Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä käsittely koskee

Organisaatioiden on pidettävä kirjaa, josta käy ilmi, että tietosuojailmoitukset on toimitettu ja julkaistu, mukaan lukien kopiot ilmoituksista ja mahdolliset allekirjoitetut kuittaukset tai asiakirjat, jotka osoittavat, että kuittaus on pyritty saamaan.

Organisaation olisi tunnistettava tilanteet, jotka edellyttävät suurempaa avoimuutta, kuten laajamittainen tai jatkuva tietojenkäsittely, seuranta, automatisoitu päätöksenteko tai sellaisten henkilöiden tietojen käsittely, joiden oikeustoimikelpoisuus on rajoitettu. Näissä tapauksissa yksilöille on tiedotettava selkeästi siitä, miten heidän henkilötietojaan ja arkaluonteisia tietojaan kerätään, mitä suojatoimenpiteitä sovelletaan ja käytetäänkö automatisoituja järjestelmiä heitä koskeviin päätöksiin. Näiden selitysten olisi oltava tiiviitä, selkeitä ja helposti ymmärrettäviä, jotta varmistetaan, että he ovat täysin tietoisia siitä, miten heidän tietojaan käytetään ja suojataan.

Organisaation olisi perustettava kanava, kuten suojattu verkkoportaali, jonka avulla rekisteröidyt voivat suoraan tutustua henkilötietoihinsa ilman virallista pyyntöä. Tähän kanavaan on sisällyttävä suojattu todentamisprosessi, jonka avulla käyttäjän henkilöllisyys voidaan todentaa ennen henkilötietojen näyttämistä.

Henkilötietojen käsittelystä on annettava rekisteröidylle sovellettavassa tietosuojakehyksessä määritellyt tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tämä tapahtuu usein tietosuojaselosteiden muodossa, jotka julkaistaan esimerkiksi organisaation verkkosivustolla.

Jos henkilötietoja ei ole kerätty rekisteröidyltä itseltään, kuvauksissa on perussisällön lisäksi mainittava:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä tiedot koskevat

Organisaation on annettava ja hallinnoitava yksilöllisiä tunnisteita kullekin henkilölle, jotta varmistetaan, että henkilötiedot pysyvät erillisinä eikä niitä voida sekoittaa toiseen henkilöön tai luovuttaa toiselle henkilölle. Tunnisteet eivät saa paljastaa henkilöllisyyttä suoraan, ja ne on suojattava luvattomalta käytöltä tai väärinkäytöltä.

Henkilötietojen käsittely on laillista vain silloin, kun sen tueksi on olemassa voimassa oleva, sovellettavan tietosuojakehyksen mukainen pätevä oikeusperusta. Organisaation on kyettävä ilmoittamaan rekisteröidylle ja tarvittaessa asianomaiselle valvontaviranomaiselle sekä käsittelyn tarkoitus että sitä vastaava oikeusperusta.

Asiakirjoihin on sisällyttävä vähintään seuraavat tiedot

• käsittelyn oikeusperusta ja kaikki tarvittavat lisätiedot
• osapuolet, joille käsittely on ulkoistettu.
• asiaan liittyvät tietokokonaisuudet

Organisaation on ylläpidettävä jäsenneltyä prosessia rekisteröityjen pyyntöjen vastaanottamiseksi ja niihin vastaamiseksi oikea-aikaisesti ja sääntöjenmukaisesti. Pyynnöt olisi käsiteltävä ilman aiheetonta viivytystä ja määritellyn vastausajan kuluessa. Jos pyyntöjen monimutkaisuuden tai useiden pyyntöjen vuoksi tarvitaan lisäaikaa, määräaikaa voidaan pidentää rajoitetusti edellyttäen, että pyynnön esittäjälle ilmoitetaan asiasta ja annetaan selkeä selitys viivästykselle.

Prosessia on tuettava asianmukaisilla hallinnollisilla ja teknisillä toimenpiteillä, joilla varmistetaan henkilöllisyyden tarkka todentaminen, henkilötietojen turvallinen käsittely sekä kaikkien pyyntöjen ja vastausten asianmukainen dokumentointi vaatimustenmukaisuuden osoittamiseksi.

Organisaation on laadittava selkeä prosessi, jolla käsitellään tietosuojapyyntöjä ja -suostumuksia, joita lailliset holhoojat tekevät sellaisten henkilöiden puolesta, jotka eivät ole täysin tai osittain oikeustoimikelpoisia.

