The organization must ensure that the destruction of personal data is carried out in a secure and coordinated manner. When data is deleted, all relevant external parties and individuals who previously received it must be informed and asked to remove any copies in their possession. Internal copies, including archived and backup data, must also be securely erased using approved methods.

All destruction activities should be documented and verified, ensuring compliance with applicable legal and regulatory obligations and any requirements set by competent authorities.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla varmistetaan, että henkilötietojen käsittely lopetetaan ilman aiheetonta viivytystä sen jälkeen, kun rekisteröity peruuttaa suostumuksensa. Prosessissa olisi yksilöitävä toimenpiteet, joita tarvitaan käsittelyn lopettamiseksi kaikissa asiaankuuluvissa järjestelmissä ja palveluissa. On tärkeää huomata, että suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tapahtuneen käsittelyn laillisuuteen.

Kun henkilötietojen käsitellään rekisteröidyn suostumuksen perusteella, organisaation tulisi tarjota rekisteröidyille selkeä prosessi suostumuksen muokkaamiseen tai perumiseen. Muokkaaminen voi tarkoittaa myös henkilötietojen käsittelyn rajoittamista, mikä voi vaikuttaa rekisterinpitäjän oikeuteen poistaa kysessä olevia tietoja.

Prosessiin tulisi sisältyä muokkaamispyyntöjen kirjaaminen suostumuksen kirjaamista vastaavalla tavalla. Muutokset suostumukseen tulee kommunikoida kaikkiin asianmukaisiin järjestelmiin, valtuutetuille käyttäjille sekä kolmansille osapuolille. Prosessissa pitäisi myös määritellä vasteaika, jossa pyynnöt tulisi käsitellä.

Huom.! Eri lainkäyttöalueilla voi olla rajoituksia siihen, miten ja koska rekisteröity voi suostumustaan muokata.

Mikäli organisaatiomme toteuttaa henkilötietojen käsittelyä, jossa oikeusperusteena on rekisteröidyltä saatu suostumus, meidän on varmistettava suostumuksen edellytysten täyttyminen. Lainmukaisen suostumuksen edellytyksiä ovat:

• Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn
• Suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä muodossa
• Rekisteröity voi peruuttaa suostumuksensa milloin tahansa ja on saanut ohjeet tämän tekemiseen ennen suostumuksen antamista
• Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen

Tietosuojavastaava voi olla vastuussa suostumuksen edellytysten arvioinnista. Tärkeää on myös huomioida muuten, soveltuuko suostumus yleensäkin käsittelyn oikeusperusteeksi.