen tietosuoja- ja tietoturva-asioiden hoitamiseksi. Kukaan ei pärjää yksin -oli kyseessä sitten pieni tai iso toimintayksikkö. Siksi esimerkiksi tällaisista asioista pitää sopia ja nämä pitää organisoida. Tärkeintä on kuitenkin aloittaa nykytilanteen kartoittamisesta ja sen analysoimisesta.

1. Tietosuojan nykytila-analyysin tekeminen

Selvitä tilivelvollisen johdon käsitys organisaation tietosuojasta
- esim. järjestä seminaari ja/tai kirjallinen kysely
Kartoita olemassa oleva tietoturvan- ja tietosuojan johtamismalli
- mm. resurssit, vastuunjako
Tunnista organisaation tietovarannot ja niiden hallintajärjestelmät
- käsitelläänkö arkaluontoisia henkilötietoja?
- kuinka suuri osa henkilötiedoista on salassa pidettäviä?
- kenellä henkilötietoihin on pääsy (käyttövaltuudet ja niiden perusteet)
- tietoaineistojen omistajuudet
- mitkä ovat henkilötietojen omistajan oikeudet, velvoitteet ja vastuut?
- onko arkistonmuodostussuunnitelma laadittu ja käytössä?
Tunnista myös organisaation henkilötietojen tietovirrat
Läpikäy rekisterihallintoon liittyvät linjaukset
- mm. rekisterinpitäjät, rekisteriselosteet
- asiakastietojen käsittelyn ohjeistukset ja niiden ajantasaisuus
Kartoita ja analysoi tietosuojariskit
Varmista toimeksiantosopimuksien sisältö
- mm. miten on kuvattu henkilötietojen käsittelyprosessit ja salassapitoasiat
- vastuunjako rekisterinpitäjän (toimeksiantaja) ja henkilötietojen käsittelijän (toimeksisaaja) välillä
- muista ICT-vaatimusmäärittelyjen tietoturva- ja tietosuojavaatimukset hankittavissa tietojärjestelmissä
Mieti miten tietojohtaminen onnistuu?
- selvitä mitä mittareita/tunnuslukuja on jo olemassa ja mitä pitää kehittää
- laaditaanko organisaatiossa tietotilinpäätös osana raportointia?
Varmista Käytönvalvonnan organisointi
- miten on toteutettu tietojärjestelmien tuottamien lokien hallinta?
- onko laadittu lokipolitiikka, ja toteutuuko se?
- käytönvalvonnan vuosisuunnitelman laatiminen ja käytönvalvontasuunnitelman toteuman läpikäynti
Selvitä rekisteröityjen oikeuksien toteuttaminen ja toteutuminen
- kartoita rekisteröidyn oikeudet organisaatiosi käsittelemien henkilötietojen osalta
- haastattele rekisteröityjen oikeuksien toteutumisen osalta esimerkiksi arkistoa, potilas- ja sosiaaliasiamiehiä sekä rekisterien vastuuhenkilöitä

2. Tietosuojatyön organisointi

JOHDON VELVOITTEET JA VASTUU:

- Nykytilan kartoitus
- Rekisterihallinnon järjestäminen
- Kirjalliset politiikat, periaatteet ja ohjeet
- Riittävät resurssit
- Tietosuojavastaavan nimeäminen ja tehtävien ja aseman määrittely
- Tietosuojaryhmän perustaminen ja tehtävien määrittely
- Riskienhallinta
- Riskien tunnistaminen ja luokittelu
- Riskianalyysit
- Toimintaohjeet riskien toteutuessa
- Seuraamuskäytännöt tietosuojarikkomuksissa
- Tietosuojattavan jätteen hävitysprosessin järjestäminen
- Omavalvontasuunnitelma
- Laadi tietotilinpäätös

katso myös aiheeseen liittyvä diasarja

3. Tietosuojatyön tekeminen

TIETOSUOJAVASTAAVAN JA TIETOSUOJARYHMÄN TOIMINTA:

- Johdon tukena toimiminen
- Ohjeiden laatiminen ja jalkauttaminen
- Lainsäädännön muutoksien seuraaminen ja tiedottaminen
- Henkilöstön perehdytysprosessin varmistaminen
- Henkilöstön kouluttaminen ja auttaminen
- Henkilöstön osaamisen mittaaminen
- Henkilötietojen käsittelyn valvonta
- Tietosuojapoikkeamien raportointi johdolle

Jos tietosuojatyön organisointiin ja itse tietosuojatyön tekemiseen tuntuu olevan vaikeuksia löytää resursseja, niin asiaa voi johdolle perustella mm. seuraavilla strategisilla huomiolla:

