Huolehdi koulutuksesta ja arvioi tietosuojan toteutumista

Riittävä tietosuojakoulutus varmistetaan sillä, että jokainen henkilötietoja käsittelevä taho on tietoinen niistä vaatimuksista, joita häneltä edellytetään. Tämä edellyttää koulutustarpeen tunnistamista ja riittävän koulutuksen mahdollistamista.

Huomioi koulutuksen suunnittelussa seuraavat asiat:

1. Erityisiä henkilötietoja käsittelevät tarvitsevat syvällisempää koulutusta kuin ne tahot, jotka eivät käsittele erityisiä henkilötietoryhmiä.
2. Henkilötietojen käsittelyprosesseista päättävät ja vastaavat tahot tarvitsevat erilaista koulutusta kuin sellaiset henkilöt, jotka ovat osa yksittäisiä henkilötietojen käsittelyprosesseja.

Riittävän ja ajantasaisen koulutuksen tarjoaminen on tärkeää tietosuojariskien hallitsemiseksi. Organisaatioriskien kannalta on olennaista, että koulutustarpeet ja suoritetut koulutukset dokumentoidaan niin, että organisaatio pystyy tarvittaessa osoittamaan, miten koulutuksesta on huolehdittu.

Julkishallinnolle on tarjolla Digi- ja Väestötietoviraston ylläpitämät

• Digiturvan kokonaiskuvapalveluAvautuu uuteen ikkunaan.
• Digiturvan riskienhallintieto-palveluAvautuu uuteen ikkunaan.

VAHTI hyvissä käytännöissä on julkaistu useita omavalvontatyökaluja. Avautuu uuteen ikkunaan.Markkinoilla on myös tietosuojan tasoa mittaavia kaupallisia palveluita.

Hyvin hoidettu tietosuoja voi olla joillekin organisaatioille kilpailuetu. Muita mahdollisuuksia voivat olla esimerkiksi

• positiivinen asiakaspalaute
• asiakkaiden ja sidosryhmien luottamuksen lisääntyminen
• positiivinen julkisuus ja julkisuuskuvan kehittäminen.

Tietosuojahaasteet voivat esimerkiksi

• aiheuttaa ongelmia toiminnan ja palveluiden kehittämisessä
• aiheuttaa ongelmia hankinnoissa
• nostaa toimintakustannuksia
• johtaa valvontaviranomaisten tilanteeseen puuttumiseen
• johtaa johdon ja henkilöstön rikosoikeudellisten vastuiden realisoitumiseen
• vaarantaa työntekijöiden, asiantuntijoiden, johdon ja sidosryhmien oikeusturvan.

Tietosuojaprosessien säännöllisen läpikäymisen laiminlyönnistä voi seurata ongelmia niin rekisteröidyille, organisaatiolle, organisaation johdolle kuin henkilöstöllekin. Mahdollisia seurauksia organisaatiolle voivat olla esimerkiksi

1. hallinnolliset sanktiot
2. valvontaviranomaisen puuttuminen henkilötietojen käsittelyyn muun muassa rajaamalla tai kieltämällä tietyt käsittelytoimet tai kaikki käsittelytoimet.

Käsittelytoimien rajaaminen tai kieltäminen voi aiheuttaa suuria ongelmia organisaation toiminnalle.

Pelkästään valvontaviranomaisen määräys saattaa henkilötietojen käsittelytoimet lakisääteiset vaatimukset täyttävälle tasolle voi olla organisaation kannalta kallista, hidasta ja joskus jopa mahdotonta, jos vaatimustenmukaisuus toteutetaan vasta henkilötietojen käsittelytoimien aloittamisen jälkeen.

Huonosti hoidettu tietosuoja aiheuttaa riskejä myös organisaation julkisuuskuvalle. Tietosuojasyistä kerran menetetyn maineen ja asiakkaiden luottamuksen takaisin saaminen voi olla haastavaa tai pahimmillaan mahdotonta. Joskus heikosti toteutettu tietosuoja voi johtaa jopa liiketoiminnan päättymiseen.

Henkilötietoihin kohdistuvat tietoturvapoikkeamat ovat yleistyneet 2010- ja 2020-luvulla. Vaikka toimijat selviäisivät muutoin niiden seurauksista, huonosta julkisuudesta seuraa mainehaittaa. Tietoturvapoikkeamien jälkeen asiakkaiden luottamuksen palauttaminen ja vakuuttaminen tietoturvakäytäntöjen riittävyydestä voi olla haastavaa.