Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

• käsittelyn oikeusperuste sekä tarvittavat lisätiedot
• tahot, joille käsittelyä on ulkoistettu
• liittyvät tietoaineistot

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.

Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:

• organisaatiossa on yli 250 työntekijää
• henkilötietojen käsittely ei ole satunnaista
• henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille
• käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja

Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.

Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

• Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
• Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
• Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
• Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

• tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
• luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
• sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
• vahingonkorvausoikeudelliset vanhentumisajat
• rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

Organisaation vastuulla on ilmoittaa asiakkaalle, jos käsittelyohjeet vaikuttavat rikkovan lakeja tai viranomaisvaatimuiksia.

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

Organisaation tulisi varmistaa, että sopimusperusteisesti käsiteltyjä henkilötietoja ei käytetä markkinointiin tai mainostamiseen ellei siihen ole etukäteissuostumusta rekisteröidyltä.

Suostumusta markkinointiin ja mainostamiseen ei voi käyttää ehtona palvelun saamiselle.

Organisaation on säännöllisesti katselmoitava läpi tapansa suostumusten keräämiseen rekisteröidyiltä, jotta varmistetaan suostumuksen olevan yksiselitteinen ja täsmällinen.

Jokainen tietojärjestelmä voi luoda väliaikaisia tiedostoja normaalin toimintansa aikana. Näitä voivat olla esimerkiksi palautuspäiväkirjat tai päivityksiin liittyvät väliaikaiset tiedostot.

Organisaatiolla tulee olla dokumentoitu tietty ajanjakso ja prosessi, kuinka väliaikaiset tiedostot ja asiakirjat tulee tuhota. Organisaation tulisi myös määritellä menettelyt asiaankuuluvien tiedostojen tunnistamiseksi, jotka ovat väliaikaisia ja joita tietojärjestelmä ei enää käytä mihinkään toimintoon.

Henkilötietojen käsittelyyn käytettävissä tietojärjestelmissä tulee olla säännöllinen tarkistusprosessi käyttämättömien väliaikaisten tietojen tunnistamiseksi hävitettäväksi.

Sopimuksen nojalla käsiteltyjä henkilötietoja, esimerkiksi pilvipalvelua asiakkaille tarjottaessa, ei saa käyttää markkinointi- tai mainontatarkoituksiin ilman tietoja hallitsevan asiakkaan selkeää suostumusta.

Tätä suostumusta ei voi esimerkiksi vaatia tarjotun pilvipalvelun käytön edellytyksenä.

Tämä vaatimus on linjassa yleisten henkilötietojen käsittelyä koskevien vaatimusten kanssa, joissa kaikella henkilötietojen käsittelyllä on oltava selkeä oikeusperusta. Mahdolliset käsittelyt on dokumentoitava normaalisti.

Tarjottujen pilvipalveluiden sopimuksen perusteella käsiteltäviä henkilötietoja ei voida käsitellä mihinkään muuhun tarkoitukseen tai poiketen asiakkaan ohjeista.

Asiakkaan ohjeet tietojen käsittelijälle voivat sisältyä pilvipalvelun tarjoajan ja asiakkaan väliseen sopimukseen, joka sisältää esimerkiksi palvelun tarkoituksen ja todennäköisen aikataulun.

Organisaatio on tunnistanut henkilötietojen käyttötarkoitukset, joissa käsittelyn oikeusperusteeksi vaaditaan nimenomainen suostumus. Lisäksi organisaatio on määritellyt tavat saatujen nimenomaisten suostumusten dokumentointiin.

Nimenomaisuudella viitataan sen tavan yksiselitteisyyteen, jolla rekisteröity ilmaisee suostumuksensa. Tällainen suostumus voidaan antaa esim. lausuman perinteisellä allekirjoituksella, sähköisellä allekirjoituksella tai kaksivaiheisen tunnistautumisen jälkeisellä kuittauksella.

Nimenomaista tunnistautumista vaativia tilanteita voivat olla mm. 

• Erityisiä henkilötietoja (esim. terveystiedot) koskeva käsittely
• Tietojen siirtämien kolmansiin maihin (kun muita GDPR:n mukaisia siirtoperusteita ei voida noudattaa)
• Automaattinen päätöksenteko tai profilointi

Mikäli organisaatiomme tarjoaa tietoyhteiskunnan palveluja suoraan lapselle, henkilötietojen käsittely on lainmukaista toteuttaa suostumukseen perustuen, jos lapsi on vähintään 16-vuotias.

Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Organisaatiomme on määritellyt relevantit tilanteet sekä niihin sovellettavat toimintatavat, joilla varmistetaan suostumuksen kerääminen tarvittaessa lapsen vanhemmilta.

Tiedostamme, liittyykö henkilötietojen käsittelyyn rikostuomioihin ja rikkomuksiin liittyviä tietoja.

Mikäli käsittelemme rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, suoritamme käsittelyä joko viranomaisen valvonnassa tai käsittelyn on oltava sallittu unionin oikeudessa / jäsenvaltion lainsäädännössä, jossa säädettyjen asianmukaisisten suojatoimien toteuttamisesta rekisteröidyn oikeuksien ja vapauksien suojelemiseksi huolehdimme.

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Tietosuoja-asetus kannustaa ottamaan käyttöön erilaisia yleisiä käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä erityisesti Euroopan Unionin tasolla.

Näiden kaikkien ideana on osoittaa, että käsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja tietosuoja-asetuksen vaatimuksia. Euroopan tietosuojaneuvosto tulee kokoamaan kaikki saataville tulevat sertifiointimekanismit julkisesti nähtäville.

Tietotilinpäätös on organisaatoin laatima, melko ylätasoinen vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation henkilötietojen käsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Organisaation tulisi tunnistaa rekisteröityjä koskevat lakisääteiset velvoitteet liittyen rekisteröityjä koskeviin päätöksiin, jotka perustuvat automatisoituun käsittelyyn (esim. automasoidusta päätöksenteosta ilmoittaminen rekisteröidylle) ja varmistaa näiden vaatimusten täyttyminen omassa toiminnassaan.

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.