GDPR

Käsittelyn lainmukaisuus

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
GDPRPeriaatteet5-11Periaatteet

Käsittelyn lainmukaisuus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

No items found.
GDPRPeriaatteet5-11PeriaatteetKäsittelyn lainmukaisuus

Käsittelyn lainmukaisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot

Tasapainotestien toteuttaminen ja dokumentointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Tietoaineistojen dokumentointi tietovarannoille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Tietovarantojen listaus ja omistajien nimeäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Käsittelyn lainmukaisuuden säännöllinen itsearviointi

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Henkilötietojen käyttötarkoitusten dokumentointi tietovarannoille

Critical
High
Normal
Low

Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

  • käsittelyn oikeusperuste sekä tarvittavat lisätiedot
  • tahot, joille käsittelyä on ulkoistettu
  • liittyvät tietoaineistot
Liittyvät muut vaatimuskehikot ja vaatimukset:
6. Käsittelyn lainmukaisuus
GDPR
30. Seloste käsittelytoimista
GDPR

Tietoaineistojen dokumentointi tietovarannoille

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

  • Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
  • Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
  • Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)
Liittyvät muut vaatimuskehikot ja vaatimukset:
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
6. Käsittelyn lainmukaisuus
GDPR

Tietovarantojen listaus ja omistajien nimeäminen

Critical
High
Normal
Low

Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

  • Tietovarantoon liittyvät vastuut
  • Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
  • Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
  • Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin
Liittyvät muut vaatimuskehikot ja vaatimukset:
5. Henkilötietojen käsittelyä koskevat periaatteet
GDPR
6. Käsittelyn lainmukaisuus
GDPR

Tasapainotestien toteuttaminen ja dokumentointi

Critical
High
Normal
Low

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6. Käsittelyn lainmukaisuus
GDPR
21. Vastustamisoikeus
GDPR

Käsittelyn lainmukaisuuden säännöllinen itsearviointi

Critical
High
Normal
Low

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.

Liittyvät muut vaatimuskehikot ja vaatimukset:
6. Käsittelyn lainmukaisuus
GDPR
9. Erityisiä henkilötietoryhmiä koskeva käsittely
GDPR
No items found.