Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.

Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:

• organisaatiossa on yli 250 työntekijää
• henkilötietojen käsittely ei ole satunnaista
• henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille
• käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja

Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.

Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

• käsittelyn oikeusperuste sekä tarvittavat lisätiedot
• tahot, joille käsittelyä on ulkoistettu
• liittyvät tietoaineistot

Yksi henkilötietojen laillisen käsittelyn oikeudellisista perusteista on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Sen määrittämiseksi, milloin oikeutettu etu on perusteltu, tehdään niin sanottu tasapainotesti, jossa rekisterinpitäjän tai kolmannen osapuolen etu suhteutetaan rekisteröidyn perusoikeuksiin.

Kun käsittelymme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen ja sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on sovellettavan tietosuojakehyksen mukaista.

Organisaation on ylläpidettävä selkeää ja dokumentoitua menettelyä niitä tapauksia varten, joissa henkilötietoja käsitellään muuhun tarkoitukseen kuin siihen, jota varten ne alun perin kerättiin. Menettelyllä on varmistettava, että mahdollinen lisäkäsittely pysyy laillisena, tarpeellisena ja läpinäkyvänä.

Vaatimustenmukaisuuden varmistamiseksi menettelyn on oltava

• Määriteltävä, perusteltava ja dokumentoitava selkeästi uudet käsittelytarkoitukset.
• Käytettävä välineitä, kuten tietojen kartoitusta tai tarpeellisuusarviointeja, sen määrittämiseksi, mitä tietoelementtejä tarvitaan ja miten niitä käsitellään ja suojataan turvallisesti.
• Rajoitettava käsittely siihen vähimmäismäärään henkilötietoja, joka on tarpeen uuden tarkoituksen saavuttamiseksi.
• Käytä asianmukaisia organisatorisia ja teknisiä toimenpiteitä tietojen suojaamiseksi koko käsittelyn ajan.
• Kirjaa kaikki päivitykset tai muutokset organisaation käsittelytoimia koskeviin tietoihin.
• Ilmoitetaan asianomaisille henkilöille uudesta tarkoituksesta ja annetaan kaikki vaaditut tiedot ennen lisätietojen käsittelyn aloittamista.

Organisaation olisi laadittava ja pantava täytäntöön luottotietojen käsittelyä koskeva erityinen politiikka. Tähän politiikkaan on sisällytettävä asiaankuuluvien viranomaisten asettamat vaatimukset ja valvontatoimet. Politiikassa olisi myös selkeästi määriteltävä luottotietoja käsittelevien työntekijöiden ja sopimuspuolten roolit ja vastuut, jotta varmistetaan vastuuvelvollisuus ja estetään luvaton pääsy tai käyttö.

Organisaation on säilytettävä selkeä dokumentaatio kaikista terveystietojen käsittelyn vaiheista keräämisestä poistamiseen. Kussakin vaiheessa on yksilöitävä vastuuhenkilö tai -tehtävä vastuuvelvollisuuden ja jäljitettävyyden varmistamiseksi.

Rekisterit on pidettävä ajan tasalla ja asiaankuuluvien viranomaisten saatavilla sovellettavien terveystietoja koskevien säännösten mukaisesti.

Organisaation olisi laadittava selkeä prosessi tilanteita varten, joissa henkilötietoja käsitellään vaikeasti tavoitettavan rekisteröidyn todellisen edun vuoksi. Prosessissa olisi määriteltävä, miten rekisteröidyn todellisen edun olemassaolo arvioidaan ja dokumentoidaan. Sen on myös sisällettävä vaiheet, joilla dokumentoidaan syyt, joiden vuoksi rekisteröidyn tavoittaminen ei ole mahdollista tai kohtuuttoman vaikeaa.

Organisaation on sovellettava anonymisointimenetelmiä, jotka estävät yksilöiden tunnistamisen tai uudelleen tunnistamisen. Sen olisi arvioitava uudelleen tunnistamisen mahdollisuus, sovellettava sopivia teknisiä ja organisatorisia toimenpiteitä riskien vähentämiseksi ja tarkistettava säännöllisesti anonymisointiprosessin tehokkuutta. Asianmukaisesti anonymisoituja tietoja, joita ei voida yhdistää henkilöön, ei enää pidetä henkilötietoina.

