Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä käsittely koskee

Organizations must keep records that show privacy notices were provided and published, including copies of the notices and any signed acknowledgments or documentation of efforts to obtain acknowledgment.

Organisaation olisi tunnistettava tilanteet, jotka edellyttävät suurempaa avoimuutta, kuten laajamittainen tai jatkuva tietojenkäsittely, seuranta, automatisoitu päätöksenteko tai sellaisten henkilöiden tietojen käsittely, joiden oikeustoimikelpoisuus on rajoitettu. Näissä tapauksissa yksilöille on tiedotettava selkeästi siitä, miten heidän henkilötietojaan ja arkaluonteisia tietojaan kerätään, mitä suojatoimenpiteitä sovelletaan ja käytetäänkö automatisoituja järjestelmiä heitä koskeviin päätöksiin. Näiden selitysten olisi oltava tiiviitä, selkeitä ja helposti ymmärrettäviä, jotta varmistetaan, että he ovat täysin tietoisia siitä, miten heidän tietojaan käytetään ja suojataan.

Organisaation olisi perustettava kanava, kuten suojattu verkkoportaali, jonka avulla rekisteröidyt voivat suoraan tutustua henkilötietoihinsa ilman virallista pyyntöä. Tähän kanavaan on sisällyttävä suojattu todentamisprosessi, jonka avulla käyttäjän henkilöllisyys voidaan todentaa ennen henkilötietojen näyttämistä.

Henkilötietojen käsittelystä on annettava rekisteröidylle sovellettavassa tietosuojakehyksessä määritellyt tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tämä tapahtuu usein tietosuojaselosteiden muodossa, jotka julkaistaan esimerkiksi organisaation verkkosivustolla.

Jos henkilötietoja ei ole kerätty rekisteröidyltä itseltään, kuvauksissa on perussisällön lisäksi mainittava:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä tiedot koskevat

Organisaation on annettava ja hallinnoitava yksilöllisiä tunnisteita kullekin henkilölle, jotta varmistetaan, että henkilötiedot pysyvät erillisinä eikä niitä voida sekoittaa toiseen henkilöön tai luovuttaa toiselle henkilölle. Tunnisteet eivät saa paljastaa henkilöllisyyttä suoraan, ja ne on suojattava luvattomalta käytöltä tai väärinkäytöltä.

Henkilötietojen käsittely on laillista vain silloin, kun sen tueksi on olemassa voimassa oleva, sovellettavan tietosuojakehyksen mukainen pätevä oikeusperusta. Organisaation on kyettävä ilmoittamaan rekisteröidylle ja tarvittaessa asianomaiselle valvontaviranomaiselle sekä käsittelyn tarkoitus että sitä vastaava oikeusperusta.

Asiakirjoihin on sisällyttävä vähintään seuraavat tiedot

• käsittelyn oikeusperusta ja kaikki tarvittavat lisätiedot
• osapuolet, joille käsittely on ulkoistettu.
• asiaan liittyvät tietokokonaisuudet

Organisaation on ylläpidettävä jäsenneltyä prosessia rekisteröityjen pyyntöjen vastaanottamiseksi ja niihin vastaamiseksi oikea-aikaisesti ja sääntöjenmukaisesti. Pyynnöt olisi käsiteltävä ilman aiheetonta viivytystä ja määritellyn vastausajan kuluessa. Jos pyyntöjen monimutkaisuuden tai useiden pyyntöjen vuoksi tarvitaan lisäaikaa, määräaikaa voidaan pidentää rajoitetusti edellyttäen, että pyynnön esittäjälle ilmoitetaan asiasta ja annetaan selkeä selitys viivästykselle.

Prosessia on tuettava asianmukaisilla hallinnollisilla ja teknisillä toimenpiteillä, joilla varmistetaan henkilöllisyyden tarkka todentaminen, henkilötietojen turvallinen käsittely sekä kaikkien pyyntöjen ja vastausten asianmukainen dokumentointi vaatimustenmukaisuuden osoittamiseksi.

The organization must establish a clear process for managing data protection requests and consents made by legal guardians on behalf of individuals who fully or partially lack legal capacity.

