Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Seloste käsittelytoimista on kirjallinen kuvaus organisaation tekemästä henkilötietojen käsittelystä.

Selosteen laatiminen on pakollista, mikäli joku seuraavista toteutuu:

• organisaatiossa on yli 250 työntekijää
• henkilötietojen käsittely ei ole satunnaista
• henkilötietojen käsittely aiheuttaa todennäköisesti riskin rekisteröidyn oikeuksille ja vapauksille
• käsiteltävät henkilötiedot sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja

Seloste on pidettävä ajan tasalla. Se toimii myös ensimmäisen tason tapana arvioda käsittelyn lainmukaisuutta, joten se on pyydettäessä toimitettava valvontaviranomaiselle.

Digiturvamallissa "Seloste käsittelytoimista" on oma raporttinsa, joka muodostuu automaattisesti dokumentaatio-osioihin kerättyjen tietojen perusteella.

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

• käsittelyn oikeusperuste sekä tarvittavat lisätiedot
• tahot, joille käsittelyä on ulkoistettu
• liittyvät tietoaineistot

Yksi henkilötietojen laillisen käsittelyn oikeudellisista perusteista on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Sen määrittämiseksi, milloin oikeutettu etu on perusteltu, tehdään niin sanottu tasapainotesti, jossa rekisterinpitäjän tai kolmannen osapuolen etu suhteutetaan rekisteröidyn perusoikeuksiin.

Kun käsittelymme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen ja sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on sovellettavan tietosuojakehyksen mukaista.

The organization must maintain a clear and documented procedure for cases where personal data is processed for a purpose other than the one for which it was originally collected. This procedure should ensure that any additional processing remains lawful, necessary, and transparent.

To ensure compliance, the procedure must:

• Clearly define, justify, and document new processing purposes.
• Use tools such as data mapping or necessity assessments to identify which data elements are needed and how they will be securely processed and safeguarded.
• Limit processing to the minimal amount of personal data required to achieve the new purpose.
• Apply appropriate organizational and technical measures to protect the data throughout processing.
• Record all updates or changes in the organization’s processing activity records.
• Inform affected individuals of the new purpose and provide all required details before beginning additional processing.

Organisaation olisi laadittava ja pantava täytäntöön luottotietojen käsittelyä koskeva erityinen politiikka. Tähän politiikkaan on sisällytettävä asiaankuuluvien viranomaisten asettamat vaatimukset ja valvontatoimet. Politiikassa olisi myös selkeästi määriteltävä luottotietoja käsittelevien työntekijöiden ja sopimuspuolten roolit ja vastuut, jotta varmistetaan vastuuvelvollisuus ja estetään luvaton pääsy tai käyttö.

The organization must maintain clear documentation of all stages of health data processing, from collection to deletion. Each stage must identify the responsible individual or role to ensure accountability and traceability.

Records should be kept up to date and available for review by relevant authorities in accordance with applicable health data regulations.

Organisaation olisi laadittava selkeä prosessi tilanteita varten, joissa henkilötietoja käsitellään vaikeasti tavoitettavan rekisteröidyn todellisen edun vuoksi. Prosessissa olisi määriteltävä, miten rekisteröidyn todellisen edun olemassaolo arvioidaan ja dokumentoidaan. Sen on myös sisällettävä vaiheet, joilla dokumentoidaan syyt, joiden vuoksi rekisteröidyn tavoittaminen ei ole mahdollista tai kohtuuttoman vaikeaa.

Organisaation on sovellettava anonymisointimenetelmiä, jotka estävät yksilöiden tunnistamisen tai uudelleen tunnistamisen. Sen olisi arvioitava uudelleen tunnistamisen mahdollisuus, sovellettava sopivia teknisiä ja organisatorisia toimenpiteitä riskien vähentämiseksi ja tarkistettava säännöllisesti anonymisointiprosessin tehokkuutta. Asianmukaisesti anonymisoituja tietoja, joita ei voida yhdistää henkilöön, ei enää pidetä henkilötietoina.

The organization must ensure that consent for processing personal data is obtained in a valid, informed, and verifiable manner. Consent should be given voluntarily, with a clear explanation of the processing purpose before it is collected, and must only be obtained from individuals with full legal capacity.

Each processing purpose requires separate consent, and the organization must maintain accurate records showing when, how, and for what purpose consent was provided.

Explicit consent must be obtained when processing sensitive or credit-related data, or when using automated decision-making that produces legal or significant effects on individuals.