Organisaation on varmistettava, että suostumus henkilötietojen käsittelyyn saadaan pätevästi, tietoon perustuvalla ja todennettavalla tavalla. Suostumus olisi annettava vapaaehtoisesti, ja käsittelyn tarkoituksesta olisi annettava selkeä selitys ennen sen keräämistä, ja se on saatava vain täysin oikeustoimikelpoisilta henkilöiltä.

Jokainen käsittelytarkoitus edellyttää erillistä suostumusta, ja organisaation on pidettävä tarkkaa kirjanpitoa, josta käy ilmi, milloin, miten ja mitä tarkoitusta varten suostumus on annettu.

Selkeä suostumus on saatava, kun käsitellään arkaluonteisia tai luottotietoja tai kun käytetään automaattista päätöksentekoa, jolla on oikeudellisia tai merkittäviä vaikutuksia yksilöihin.

Organisaation on säilytettävä ja kerättävä vain vähimmäismäärä henkilötietoja, jotka ovat tarpeen käsittelyn tarkoituksen saavuttamiseksi. Kunkin tietoelementin tarpeellisuus olisi määriteltävä asianmukaisin keinoin, kuten tietokartoituksella tai vastaavilla menetelmillä, joilla kukin kerätty tietoelementti liitetään selkeästi sen käsittelytarkoitukseen, jolloin varmistetaan tietojen minimoinnin periaatteen täysimääräinen noudattaminen.

Organisaation on otettava käyttöön tiukat menettelyt sellaisten viranomaisten antamien virallisten asiakirjojen hallinnoimiseksi, jotka sisältävät tunnistettavia henkilötietoja.

• Virallisia asiakirjoja (kuten henkilökortteja, passeja tai lisenssejä) ei saa valokuvata, kopioida tai monistaa, ellei laki sitä nimenomaisesti vaadi tai toimivaltainen viranomainen sitä pyydä.
• Jos tällaisten asiakirjojen kopiointi tai kerääminen on lain mukaan välttämätöntä, on toteutettava asianmukaiset suojatoimet luottamuksellisuuden, eheyden ja rajoitetun pääsyn varmistamiseksi.
• Näitä asiakirjoja saa käyttää vain siihen erityistarkoitukseen, jota varten ne on hankittu, ja ne on hävitettävä turvallisesti, kun kyseinen tarkoitus on täytetty, ellei lakisääteinen vaatimus edellytä niiden säilyttämistä.
• Kaikki kopiointi- tai säilyttämistapaukset on dokumentoitava asianmukaisesti, jotta voidaan osoittaa vaatimustenmukaisuus ja vastuuvelvollisuus.

Käsitellessään henkilötietoja yleisen edun mukaisen tarkoituksen saavuttamiseksi, joka poikkeaa alkuperäisestä keruutarkoituksesta, organisaation on varmistettava, että käsittely on tarpeellista, selkeästi määriteltyä ja sen oikeudellisen valtuutuksen mukaista. Henkilötietoja olisi kerättävä ja käsiteltävä vain vähimmäismäärä, ja asianmukaista hallinnollista ja teknistä valvontaa olisi toteutettava haittojen estämiseksi ja henkilöstön vaatimustenmukaisuuden varmistamiseksi. Kaikki asiaan liittyvät käsittely- ja luovutustoimenpiteet on dokumentoitava ja kirjattava organisaation tietojenkäsittelyrekistereihin.

Organisaation on laadittava ja ylläpidettävä dokumentoitua menettelyä henkilötietojen turvallista hävittämistä varten. Menettelyllä on varmistettava, että tiedot poistetaan nopeasti ja turvallisesti, kun:

• Niitä ei enää tarvita siihen tarkoitukseen, jota varten ne on kerätty, mukaan lukien terveystiedot, joita tarvitaan vain niin kauan kuin ne ovat merkityksellisiä annettavan hoidon kannalta.
• Käsittelyn jatkaminen olisi lainvastaista tai muutoin sääntöjen vastaista.
• Henkilö käyttää oikeuttaan tietojen poistamiseen tai peruuttaa suostumuksensa, eikä mikään muu laillinen peruste oikeuta käsittelyn jatkamista.
• Käyttölokit, joista käy ilmi, kuka on käyttänyt tai saanut tietoja, eivät ole enää tarpeen toiminnallisiin tai vastuullisiin tarkoituksiin.

Menettelyllä on varmistettava, että tiedot poistetaan, kun niiden säilyttäminen ei ole enää perusteltua, paitsi jos niiden säilyttämisen jatkaminen on lakisääteistä. Menettelyssä on myös määriteltävä vastuualueet, hyväksytyt poistomenetelmät ja dokumentaatio, jota tarvitaan asianmukaisen täytäntöönpanon ja noudattamisen osoittamiseksi.