Prosessilla on varmistettava seuraavat seikat:

• Vahvistetaan edunvalvojan henkilöllisyys ja vahvistetaan hänen laillinen valtuutensa asianmukaisilla asiakirjoilla tai virallisella todisteella ennen pyyntöjen tai suostumusten käsittelyä.
• Varmistetaan, että kaikki toimet, jotka perustuvat edunvalvojan suostumukseen, eivät aiheuta haittaa tai vaikuta kielteisesti henkilön yksityisyyteen, oikeuksiin tai hyvinvointiin.
• Edellytetään, että edunvalvojat toimivat ainoastaan edustamansa henkilön edun mukaisesti käyttäessään oikeuksiaan tai antaessaan suostumuksensa.
• Hyväksyä edunvalvojan suostumukset tai pyynnöt ja toimia niiden mukaisesti vain silloin, kun ne ovat sovellettavien lakien ja tietosuojasäännösten mukaisia.
• Kun henkilö saavuttaa täyden oikeustoimikelpoisuuden, anna hänelle mahdollisuus käyttää itsenäisesti tietosuojaoikeuksiaan ja hallinnoida tai peruuttaa kaikki hänen puolestaan aiemmin annetut suostumukset.
• Kirjataan ja ylläpidetään kaikki tarkistukset, suostumukset ja toimet vaatimustenmukaisuuden ja vastuuvelvollisuuden osoittamiseksi.

Organisaation on varmistettava, että luottotietojen kerääminen ja käsittely on asianomaisten viranomaisten lakisääteisten ja sääntelyvaatimusten mukaista. Luottotietojen suojaamiseksi luvattomalta käytöltä, väärinkäytöltä tai paljastamiselta on oltava käytössä asianmukaiset organisatoriset, tekniset ja hallinnolliset toimenpiteet.

Kun luottotietoja käsitellään suostumuksen perusteella, organisaation on:

• hankittava rekisteröidyn nimenomainen ja tietoinen suostumus ennen luottotietojen käsittelyä tai luovuttamista.
• erotettava suostumuspyyntö selkeästi muista ehdoista avoimuuden ja ymmärryksen varmistamiseksi.
• annettava rekisteröidyille mahdollisuus peruuttaa suostumus helposti ja milloin tahansa ja varmistettava, että peruuttaminen on yhtä helppoa kuin suostumuksen antaminen.
• Ilmoitetaan rekisteröidyille viipymättä kaikista hyväksytyistä pyynnöistä luovuttaa heidän luottotietojaan luottotietolain ja sovellettavien säännösten mukaisesti.

Kaikki suostumusta koskevat tiedot ja ilmoitukset on dokumentoitava ja tarkistettava, jotta voidaan osoittaa, että luottotietolakia ja siihen liittyviä valvontavaatimuksia noudatetaan.

Organisaation on luotava ja ylläpidettävä selkeitä ja helppokäyttöisiä viestintäkanavia, jotta yksilöt voivat käyttää tietosuojaoikeuksiaan asiaankuuluvien tietosuojasäännösten mukaisesti. Näihin kanaviin olisi kuuluttava hyväksyttyjä menetelmiä, kuten sähköposti, tekstiviestit, viralliset valtion rekisteröimät osoitteet ja virallisesti tunnustetut sähköiset sovellukset.

Kaikissa kanavissa on varmistettava henkilöllisyyden asianmukainen todentaminen, turvallinen tiedonsiirto ja pyyntöjen johdonmukainen käsittely. Menettelyissä olisi määriteltävä, miten pyynnöt kirjataan, käsitellään ja niihin vastataan nopeasti sovellettavien lakien ja organisaation toimintatapojen mukaisesti.

Organisaation on määriteltävä ja dokumentoitava selkeät kriteerit sille, milloin rekisteröidyn pyyntö voidaan hylätä, esimerkiksi jos se on toistuva, ilmeisen perusteeton tai vaatii suhteettoman paljon työtä. Näillä kriteereillä varmistetaan johdonmukaiset ja perustellut päätökset, jotka perustuvat avoimiin sisäisiin ohjeisiin.

Jos pyyntö evätään, rekisteröidylle on viipymättä ilmoitettava päätöksestä, mukaan lukien epäämisen syy ja hänen oikeutensa riitauttaa päätös tai hakea siihen muutosta sovellettavan tietosuojalainsäädännön mukaisesti.