Organisaation on säilytettävä ja kerättävä vain vähimmäismäärä henkilötietoja, jotka ovat tarpeen käsittelyn tarkoituksen saavuttamiseksi. Kunkin tietoelementin tarpeellisuus olisi määriteltävä asianmukaisin keinoin, kuten tietokartoituksella tai vastaavilla menetelmillä, joilla kukin kerätty tietoelementti liitetään selkeästi sen käsittelytarkoitukseen, jolloin varmistetaan tietojen minimoinnin periaatteen täysimääräinen noudattaminen.

The organisation must establish strict procedures for managing official documents issued by public authorities that contain identifiable personal information.

• Official documents (such as ID cards, passports, or licenses) must not be photographed, copied, or duplicated unless explicitly required by law or upon request from a competent public authority.
• When copying or collecting such documents is legally necessary, appropriate safeguards must be implemented to ensure confidentiality, integrity, and restricted access.
• These documents must only be used for the specific purpose for which they were obtained and securely destroyed once that purpose has been fulfilled, unless a legal requirement mandates their retention.
• Any instances of copying or retention must be properly documented to demonstrate compliance and accountability.

When processing personal data to achieve a public interest purpose different from its original collection purpose, the organization must ensure that such processing is necessary, clearly defined, and within its legal mandate. Only the minimum personal data required should be collected and processed, with appropriate administrative and technical controls implemented to prevent harm and ensure staff compliance. All related processing and disclosure activities must be documented and recorded in the organization’s data processing records.

The organization must establish and maintain a documented procedure for the secure destruction of personal data. This procedure should ensure that data is erased promptly and safely when:

• It is no longer needed for the purpose for which it was collected, including health information that is only required for as long as it remains relevant to the care provided.
• Continued processing would be unlawful or otherwise non-compliant.
• An individual exercises their right to erasure or withdraws consent, and no other lawful basis justifies continued processing.
• Access logs indicating who accessed or received information are no longer necessary for operational or accountability purposes.

The procedure must ensure that data is deleted once retention is no longer justified, except where continued preservation is legally required. It must also define responsibilities, approved deletion methods, and the documentation needed to demonstrate proper execution and compliance.

The organization must maintain a documented process to evaluate and justify the use of legitimate interest as a lawful basis for processing personal data. Before processing begins, a Legitimate Interest Assessment (LIA) must be conducted and retained as evidence of compliance.

• Identify the proposed processing, its purpose, the type of data involved, and the categories of data subjects.
• Confirm that the purpose is legitimate, necessary, and compliant with applicable laws.
• Assess whether processing is essential to achieve the intended purpose and proportionate to the organization’s objectives.
• Evaluate potential harm or impact on data subjects and their ability to exercise their rights.
• Identify and implement measures to mitigate risks or prevent possible harm.

Processing may proceed only when the assessment confirms that it is lawful, necessary, and does not infringe upon individuals’ rights or interests. If the assessment reveals any noncompliance, risks, or potential harm, the processing must be modified, reassessed, or based on an alternative lawful ground before continuation.

The organization must perform and document a Data Protection Impact Assessment (DPIA) before starting any processing that may affect individuals’ privacy or data protection rights. The assessment must evaluate the nature, scope, purpose, and risks of the processing to ensure personal data is handled lawfully and responsibly.

The assessment must define:

• The purpose and legal basis of processing.
• The types, sources, and scope of personal data, including any intended disclosures.
• The context of processing, defining roles and relationships between the controller, processors, and data subjects.
• An evaluation of necessity and proportionality to ensure only essential data is processed.
• The potential impacts on individuals and the likelihood of harm.
• Mitigation measures and their effectiveness.

Completed assessments must be reviewed, approved, and retained as evidence of compliance. When processing is carried out by a processor, a copy of the relevant DPIA must be provided to them to ensure awareness of risks and required safeguards.

Organisaation olisi luotava prosessi tietosuojaa koskevien vaikutustenarviointien (DPIA) suorittamiseksi uudelleen, kun alkuperäinen arviointi osoittaa, että käsittelytoimi vahingoittaa rekisteröityjen yksityisyyttä, ja noudatettava sitä. Prosessiin olisi kuuluttava havaitun haitan erityisten syiden tunnistaminen ja käsittely ennen uudelleenarvioinnin suorittamista.

