Organisaation täytyy määritellä toimintatavat, joiden avulla rekisterinpitäjälle tiedotetaan kaikista henkilötietojen käsittelijöistä ennen tietojen käsittelyn aloittamista.

Ilmoituksen on sisällettävä käsittelijöiden käsittelevät tiedot sekä käyttötarkoitukset, joihin he tietoja käsittelevät.

Organisaatiolla on oltava selkeät toimintatavat tilanteisiin, joissa organisaatiota pyydetään lain perusteella luovuttamaan henkilötietoja viranomaisille. Kertaluonteisista tietoluovutuksista on lisäksi pidettävä listausta.

Organisaation on kiinnitettävä erityistä huomiota näistä tilanteista tiedottamiseen sekä tiedottamisen aikatauluun kiinnostuneille asiakkaille, mikäli tämä ei esimerkiksi käynnissäolevan tutkinnan tai muun lakisääteisen seikan vuoksi ole lainvastaista.

Nämä toimintatavat on pyydettäessä pystyttävä kuvailemaan kiinnostuneelle asiakkaalle. Toimintatavat ja ilmoittamiseen liittyvät sitoumukset on kuvattava mm. tarjottavista digipalveluista tehdyissä sopimuksissa.

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Rekisteröidyille tulisi tarjota organisaation toimesta mekanismi, jolla he voivat tarkastella ja korjata henkilötietojaan.

Organisaatiolla tulee olla ennalta suunnitellut menettelytavat tilanteisiin, joissa kolmansille osapuolille on ilmoitettava jaettujen henkilötietojen muutoksista, poistoista ja kielloista.

Nämä osapuolet voivat olla esimerkiksi tietoja käsitteleviä kumppaneita tai organisaatiota, joille henkilötietoja on luovutettu eteenpäin.

Organisaation on kyettävä toimittamaan rekisteröidylle kopio käsiteltävistä henkilötiedoista rekisteröidyn pyynnöstä.

Organisaation on suunniteltava ennakkoon prosessi, jolla kopio henkilötiedoista saadaan toimitettua jäsennellyssä ja yleisesti käytössä olevassa muodossa sekä turvallisesti rekisteröidylle.

Toimiessaan yhteisrekisterinpitäjänä organisaatio määrittelee läpinäkyvällä järjestelyllä muiden yhteisrekisterinpitäjien kanssa rekisterinpitäjien velvoitteiden noudattamisesta sekä rekisteröityjen informoinnista.

Organisaatio voi esimerkiksi tehdä sopimuksen eri yhteisrekisteripitäjien kanssa tai dokumentoida kirjallisesti yhteisrekisterinpitäjyyteen liittyvät menettelyt sekä julkaista ne verkossa ja asettaa saataville toimipisteissä.

Organisaatio on määritellyt tunnistamansa henkilötietojen käyttötarkoituksen oikeusperusteen huomioiden, mitkä rekisteröidyn oikeudet liittyvät kyseiseen käsittelyyn.

Rekisteröity ei voi käyttää kaikkia oikeuksiaan kaikissa tilanteissa. Se, mitä oikeuksia rekisteröity voi kulloinkin käyttää, riippuu siitä, millä perusteella kyseessä olevia henkilötietoja käsitellään. Organisaatio voi hyödyntää tietosuojaviranomaisten ohjeistuksia siitä, kuinka käsittelyperuste vaikuttaa käytettävissä oleviin oikeuksiin. Oikeuksiin voi olla lisäksi säädetty poikkeuksia organisaatiota koskevassa erityislainsäädännössä tai niiden toteuttamisesta mahdollista kieltäytyä vahvoin perustein yksittäistapauksissa.

Tietolähteiden ymmärtäminen on tärkeää tietojen virtauksen ymmärtämiseksi. Tietosuojaviestinnässä on lisäksi pystyttävät viestimään henkilötietojen lähteet tapauksissa, joissa tietoja ei ole kerätty suoraan rekisteröidyltä itseltään.

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi tietopyyntöjä lähettää
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.

Tietosuojaviestinnän tulisi olla tiivistä sekä helposti ymmärrettävää ja sen tulisi olla helposti saatavilla. Tietosuojaviestinnän kehittämiseksi testaamme eri käyttötarkoituksiin liittyvää viestintäämme antamalla vedoksen tietosuojaviestinnästä luettavaksi rekisteröityjen joukosta valitulle testiryhmälle, ja muokkaamalla viestintää palautteen perusteella.

Organisaation käsittelemät henkilötiedot on kartoitettu ja dokumentoitu. Dokumentaatio sisältää mm.:

• Henkilötietojen tallennuspaikan (esim. tietty tietojärjestelmä)
• Henkilötietoryhmät
• Tietojen sijainnin
• Tietoja käsittelevät kumppanit

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä käsittely koskee

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä voi tarkoittaa esimerkiksi tapaa ladata kerralla verkkopalveluun lisättyjä tietoja yleisessä muodossa (esim. XLS, XML, JSON).

Oikeutta sovelletaan kun seuraavat ehdot toteutuvat:

• henkilötietoja käsitellään automaattisesti
• henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
• henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
• kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Organisaatiomme on tiedostanut tilanteet, joissa rekisteröidyllä on oikeus siirtää tietonsa. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen siirtoa
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• muodot, jossa tiedot toimitetaan rekisteröidylle
• tavat, joilla rekisteröityä tiedotetaan

Kun kyse ei ole tietosuoja-asetuksen määrittelemistä erityistilanteista, mutta jokin seuraavista perusteista täyttyy, rekisteröidyllä on oikeus saada henkilötietonsa poistetuksi:

• käsittely on perustunut suostumukseen (eikä muuta perustetta käsittelylle ole) ja rekisteröity peruu suostumuksensa
• rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinoinnin tarkoituksiin tai käyttää vastustamisoikeuttaan muutoin, eikä käsittelyyn ole olemassa perusteltua syytä
• henkilötiedot on kerätty tietoyhteiskunnan palvelujen tarjoamisen yhteydessä

Tiedostamme, missä tilanteissa "oikeus tulla unohdetuksi" toteutuu toiminnassamme. Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi pyytää tietojen poistamista
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot poistetaan turvallisesti ja pysyvästi sekä rekisteröityä tiedotetaan