Organisaation on varmistettava, että asiakkaiden asettamat sopimusvelvoitteet välitetään käytetyille alihankkijoille ja muille yhteistyökumppaneille.

Kumppaniorganisaatioiden asetettujen velvoitteiden noudattaminen on tarkistettava säännöllisesti. Jokaisella kumppanilla on oltava nimetty yhteyshenkilö, ja tarvittavien yhteystietojen on oltava ajan tasalla.

Organisaatiomme on määritellyt, tuleeko tietosuojavastaava nimittää, ja tarvittaessa tehnyt nimityksen.

Tietosuojavastaava on nimitettävä, jos:

• organisaatio käsittelee laajamittaisesti arkaluontoisia tietoja
• organisaatio seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
• organisaatio on julkishallinnon toimija

Nimittämisen lisäksi oleellista on säännöllisesti arvioida, toimiiko tietosuojavastaava tietosuoja-asetuksen määräämässä asemassa ja toteuttaen asetuksen määräämiä tehtäviä.

The organization must designate a Personal Data Protection Officer (PDPO) responsible for overseeing the effective implementation of data protection policies, compliance with regulatory requirements, and management of personal data practices across the organization.

The PDPO’s responsibilities should include:

• Acting as the primary liaison with the competent authority and ensuring timely communication and implementation of official directives.
• Supervising internal reviews, audits, and impact assessments related to data protection, maintaining proper documentation, and issuing recommendations for improvement.
• Coordinating responses to data subject requests and ensuring their rights can be exercised effectively and without undue delay.
• Managing the notification process for personal data breaches, including communication with authorities and affected individuals where required.
• Overseeing the maintenance and accuracy of records of processing activities and ensuring they remain up to date.
• Identifying, reporting, and following up on data protection violations to ensure corrective actions are taken.

The PDPO must have sufficient authority, independence, and access to necessary resources to perform these duties effectively, ensuring accountability and continuous compliance across the organization.

The organization must maintain written, accurate, and up-to-date records of all personal data processing activities. These records must be retained for the entire duration of the processing and for at least five years after completion. Records should be securely stored and organized to allow prompt access when requested by the competent authority.

Each record must include, at a minimum:

• The controller’s name, contact details, and where applicable, the data protection officer’s information.
• The specific purposes for which personal data is processed.
• Descriptions of the categories of personal data and data subjects involved.
• Retention periods defined for each data category, where possible.
• Categories of recipients or third parties to whom data is disclosed.
• Details of any personal data transfers outside the state, including their legal basis and intended recipients.
• A description of the organizational, administrative and technical measures implemented to protect personal data.

The organization must ensure that these records remain accurate, regularly reviewed, and readily available to demonstrate compliance with data protection requirements.

HIPAA:n mukaan säännelty taho voi milloin tahansa tarkistaa mitä tahansa käytäntöä tai menettelyä, joka ei vaikuta olennaisesti Tietosuojakäytäntöilmoitukseen. Pysyäkseen kuitenkin vaatimustenmukaisena: Tarkistetun politiikan tai menettelyn on edelleen täytettävä kaikki HIPAA-standardit, -vaatimukset ja täytäntöönpanomäärittelyt. Muutokset on dokumentoitava täydellisesti ennen niiden voimaantuloa HIPAA:n dokumentointivaatimusten mukaisesti. Tämä säännös antaa joustavuutta sisäisten käytäntöjen päivittämiseen, mutta samalla säilytetään vaatimustenmukaisuus ja vastuuvelvollisuus.

Kun suojattuun terveystietoon (PHI) liittyvä yksityisyyden suojan loukkaus tapahtuu joko organisaation tai sen liikekumppanin toimesta, organisaation on ryhdyttävä pikaisesti toimiin tiedossa olevien haitallisten vaikutusten vähentämiseksi niin paljon kuin kohtuudella on mahdollista. Tähän kuuluu tapauksen tutkiminen, vaikutusten ymmärtäminen asianomaisiin henkilöihin kohdistuvien vaikutusten osalta ja toimenpiteiden toteuttaminen vahinkojen minimoimiseksi.