Kun henkilötietoja käsitellään tieteellisiin, tutkimus- tai tilastollisiin tarkoituksiin ilman suostumusta, organisaation olisi toteutettava ja dokumentoitava erityiset suojatoimet. Näihin on sisällyttävä:

• Tarkoituksen selkeä määrittely käsittelytoimien kirjaamisessa.
• Tietojen minimointiperiaatteiden soveltaminen.
• Pseudonymisoinnin käyttäminen silloin, kun se ei estä tutkimustarkoitusta.
• Arvioidaan ja lievennetään mahdollisia kielteisiä vaikutuksia rekisteröityjen oikeuksiin ja etuihin.

Organisaation olisi luotava ja ylläpidettävä prosesseja ja teknisiä valmiuksia henkilötietojen turvallista ja oikea-aikaista poistamista varten kaikissa tuotteissaan, palveluissaan ja niihin liittyvissä järjestelmissään. Tähän sisältyy sen varmistaminen, että komponentit, laitteet, käyttöjärjestelmät, tallennustilat, integroidut järjestelmät, sovellukset ja liiketoimintaprosessit (mukaan lukien itsepalvelu-, integraatio-, pilvi- ja ulkoistetut prosessit) tarjoavat tarvittavat toiminnot henkilötietojen poistamiseksi tarvittaessa. Menettelyissä olisi määriteltävä, miten tiedot poistetaan, kuka on vastuussa ja miten poistaminen todennetaan.

Critical information infrastructure operators must:

• Store all personal information and important data collected or generated during operations within the territory of the People’s Republic of China.
• Where cross-border transfers are necessary for business purposes, conduct a formal security assessment in accordance with measures set by the national cyberspace administration and relevant state authorities.
• Follow any additional obligations established under applicable laws and administrative regulations, with those provisions taking precedence where relevant.

The organization must have and apply sanctions against workforce members who violate privacy requirements, except where whistleblower protections apply.

The organization must document the sanctions that are applied.

The organization that has multiple covered functions needs to comply with security requirements of each of its functions.

However, it can only use or disclose protected health information in relation to the specific function being performed.

The organization must treat legally authorized personal representatives exactly as the individual for matters related to Protected Health Information (PHI), except in cases where there may be harm to the individual, or it may not be in the best interest of the individual.

Organisaation olisi dokumentoitava oikeusperusta ja erityiset lailliset tarkoitukset kaikille palveluissaan käsiteltäville henkilötiedoille. Asiakirjoista olisi käytävä selvästi ilmi sekä tietojen keräämisen että myöhempien henkilötietojen siirtojen laillisuus, ja niissä olisi varmistettava, että ne ovat sovellettavien tietosuojasäännösten mukaisia. Asiakirjojen olisi katettava kaikki olennaiset henkilötietojen osat ja virrat palvelussa.

Organisaatio on tunnistanut henkilötietojen käyttötarkoitukset, joissa käsittelyn oikeusperusteeksi vaaditaan nimenomainen suostumus. Lisäksi organisaatio on määritellyt tavat saatujen nimenomaisten suostumusten dokumentointiin.

Nimenomaisuudella viitataan sen tavan yksiselitteisyyteen, jolla rekisteröity ilmaisee suostumuksensa. Tällainen suostumus voidaan antaa esim. lausuman perinteisellä allekirjoituksella, sähköisellä allekirjoituksella tai kaksivaiheisen tunnistautumisen jälkeisellä kuittauksella.

Nimenomaista tunnistautumista vaativia tilanteita voivat olla mm.

• Erityisiä henkilötietoja (esim. terveystiedot) koskeva käsittely
• Tietojen siirtämien kolmansiin maihin (kun muita GDPR:n mukaisia siirtoperusteita ei voida noudattaa)
• Automaattinen päätöksenteko tai profilointi

Tarjottujen pilvipalveluiden sopimuksen perusteella käsiteltäviä henkilötietoja ei voida käsitellä mihinkään muuhun tarkoitukseen tai poiketen asiakkaan ohjeista.

Asiakkaan ohjeet tietojen käsittelijälle voivat sisältyä pilvipalvelun tarjoajan ja asiakkaan väliseen sopimukseen, joka sisältää esimerkiksi palvelun tarkoituksen ja todennäköisen aikataulun.

Sopimuksen nojalla käsiteltyjä henkilötietoja, esimerkiksi pilvipalvelua asiakkaille tarjottaessa, ei saa käyttää markkinointi- tai mainontatarkoituksiin ilman tietoja hallitsevan asiakkaan selkeää suostumusta.

Tätä suostumusta ei voi esimerkiksi vaatia tarjotun pilvipalvelun käytön edellytyksenä.