Organisaation olisi laadittava prosessi tilanteita varten, joissa se on tietoinen siitä, että rekisteröity on täysin tai osittain oikeustoimikelpoinen. Prosessissa olisi määriteltävä, miten vaaditut tiedot, kuten tietosuojailmoitukset, toimitetaan asianmukaisella ja ymmärrettävällä tavalla. Tämä voi tarkoittaa yksinkertaistetun kielen tai visuaalisten apuvälineiden käyttöä tai yhteydenpitoa suoraan henkilön laillisen huoltajan kanssa.

Organisaation on luotava selkeä ja johdonmukainen prosessi, jolla yksilöille tiedotetaan siitä, miten heidän henkilötietojaan kerätään ja käytetään. Ennen tietojen keräämistä tai keruun yhteydessä yksilöille olisi ilmoitettava kaikki olennaiset tiedot, rekisterinpitäjän tiedot, käsittelyn tarkoitus ja oikeusperusta, kuinka kauan tietoja säilytetään ja miten he voivat käyttää tai peruuttaa suostumuksensa käsittelyyn. Organisaation on myös selvitettävä, onko tietojen antaminen vapaaehtoista vai pakollista.

Menettelyssä on myös täsmennettävä, miten yksilöille tiedotetaan heidän mahdollisuudestaan peruuttaa suostumus ja sen seurauksista. Tapauksissa, joissa rekisteröidyllä on jo kyseiset tiedot tai tietojen luovuttaminen rikkoisi oikeudellisia rajoituksia, organisaatio voi perustellusti kieltäytyä ilmoittamasta niistä, mutta pitää kirjaa tästä päätöksestä vastuuvelvollisuutta varten.

Kun henkilötietoja kerätään muista lähteistä kuin henkilöltä itseltään, mukaan lukien julkisesti saatavilla olevat lähteet, organisaation on varmistettava avoimuus, oikeudenmukaisuus ja laillinen käsittely ja luovuttaminen.

• Ilmoitettava rekisteröidylle kohtuullisen ajan kuluessa keräämisestä, mukaan lukien tietoluokat ja tietolähteet.
• Varmistettava, että käsittely tai luovuttaminen palvelee tiettyä laillista tarkoitusta ja rajoittuu vain välttämättömiin vähimmäistietoihin.
• toteutettava asianmukaiset toimenpiteet kaikkien henkilöiden yksityisyyden ja oikeuksien suojelemiseksi.
• Varmistetaan, että julkisesti saatavilla olevien tietojen luovuttaminen on sovellettavien lakien mukaista eikä riko tietosuojavaatimuksia.
• Ilmoitusta ei vaadita, jos henkilöllä on jo tiedot, jos tietojen luovuttaminen on epäkäytännöllistä tai kohtuutonta tai jos käsittely tapahtuu oikeudellisten, luottamuksellisuutta koskevien tai yleistä etua koskevien velvoitteiden nojalla.

Edellä mainittuja edellytyksiä ei sovelleta, jos rekisteröidyllä on jo tiedot, tietojen luovuttaminen on mahdotonta tai kohtuutonta, tiedot kerätään oikeudellisten tai salassapitovelvoitteiden nojalla tai jos viranomainen käsittelee niitä turvallisuus-, oikeudellisiin tai yleisen edun mukaisiin tarkoituksiin.

Organisaation on laadittava selkeä ja sääntöjenmukainen prosessi markkinointi- tai tiedotusmateriaalin lähettämiseksi yksityishenkilöille ja noudatettava sitä varmistaen, että tietosuoja- ja televiestintälainsäädäntöä noudatetaan.

• Ennen suoramarkkinointiviestinnän lähettämistä on hankittava henkilöltä voimassa oleva suostumus sovellettavien tietosuojasäännösten mukaisesti.
• Organisaatio on yksilöitävä selkeästi lähettäjäksi kaikessa markkinointiviestinnässä - nimettömät tai harhaanjohtavat tunnistetiedot eivät ole sallittuja.
• Tarjota yksinkertainen ja helppokäyttöinen opt-out-mekanismi, jonka avulla yksilöt voivat milloin tahansa peruuttaa markkinointiviestien vastaanottamisen. Opt-out-prosessin on oltava yhtä helppo kuin suostumuksen antamisen.
• Varmistetaan, että opt-out- tai peruuttamispyynnöt täytetään ilman aiheetonta viivytystä ja ilman kustannuksia yksityishenkilölle.
• Säilytettävä todennettavissa oleva kirjanpito kunkin henkilön antamasta suostumuksesta ja suostumuksen peruuttamisesta vaatimusten noudattamisen osoittamiseksi.

Organisaation on luotava selkeä ja dokumentoitu prosessi henkilötietojen käsittelyyn tai yksityisyyden suojan loukkauksiin liittyvien valitusten vastaanottamista, arviointia ja ratkaisemista varten.

