Tietosuoja-asioiden hoitoon pitäisi aina löytyä määritelty työrooli kuten tietosuojavastaava. Työn organisoinnissa on tärkeää muistaa organisaation sisäinen järjestäytyminen tietosuoja- ja tietoturva-asioiden hoitamiseksi. Kukaan ei pärjää yksin -oli kyseessä sitten pieni tai iso toimintayksikkö. Siksi esimerkiksi tällaisista asioista pitää sopia ja nämä pitää organisoida. Tärkeintä on kuitenkin aloittaa nykytilanteen kartoittamisesta ja sen analysoimisesta.

1. Tietosuojan nykytila-analyysin tekeminen

• Selvitä tilivelvollisen johdon käsitys organisaation tietosuojasta

  • esim. järjestä seminaari ja/tai kirjallinen kysely

• Kartoita olemassa oleva tietoturvan- ja tietosuojan johtamismalli

  • mm. resurssit, vastuunjako

• Tunnista organisaation tietovarannot ja niiden hallintajärjestelmät

  • käsitelläänkö arkaluontoisia henkilötietoja?

  • kuinka suuri osa henkilötiedoista on salassa pidettäviä?

  • kenellä henkilötietoihin on pääsy (käyttövaltuudet ja niiden perusteet)

  • tietoaineistojen omistajuudet

  • mitkä ovat henkilötietojen omistajan oikeudet, velvoitteet ja vastuut?

  • onko arkistonmuodostussuunnitelma laadittu ja käytössä?

• Tunnista myös organisaation henkilötietojen tietovirrat

• Läpikäy rekisterihallintoon liittyvät linjaukset

  • mm. rekisterinpitäjät, rekisteriselosteet

  • asiakastietojen käsittelyn ohjeistukset ja niiden ajantasaisuus

• Kartoita ja analysoi tietosuojariskit

• Varmista toimeksiantosopimuksien sisältö

  • mm. miten on kuvattu henkilötietojen käsittelyprosessit ja salassapitoasiat

  • vastuunjako rekisterinpitäjän (toimeksiantaja) ja henkilötietojen käsittelijän (toimeksisaaja) välillä

  • muista ICT-vaatimusmäärittelyjen tietoturva- ja tietosuojavaatimukset hankittavissa tietojärjestelmissä

• Mieti miten tietojohtaminen onnistuu?

  • selvitä mitä mittareita/tunnuslukuja on jo olemassa ja mitä pitää kehittää

  • laaditaanko organisaatiossa tietotilinpäätös osana raportointia?

• Varmista Käytönvalvonnan organisointi

  • miten on toteutettu tietojärjestelmien tuottamien lokien hallinta?

  • onko laadittu lokipolitiikka, ja toteutuuko se?

  • käytönvalvonnan vuosisuunnitelman laatiminen ja käytönvalvontasuunnitelman toteuman läpikäynti

• Selvitä rekisteröityjen oikeuksien toteuttaminen ja toteutuminen

  • kartoita rekisteröidyn oikeudet organisaatiosi käsittelemien henkilötietojen osalta

  • haastattele rekisteröityjen oikeuksien toteutumisen osalta esimerkiksi arkistoa, potilas- ja sosiaaliasiamiehiä sekä rekisterien vastuuhenkilöitä

2. Tietosuojatyön organisointi

JOHDON VELVOITTEET JA VASTUU:

- Nykytilan kartoitus
- Rekisterihallinnon järjestäminen
- Kirjalliset politiikat, periaatteet ja ohjeet
- Riittävät resurssit
- Tietosuojavastaavan nimeäminen ja tehtävien ja aseman määrittely
- Tietosuojaryhmän perustaminen ja tehtävien määrittely
- Riskienhallinta
- Riskien tunnistaminen ja luokittelu
- Riskianalyysit
- Toimintaohjeet riskien toteutuessa
- Seuraamuskäytännöt tietosuojarikkomuksissa
- Tietosuojattavan jätteen hävitysprosessin järjestäminen
- Omavalvontasuunnitelma
- Laadi tietotilinpäätös

katso myös aiheeseen liittyvä diasarja

3. Tietosuojatyön tekeminen

TIETOSUOJAVASTAAVAN JA TIETOSUOJARYHMÄN TOIMINTA:

- Johdon tukena toimiminen
- Ohjeiden laatiminen ja jalkauttaminen
- Lainsäädännön muutoksien seuraaminen ja tiedottaminen
- Henkilöstön perehdytysprosessin varmistaminen
- Henkilöstön kouluttaminen ja auttaminen
- Henkilöstön osaamisen mittaaminen
- Henkilötietojen käsittelyn valvonta
- Tietosuojapoikkeamien raportointi johdolle

Jos tietosuojatyön organisointiin ja itse tietosuojatyön tekemiseen tuntuu olevan vaikeuksia löytää resursseja, niin asiaa voi johdolle perustella mm. seuraavilla strategisilla huomiolla:

• Laadittu organisaation henkilötietojen käsittely- ja tietosuojakäytänteiden nykytila-arvio ja -analyysi voi antaa aihetta tietosuojavastaavan tietosuojatyön lisäresurssointiin esimerkiksi jos rekisterinpitäjän henkilötietojen käsittely- ja tietosuojakäytänteiden nykytilan ja EU:n tietosuoja-asetuksen edellyttämän riskiperusteisen tavoitetilan välinen kuilu on suuri

• Tietosuoja- ja tietoturva-asiat pitää hoitaa prosessinomaisesti, jota pystytään seuraamaan

• Tietoturva- ja suoja-asioihin resursoinnin pitää pohjautua myös riskien tunnistamiseen ja hallintaan

• Dokumentointi tietojen käsittelyn tilasta, sekä henkilötietojen käsittely- ja tietosuojakäytänteistä täytyy tehdä ja se pitää olla saatavilla (EU:n tietosuoja-asetuksen edellyttämä rekisterinpitäjän ja henkilötietojen käsittelijän oma-aloitteinen osoitusvelvollisuus, että noudattaa lainsäädäntöä henkilötietojen käsittelyssä)

• Tietojohtamisen pitää perustua faktoihin (tunnusluvut, mittarit ja raportit)

• Tietosuoja- ja tietoturvapoikkeamiin, kuten esimerkiksi tietomurto, pitää osata reagoida ja suunnitella myös kriisiviestintä

Tietosuojavastaavan käsikirja 2 teoksessa (Andreasson, Koivisto, Ylipartanen, Tietosanoma 2014) Tampereen kaupungin tietosuojavastaavana työskentelevä Ari Andreasson laati kirjan liitteeksi helposti ymmärrettävän Tietosuojavastaavan vuosikellon. Toivottavasti saatte siitä hyötyä suunnitellessanne omia vuosittaisia työtehtäviä ja niiden jaksottamista.