Organisaation on ylläpidettävä ajan tasalla olevia politiikoita ja menettelyjä, jotta se pysyy sovellettavien lakien ja tietosuojavaatimusten mukaisena. Tähän sisältyy:

• Toimintatapojen ja menettelyjen tarkistaminen ja toteuttaminen viipymättä lakien ja asetusten muutosten huomioon ottamiseksi.
• Tietosuojailmoituksen päivittäminen, kun tietosuojakäytännöt muuttuvat, ja kaikkien sovellettavien standardien ja täytäntöönpanovaatimusten noudattamisen varmistaminen.
• Varaamalla ilmoituksessa oikeus soveltaa yksityisyyden suojaa koskevien käytäntöjen muutoksia takautuvasti olemassa oleviin suojattuihin terveystietoihin (PHI), jos se on mahdollista.
• dokumentoidaan kaikki muutokset ja varmistetaan, että uusia käytäntöjä ei panna täytäntöön ennen kuin tarkistettu ilmoitus tulee voimaan.

Jos lainvalvontaviranomaiset pyytävät sinua lykkäämään vaadittujen tietoturvaloukkausten ilmoittamista tutkinnan tai kansallisen turvallisuuden suojaamiseksi:

• Kirjaa turvallisesti ylös viranomaisen lausunto (merkitse, onko se suullinen vai kirjallinen), hänen henkilöllisyytensä ja sovittu viivästysaika. Ota huomioon sovellettavien säännösten mukaiset suullisia pyyntöjä koskevat määräajat (esim. HIPAA:n alkuperäinen 30 päivän määräaika, ellei kirjallista jatkoaikaa ole myönnetty).
• Viivytä ilmoitusten lähettämistä määrätyn ajan ja dokumentoi tämä.
• Lähetä kaikki vaaditut ilmoitukset, kun sallittu viivästysaika päättyy tai kun sitä on pidennetty viranomaisen ohjeiden mukaisesti.

Kun tietoturvaloukkaus tapahtuu (esimerkiksi suojattujen terveystietojen (PHI) luvaton pääsy, käyttö tai luovutus), organisaation on nopeasti tunnistettava mahdollisesti aiheutuneet haitat. Organisaation tulee havaita ja raportoida tietoturvaloukkaus mahdollisimman pian, sillä varhainen tunnistaminen on avainasemassa. Mitä nopeammin organisaatio saa tiedon haitasta, sitä paremmin se voi reagoida ja vähentää vaikutuksia.

Ennen suojattujen terveystietojen (PHI) luovuttamista säänneltyjen tahojen on tarkistettava tietoja pyytävän henkilön tai organisaation henkilöllisyys ja valtuudet. Tähän kuuluu henkilöllisyyden, laillisten asiakirjojen tai virallisen aseman tarkistaminen erityisesti silloin, kun kyseessä on ei-rutiininomainen tai arkaluonteinen luovutus.

Dokumentoi kaikki vastaanotetut yksityisyyden suojaa koskevat valitukset, mukaan lukien kunkin valituksen yksityiskohdat, valituksen tutkimiseksi toteutetut toimet, havainnot sekä lopullinen ratkaisu tai käsittely.

Osoita myös prosessi, jonka avulla yksilöt voivat tehdä valituksia.

Organisaatiolla on oltava menettely, jolla käsitellään rekisterinpitäjältä tulevia henkilötietojen käsittelyä koskevia ohjeita. Menettelyllä on varmistettava:

• Vastaanotetut ohjeet dokumentoidaan
• Ohjeet pannaan täytäntöön ja täytäntöönpanoa ylläpidetään
• Tiedot erotellaan asiakkaittain, projekteittain tai muulla erityisellä tavalla ryhmiteltyinä.