This process must ensure the following:

• Confirm the guardian’s identity and validate their legal authority through appropriate documentation or official proof before processing any request or consent.
• Ensure that all actions taken based on guardian consent do not cause harm or negatively affect the individual’s privacy, rights, or well-being.
• Require guardians to act solely in the best interests of the individual they represent when exercising rights or providing consent.
• Accept and act on guardian consents or requests only when consistent with applicable laws and data protection regulations.
• When the individual attains full legal capacity, enable them to independently exercise their data protection rights and manage or withdraw any previous consent given on their behalf.
• Record and maintain all verifications, consents, and actions to demonstrate compliance and accountability.

The organization must ensure that the collection and processing of credit data comply with legal and regulatory requirements of the relevant authorities. Appropriate organizational, technical, and administrative measures must be in place to protect credit data from unauthorized access, misuse, or disclosure.

When processing credit data based on consent, the organization must:

• Obtain explicit and informed consent from the data subject before processing or disclosing their credit data.
• Clearly separate the consent request from other terms to ensure transparency and understanding.
• Allow data subjects to withdraw consent easily and at any time, ensuring that withdrawal is as simple as giving consent.
• Notify data subjects promptly of any authorized request to disclose their credit data in line with the Credit Information Law and applicable regulations.

All consent records and disclosure notifications must be documented and reviewed to demonstrate compliance with the Credit Information Law and related supervisory requirements.

Organisaation on luotava ja ylläpidettävä selkeitä ja helppokäyttöisiä viestintäkanavia, jotta yksilöt voivat käyttää tietosuojaoikeuksiaan asiaankuuluvien tietosuojasäännösten mukaisesti. Näihin kanaviin olisi kuuluttava hyväksyttyjä menetelmiä, kuten sähköposti, tekstiviestit, viralliset valtion rekisteröimät osoitteet ja virallisesti tunnustetut sähköiset sovellukset.

Kaikissa kanavissa on varmistettava henkilöllisyyden asianmukainen todentaminen, turvallinen tiedonsiirto ja pyyntöjen johdonmukainen käsittely. Menettelyissä olisi määriteltävä, miten pyynnöt kirjataan, käsitellään ja niihin vastataan nopeasti sovellettavien lakien ja organisaation toimintatapojen mukaisesti.

Organisaation on määriteltävä ja dokumentoitava selkeät kriteerit sille, milloin rekisteröidyn pyyntö voidaan hylätä, esimerkiksi jos se on toistuva, ilmeisen perusteeton tai vaatii suhteettoman paljon työtä. Näillä kriteereillä varmistetaan johdonmukaiset ja perustellut päätökset, jotka perustuvat avoimiin sisäisiin ohjeisiin.

Jos pyyntö evätään, rekisteröidylle on viipymättä ilmoitettava päätöksestä, mukaan lukien epäämisen syy ja hänen oikeutensa riitauttaa päätös tai hakea siihen muutosta sovellettavan tietosuojalainsäädännön mukaisesti.

Organisaation olisi laadittava prosessi tilanteita varten, joissa se on tietoinen siitä, että rekisteröity on täysin tai osittain oikeustoimikelpoinen. Prosessissa olisi määriteltävä, miten vaaditut tiedot, kuten tietosuojailmoitukset, toimitetaan asianmukaisella ja ymmärrettävällä tavalla. Tämä voi tarkoittaa yksinkertaistetun kielen tai visuaalisten apuvälineiden käyttöä tai yhteydenpitoa suoraan henkilön laillisen huoltajan kanssa.

Organisaation on luotava selkeä ja johdonmukainen prosessi, jolla yksilöille tiedotetaan siitä, miten heidän henkilötietojaan kerätään ja käytetään. Ennen tietojen keräämistä tai keruun yhteydessä yksilöille olisi ilmoitettava kaikki olennaiset tiedot, rekisterinpitäjän tiedot, käsittelyn tarkoitus ja oikeusperusta, kuinka kauan tietoja säilytetään ja miten he voivat käyttää tai peruuttaa suostumuksensa käsittelyyn. Organisaation on myös selvitettävä, onko tietojen antaminen vapaaehtoista vai pakollista.

Menettelyssä on myös täsmennettävä, miten yksilöille tiedotetaan heidän mahdollisuudestaan peruuttaa suostumus ja sen seurauksista. Tapauksissa, joissa rekisteröidyllä on jo kyseiset tiedot tai tietojen luovuttaminen rikkoisi oikeudellisia rajoituksia, organisaatio voi perustellusti kieltäytyä ilmoittamasta niistä, mutta pitää kirjaa tästä päätöksestä vastuuvelvollisuutta varten.

