Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Henkilötietojen käsittelystä on annettava rekisteröidylle sovellettavassa tietosuojakehyksessä määritellyt tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Tämä tapahtuu usein tietosuojaselosteiden muodossa, jotka julkaistaan esimerkiksi organisaation verkkosivustolla.

Jos henkilötietoja ei ole kerätty rekisteröidyltä itseltään, kuvauksissa on perussisällön lisäksi mainittava:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä tiedot koskevat

Henkilötietojen käsittely on laillista vain silloin, kun sen tueksi on olemassa voimassa oleva, sovellettavan tietosuojakehyksen mukainen pätevä oikeusperusta. Organisaation on kyettävä ilmoittamaan rekisteröidylle ja tarvittaessa asianomaiselle valvontaviranomaiselle sekä käsittelyn tarkoitus että sitä vastaava oikeusperusta.

Asiakirjoihin on sisällyttävä vähintään seuraavat tiedot

• käsittelyn oikeusperusta ja kaikki tarvittavat lisätiedot
• osapuolet, joille käsittely on ulkoistettu.
• asiaan liittyvät tietokokonaisuudet

Organisaation on ylläpidettävä jäsenneltyä prosessia rekisteröityjen pyyntöjen vastaanottamiseksi ja niihin vastaamiseksi oikea-aikaisesti ja sääntöjenmukaisesti. Pyynnöt olisi käsiteltävä ilman aiheetonta viivytystä ja määritellyn vastausajan kuluessa. Jos pyyntöjen monimutkaisuuden tai useiden pyyntöjen vuoksi tarvitaan lisäaikaa, määräaikaa voidaan pidentää rajoitetusti edellyttäen, että pyynnön esittäjälle ilmoitetaan asiasta ja annetaan selkeä selitys viivästykselle.

Prosessia on tuettava asianmukaisilla hallinnollisilla ja teknisillä toimenpiteillä, joilla varmistetaan henkilöllisyyden tarkka todentaminen, henkilötietojen turvallinen käsittely sekä kaikkien pyyntöjen ja vastausten asianmukainen dokumentointi vaatimustenmukaisuuden osoittamiseksi.

The organisation has determined the legal basis for the purposes for which the personal data it has identified are used, taking into account the rights of the data subject in relation to that processing.

The data subject cannot exercise all his or her rights in all situations. The rights that may be exercised by the data subject depend on the basis on which the personal data in question are processed. An organisation can make use of guidance from data protection authorities on how the basis of processing affects the available rights. There may also be exceptions to these rights in specific legislation governing the organisation, or it may be possible to refuse to exercise them on strong grounds in individual cases.

Aina kun käsittelemme henkilötietoja, rekisteröidyllä on tiettyjä oikeuksia, mm. saada pääsy tietoihinsa ja tietyissä tilanteissa vastustaa käsittelyä tai saada tietonsa poistetuksi.

Olemme suunnitelleet toimintatavat näitä tilanteita varten, jotka voivat sisältää mm.:

• tavat, joilla rekisteröity voi tietopyyntöjä lähettää
• tavat, joilla tietopyynnön lähettäjän henkilöllisyys tarkistetaan
• henkilöt, jotka auttavat rekisterin yhteyshenkilöä pyynnön käsittelyssä
• tavat, joilla tiedot toimitetaan rekisteröidylle turvallisesti

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.