Organisaation on ylläpidettävä dokumentoitua prosessia, jolla arvioidaan ja perustellaan oikeutetun edun käyttö henkilötietojen käsittelyn laillisena perusteena. Ennen käsittelyn aloittamista on suoritettava oikeutetun edun arviointi ja säilytettävä se todisteena vaatimustenmukaisuudesta.

• Määritellään ehdotettu käsittely, sen tarkoitus, kyseessä olevien tietojen tyyppi ja rekisteröityjen ryhmät.
• Vahvista, että tarkoitus on oikeutettu, tarpeellinen ja sovellettavien lakien mukainen.
• Arvioidaan, onko käsittely välttämätöntä aiotun tarkoituksen saavuttamiseksi ja oikeassa suhteessa organisaation tavoitteisiin nähden.
• Arvioidaan mahdollinen haitta tai vaikutus rekisteröidyille ja heidän mahdollisuutensa käyttää oikeuksiaan.
• Tunnistetaan ja toteutetaan toimenpiteitä riskien lieventämiseksi tai mahdollisten haittojen estämiseksi.

Käsittelyä voidaan jatkaa vain, jos arviointi vahvistaa, että se on laillista ja tarpeellista eikä loukkaa yksilöiden oikeuksia tai etuja. Jos arvioinnissa havaitaan, että sääntöjä ei noudateta, että on olemassa riskejä tai että siitä voi aiheutua haittaa, käsittelyä on muutettava, arvioitava uudelleen tai sen on perustuttava vaihtoehtoiseen lailliseen perusteeseen ennen sen jatkamista.

Organisaation on tehtävä ja dokumentoitava tietosuojaa koskeva vaikutustenarviointi (DPIA) ennen kuin se aloittaa käsittelyn, joka voi vaikuttaa yksilöiden yksityisyyteen tai tietosuojaan liittyviin oikeuksiin. Arvioinnissa on arvioitava käsittelyn luonne, laajuus, tarkoitus ja riskit sen varmistamiseksi, että henkilötietoja käsitellään laillisesti ja vastuullisesti.

Arvioinnissa on määriteltävä:

• Käsittelyn tarkoitus ja oikeusperusta.
• Henkilötietojen tyypit, lähteet ja laajuus, mukaan lukien aiotut luovutukset.
• käsittelyn konteksti, jossa määritellään rekisterinpitäjän, henkilötietojen käsittelijöiden ja rekisteröityjen väliset roolit ja suhteet.
• tarpeellisuuden ja oikeasuhteisuuden arviointi sen varmistamiseksi, että vain olennaisia tietoja käsitellään.
• Mahdolliset vaikutukset yksilöihin ja vahingon todennäköisyys.
• lieventämistoimenpiteet ja niiden tehokkuus.

Valmiit arvioinnit on tarkistettava, hyväksyttävä ja säilytettävä todisteena vaatimustenmukaisuudesta. Kun henkilötietojen käsittelijä suorittaa käsittelyä, hänelle on toimitettava kopio asiaankuuluvasta tietosuojaa koskevasta vaikutustenarvioinnista sen varmistamiseksi, että hän on tietoinen riskeistä ja vaadittavista suojatoimista.

Organisaation olisi luotava prosessi tietosuojaa koskevien vaikutustenarviointien (DPIA) suorittamiseksi uudelleen, kun alkuperäinen arviointi osoittaa, että käsittelytoimi vahingoittaa rekisteröityjen yksityisyyttä, ja noudatettava sitä. Prosessiin olisi kuuluttava havaitun haitan erityisten syiden tunnistaminen ja käsittely ennen uudelleenarvioinnin suorittamista.

Kun henkilötietoja käsitellään tieteellisiin, tutkimus- tai tilastollisiin tarkoituksiin ilman suostumusta, organisaation olisi toteutettava ja dokumentoitava erityiset suojatoimet. Näihin on sisällyttävä:

• Tarkoituksen selkeä määrittely käsittelytoimien kirjaamisessa.
• Tietojen minimointiperiaatteiden soveltaminen.
• Pseudonymisoinnin käyttäminen silloin, kun se ei estä tutkimustarkoitusta.
• Arvioidaan ja lievennetään mahdollisia kielteisiä vaikutuksia rekisteröityjen oikeuksiin ja etuihin.

