.png)
Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.
Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:
Organisaation olisi tunnistettava tilanteet, jotka edellyttävät suurempaa avoimuutta, kuten laajamittainen tai jatkuva tietojenkäsittely, seuranta, automatisoitu päätöksenteko tai sellaisten henkilöiden tietojen käsittely, joiden oikeustoimikelpoisuus on rajoitettu. Näissä tapauksissa yksilöille on tiedotettava selkeästi siitä, miten heidän henkilötietojaan ja arkaluonteisia tietojaan kerätään, mitä suojatoimenpiteitä sovelletaan ja käytetäänkö automatisoituja järjestelmiä heitä koskeviin päätöksiin. Näiden selitysten olisi oltava tiiviitä, selkeitä ja helposti ymmärrettäviä, jotta varmistetaan, että he ovat täysin tietoisia siitä, miten heidän tietojaan käytetään ja suojataan.
Organisaation olisi perustettava kanava, kuten suojattu verkkoportaali, jonka avulla rekisteröidyt voivat suoraan tutustua henkilötietoihinsa ilman virallista pyyntöä. Tähän kanavaan on sisällyttävä suojattu todentamisprosessi, jonka avulla käyttäjän henkilöllisyys voidaan todentaa ennen henkilötietojen näyttämistä.
Henkilötietojen käsittelystä on annettava rekisteröidylle sovellettavassa tietosuojakehyksessä määritellyt tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tämä tapahtuu usein tietosuojaselosteiden muodossa, jotka julkaistaan esimerkiksi organisaation verkkosivustolla.
Jos henkilötietoja ei ole kerätty rekisteröidyltä itseltään, kuvauksissa on perussisällön lisäksi mainittava:
Organisaation on annettava ja hallinnoitava yksilöllisiä tunnisteita kullekin henkilölle, jotta varmistetaan, että henkilötiedot pysyvät erillisinä eikä niitä voida sekoittaa toiseen henkilöön tai luovuttaa toiselle henkilölle. Tunnisteet eivät saa paljastaa henkilöllisyyttä suoraan, ja ne on suojattava luvattomalta käytöltä tai väärinkäytöltä.
Processing of personal data is only lawful when supported by a valid legal basis established under the applicable data protection framework. The organization must be able to communicate both the purpose of the processing and the corresponding legal basis to the data subject and, where required, to the relevant supervisory authority.
The documentation shall include at least:
The organization must maintain a structured process for receiving and responding to data subject requests in a timely and compliant manner. Requests should be handled without undue delay and within the defined response period. Where additional time is required due to complexity or multiple requests, a limited extension may be applied, provided the requester is informed and given a clear explanation for the delay.
Appropriate administrative and technical measures must support the process, ensuring accurate identity verification, secure handling of personal data, and proper documentation of all requests and responses to demonstrate compliance.
The organization must establish a clear process for managing data protection requests and consents made by legal guardians on behalf of individuals who fully or partially lack legal capacity.
This process must ensure the following:
The organization must ensure that the collection and processing of credit data comply with legal and regulatory requirements of the relevant authorities. Appropriate organizational, technical, and administrative measures must be in place to protect credit data from unauthorized access, misuse, or disclosure.
When processing credit data based on consent, the organization must:
All consent records and disclosure notifications must be documented and reviewed to demonstrate compliance with the Credit Information Law and related supervisory requirements.
The organization must establish and maintain clear, accessible communication channels to enable individuals to exercise their data protection rights in compliance with relevant data protection regulations. These channels should include approved methods such as email, text messages, official government-registered addresses and officially recognized electronic applications.
All channels must ensure proper identity verification, secure transmission of information, and consistent handling of requests. Procedures should define how requests are logged, processed, and responded to promptly in compliance with applicable laws and organizational policies.
The organization must define and document clear criteria for when a data subject’s request may be refused, such as when it is repetitive, manifestly unfounded, or involves disproportionate effort. These criteria ensure consistent and justifiable decisions based on transparent internal guidelines.
Whenever a request is refused, the data subject must be promptly informed of the decision, including the reason for refusal and their right to challenge or appeal it in accordance with applicable data protection laws.
Organisaation olisi laadittava prosessi tilanteita varten, joissa se on tietoinen siitä, että rekisteröity on täysin tai osittain oikeustoimikelpoinen. Prosessissa olisi määriteltävä, miten vaaditut tiedot, kuten tietosuojailmoitukset, toimitetaan asianmukaisella ja ymmärrettävällä tavalla. Tämä voi tarkoittaa yksinkertaistetun kielen tai visuaalisten apuvälineiden käyttöä tai yhteydenpitoa suoraan henkilön laillisen huoltajan kanssa.