When personal data is collected from sources other than the individual, including publicly available sources, the organization must ensure transparency, fairness, and lawful processing and disclosure.

• Inform the data subject within a reasonable time after collection, including the categories and sources of data.
• Ensure the processing or disclosure serves a specific, lawful purpose and is limited to the minimum data necessary.
• Take appropriate measures to protect the privacy and rights of all individuals.
• Confirm that any disclosure of publicly available data complies with applicable laws and does not breach data protection requirements.
• Notification is not required if the individual already has the information, disclosure is impractical or excessive, or processing occurs under legal, confidentiality, or public interest obligations.

The above conditions do not apply if the data subject already has the information, disclosure is impossible or disproportionate, the data is collected under legal or confidentiality obligations, or processed by a public authority for security, judicial, or public interest purposes.

The organisation must establish and follow a clear, compliant process for sending marketing or awareness materials to individuals, ensuring adherence to data protection and telecommunications laws.

• Before sending any direct marketing communications, obtain valid consent from the individual in accordance with applicable data protection regulations.
• Clearly identify the organisation as the sender in all marketing communications — anonymised or misleading identities are not permitted.
• Provide a simple, accessible opt-out mechanism that allows individuals to withdraw from receiving marketing messages at any time. The opt-out process must be as easy as the process for giving consent.
• Ensure that opt-out or withdrawal requests are honoured without undue delay and at no cost to the individual.
• Maintain verifiable records of each individual’s consent and any withdrawal of consent to demonstrate compliance.

The organization must establish a clear and documented process for receiving, assessing, and resolving complaints related to personal data handling or privacy violations.

• Complaints must be submitted through defined and easily accessible channels within 90 days of the incident or the date the individual became aware of it.
• Late submissions may be accepted when a valid reason for the delay is provided and documented.
• Each complaint must include essential details such as contact information, a description of the alleged violation, and supporting evidence.
• All complaints must be promptly reviewed and handled in a consistent, transparent, and fair manner.
• Every complaint should be logged in a dedicated register to ensure proper tracking, investigation, and resolution.
• The organization must coordinate with the competent authority as required, ensuring compliance with all applicable legal procedures and timelines.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla varmistetaan, että henkilötietojen käsittely lopetetaan ilman aiheetonta viivytystä sen jälkeen, kun rekisteröity peruuttaa suostumuksensa. Prosessissa olisi yksilöitävä toimenpiteet, joita tarvitaan käsittelyn lopettamiseksi kaikissa asiaankuuluvissa järjestelmissä ja palveluissa. On tärkeää huomata, että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tapahtuneen käsittelyn laillisuuteen.

The organization must maintain a clear process to verify and ensure the accuracy of personal data.

• Ensure that personal data is corrected when inaccurate, completed when incomplete, and updated when outdated.
• Suspend processing if inaccurate or incomplete information could cause harm to the data subject until verification and correction are complete.
• Establish internal procedures that define responsibilities, enable data subjects to request corrections, and include periodic reviews to maintain accuracy and timeliness.
• When verification requires proof, the organization may request necessary supporting documents or evidence from the data subject. Such materials must be used solely for verification purposes and securely destroyed once the process is complete.
• Notify any third parties or data subjects who previously received inaccurate data so they can update their records accordingly.

Organisaation on yksilöitävä ne erityiset tietueet, joihin hyväksytty muutos vaikuttaa, ja liitettävä korjaus tai linkitettävä se nimettyyn rekisterikokonaisuuteen sisältyvään PHI-tietueeseen.

Kun pääsy evätään (kokonaan tai osittain), on annettava ajoissa kirjallinen, selkokielinen epäämisilmoitus, jossa mainitaan epäämisen syy, oikeus uudelleentarkasteluun ja ohjeet valituksen tekemiseen. Jos pääsy suojattuihin terveystietoihin evätään osittain, on annettava pääsy kaikkiin muihin pyydettyihin suojattuihin terveystietoihin, joita ei ole evätty.

