Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Henkilötietojen käsittelystä on annettava rekisteröidylle sovellettavassa tietosuojakehyksessä määritellyt tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tämä tapahtuu usein tietosuojaselosteiden muodossa, jotka julkaistaan esimerkiksi organisaation verkkosivustolla.

Jos henkilötietoja ei ole kerätty rekisteröidyltä itseltään, kuvauksissa on perussisällön lisäksi mainittava:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä tiedot koskevat

Processing of personal data is only lawful when supported by a valid legal basis established under the applicable data protection framework. The organization must be able to communicate both the purpose of the processing and the corresponding legal basis to the data subject and, where required, to the relevant supervisory authority.

The documentation shall include at least:

• the legal basis for the processing and all necessary supplementary information
• the parties to whom the processing has been outsourced
• related data sets

The organization must maintain a structured process for receiving and responding to data subject requests in a timely and compliant manner. Requests should be handled without undue delay and within the defined response period. Where additional time is required due to complexity or multiple requests, a limited extension may be applied, provided the requester is informed and given a clear explanation for the delay.

Appropriate administrative and technical measures must support the process, ensuring accurate identity verification, secure handling of personal data, and proper documentation of all requests and responses to demonstrate compliance.

The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.

The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi tietopyyntöjä lähettää
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.