• Valitukset on tehtävä määriteltyjen ja helposti saatavilla olevien kanavien kautta 90 päivän kuluessa tapahtumasta tai siitä päivästä, jolloin henkilö sai tiedon tapahtumasta.
• Myöhästyneet valitukset voidaan hyväksyä, jos viivästymiselle esitetään pätevä ja dokumentoitu syy.
• Kunkin valituksen on sisällettävä olennaiset tiedot, kuten yhteystiedot, kuvaus väitetystä rikkomuksesta ja sitä tukevat todisteet.
• Kaikki valitukset on tutkittava viipymättä ja käsiteltävä johdonmukaisesti, avoimesti ja oikeudenmukaisesti.
• Jokainen valitus olisi kirjattava erilliseen rekisteriin, jotta voidaan varmistaa asianmukainen seuranta, tutkinta ja ratkaisu.
• Organisaation on tarvittaessa koordinoitava toimintaansa toimivaltaisen viranomaisen kanssa ja varmistettava kaikkien sovellettavien oikeudellisten menettelyjen ja aikataulujen noudattaminen.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla varmistetaan, että henkilötietojen käsittely lopetetaan ilman aiheetonta viivytystä sen jälkeen, kun rekisteröity peruuttaa suostumuksensa. Prosessissa olisi yksilöitävä toimenpiteet, joita tarvitaan käsittelyn lopettamiseksi kaikissa asiaankuuluvissa järjestelmissä ja palveluissa. On tärkeää huomata, että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tapahtuneen käsittelyn laillisuuteen.

Organisaation on ylläpidettävä selkeää prosessia henkilötietojen oikeellisuuden tarkistamiseksi ja varmistamiseksi.

• Varmistetaan, että henkilötiedot korjataan, jos ne ovat epätarkkoja, täydennetään, jos ne ovat puutteellisia, ja päivitetään, jos ne ovat vanhentuneita.
• Keskeytä käsittely, jos epätarkat tai epätäydelliset tiedot voivat aiheuttaa haittaa rekisteröidylle, kunnes tarkistus ja korjaus on saatu päätökseen.
• Laaditaan sisäisiä menettelyjä, joissa määritellään vastuut, annetaan rekisteröidyille mahdollisuus pyytää korjauksia ja joihin sisältyy säännöllisiä tarkistuksia tarkkuuden ja ajantasaisuuden ylläpitämiseksi.
• Jos todentaminen edellyttää todisteita, organisaatio voi pyytää rekisteröidyltä tarvittavia tositteita tai todisteita. Tällaista materiaalia on käytettävä ainoastaan todentamistarkoituksiin, ja se on hävitettävä turvallisesti, kun prosessi on saatu päätökseen.
• Ilmoita kaikille kolmansille osapuolille tai rekisteröidyille, jotka ovat aiemmin saaneet epätarkkoja tietoja, jotta ne voivat päivittää tietonsa vastaavasti.

Organisaation on yksilöitävä ne erityiset tietueet, joihin hyväksytty muutos vaikuttaa, ja liitettävä korjaus tai linkitettävä se nimettyyn rekisterikokonaisuuteen sisältyvään PHI-tietueeseen.

Kun pääsy evätään (kokonaan tai osittain), on annettava ajoissa kirjallinen, selkokielinen epäämisilmoitus, jossa mainitaan epäämisen syy, oikeus uudelleentarkasteluun ja ohjeet valituksen tekemiseen. Jos pääsy suojattuihin terveystietoihin evätään osittain, on annettava pääsy kaikkiin muihin pyydettyihin suojattuihin terveystietoihin, joita ei ole evätty.

Organisaation on yksilöitävä ja toimitettava kaikki tiedot kaikista jäljitettävissä olevista yksilön suojattujen terveystietojen (PHI) luovutuksista, jotka on tehty pyyntöä edeltävien kuuden vuoden aikana, lukuun ottamatta luovutuksia, jotka on tehty hoitoa, maksua tai terveydenhuollon toimintoja varten; luovutuksia, jotka on tehty yksilölle tai valtuutuksella; luovutuksia laitoshakemistoja varten tai yksilön hoitoon osallistuville henkilöille; luovutuksia kansallista turvallisuutta tai tiedustelutarkoituksia varten tai tiettyjä lainvalvontaviranomaisten tai rangaistuslaitosten tekemiä luovutuksia.