Organisaation olisi määritettävä henkilötietojen käsittelyyn liittyvät vastuut ja roolit selkeästi yhteisrekisterinpitäjien kanssa. Määrittelyyn on sisällyttävä vaatimukset liittyen henkilötietojen suojaamiseen ja käsittelyn turvallisuuteen.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

Organisaatio määrittelee käsittelemiensä henkilötietojen osalta, toimiiko organisaatio rekisterinpitäjänä, yhteisrekisterinpitäjänä vai henkilötietojen käsittelijänä.

Digiturvamallissa tietovarannot, joiden osalta organisaatio toimii rekisterinpitäjänä, dokumentoidaan Tietovarannot-listaan. Ulkoiset tietovarannot -listassa on tarkoitus dokumentoida tietovarannot, joiden osalta organisaatio toimii itse henkilötietojen käsittelijänä.

Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia tai rikostuomioihin ja rikoksiin liittyviä henkilötietoja organisaatio toteuttaa asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.

Näitä erityisiä toimenpiteitä voivat olla mm.:

• käsittelyn tarkempi lokitus
• erityisiä henkilötietoja käsittelevän henkilöstön tarkempi ohjeistaminen
• tarkempi pääsynhallinta liittyviin henkilötietoihin
• henkilötietojen pseudonymisointi liittyvissä käsittelytoimissa
• henkilötietojen salaus liittyvissä käsittelytoimissa
• käsittelyyn liittyvien järjestelmien tietoturvatarkistukset
• tietosuojan vaikutustenarvioinnin toteuttaminen
• muut tietojen turvallisuutta parantavat toimenpiteet

Organisaation on kuultava relevanttia tietosuojaviranomaista ennen henkilötietojen käsittelyn aloittamista, kun vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.

Tietosuojaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

Pilvipalvelut eivät välttämättä aina poista kaikkia käyttäjien poistamia tietoja esim. suorituskykyongelmien vuoksi.

Organisaatiolla tulee olla käytössä teknisiä toimenpiteitä sen varmistamiseksi, että aina kun asiakkaalle osoitetaan tallennustilaa, kyseisellä tallennustilalla aiemmin olleet tiedot eivät näy uudelle asiakkaalle.

Kun henkilötietoja siirretään verkon kautta, organisaatiolla on oltava asianmukaiset valvontatoimenpiteet sen varmistamiseksi, että tiedot saapuvat aiottuun määränpäähänsä.

Organisaation on määriteltävä, miten tehdään säännöllistä henkilötietojen käytön seurantaa (esim. tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt) ja miten toimitaan, jos väärinkäytöksiä ilmenee.

Organisaation on julkistettava tietosuojavastaavan yhteystiedot (esim. organisaation verkkosivulla) ja ilmoitettava ne valvontaviranomaiselle.

Henkilötietoja käsitteleviltä kumppaneilta kerätään tietosuojasitoumukset, joiden kautta he vakuuttavat henkilötietojen oikeaoppista käsittelyä. Nämä sitoumukset voivat olla osa henkilötietojen käsittelystä tehtävää sopimusta.

Organisaatio on itse lisäksi määritellyt toimintatavat näiden sitoumusten valvontaan kumppanien osalta sekä tarvittaviin toimenpiteisiin ryhtymiseen.

Tietosuoja-asetusta sovelletaan EU:ssa olevia rekisteröityjä koskevien henkilötietojen käsittelyyn, jota suorittava organisaatio ei ole sijoittautunut EU:n alueelle, jos käsittely liittyy

• tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa riippumatta siitä, edellytetäänkö rekisteröidyltä maksua; tai
• näiden rekisteröityjen käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa

Näissä tapauksissa organisaation on nimettävä kirjallisesti edustaja unionin aluetta varten, mikäli henkilötietojen käsittely ei ole satunnaista.

Edustajan on oltava sijoittautunut johonkin jäsenvaltioista, joissa ovat ne rekisteröidyt, joiden henkilötietoja käsitellään. Edustajalle on annettava toimivaltuudet siihen, että erityisesti valvontaviranomaiset ja rekisteröidyt ottavat edustajaan yhteyttä kaikissa kysymyksissä, jotka liittyvät henkilötietojen käsittelyyn.