TIETOSUOJAOPAS 40 Johdon raportointi Kuten aiemmin todettiin, organisaation johto vastaa organisaation tietosuojatoiminnasta ja jotta se pystyisi hoitamaan tehtävänsä, se tarvitsee ajantasaista raportointia. Tietosuojavastaavan ( jos sellainen on nimetty) tehtävä on raportoida organisaation johdolle säännöllisesti organisaation tietosuojatoiminnan tapahtumista ja tilasta. Säännölliseen raportointiin voivat kuulua mm. seuraavat asiat: • Menneen tarkastelu sisältäen mm. merkittävimmät tietosuoja- ja tietoturvatapahtumat sekä mahdolliset loukkaukset henkilötietoihin liittyen • Henkilötietojen käsittelyyn liittyvä riskienarviointi • Mahdolliset tietosuojaan liittyvät mittarit • Viranomaisten kanssa tehty yhteistyö (mukaan lukien viranomaisille tehdyt ilmoitukset) • Tietosuojatoimintaan liittyvien kehitystoimenpiteiden seuranta. Rekisteröidyille ja viranomaisille ilmoittaminen Luvussa 7.4 on kuvattu tietosuoja-asetuksen asettamia vaatimuksia rekisteröidyille ja viranomaisille ilmoittamisesta. Organisaation on kyettävä tekemään nämä ilmoitukset ja sovittava, kuka tekee ja miten ilmoitukset käytännössä toteutetaan. Yleensä ilmoitusten tekemisestä vastaa organisaation tietosuojavastaava. Rekisteröidyn esittämien pyyntöjen käsittely Organisaation on luotava valmiudet käsitellä rekisteröityjen esittämiä pyyntöjä. Näitä pyyntöjä voivat olla esimerkiksi pyyntö saada nähdä mitä henkilötietoja organisaatiolla henkilöstä on, pyyntö korjata henkilötiedoissa olevat virheet tai pyyntö poistaa henkilötiedot järjestelmistä. Pyyntöjen käsittelemiseksi on hyvä laatia vakiomuotoinen tapa, joka voi olla esimerkiksi verkkolomake tai roolipohjainen sähköpostiosoite (esim. tietosuojavastaava@yritys.fi). Jotta pyyntöjen käsittely ja niihin vastaaminen tapahtuisi säännönmukaisesti ja asetuksen vaatimusten mukaisesti, se tulee kuvata. Rekisteröidyille lähetettäviä vastauksia varten on hyvä laatia valmiit mallit ja pohjat.
RkJQdWJsaXNoZXIy Mjk0MTY=