Organisaation olisi luotava ja ylläpidettävä prosesseja ja teknisiä valmiuksia henkilötietojen turvallista ja oikea-aikaista poistamista varten kaikissa tuotteissaan, palveluissaan ja niihin liittyvissä järjestelmissään. Tähän sisältyy sen varmistaminen, että komponentit, laitteet, käyttöjärjestelmät, tallennustilat, integroidut järjestelmät, sovellukset ja liiketoimintaprosessit (mukaan lukien itsepalvelu-, integraatio-, pilvi- ja ulkoistetut prosessit) tarjoavat tarvittavat toiminnot henkilötietojen poistamiseksi tarvittaessa. Menettelyissä olisi määriteltävä, miten tiedot poistetaan, kuka on vastuussa ja miten poistaminen todennetaan.

Elintärkeiden tietoinfrastruktuurien ylläpitäjien on:

• Säilytettävä kaikki henkilötiedot ja tärkeät tiedot, jotka on kerätty tai tuotettu toiminnan aikana Kiinan kansantasavallan alueella.
• Jos rajatylittävät siirrot ovat välttämättömiä liiketoimintatarkoituksiin, suoritettava virallinen turvallisuusarviointi kansallisen kyberavaruushallinnon ja asianomaisten valtion viranomaisten asettamien toimenpiteiden mukaisesti.
• Noudatetaan sovellettavien lakien ja hallinnollisten määräysten mukaisia lisävelvoitteita, ja nämä säännökset ovat tarvittaessa etusijalla.

Organisaatiolla on oltava seuraamuksia yksityisyyden suojaa koskevia vaatimuksia rikkovia työntekijöitä vastaan, ja niitä on sovellettava, paitsi jos sovelletaan ilmiantajansuojaa.

Organisaation on dokumentoitava sovelletut seuraamukset.

Organisaation, jolla on useita suojattavia toimintoja, on noudatettava kunkin toimintonsa turvallisuusvaatimuksia.

Se voi kuitenkin käyttää tai luovuttaa suojattuja terveystietoja (PHI) vain suhteessa tiettyyn suoritettavaan toimintoon.

Organisaation on kohdeltava laillisesti valtuutettuja henkilökohtaisia edustajia täsmälleen samalla tavalla kuin yksilöä suojattuun terveystietoon liittyvissä asioissa, lukuun ottamatta tapauksia, joissa yksilölle voi aiheutua haittaa tai joissa se ei ole yksilön edun mukaista.

Poikkeustapausten arviot voidaan tehdä vain ammatillisen harkinnan perusteella.

Organisaation olisi dokumentoitava oikeusperusta ja erityiset lailliset tarkoitukset kaikille palveluissaan käsiteltäville henkilötiedoille. Asiakirjoista olisi käytävä selvästi ilmi sekä tietojen keräämisen että myöhempien henkilötietojen siirtojen laillisuus, ja niissä olisi varmistettava, että ne ovat sovellettavien tietosuojasäännösten mukaisia. Asiakirjojen olisi katettava kaikki olennaiset henkilötietojen osat ja virrat palvelussa.

Organisaatio on tunnistanut henkilötietojen käyttötarkoitukset, joissa käsittelyn oikeusperusteeksi vaaditaan nimenomainen suostumus. Lisäksi organisaatio on määritellyt tavat saatujen nimenomaisten suostumusten dokumentointiin.

Nimenomaisuudella viitataan sen tavan yksiselitteisyyteen, jolla rekisteröity ilmaisee suostumuksensa. Tällainen suostumus voidaan antaa esim. lausuman perinteisellä allekirjoituksella, sähköisellä allekirjoituksella tai kaksivaiheisen tunnistautumisen jälkeisellä kuittauksella.

Nimenomaista tunnistautumista vaativia tilanteita voivat olla mm.

• Erityisiä henkilötietoja (esim. terveystiedot) koskeva käsittely
• Tietojen siirtämien kolmansiin maihin (kun muita GDPR:n mukaisia siirtoperusteita ei voida noudattaa)
• Automaattinen päätöksenteko tai profilointi

Tarjottujen pilvipalveluiden sopimuksen perusteella käsiteltäviä henkilötietoja ei voida käsitellä mihinkään muuhun tarkoitukseen tai poiketen asiakkaan ohjeista.