The organization must establish a clear and consistent process to inform individuals about how their personal data is collected and used. Before or at the time of collection, individuals should be provided with all essential details, the controller's detail, the purpose and legal basis of processing, how long the data will be retained, and how they can exercise or withdraw consent for processing. The organization must also clarify whether providing data is optional or mandatory.
The procedure must also specify how individuals are informed of their ability to withdraw consent and the implications of doing so. In cases where the data subject already possesses this information or disclosure would breach legal restrictions, the organization may justifiably withhold notification while maintaining a record of that decision for accountability.
When personal data is collected from sources other than the individual, including publicly available sources, the organization must ensure transparency, fairness, and lawful processing and disclosure.
The above conditions do not apply if the data subject already has the information, disclosure is impossible or disproportionate, the data is collected under legal or confidentiality obligations, or processed by a public authority for security, judicial, or public interest purposes.
The organisation must establish and follow a clear, compliant process for sending marketing or awareness materials to individuals, ensuring adherence to data protection and telecommunications laws.
The organization must establish a clear and documented process for receiving, assessing, and resolving complaints related to personal data handling or privacy violations.
Organisaation olisi laadittava ja dokumentoitava prosessi, jolla varmistetaan, että henkilötietojen käsittely lopetetaan ilman aiheetonta viivytystä sen jälkeen, kun rekisteröity peruuttaa suostumuksensa. Prosessissa olisi yksilöitävä toimenpiteet, joita tarvitaan käsittelyn lopettamiseksi kaikissa asiaankuuluvissa järjestelmissä ja palveluissa. On tärkeää huomata, että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tapahtuneen käsittelyn laillisuuteen.
The organization must maintain a clear process to verify and ensure the accuracy of personal data.
Organisaation on yksilöitävä ne erityiset tietueet, joihin hyväksytty muutos vaikuttaa, ja liitettävä korjaus tai linkitettävä se nimettyyn rekisterikokonaisuuteen sisältyvään PHI-tietueeseen.
Kun pääsy evätään (kokonaan tai osittain), on annettava ajoissa kirjallinen, selkokielinen epäämisilmoitus, jossa mainitaan epäämisen syy, oikeus uudelleentarkasteluun ja ohjeet valituksen tekemiseen. Jos pääsy suojattuihin terveystietoihin evätään osittain, on annettava pääsy kaikkiin muihin pyydettyihin suojattuihin terveystietoihin, joita ei ole evätty.
Organisaation on yksilöitävä ja toimitettava kaikki tiedot kaikista jäljitettävissä olevista yksilön suojattujen terveystietojen (PHI) luovutuksista, jotka on tehty pyyntöä edeltävien kuuden vuoden aikana, lukuun ottamatta luovutuksia, jotka on tehty hoitoa, maksua tai terveydenhuollon toimintoja varten; luovutuksia, jotka on tehty yksilölle tai valtuutuksella; luovutuksia laitoshakemistoja varten tai yksilön hoitoon osallistuville henkilöille; luovutuksia kansallista turvallisuutta tai tiedustelutarkoituksia varten tai tiettyjä lainvalvontaviranomaisten tai rangaistuslaitosten tekemiä luovutuksia.
Organisaation on varmistettava, että sen ryhmämuotoisen terveydenhuoltosuunnitelman (Group Health Plan) asiakirjoissa edellytetään, että suunnitelman järjestäjän on suojattava kaikki sähköiset suojatut terveystiedot (ePHI), joita se luo, vastaanottaa, ylläpitää tai siirtää. Näissä asiakirjoissa on määrättävä, että suunnitelman järjestäjän on:
Näiden suojatoimien on oltava riittävät estämään HIPAA-säännösten tahalliset tai tahattomat rikkomukset ja rajoittamaan ePHI:n tahattomia luovutuksia.
Organisaation on kuitattava ja käsiteltävä toiselta säännellyltä taholta saapunut muutosilmoitus. Päivitettävä määritelty rekisterikokonaisuus sisällyttämällä siihen muutos ilmoituksen tehneen säännellyn tahon ilmoittamalla tavalla.
The organization must allow individuals to inspect and obtain copies of their protected health information (PHI) from a designated record set upon request.
Processes should be put in place to notify the individual of the denial and inform them of their right to have the denial reviewed (for reviewable grounds).The request should be reviewed and decision made to either grant or deny access within 30 calendar days of receiving it.