Organisaation on yksilöitävä ja toimitettava kaikki tiedot kaikista jäljitettävissä olevista yksilön suojattujen terveystietojen (PHI) luovutuksista, jotka on tehty pyyntöä edeltävien kuuden vuoden aikana, lukuun ottamatta luovutuksia, jotka on tehty hoitoa, maksua tai terveydenhuollon toimintoja varten; luovutuksia, jotka on tehty yksilölle tai valtuutuksella; luovutuksia laitoshakemistoja varten tai yksilön hoitoon osallistuville henkilöille; luovutuksia kansallista turvallisuutta tai tiedustelutarkoituksia varten tai tiettyjä lainvalvontaviranomaisten tai rangaistuslaitosten tekemiä luovutuksia.

Organisaation on varmistettava, että sen ryhmämuotoisen terveydenhuoltosuunnitelman (Group Health Plan) asiakirjoissa edellytetään, että suunnitelman järjestäjän on suojattava kaikki sähköiset suojatut terveystiedot (ePHI), joita se luo, vastaanottaa, ylläpitää tai siirtää. Näissä asiakirjoissa on määrättävä, että suunnitelman järjestäjän on:

• toteutettava asianmukaiset hallinnolliset, tekniset ja fyysiset suojatoimet ePHI:n luottamuksellisuuden, eheyden ja saatavuuden suojaamiseksi ottaen huomioon tietojen luonne ja niiden käyttöön tai luovuttamiseen liittyvät riskit;
• ylläpidettävä riittävää erillisyyttä ryhmäterveyssuunnitelman ja suunnitelman järjestäjän välillä estääkseen ei-valtuutettujen henkilöiden tai tahojen luvattoman pääsyn ePHI:hin;
• varmistettava, että kaikki edustajat tai alihankkijat, joille järjestäjä antaa pääsyn ePHI:hin, sitoutuvat toteuttamaan kohtuulliset ja asianmukaiset suojatoimet sen suojaamiseksi;
• ilmoitettava viipymättä ryhmäterveyssuunnitelmalle kaikista tiedossa olevista ePHI:tä koskevista tietoturvaloukkauksista.

Näiden suojatoimien on oltava riittävät estämään HIPAA-säännösten tahalliset tai tahattomat rikkomukset ja rajoittamaan ePHI:n tahattomia luovutuksia.

Organisaation on kuitattava ja käsiteltävä toiselta säännellyltä taholta saapunut muutosilmoitus. Päivitettävä määritelty rekisterikokonaisuus sisällyttämällä siihen muutos ilmoituksen tehneen säännellyn tahon ilmoittamalla tavalla.

Organisaation on annettava yksilöille mahdollisuus pyynnöstä tarkastaa suojattuja terveystietojaan (PHI) ja saada niistä jäljennökset.

Pyyntö on tarkasteltava uudelleen ja siitä on tehtävä päätös pyynnön myöntämisestä tai epäämisestä 30 kalenteripäivän kuluessa pyynnön vastaanottamisesta.

Käsittelee yksittäisen henkilön muutospyynnön ja tekee siitä päätöksen (hyväksyy tai hylkää) 60 päivän kuluessa sen vastaanottamisesta. Jos 60 päivän määräaikaa ei pystytä noudattamaan, annetaan henkilölle kirjallinen ilmoitus, jossa selitetään viivästyksen syy ja odotettu valmistumispäivä, ja määräaikaa pidennetään enintään 30 päivällä.

Organisaation on säilytettävä asiaankuuluvat asiakirjat, tallenteet ja vastuuhenkilöt sekä kirjattava niiden henkilöiden tai toimistojen viralliset nimikkeet (tarvittaessa), jotka vastaavat asiaankuuluvien asiakirjojen tai tallenteiden vastaanottamisesta ja käsittelystä.

Organisaation on pidettävä kirjaa suojattujen terveystietojen (PHI) luovutuksista. Tämä dokumentaatio toimii HIPAA-asetuksen edellyttämänä kirjallisena kirjanpitona kyseisenä ajanjaksona tehdyistä luovutuksista, mukaan lukien liikekumppaneiden tekemät luovutukset.

Asiakirjoihin on sisällyttävä:

• tietojen luovuttamisen päivämäärä
• vastaanottajan nimi ja osoite (jos tiedossa).
• lyhyt kuvaus luovutetuista tiedoista
• lyhyt selvitys luovutuksen tarkoituksesta (tai kopio kirjallisesta pyynnöstä).