Organisaation on varmistettava, että sen ryhmämuotoisen terveydenhuoltosuunnitelman (Group Health Plan) asiakirjoissa edellytetään, että suunnitelman järjestäjän on suojattava kaikki sähköiset suojatut terveystiedot (ePHI), joita se luo, vastaanottaa, ylläpitää tai siirtää. Näissä asiakirjoissa on määrättävä, että suunnitelman järjestäjän on:

• toteutettava asianmukaiset hallinnolliset, tekniset ja fyysiset suojatoimet ePHI:n luottamuksellisuuden, eheyden ja saatavuuden suojaamiseksi ottaen huomioon tietojen luonne ja niiden käyttöön tai luovuttamiseen liittyvät riskit;
• ylläpidettävä riittävää erillisyyttä ryhmäterveyssuunnitelman ja suunnitelman järjestäjän välillä estääkseen ei-valtuutettujen henkilöiden tai tahojen luvattoman pääsyn ePHI:hin;
• varmistettava, että kaikki edustajat tai alihankkijat, joille järjestäjä antaa pääsyn ePHI:hin, sitoutuvat toteuttamaan kohtuulliset ja asianmukaiset suojatoimet sen suojaamiseksi;
• ilmoitettava viipymättä ryhmäterveyssuunnitelmalle kaikista tiedossa olevista ePHI:tä koskevista tietoturvaloukkauksista.

Näiden suojatoimien on oltava riittävät estämään HIPAA-säännösten tahalliset tai tahattomat rikkomukset ja rajoittamaan ePHI:n tahattomia luovutuksia.

Organisaation on kuitattava ja käsiteltävä toiselta säännellyltä taholta saapunut muutosilmoitus. Päivitettävä määritelty rekisterikokonaisuus sisällyttämällä siihen muutos ilmoituksen tehneen säännellyn tahon ilmoittamalla tavalla.

Organisaation on annettava yksilöille mahdollisuus pyynnöstä tarkastaa suojattuja terveystietojaan (PHI) ja saada niistä jäljennökset.

Pyyntö on tarkasteltava uudelleen ja siitä on tehtävä päätös pyynnön myöntämisestä tai epäämisestä 30 kalenteripäivän kuluessa pyynnön vastaanottamisesta.

Käsittelee yksittäisen henkilön muutospyynnön ja tekee siitä päätöksen (hyväksyy tai hylkää) 60 päivän kuluessa sen vastaanottamisesta. Jos 60 päivän määräaikaa ei pystytä noudattamaan, annetaan henkilölle kirjallinen ilmoitus, jossa selitetään viivästyksen syy ja odotettu valmistumispäivä, ja määräaikaa pidennetään enintään 30 päivällä.

Organisaation on säilytettävä asiaankuuluvat asiakirjat, tallenteet ja vastuuhenkilöt sekä kirjattava niiden henkilöiden tai toimistojen viralliset nimikkeet (tarvittaessa), jotka vastaavat asiaankuuluvien asiakirjojen tai tallenteiden vastaanottamisesta ja käsittelystä.

Organisaation on pidettävä kirjaa suojattujen terveystietojen (PHI) luovutuksista. Tämä dokumentaatio toimii HIPAA-asetuksen edellyttämänä kirjallisena kirjanpitona kyseisenä ajanjaksona tehdyistä luovutuksista, mukaan lukien liikekumppaneiden tekemät luovutukset.

Asiakirjoihin on sisällyttävä:

• tietojen luovuttamisen päivämäärä
• vastaanottajan nimi ja osoite (jos tiedossa).
• lyhyt kuvaus luovutetuista tiedoista
• lyhyt selvitys luovutuksen tarkoituksesta (tai kopio kirjallisesta pyynnöstä).

Tapauksissa, joissa organisaatio on luovuttanut useita tietoja samalle vastaanottajalle samaa tarkoitusta varten, asiakirjoissa voidaan luetella ensimmäinen luovutus, luovutustiheys ja viimeisen luovutuspäivämäärä.

Organisaation on toimitettava henkilölle hyvissä ajoin kirjallinen epäämisilmoitus, jossa selitetään peruste, hänen oikeutensa esittää erimielisyysilmoitus ja valitusmenettely; tämän jälkeen alkuperäinen muutospyyntö ja epäämisilmoitus on yhdistettävä asianomaiseen PHI-tietoon.

Jos organisaatio harkitsee epäämistä, sen olisi annettava luvan saaneen terveydenhuollon ammattilaisen määrittää, vaarantaako pääsy suojattuihin terveystietoihin (PHI) todennäköisesti henkilön tai toisen henkilön hengen tai turvallisuuden taikka aiheuttaako se merkittävää haittaa kyseiselle henkilölle tai toiselle henkilölle. Jos ammattilainen tekee tällaisen määrityksen, yksilön pyyntö saada pääsy tietoihin evätään.