Laadittu organisaation henkilötietojen käsittely- ja tietosuojakäytänteiden nykytila-arvio ja -analyysi voi antaa aihetta tietosuojavastaavan tietosuojatyön lisäresurssointiin esimerkiksi jos rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteiden nykytilan ja EU:n tietosuoja-asetuksen edellyttämän riskiperusteisen tavoitetilan välinen kuilu on suuri
Tietosuoja- ja tietoturva-asiat pitää hoitaa prosessinomaisesti, jota pystytään seuraamaan
Tietoturva- ja suoja-asioihin resursoinnin pitää pohjautua myös riskien tunnistamiseen ja hallintaan
Dokumentointi tietojen käsittelyn tilasta, sekä henkilötietojen käsittely- ja tietosuojakäytänteistä täytyy tehdä ja se pitää olla saatavilla (EU:n tietosuoja-asetuksen edellyttämä rekisterinpitäjän ja henkilötietojen käsittelijän oma-aloitteinen osoitusvelvollisuus, että noudattaa lainsäädäntöä henkilötietojen käsittelyssä)
Tietojohtamisen pitää perustua faktoihin (tunnusluvut, mittarit ja raportit)
Tietosuoja- ja tietoturvapoikkeamiin, kuten esimerkiksi tietomurto, pitää osata reagoida ja suunnitella myös kriisiviestintä

Tietosuojavastaavan käsikirja 2 teoksessa (Andreasson, Koivisto, Ylipartanen, Tietosanoma 2014) Tampereen kaupungin tietosuojavastaavana työskentelevä Ari Andreasson laati kirjan liitteeksi helposti ymmärrettävän Tietosuojavastaavan vuosikellon. Toivottavasti saatte siitä hyötyä suunnitellessanne omia vuosittaisia työtehtäviä ja niiden jaksottamista.

DPIA-arviot tekoälyratkaisujen käytössä OpiTietosuojaa.fi 5.11.2025 14:43
DPIA (Data Protection Impact Assessment, eli tietosuojan vaikutustenarviointi) ei ole aina pakollinen tekoälyratkaisun käyttöönotossa, mutta se on tehtävä, jos henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Tämä koskee erityisesti...

Lue lisää: DPIA-arviot tekoälyratkaisujen käytössä

TSVT uutisia

Tietosuojavaltuutetun toimisto

Europrivacy-sertifiointikriteerien päivitys hyväksytty – tietosuojasinettiä voi nyt käyttää myös henkilötietojen siirtovälineenä

AVAA TIEDOTE

Kyberturvallisuuskeskus

24.04.2026

Kyberturvallisuuskeskuksen viikkokatsaus - 17/2026

Edistyneet, syväväärennöksiä hyödyntävät toimitusjohtajahuijaukset tekevät huijausten tunnistamisesta vaikeampaa. WordPress-verkkosivujen ylläpitäjien tulee huolehtia aktiivisesti käyttämiensä lisäosien päivittämisestä. Poliisi kertoi tiedotteessaan, että tiedottaminen ja avoin viestintä ovat keskeisiä keinoja huijausten torjunnassa.

AVAA UUTINEN

Kyberturvallisuuskeskus

20.04.2026

Kyberturvallisuuskeskuksen viikkokatsaus - 16/2026

Maaliskuun kybersää on julkaistu! Kuukaudesta tuli sateinen uusien haavoittuvuuksien ja ohjelmistoriippuvuuksien toimitusketjuriskien vuoksi.
Verkkohuijaukset lisääntyvät yhteiskunnan digitalisaation jatkuvan kehityksen myötä, mutta uhkia vastaan voi myös varustautua ja opetella turvallisia tapoja digitaalisten palveluiden käyttöön. Viranomaiset ja koulutusalan toimijat tarjoavat yhdessä neuvoja turvalliseen netinkäyttöön.

AVAA UUTINEN

Kyberturvallisuuskeskus

15.04.2026

Kyberturvallisuuskeskuksen viikkokatsaus - 15/2026

Kansainvälinen viranomaisten yhteisoperaatio työnsi kapuloita Venäjän kybervakoilun rattaisiin. Ensi viikolla alkaa Kriittinen koodi -webinaarisarja ja Jyväskylässä Digiturvallisuusmessuilla on mukana monia Kyberturvallisuuskeskuksen puheenvuoroja. Toukokuussa järjestetään infotilaisuus kvanttiturvallisesta siirtymästä, ilmoittaudu mukaan!

AVAA UUTINEN

Kyberturvallisuuskeskus

09.04.2026

Osallistu Kuka pelkää kvanttia - hyppy PQC-aikaan -tilaisuuteen 11.5.2026

Traficomin Kyberturvallisuuskeskus järjestää infotilaisuuden kvanttiturvallisesta siirtymästä 11.5. klo 12.30–16.00. Tilaisuudessa kuullaan asiantuntijapuheenvuoroja kvanttiuhkasta, siihen varautumisesta sekä tarpeellisista toimenpiteistä, joita organisaatioiden on tehtävä. Infotilaisuuteen voi osallistua joko paikan päällä Pasilassa tai etäyhteydellä.

AVAA UUTINEN

Tietosuojavaltuutetun toimisto

Suosittelemme:

Uusimmat artikkelit

Kyberturvallisuuskeskus - Tietoturva nyt!