Tapauksissa, joissa organisaatio on luovuttanut useita tietoja samalle vastaanottajalle samaa tarkoitusta varten, asiakirjoissa voidaan luetella ensimmäinen luovutus, luovutustiheys ja viimeisen luovutuspäivämäärä.

Organisaation on toimitettava henkilölle hyvissä ajoin kirjallinen epäämisilmoitus, jossa selitetään peruste, hänen oikeutensa esittää erimielisyysilmoitus ja valitusmenettely; tämän jälkeen alkuperäinen muutospyyntö ja epäämisilmoitus on yhdistettävä asianomaiseen PHI-tietoon.

Jos organisaatio harkitsee epäämistä, sen olisi annettava luvan saaneen terveydenhuollon ammattilaisen määrittää, vaarantaako pääsy suojattuihin terveystietoihin (PHI) todennäköisesti henkilön tai toisen henkilön hengen tai turvallisuuden taikka aiheuttaako se merkittävää haittaa kyseiselle henkilölle tai toiselle henkilölle. Jos ammattilainen tekee tällaisen määrityksen, yksilön pyyntö saada pääsy tietoihin evätään.

Jos henkilö esittää kirjallisen vastalauseen, se on liitettävä tietueeseen. Organisaation on laadittava halutessaan kirjallinen vastine (josta toimitetaan kopio henkilölle) ja liitettävä molemmat PHI-tietoihin. Kaikkien asianomaisten PHI-tietojen tulevien luovutusten osalta on liitettävä mukaan muutospyyntö, kieltäytyminen, vastalause (jos sellainen on) ja vastine (jos sellainen on) tai tiivistelmä näistä, erityisesti jos on olemassa vastalause tai jos yksilö on sitä pyytänyt, vaikka vastalausetta ei ole jätetty, ja varmistettava erillinen siirto, jos tavanomaiset tapahtumat eivät riitä.

Jos taholla ei ole hallussaan PHI-tietoja, mutta se tietää niiden sijainnin, ilmoita asiasta yksilölle; jos kieltäytymistä tarkastellaan, siirrä asia riippumattomalle terveydenhuollon ammattilaiselle ja noudata lopullista päätöstä.

Organisaatio saa käyttää tai luovuttaa tietoja vain Tietosuojailmoituksen (Notice of Privacy Practices, NPP) mukaisesti.

Olisi otettava käyttöön prosessi, jolla vastaanotetaan ja tarkastellaan yksilöllisiä pyyntöjä vaihtoehtoisista menetelmistä tai sijainneista luottamuksellisten tietojen vastaanottamiseen, pyritään kohtuullisesti vastaamaan näihin pyyntöihin sekä otetaan käyttöön menettely, jolla vaaditaan tarvittaessa kirjallisia pyyntöjä ja vaihtoehtoisia yhteystietoja.

Organisaation on ilmoitettava henkilölle, että hänen muutospyyntönsä on hyväksytty, ja varmistettava hänen suostumuksensa siihen, että muutoksesta tiedotetaan muille asianomaisille henkilöille tai yhteisöille. pyrittävä kohtuullisin keinoin ilmoittamaan asiasta viipymättä henkilöille, jotka henkilö on nimenomaisesti yksilöinyt, sekä muille henkilöille tai yhteisöille, joiden tiedetään saaneen alkuperäiset, muuttamattomat tiedot tai luottavan niihin.

Organisaation on pystyttävä luovuttamaan asianmukaiset tiedot henkilölle tämän pyynnöstä, ja organisaatiolla on oltava tätä varten määritellyt menettelyt.

Tietyissä tilanteissa säännelty taho voi luovuttaa suojattuja terveystietoja ilman yksilön suostumusta, kun lainvalvontaviranomaiset tai muut säädökset sitä edellyttävät.

Organisaation on määriteltävä kunkin pyynnön osalta, onko suojattu terveystieto (PHI) muuta kuin organisaation luomaa (ja onko sen laatija saatavilla), onko PHI muuta kuin osa määriteltyä rekisterikokonaisuutta, onko PHI muuta kuin tietoa, johon yksilöillä on oikeus tutustua, tai onko PHI jo nyt tarkka ja täydellinen. Arvioinnin perusteella joko tehdään pyydetty muutos PHI:hin tai annetaan yksilölle virallinen kirjallinen kieltäytymistodistus, jossa selitetään päätöksen perusteet ja yksilön muut oikeudet.