Asiakkaan ohjeet tietojen käsittelijälle voivat sisältyä pilvipalvelun tarjoajan ja asiakkaan väliseen sopimukseen, joka sisältää esimerkiksi palvelun tarkoituksen ja todennäköisen aikataulun.

Sopimuksen nojalla käsiteltyjä henkilötietoja, esimerkiksi pilvipalvelua asiakkaille tarjottaessa, ei saa käyttää markkinointi- tai mainontatarkoituksiin ilman tietoja hallitsevan asiakkaan selkeää suostumusta.

Tätä suostumusta ei voi esimerkiksi vaatia tarjotun pilvipalvelun käytön edellytyksenä.

Tämä vaatimus on linjassa yleisten henkilötietojen käsittelyä koskevien vaatimusten kanssa, joissa kaikella henkilötietojen käsittelyllä on oltava selkeä oikeusperusta. Mahdolliset käsittelyt on dokumentoitava normaalisti.

Jokainen tietojärjestelmä voi luoda väliaikaisia tiedostoja normaalin toimintansa aikana. Näitä voivat olla esimerkiksi palautuspäiväkirjat tai päivityksiin liittyvät väliaikaiset tiedostot.

Organisaatiolla tulee olla dokumentoitu tietty ajanjakso ja prosessi, kuinka väliaikaiset tiedostot ja asiakirjat tulee tuhota. Organisaation tulisi myös määritellä menettelyt asiaankuuluvien tiedostojen tunnistamiseksi, jotka ovat väliaikaisia ja joita tietojärjestelmä ei enää käytä mihinkään toimintoon.

Henkilötietojen käsittelyyn käytettävissä tietojärjestelmissä tulee olla säännöllinen tarkistusprosessi käyttämättömien väliaikaisten tietojen tunnistamiseksi hävitettäväksi.

Organisaation on säännöllisesti katselmoitava läpi tapansa suostumusten keräämiseen rekisteröidyiltä, jotta varmistetaan suostumuksen olevan yksiselitteinen ja täsmällinen.

Organisaation tulisi varmistaa, että sopimusperusteisesti käsiteltyjä henkilötietoja ei käytetä markkinointiin tai mainostamiseen ellei siihen ole etukäteissuostumusta rekisteröidyltä.

Suostumusta markkinointiin ja mainostamiseen ei voi käyttää ehtona palvelun saamiselle.

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

Organisaation vastuulla on ilmoittaa asiakkaalle, jos käsittelyohjeet vaikuttavat rikkovan lakeja tai viranomaisvaatimuiksia.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

• tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
• luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
• sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
• vahingonkorvausoikeudelliset vanhentumisajat
• rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

• Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
• Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
• Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
• Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Organisaation tulisi tunnistaa rekisteröityjä koskevat lakisääteiset velvoitteet liittyen rekisteröityjä koskeviin päätöksiin, jotka perustuvat automatisoituun käsittelyyn (esim. automasoidusta päätöksenteosta ilmoittaminen rekisteröidylle) ja varmistaa näiden vaatimusten täyttyminen omassa toiminnassaan.

Tietotilinpäätös on organisaatoin laatima, melko ylätasoinen vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation henkilötietojen käsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Tietosuoja-asetus kannustaa ottamaan käyttöön erilaisia yleisiä käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä erityisesti Euroopan Unionin tasolla.

Näiden kaikkien ideana on osoittaa, että käsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja tietosuoja-asetuksen vaatimuksia. Euroopan tietosuojaneuvosto tulee kokoamaan kaikki saataville tulevat sertifiointimekanismit julkisesti nähtäville.

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Tiedostamme, liittyykö henkilötietojen käsittelyyn rikostuomioihin ja rikkomuksiin liittyviä tietoja.

Mikäli käsittelemme rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, suoritamme käsittelyä joko viranomaisen valvonnassa tai käsittelyn on oltava sallittu unionin oikeudessa / jäsenvaltion lainsäädännössä, jossa säädettyjen asianmukaisisten suojatoimien toteuttamisesta rekisteröidyn oikeuksien ja vapauksien suojelemiseksi huolehdimme.

Mikäli organisaatiomme tarjoaa tietoyhteiskunnan palveluja suoraan lapselle, henkilötietojen käsittely on lainmukaista toteuttaa suostumukseen perustuen, jos lapsi on vähintään 16-vuotias.

Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Organisaatiomme on määritellyt relevantit tilanteet sekä niihin sovellettavat toimintatavat, joilla varmistetaan suostumuksen kerääminen tarvittaessa lapsen vanhemmilta.

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.