Jos henkilö esittää kirjallisen vastalauseen, se on liitettävä tietueeseen. Organisaation on laadittava halutessaan kirjallinen vastine (josta toimitetaan kopio henkilölle) ja liitettävä molemmat PHI-tietoihin. Kaikkien asianomaisten PHI-tietojen tulevien luovutusten osalta on liitettävä mukaan muutospyyntö, kieltäytyminen, vastalause (jos sellainen on) ja vastine (jos sellainen on) tai tiivistelmä näistä, erityisesti jos on olemassa vastalause tai jos yksilö on sitä pyytänyt, vaikka vastalausetta ei ole jätetty, ja varmistettava erillinen siirto, jos tavanomaiset tapahtumat eivät riitä.

Jos taholla ei ole hallussaan PHI-tietoja, mutta se tietää niiden sijainnin, ilmoita asiasta yksilölle; jos kieltäytymistä tarkastellaan, siirrä asia riippumattomalle terveydenhuollon ammattilaiselle ja noudata lopullista päätöstä.

Organisaatio saa käyttää tai luovuttaa tietoja vain Tietosuojailmoituksen (Notice of Privacy Practices, NPP) mukaisesti.

Olisi otettava käyttöön prosessi, jolla vastaanotetaan ja tarkastellaan yksilöllisiä pyyntöjä vaihtoehtoisista menetelmistä tai sijainneista luottamuksellisten tietojen vastaanottamiseen, pyritään kohtuullisesti vastaamaan näihin pyyntöihin sekä otetaan käyttöön menettely, jolla vaaditaan tarvittaessa kirjallisia pyyntöjä ja vaihtoehtoisia yhteystietoja.

Organisaation on ilmoitettava henkilölle, että hänen muutospyyntönsä on hyväksytty, ja varmistettava hänen suostumuksensa siihen, että muutoksesta tiedotetaan muille asianomaisille henkilöille tai yhteisöille. pyrittävä kohtuullisin keinoin ilmoittamaan asiasta viipymättä henkilöille, jotka henkilö on nimenomaisesti yksilöinyt, sekä muille henkilöille tai yhteisöille, joiden tiedetään saaneen alkuperäiset, muuttamattomat tiedot tai luottavan niihin.

Organisaation on pystyttävä luovuttamaan asianmukaiset tiedot henkilölle tämän pyynnöstä, ja organisaatiolla on oltava tätä varten määritellyt menettelyt.

Tietyissä tilanteissa säännelty taho voi luovuttaa suojattuja terveystietoja ilman yksilön suostumusta, kun lainvalvontaviranomaiset tai muut säädökset sitä edellyttävät.

Organisaation on määriteltävä kunkin pyynnön osalta, onko suojattu terveystieto (PHI) muuta kuin organisaation luomaa (ja onko sen laatija saatavilla), onko PHI muuta kuin osa määriteltyä rekisterikokonaisuutta, onko PHI muuta kuin tietoa, johon yksilöillä on oikeus tutustua, tai onko PHI jo nyt tarkka ja täydellinen. Arvioinnin perusteella joko tehdään pyydetty muutos PHI:hin tai annetaan yksilölle virallinen kirjallinen kieltäytymistodistus, jossa selitetään päätöksen perusteet ja yksilön muut oikeudet.

Organisaation olisi annettava rekisteröidyille mahdollisuus pyytää käsittelyrajoituksia, arvioitava nämä pyynnöt määriteltyjen ehtojen perusteella ja ilmoitettava päätöksestä (hyväksyminen tai hylkääminen) viipymättä rekisteröidylle. Toimintaperiaatteiden on myös:

• dokumentoitava jokainen sovittu rajoitus ja päätöksestä tiedottaminen sekä pidettävä kirjaa pyynnöstä, arvioinnista ja tuloksesta.
• rajoituksia on noudatettava kaikissa olosuhteissa, myös hätätilanteissa, ja hätätilanteiden tarjoajille on ilmoitettava mahdollisuuksien mukaan kaikista asiaan liittyvistä rajoituksista.
• Määritellään rajoitusten lopettamisen soveltamisala ja edellytykset (esim. rekisteröidyn kirjallinen peruuttaminen tai jonkin muun lakisääteisen poikkeuksen soveltuvuus) ja jatketaan käsittelyä vain sallitulla tavalla.