The organization should enable data subjects to request processing restrictions, evaluate these requests against defined conditions, and promptly communicate the decision (acceptance or refusal) back to the data subject. The policy must also:

• Document each agreed-upon restriction and the decision communication, maintaining records of the request, evaluation, and outcome.
• Adhere to restrictions in all circumstances, including emergencies, and inform emergency providers of any relevant limitations when feasible.
• Define the scope and conditions for terminating restrictions (e.g., written withdrawal by the data subject or applicability of another legal exception) and resume processing only as allowed.

Organisaation olisi hyväksyttävä yksilöiden pyynnöt muuttaa suojattuja terveystietojaan (PHI) ja arvioitava, ovatko kyseiset tiedot säännellyn tahon luomia, ovatko ne osa nimettyä rekisterikokonaisuutta ja kuuluvatko ne käyttöoikeuksien piiriin.

Jos pyydetään kirjallista muutospyyntöä perusteluineen, näistä vaatimuksista on ilmoitettava etukäteen.

Organisaation on laadittava selkeällä kielellä kirjoitettu tietosuojailmoitus (Notice of Privacy Practices, NPP), jossa yksilöille kerrotaan:

• Organisaation velvollisuus ylläpitää suojattujen terveystietojen (PHI) yksityisyyttä.
• Miten heidän suojattuja terveystietojaan (PHI) voidaan käyttää ja luovuttaa (esim. hoitoon, maksamiseen, terveydenhuollon toimintaan), muihin laillisesti sallittuihin käyttötarkoituksiin ja luovutuksiin tai luvanvaraiseen käyttöön.
• Heidän oikeutensa (saada pääsy suojattuihin terveystietoihin, rajoittaa näitä, muuttaa niitä ja saada niistä kopioita),
• Kielletyt luovutukset ja uudelleenluovutusriskit,
• Miten tietosuojavalituksia tehdään,
• Organisaation vapaaehtoiset lisärajoitukset, kunhan ne eivät häiritse vaadittuja tietojen luovutuksia tai terveys- tai turvallisuusuhkien vuoksi tarvittavia tietojen luovutuksia.

Tietosuojailmoitus on tarkistettava viipymättä ja jaettava uudelleen aina, kun yksityisyyden suojaa koskeviin käytäntöihin, yksilön oikeuksiin tai organisaation lakisääteisiin velvollisuuksiin tulee olennaisia muutoksia. Päivitetyn tietosuojailmoituksen on edelleen täytettävä kaikki selkeyttä ja sisältöä koskevat vaatimukset.

Organisaation on annettava yksityishenkilöille selkeä ja ytimekäs tietosuojailmoitus (NPP), jossa kerrotaan, miten heidän terveystietojaan voidaan käyttää tai jakaa, heidän oikeutensa näihin tietoihin sekä organisaation tietosuojakäytännöt ja vastuu tietojen suojaamisesta.

Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).

PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.

Organisaatio voi luovuttaa asiaankuuluvia suojattuja terveystietoja (PHI) potilaan perheenjäsenille, läheisille ystäville tai hoitajille, jotka osallistuvat potilaan hoitoon tai hoidon maksamiseen, edellyttäen, että potilas suostuu siihen tai ei vastusta sitä, kun hänelle annetaan siihen mahdollisuus. Tämä voi sisältää tietoja potilaan sijainnista, tilasta tai kuolemasta. Jos potilas on läsnä ja toimintakykyinen, suostumus voi olla nimenomainen, vastalauseen puuttumisen perusteella oletettu tai olosuhteista johdettu.

Tapauksissa, joissa potilas ei ole toimintakykyinen tai käytettävissä (esim. hätätilanteissa), palveluntarjoajat voivat käyttää ammatillista harkintaa päättäessään, onko tietojen luovuttaminen yksilön edun mukaista, ja rajoittaa tiedot siihen, mikä on suoraan merkityksellistä henkilön osallistumiselle potilaan hoitoon tai tilanteeseen. Potilaan kuoleman jälkeen tietoja voidaan luovuttaa henkilökohtaisille edustajille tai perheenjäsenille tiedossa olevien toivomusten mukaisesti; jos toivomuksia ei ole tiedossa, tietoja voidaan luovuttaa vain henkilöille, joilla on olemassa oleva suhde, ja vain siinä määrin kuin se on vainajan edun mukaista.

