TIETOSUOJAOPAS 25 tosuoja-asioissa. Hänen tehtävänsä on ohjeistaa tietosuojan käytännön toteuttaminen. Tämä on luonnollisesti parasta tehdä kiinteässä yhteistyössä rekisterinpitäjän tai käsittelijän eri toimintojen tai osastojen kanssa, esimerkiksi erilaisissa työryhmissä. Vastaavan tulee saada tietosuoja nostettua tietoiselle tasolle organisaatiossaan, jotta työntekijät osaavat ottaa sen huomioon esimerkiksi tietojärjestelmiä suunniteltaessa ja uudistettaessa tai kun kehitetään uusia tuotteita tai palveluja. Tietosuojavastaavan tehtäviin kuuluu tietosuojan noudattamisen seuranta ja organisaation toiminnan tarkastaminen tietosuojanäkökulmasta. Hänen tulee valvoa, että tarpeelliset dokumentit laaditaan ja että ne ovat asianmukaisesti saatavilla esimerkiksi yrityksen intrassa ja tarvittaessa julkisilla verkkosivuilla. Hän myös valvoo, että tietosuojaan liittyvät asiakirjat, kuten selosteet, raportit ja pöytäkirjat, säilytetään asiallisesti. Tietosuojavastaava seuraa, että organisaatio toteuttaa ilmoitusvelvollisuutensa eri tilanteissa. Jos organisaatiossa tulee tehdä vaikutustenarviointi, hän on mukana sen toteutuksessa sekä tukien että eri toimia valvoen. Tietosuojavastaavan tehtäviin kuuluu myös henkilötietojen suojaan liittyvä vastuunjako ja tiedottaminen. Tietosuojavastaava toimii organisaation sisäisenä yhteyshenkilönä tietosuoja-asioissa. Tietosuojavastaava on avainasemassa arvioitaessa erilaisiin käsittelytoimiin liittyviä riskejä, sillä hän tuntee sekä tietosuoja-asetuksen vaatimukset että organisaation toiminnan. Tietosuojavastaavan tulee tukea sitä, että rekisteröityjen oikeudet toteutuvat. Henkilötietojen käsittelyyn liittyvässä riskiarvioinnissa tietosuojavastaava huomioi käsittelyn luonteen, laajuuden, asiayhteyden ja käsittelytarkoituksen. Tietosuojavastaava tekee yhteistyötä valvontaviranomaisen kanssa. Tietosuojavastaava toimii organisaation yhteyshenkilönä suhteessa sekä valvontaviranomaiseen että rekisteröityihin. Rekisteröidyt voivat ottaa yhteyttä häneen kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja tietosuoja-asetukseen perustuvien oikeuksien käyttöön. 7.1.2 Tietosuojan hallinnointi Tietosuojan hallinnoinnilla tarkoitetaan henkilötiedon elinkaaren hallintaa. Tähän kuuluu mm. kuvaukset siitä, miten henkilötiedot organisaatioon tulevat, kuka niitä käsittelee, käyttövaltuuksien ja -oikeuksien hallinnointi ja miten henkilötiedot poistetaan. Käytännön toimenpidesuosituksia tietosuojan hallinnoinnista on kuvattu luvussa 12.2.2. 7.1.3 Tietosuojadokumentaatio Organisaation tulee laatia dokumentaatio siitä, mitä tarkoitusta varten henkilötietoja käsitellään, mitä henkilötietoja käsitellään ja miten ne on suojattu. Organisaation tulee kirjata dokumentaatioon myös tiedot niistä kolmansista osapuolista, joiden kanssa henkilötietoja jaetaan sekä siitä, siirretäänkö henkilötietoja kolmansiin maihin EU:n tai Euroopan talousalueen ulkopuolelle ( ja mihin maihin tietoja siirretään) ja mikä on näiden siirtojen oikeudellinen perusta. Lisäksi organisaation on dokumentoitava tiedot organisaation hallinnollisista ja teknisistä suojaustoimista sekä henkilötietojen säilytysajat. Erilaisilla valvontatyökaluilla organisaatio voi varmistua siitä, että henkilötietojen käsittelyyn liittyvä toiminta on dokumentaation mukaista.
RkJQdWJsaXNoZXIy Mjk0MTY=