Organisaation olisi hyväksyttävä yksilöiden pyynnöt muuttaa suojattuja terveystietojaan (PHI) ja arvioitava, ovatko kyseiset tiedot säännellyn tahon luomia, ovatko ne osa nimettyä rekisterikokonaisuutta ja kuuluvatko ne käyttöoikeuksien piiriin.

Jos pyydetään kirjallista muutospyyntöä perusteluineen, näistä vaatimuksista on ilmoitettava etukäteen.

Organisaation on laadittava selkeällä kielellä kirjoitettu tietosuojailmoitus (Notice of Privacy Practices, NPP), jossa yksilöille kerrotaan:

• Organisaation velvollisuus ylläpitää suojattujen terveystietojen (PHI) yksityisyyttä.
• Miten heidän suojattuja terveystietojaan (PHI) voidaan käyttää ja luovuttaa (esim. hoitoon, maksamiseen, terveydenhuollon toimintaan), muihin laillisesti sallittuihin käyttötarkoituksiin ja luovutuksiin tai luvanvaraiseen käyttöön.
• Heidän oikeutensa (saada pääsy suojattuihin terveystietoihin, rajoittaa näitä, muuttaa niitä ja saada niistä kopioita),
• Kielletyt luovutukset ja uudelleenluovutusriskit,
• Miten tietosuojavalituksia tehdään,
• Organisaation vapaaehtoiset lisärajoitukset, kunhan ne eivät häiritse vaadittuja tietojen luovutuksia tai terveys- tai turvallisuusuhkien vuoksi tarvittavia tietojen luovutuksia.

Tietosuojailmoitus on tarkistettava viipymättä ja jaettava uudelleen aina, kun yksityisyyden suojaa koskeviin käytäntöihin, yksilön oikeuksiin tai organisaation lakisääteisiin velvollisuuksiin tulee olennaisia muutoksia. Päivitetyn tietosuojailmoituksen on edelleen täytettävä kaikki selkeyttä ja sisältöä koskevat vaatimukset.

Organisaation on annettava yksityishenkilöille selkeä ja ytimekäs tietosuojailmoitus (NPP), jossa kerrotaan, miten heidän terveystietojaan voidaan käyttää tai jakaa, heidän oikeutensa näihin tietoihin sekä organisaation tietosuojakäytännöt ja vastuu tietojen suojaamisesta.

Myöntäessään pääsyn pyydettyihin suojattuihin terveystietoihin (PHI) organisaation on varmistettava, että tiedot toimitetaan yksilön pyytämässä muodossa, jos se on mahdollista (muussa tapauksessa yhteisesti sovitussa muodossa tai sähköisessä muodossa, jos se on mahdollista ja pyydetty).

PHI-kopioiden saatavuus on myös varmistettava ajoissa ja sopivasti. Kopiot on lähetettävä toiselle nimetylle henkilölle, jos yksilö sitä kirjallisesti pyytää. Yksilön suostumuksella voidaan periä vain kohtuullinen, kustannusperusteinen maksu esimerkiksi työstä, tarvikkeista, postimaksusta tai yhteenvedoista.

Organisaatio voi luovuttaa asiaankuuluvia suojattuja terveystietoja (PHI) potilaan perheenjäsenille, läheisille ystäville tai hoitajille, jotka osallistuvat potilaan hoitoon tai hoidon maksamiseen, edellyttäen, että potilas suostuu siihen tai ei vastusta sitä, kun hänelle annetaan siihen mahdollisuus. Tämä voi sisältää tietoja potilaan sijainnista, tilasta tai kuolemasta. Jos potilas on läsnä ja toimintakykyinen, suostumus voi olla nimenomainen, vastalauseen puuttumisen perusteella oletettu tai olosuhteista johdettu.

Tapauksissa, joissa potilas ei ole toimintakykyinen tai käytettävissä (esim. hätätilanteissa), palveluntarjoajat voivat käyttää ammatillista harkintaa päättäessään, onko tietojen luovuttaminen yksilön edun mukaista, ja rajoittaa tiedot siihen, mikä on suoraan merkityksellistä henkilön osallistumiselle potilaan hoitoon tai tilanteeseen. Potilaan kuoleman jälkeen tietoja voidaan luovuttaa henkilökohtaisille edustajille tai perheenjäsenille tiedossa olevien toivomusten mukaisesti; jos toivomuksia ei ole tiedossa, tietoja voidaan luovuttaa vain henkilöille, joilla on olemassa oleva suhde, ja vain siinä määrin kuin se on vainajan edun mukaista.