The organization must obtain a valid, plain-language written authorization from an individual before using or disclosing PHI for purposes not otherwise permitted by HIPAA, such as marketing, most research, or sharing with third parties. The authorization must clearly identify the disclosing covered entity and each recipient, and the individual must receive a copy of the signed authorization.

The authorization must contain these core elements:

• A description of the information to be used or disclosed
• The purpose of the use or disclosure
• The name (or other specific identification) of each disclosure recipient
• The name of the covered entity disclosing the information
• An expiration date or event
• The individual’s signature and date

It must also inform individuals of their right to revoke the authorization in writing at any time, and state that revocation will not affect actions taken in reliance on the authorization before receipt of the revocation.

Organisaatio varmistaa, että kaikille potilaille, joihin sillä on suora hoitosuhde, annetaan ilmoitus yksityisyyden suojasta heti palvelun tarjoamisen yhteydessä. Hätätilanteissa ilmoitus toimitetaan niin pian kuin se on kohtuudella mahdollista hätätilanteen hoidon jälkeen.

Organisaation on pyrittävä vilpittömässä mielessä saamaan potilaalta kirjallinen vastaanottoilmoitus. Yksityisyyden suojaa koskevan ilmoituksen (NPP) on oltava fyysisessä muodossa saatavilla jokaisessa palvelun toimituspaikassa ja näkyvästi esillä julkisella alueella.

Organisaatioiden, jotka ylläpitävät verkkosivustoa, jossa annetaan tietoa niiden palveluista tai etuuksista, on julkaistava tietosuojailmoitus näkyvästi verkkosivustolla ja asetettava se saataville sähköisesti verkkosivuston kautta.

Jos organisaatio päättää toimittaa ilmoituksen sähköisesti sähköpostitse, sen on ensin saatava henkilöltä suostumus sähköisen ilmoituksen vastaanottamiseen. Jos sähköpostin toimittaminen ei onnistu, organisaation on toimitettava ilmoitus paperiversiona. Kaikilla henkilöillä on oikeus pyytää ja saada paperiversio ilmoituksesta milloin tahansa.

Organisaatio on luonut ja viestinyt rekisteröidyille prosessin, jonka kautta he voivat ilmoittaa tietosuojaan liittyvistä kysymyksistä, valituksista tai kiista-asioista.

Organisaatiolla on toimintasäännöt tähän kanavaan saapuvien asioiden käsittelyyn, ratkaisemiseen sekä viestintään. Esille nousevat validit asiat voidaan käsitellä esimerkiksi yleisen poikkeamien hallintaprosessin kautta.

Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.

Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.

Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.

Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.

Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.

Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.

Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.

Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.

Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.

Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.

The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.

Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi tietopyyntöjä lähettää
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

• käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
• rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
• henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen poistamista
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan

Organisaatio on määritellyt tavat, joilla rekisteröidyn ymmärrys hänen antamansa suostumuksen vaikutuksista varmistetaan.

Rekisteröidylle kommunikoidaan selvästi vähintään seuraavat näkökulmat:

• Mitä vaikutuksia hänen antamallaan suostumuksella on?
• Mitä vaikutuksia on suostumuksesta kieltäytymisellä tai sen myöhemmällä perumisella?

Organisaatio on määritellyt selkeät toimintatavat, joita se noudattaa rekisteröityjen informoimisessa tietosuojapyyntöjen (esim. oikeus tietoihin pääsyyn tai korjaamiseen) toteuttamisesta kieltäytyessä. Rekisteröidyille on näissä tilanteissa selkeästi viestittävä syyt, joiden perusteella pyynnön toteuttamisesta kieltäydyttiin.

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).

Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:

• henkilötietoja käsitellään automaattisesti
• henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
• henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
• kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen siirtoa
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• muodot, jossa tiedot toimitetaan rekisteröidylle
• tavat, joilla rekisteröityä tiedotetaan

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

• Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
• Henkilötietoryhmät
• Tietojen sijainnin
• Tietoja käsittelevät kumppanit