Henkilötietojen käsittely on lainmukaista ainoastaan, mikäli jokin tietosuoja-asetuksen määrittämistä oikeusperusteista toteutuu. Organisaation on pystyttävä viestimään käsittelyn tarkoitus ja oikeusperuste rekisteröidylle sekä tarvittaessa valvontaviranomaiselle.

Dokumentaation on sisällettävä vähintään:

• käsittelyn oikeusperuste sekä tarvittavat lisätiedot
• tahot, joille käsittelyä on ulkoistettu
• liittyvät tietoaineistot

Organisaation olisi määriteltävä menettely, jolla määritetään oikeusperusta kaikille uusille henkilötietojen käsittelyille ja jolla sitä tarkistetaan, kun käsittelyn tarkoitus muuttuu. Menettelyllä on varmistettava, että pätevä oikeusperusta tunnistetaan ja dokumentoidaan ennen käsittelyn aloittamista. Erityistä huomiota olisi kiinnitettävä käsittelyyn, joka perustuu lakisääteisiin velvoitteisiin, kuten potilastietojen ylläpitoon tai terveys- ja sosiaalipalvelujen tarjoamiseen.

Organisaation on säilytettävä selkeä dokumentaatio kaikista terveystietojen käsittelyn vaiheista keräämisestä poistamiseen. Kussakin vaiheessa on yksilöitävä vastuuhenkilö tai -tehtävä vastuuvelvollisuuden ja jäljitettävyyden varmistamiseksi.

Rekisterit on pidettävä ajan tasalla ja asiaankuuluvien viranomaisten saatavilla sovellettavien terveystietoja koskevien säännösten mukaisesti.

Organisaatio on tunnistanut henkilötietojen käyttötarkoitukset, joissa käsittelyn oikeusperusteeksi vaaditaan nimenomainen suostumus. Lisäksi organisaatio on määritellyt tavat saatujen nimenomaisten suostumusten dokumentointiin.

Nimenomaisuudella viitataan sen tavan yksiselitteisyyteen, jolla rekisteröity ilmaisee suostumuksensa. Tällainen suostumus voidaan antaa esim. lausuman perinteisellä allekirjoituksella, sähköisellä allekirjoituksella tai kaksivaiheisen tunnistautumisen jälkeisellä kuittauksella.

Nimenomaista tunnistautumista vaativia tilanteita voivat olla mm.

• Erityisiä henkilötietoja (esim. terveystiedot) koskeva käsittely
• Tietojen siirtämien kolmansiin maihin (kun muita GDPR:n mukaisia siirtoperusteita ei voida noudattaa)
• Automaattinen päätöksenteko tai profilointi

Yksi oikeusperusteista lainmukaiselle henkilötietojen käsittelylle on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Se, milloin etu voidaan katsoa oikeutetuksi, saadaan selville niin kutsutulla tasapainotestillä, jotta rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten.

Kun käyttötarkoituksemme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen sekä sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on tietosuoja-asetuksen mukaista.

Tietosuoja-asetus määrittelee lainmukaiselle henkilötietojen käsittelylle kuusi pääasiallista oikeusperustetta. Lisäksi erityisiä henkilötietoja käsiteltäessä oikeusperusteita koskevat tarkemmat vaatimukset. Kunkin käyttötarkoituksen yhteydessä oikeusperuste on myös viestittävä rekisteröidyille. Kaikki oikeusperusteet eivät kuitenkaan sopeudu kaikkiin tilanteisiin ja tiettyjen oikeusperusteiden soveltaminen aiheuttaa rekisterinpitäjälle lisävaatimuksia.

Tietosuojavastaava auttaa kehittämään käsittelyn lainmukaisuutta arvioimalla eri käyttötarkoitusten oikeusperusteita yhteistyössä eri yksikköjen kanssa sekä tietosuojaviestinnän perusteella.