TIETOSUOJAOPAS 35 12. SUOSITUKSIA KÄYTÄNNÖN TOIMENPITEISTÄ henkilötiedon käsittelyyn liittyvien riskien tunnistaminen, analysoiminen sekä tarvittavien riskienhallintatoimien laatiminen. Riskienarvioinnissa kaikkein oleellisinta on varmistaa riittävä henkilötietojen tietoturva niiden koko elinkaaren ajan. Kun ensimmäinen tietosuojaan liittyvä riskienarviointi ja hallintatoimien tunnistaminen on tehty, pitää varmistua, että tietosuoja on jatkossa mukana organisaation riskienhallintajärjestelmässä ja -prosessissa. Koulutus ja ohjeistus Organisaation henkilöstön tietosuojaosaamisesta on huolehdittava riittävällä koulutuksella ja ohjeistuksella. Tämä koskee erityisesti henkilöstöä, jonka työtehtäviin kuuluu henkilötietojen käsittelemistä. Lisäksi organisaation kannattaa tarjota täsmäkoulutusta esimerkiksi henkilöstöhallinnon tai markkinoinnin parissa toimiville. Dokumentaatio ja viestintä Kehittämistoimien ja muutosten yhteydessä on syytä päivittää myös tietosuojaa koskeva dokumentaatio sekä viestintään liittyvät mahdolliset asiakirja- tai viestipohjat (mm. rekisteröidyille ja valvontaviranomaiselle lähetettävät ilmoitukset) sekä muu materiaali (tietosuojadokumentaatio). Dokumentaatiosta tarkemmin luvussa 7.1.3. Tähän lukuun on koottu käytännön suosituksia toimenpiteistä jokaiselle organisaatiolle. On hyvä muistaa, että tietosuoja-asetuksen vaatimusten täyttäminen ei ole kertaluonteinen projekti, vaan se on otettava mukaan organisaation jokapäiväiseen toimintaan. Luvussa 12.1 on kuvattu yleisiä toimenpiteitä ja huomioita. Luvussa 12.2 on esitelty jatkuvan kehityksen malli, jota noudattamalla tietosuojaa voidaan paremmin toteuttaa organisaatiossa. 12.1 Yleisiä toimenpiteitä ja huomioita Johdon osallistuminen Johdon vastuuta tietosuojatoiminnasta ei voi ulkoistaa. Organisaation johdon tuki tietosuojatoiminnalle on kriittisen tärkeää. Johto on vastuussa organisaation tietosuojatoiminnasta ja vastaa viime kädessä siitä, että se täyttää tietosuoja-asetuksen vaatimukset. Johdon tärkein tehtävä on antaa ja turvata riittävät resurssit, jotta esimerkiksi voidaan toteuttaa tietosuojatoiminnan jatkuvan kehityksen mallia ja käynnistää sen perusteella tarpeelliset kehitystoimet. Lisäksi tietosuojatoiminta tulee sisällyttää organisaation strategiseen ohjaukseen säännöllisesti kuuluvaan raportointiin. Riskienarviointi ja riskienhallinnan kehittäminen Moni organisaatio tekee riskienhallintaa osana johtamisjärjestelmäänsä. Tietosuoja-asetus ei tuo tähän toimintaan mitään uutta, mutta tietosuoja on otettava mukaan osaksi sitä. Riskienarviointiin kuuluu
RkJQdWJsaXNoZXIy Mjk0MTY=