Organisaation on saatava yksilöltä voimassa oleva, selkokielinen kirjallinen lupa ennen kuin se voi käyttää tai luovuttaa PHI-tietoja muihin kuin HIPAA:n sallimiin tarkoituksiin, kuten markkinointiin, useimpiin tutkimuksiin tai jakamiseen kolmansien osapuolten kanssa. Luvassa on yksilöitävä selvästi luovuttava suojattu yksikkö ja kukin vastaanottaja, ja yksilön on saatava kopio allekirjoitetusta luvasta.

Luvassa on oltava seuraavat keskeiset osat:

• Kuvaus käytettävistä tai luovutettavista tiedoista.
• käytön tai luovuttamisen tarkoitus
• kunkin luovutuksen vastaanottajan nimi (tai muu erityinen tunnistetieto).
• tietoja luovuttavan suojatun yksikön nimi.
• voimassaolon päättymispäivä tai -tapahtuma
• henkilön allekirjoitus ja päivämäärä

Luvassa on myös ilmoitettava yksilöille heidän oikeudestaan peruuttaa lupa kirjallisesti milloin tahansa ja mainittava, että peruuttaminen ei vaikuta toimiin, jotka on toteutettu luvan perusteella ennen peruuttamisilmoituksen vastaanottamista.

Organisaatio varmistaa, että kaikille potilaille, joihin sillä on suora hoitosuhde, annetaan ilmoitus yksityisyyden suojasta heti palvelun tarjoamisen yhteydessä. Hätätilanteissa ilmoitus toimitetaan niin pian kuin se on kohtuudella mahdollista hätätilanteen hoidon jälkeen.

Organisaation on pyrittävä vilpittömässä mielessä saamaan potilaalta kirjallinen vastaanottoilmoitus. Yksityisyyden suojaa koskevan ilmoituksen (NPP) on oltava fyysisessä muodossa saatavilla jokaisessa palvelun toimituspaikassa ja näkyvästi esillä julkisella alueella.

Organisaatioiden, jotka ylläpitävät verkkosivustoa, jossa annetaan tietoa niiden palveluista tai etuuksista, on julkaistava tietosuojailmoitus näkyvästi verkkosivustolla ja asetettava se saataville sähköisesti verkkosivuston kautta.

Jos organisaatio päättää toimittaa ilmoituksen sähköisesti sähköpostitse, sen on ensin saatava henkilöltä suostumus sähköisen ilmoituksen vastaanottamiseen. Jos sähköpostin toimittaminen ei onnistu, organisaation on toimitettava ilmoitus paperiversiona. Kaikilla henkilöillä on oikeus pyytää ja saada paperiversio ilmoituksesta milloin tahansa.

Organisaatio on luonut ja viestinyt rekisteröidyille prosessin, jonka kautta he voivat ilmoittaa tietosuojaan liittyvistä kysymyksistä, valituksista tai kiista-asioista.

Organisaatiolla on toimintasäännöt tähän kanavaan saapuvien asioiden käsittelyyn, ratkaisemiseen sekä viestintään. Esille nousevat validit asiat voidaan käsitellä esimerkiksi yleisen poikkeamien hallintaprosessin kautta.

Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.

Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.

Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.

Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.

Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.

Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.

Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.

Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.

Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.

Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.

The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.

Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi tietopyyntöjä lähettää
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

• käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
• rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
• henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen poistamista
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan

Organisaatio on määritellyt tavat, joilla rekisteröidyn ymmärrys hänen antamansa suostumuksen vaikutuksista varmistetaan.

Rekisteröidylle kommunikoidaan selvästi vähintään seuraavat näkökulmat:

• Mitä vaikutuksia hänen antamallaan suostumuksella on?
• Mitä vaikutuksia on suostumuksesta kieltäytymisellä tai sen myöhemmällä perumisella?

Organisaatio on määritellyt selkeät toimintatavat, joita se noudattaa rekisteröityjen informoimisessa tietosuojapyyntöjen (esim. oikeus tietoihin pääsyyn tai korjaamiseen) toteuttamisesta kieltäytyessä. Rekisteröidyille on näissä tilanteissa selkeästi viestittävä syyt, joiden perusteella pyynnön toteuttamisesta kieltäydyttiin.

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).

Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:

• henkilötietoja käsitellään automaattisesti
• henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
• henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
• kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen siirtoa
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• muodot, jossa tiedot toimitetaan rekisteröidylle
• tavat, joilla rekisteröityä tiedotetaan

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

• Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
• Henkilötietoryhmät
• Tietojen sijainnin
• Tietoja käsittelevät kumppanit