Tämä vaatimus on linjassa yleisten henkilötietojen käsittelyä koskevien vaatimusten kanssa, joissa kaikella henkilötietojen käsittelyllä on oltava selkeä oikeusperusta. Mahdolliset käsittelyt on dokumentoitava normaalisti.

Jokainen tietojärjestelmä voi luoda väliaikaisia tiedostoja normaalin toimintansa aikana. Näitä voivat olla esimerkiksi palautuspäiväkirjat tai päivityksiin liittyvät väliaikaiset tiedostot.

Organisaatiolla tulee olla dokumentoitu tietty ajanjakso ja prosessi, kuinka väliaikaiset tiedostot ja asiakirjat tulee tuhota. Organisaation tulisi myös määritellä menettelyt asiaankuuluvien tiedostojen tunnistamiseksi, jotka ovat väliaikaisia ja joita tietojärjestelmä ei enää käytä mihinkään toimintoon.

Henkilötietojen käsittelyyn käytettävissä tietojärjestelmissä tulee olla säännöllinen tarkistusprosessi käyttämättömien väliaikaisten tietojen tunnistamiseksi hävitettäväksi.

Organisaation on säännöllisesti katselmoitava läpi tapansa suostumusten keräämiseen rekisteröidyiltä, jotta varmistetaan suostumuksen olevan yksiselitteinen ja täsmällinen.

Organisaation tulisi varmistaa, että sopimusperusteisesti käsiteltyjä henkilötietoja ei käytetä markkinointiin tai mainostamiseen ellei siihen ole etukäteissuostumusta rekisteröidyltä.

Suostumusta markkinointiin ja mainostamiseen ei voi käyttää ehtona palvelun saamiselle.

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

Organisaation vastuulla on ilmoittaa asiakkaalle, jos käsittelyohjeet vaikuttavat rikkovan lakeja tai viranomaisvaatimuiksia.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

• tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
• luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
• sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
• vahingonkorvausoikeudelliset vanhentumisajat
• rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

• Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
• Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
• Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
• Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.

Organisaation tulisi tunnistaa rekisteröityjä koskevat lakisääteiset velvoitteet liittyen rekisteröityjä koskeviin päätöksiin, jotka perustuvat automatisoituun käsittelyyn (esim. automasoidusta päätöksenteosta ilmoittaminen rekisteröidylle) ja varmistaa näiden vaatimusten täyttyminen omassa toiminnassaan.

Tietotilinpäätös on organisaatoin laatima, melko ylätasoinen vapaaehtoinen raportti, joka antaa kokonaiskuvan organisaation henkilötietojen käsittelyn nykytilasta. Raportti on tarkoitettu johdon työkaluksi ja lisäämään sidosryhmien luottamusta siihen, että organisaatio noudattaa hyvää sääntelyn mukaista tietojenkäsittelytapaa henkilötietojen käsittelyssä.

Tietosuoja-asetus kannustaa ottamaan käyttöön erilaisia yleisiä käytännesääntöjä ja sertifiointimekanismeja, tietosuojasinettejä ja -merkkejä erityisesti Euroopan Unionin tasolla.

Näiden kaikkien ideana on osoittaa, että käsittelyssä noudatetaan hyvää tietojenkäsittelytapaa ja tietosuoja-asetuksen vaatimuksia. Euroopan tietosuojaneuvosto tulee kokoamaan kaikki saataville tulevat sertifiointimekanismit julkisesti nähtäville.

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Tiedostamme, liittyykö henkilötietojen käsittelyyn rikostuomioihin ja rikkomuksiin liittyviä tietoja.

Mikäli käsittelemme rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja, suoritamme käsittelyä joko viranomaisen valvonnassa tai käsittelyn on oltava sallittu unionin oikeudessa / jäsenvaltion lainsäädännössä, jossa säädettyjen asianmukaisisten suojatoimien toteuttamisesta rekisteröidyn oikeuksien ja vapauksien suojelemiseksi huolehdimme.

Mikäli organisaatiomme tarjoaa tietoyhteiskunnan palveluja suoraan lapselle, henkilötietojen käsittely on lainmukaista toteuttaa suostumukseen perustuen, jos lapsi on vähintään 16-vuotias.

Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen.

Organisaatiomme on määritellyt relevantit tilanteet sekä niihin sovellettavat toimintatavat, joilla varmistetaan suostumuksen kerääminen tarvittaessa lapsen vanhemmilta.

Jokaiselle tietovarannolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• varmistaa rekisterinpitoon liittyvien vastuiden toteutuminen (mm. informointi, tietopyyntöjen hallinta)
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.