Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.
Tietosuojavastaava on nimitettävä, jos:
Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.
Organisaation on varmistettava, että asiakkaiden asettamat sopimusvelvoitteet välitetään käytetyille alihankkijoille ja muille yhteistyökumppaneille.
Kumppaniorganisaatioiden asetettujen velvoitteiden noudattaminen on tarkistettava säännöllisesti. Jokaisella kumppanilla on oltava nimetty yhteyshenkilö, ja tarvittavien yhteystietojen on oltava ajan tasalla.
Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.
Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.
Kun henkilötietoja siirretään verkon kautta, organisaatiolla on oltava asianmukaiset valvontatoimenpiteet sen varmistamiseksi, että tiedot saapuvat aiottuun määränpäähänsä.
Pilvipalvelut eivät välttämättä aina poista kaikkia käyttäjien poistamia tietoja esim. suorituskykyongelmien vuoksi.
Organisaatiolla tulee olla käytössä teknisiä toimenpiteitä sen varmistamiseksi, että aina kun asiakkaalle osoitetaan tallennustilaa, kyseisellä tallennustilalla aiemmin olleet tiedot eivät näy uudelle asiakkaalle.
Organisaation on kuultava relevanttia tietosuojaviranomaista ennen henkilötietojen käsittelyn aloittamista, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.
Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.
Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.
Näitä erityisiä toimenpiteitä voivat olla mm.:
Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä.
Digiturvamallissa tietovarannot, joiden osalta organisaatio toimii rekisterinpitäjänä, dokumentoidaan Tietovarannot-listaan. Ulkoiset tietovarannot -listassa on tarkoitus dokumentoida tietovarannot, joiden osalta organisaatio toimii itse henkilötietojen käsittelijänä.
Organisaation olisi määritettävä henkilötietojen käsittelyyn liittyvät vastuut ja roolit selkeästi yhteisrekisterinpitäjien kanssa. Määrittelyyn on sisällyttävä vaatimukset liittyen henkilötietojen suojaamiseen ja käsittelyn turvallisuuteen.
Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.
Organisaatiolla on oltava menettely, jolla käsitellään rekisterinpitäjältä tulevia henkilötietojen käsittelyä koskevia ohjeita. Menettelyllä on varmistettava:
Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy
Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.
Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.
Henkilötietoja käsitteleviltä kumppaneilta kerätään tietosuojasitoumukset, joiden kautta he vakuuttavat henkilötietojen oikeaoppista käsittelyä. Nämä sitoumukset voivat olla osa henkilötietojen käsittelystä tehtävää sopimusta.
Organisaatio on itse lisäksi määritellyt toimintatavat näiden sitoumusten valvontaan kumppanien osalta sekä tarvittaviin toimenpiteisiin ryhtymiseen.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