Käsittelee yksittäisen henkilön muutospyynnön ja tekee siitä päätöksen (hyväksyy tai hylkää) 60 päivän kuluessa sen vastaanottamisesta. Jos 60 päivän määräaikaa ei pystytä noudattamaan, annetaan henkilölle kirjallinen ilmoitus, jossa selitetään viivästyksen syy ja odotettu valmistumispäivä, ja määräaikaa pidennetään enintään 30 päivällä.
Organisaation on säilytettävä asiaankuuluvat asiakirjat, tallenteet ja vastuuhenkilöt sekä kirjattava niiden henkilöiden tai toimistojen viralliset nimikkeet (tarvittaessa), jotka vastaavat asiaankuuluvien asiakirjojen tai tallenteiden vastaanottamisesta ja käsittelystä.
Organisaation on pidettävä kirjaa suojattujen terveystietojen (PHI) luovutuksista. Tämä dokumentaatio toimii HIPAA-asetuksen edellyttämänä kirjallisena kirjanpitona kyseisenä ajanjaksona tehdyistä luovutuksista, mukaan lukien liikekumppaneiden tekemät luovutukset.
Asiakirjoihin on sisällyttävä:
Tapauksissa, joissa organisaatio on luovuttanut useita tietoja samalle vastaanottajalle samaa tarkoitusta varten, asiakirjoissa voidaan luetella ensimmäinen luovutus, luovutustiheys ja viimeisen luovutuspäivämäärä.
Organisaation on toimitettava henkilölle hyvissä ajoin kirjallinen epäämisilmoitus, jossa selitetään peruste, hänen oikeutensa esittää erimielisyysilmoitus ja valitusmenettely; tämän jälkeen alkuperäinen muutospyyntö ja epäämisilmoitus on yhdistettävä asianomaiseen PHI-tietoon.
Jos organisaatio harkitsee epäämistä, sen olisi annettava luvan saaneen terveydenhuollon ammattilaisen määrittää, vaarantaako pääsy suojattuihin terveystietoihin (PHI) todennäköisesti henkilön tai toisen henkilön hengen tai turvallisuuden taikka aiheuttaako se merkittävää haittaa kyseiselle henkilölle tai toiselle henkilölle. Jos ammattilainen tekee tällaisen määrityksen, yksilön pyyntö saada pääsy tietoihin evätään.
If the individual submits a written disagreement, append it to the record, The organization must prepare a written rebuttal if desired (providing a copy to the individual), and link both to the PHI. For all future disclosures of the relevant PHI, include the amendment request, denial, disagreement (if any), and rebuttal (if any), or a summary of these, particularly if a disagreement exists or if requested by the individual when no disagreement was filed, ensuring separate transmission if standard transactions are insufficient.
Jos taholla ei ole hallussaan PHI-tietoja, mutta se tietää niiden sijainnin, ilmoita asiasta yksilölle; jos kieltäytymistä tarkastellaan, siirrä asia riippumattomalle terveydenhuollon ammattilaiselle ja noudata lopullista päätöstä.
The organization may only use or disclose information in ways consistent with their Notice of Privacy Practices (NPP).
A process should be implemented to receive and review individual requests for alternative methods or locations for receiving their confidential information, make reasonable efforts to accommodate these requests, and establish a procedure for requiring written requests and alternative contact details when necessary.
Organisaation on ilmoitettava henkilölle, että hänen muutospyyntönsä on hyväksytty, ja varmistettava hänen suostumuksensa siihen, että muutoksesta tiedotetaan muille asianomaisille henkilöille tai yhteisöille. pyrittävä kohtuullisin keinoin ilmoittamaan asiasta viipymättä henkilöille, jotka henkilö on nimenomaisesti yksilöinyt, sekä muille henkilöille tai yhteisöille, joiden tiedetään saaneen alkuperäiset, muuttamattomat tiedot tai luottavan niihin.
The organization must be able to disclose relevant information to the individual upon request and have procedures defined for this.
In certain situations, a covered entity may disclose protected health information without the consent of the individual when required by law enforcement or other regulations.
Organisaation on määriteltävä kunkin pyynnön osalta, onko suojattu terveystieto (PHI) muuta kuin organisaation luomaa (ja onko sen laatija saatavilla), onko PHI muuta kuin osa määriteltyä rekisterikokonaisuutta, onko PHI muuta kuin tietoa, johon yksilöillä on oikeus tutustua, tai onko PHI jo nyt tarkka ja täydellinen. Arvioinnin perusteella joko tehdään pyydetty muutos PHI:hin tai annetaan yksilölle virallinen kirjallinen kieltäytymistodistus, jossa selitetään päätöksen perusteet ja yksilön muut oikeudet.
The organization should enable data subjects to request processing restrictions, evaluate these requests against defined conditions, and promptly communicate the decision (acceptance or refusal) back to the data subject. The policy must also:
Organisaation olisi hyväksyttävä yksilöiden pyynnöt muuttaa suojattuja terveystietojaan (PHI) ja arvioitava, ovatko kyseiset tiedot säännellyn tahon luomia, ovatko ne osa nimettyä rekisterikokonaisuutta ja kuuluvatko ne käyttöoikeuksien piiriin.
Jos pyydetään kirjallista muutospyyntöä perusteluineen, näistä vaatimuksista on ilmoitettava etukäteen.
The organization must develop an NPP written in plain language that informs individuals of:
The NPP must be promptly revised and redistributed whenever there is a material change to privacy practices, the individual’s rights, or the organizations legal duties. The updated NPP must still meet all clarity and content requirements.
Organisaation on annettava yksityishenkilöille selkeä ja ytimekäs tietosuojailmoitus (NPP), jossa kerrotaan, miten heidän terveystietojaan voidaan käyttää tai jakaa, heidän oikeutensa näihin tietoihin sekä organisaation tietosuojakäytännöt ja vastuu tietojen suojaamisesta.
Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).
PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.
The organization may disclose relevant PHI to a patient’s family members, close friends, or caregivers involved in their care or payment for care, provided the patient agrees or does not object when given the opportunity. This may include information about the patient’s location, condition, or death. If the patient is present and capable, agreement may be express, implied by lack of objection, or inferred from the circumstances.
In cases where the patient is incapacitated or unavailable (e.g., emergencies), providers may use professional judgment to determine whether the disclosure is in the individual’s best interest, limiting information to what is directly relevant to the person’s involvement in the patient’s care or situation. After the patient’s death, disclosures to personal representatives or family members may be made consistent with any known preferences; if no preferences are known, disclosures may be made only to individuals with an existing relationship and only to the extent it is in the deceased’s best interest.
The organization must obtain a valid, plain-language written authorization from an individual before using or disclosing PHI for purposes not otherwise permitted by HIPAA, such as marketing, most research, or sharing with third parties. The authorization must clearly identify the disclosing covered entity and each recipient, and the individual must receive a copy of the signed authorization.
The authorization must contain these core elements:
It must also inform individuals of their right to revoke the authorization in writing at any time, and state that revocation will not affect actions taken in reliance on the authorization before receipt of the revocation.
The organization ensures that all patients with whom it has a direct treatment relationship are provided with a Notice of Privacy Practices at the first point of service delivery. In emergency situations, the notice is provided as soon as reasonably practicable after the emergency treatment.
The organization must make a good faith effort to obtain a written acknowledgment of receipt from the patient. The Notice of Privacy Practices must be available in a physical format at every service delivery site and prominently displayed in a public area.
For organizations that maintain a website providing information about their services or benefits, the Notice of Privacy Practices must be prominently posted on the website and made available electronically through it.
If the organization chooses to provide the notice electronically via email, it must first obtain the individual's agreement to receive an electronic notice. Should the email delivery fail, the organization is required to provide a paper copy of the notice. All individuals retain the right to request and receive a paper copy of the notice at any time.
Organisaatio on luonut ja viestinyt rekisteröidyille prosessin, jonka kautta he voivat ilmoittaa tietosuojaan liittyvistä kysymyksistä, valituksista tai kiista-asioista.
Organisaatiolla on toimintasäännöt tähän kanavaan saapuvien asioiden käsittelyyn, ratkaisemiseen sekä viestintään. Esille nousevat validit asiat voidaan käsitellä esimerkiksi yleisen poikkeamien hallintaprosessin kautta.
Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.
Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.
Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.
Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.
Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.
Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.
Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.
Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.
Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.
Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).
Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.
Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.
Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.
Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.
Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.
Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.
Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.
The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.
The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.
Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.
Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.
Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:
Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Organisaatio on määritellyt tavat, joilla rekisteröidyn ymmärrys hänen antamansa suostumuksen vaikutuksista varmistetaan.
Rekisteröidylle kommunikoidaan selvästi vähintään seuraavat näkökulmat:
Organisaatio on määritellyt selkeät toimintatavat, joita se noudattaa rekisteröityjen informoimisessa tietosuojapyyntöjen (esim. oikeus tietoihin pääsyyn tai korjaamiseen) toteuttamisesta kieltäytyessä. Rekisteröidyille on näissä tilanteissa selkeästi viestittävä syyt, joiden perusteella pyynnön toteuttamisesta kieltäydyttiin.
Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.
Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.
Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.
Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).
Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:
Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).
Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:
Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.svg)
.svg)
