Organisaation on ylläpidettävä listaa hallinnoimistaan tietovarannoista sekä nimetyistä omistajista. Omistaja vastaa varannon tietojen täydentämisestä sekä mahdollisista muista digiturvatoimenpiteistä, jotka liittyvät tiiviisti tietovarantoon.

Tietovarantoihin liittyvä dokumentaatio sisältää mm. seuraavia tietoja:

• Tietovarantoon liittyvät vastuut
• Tietojen käyttötarkoitukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tietoaineistot, joista tietovaranto muodostuu (käsitellään tarkemmin erillisessä tehtävässä)
• Tietojen säännönmukaiset luovutukset (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto tietovarannon sidoksesta toimintaprosesseihin

Henkilötietojen käsittelystä on toimitettava rekisteröidylle tietosuoja-asetuksen määrittelemät tiedot tiiviissä, ymmärrettävässä ja helposti saatavilla olevassa muodossa. Usein tämä toteutetaan joko rekisterikohtaisina tai muuten koottuina tietosuojaselosteina, jotka julkaistaan esimerkiksi organisaation verkkosivulla.

Tietosuojan vastuuhenkilö varmistaa, että selosteissa on viestitty tietosuoja-asetuksen (artikla 13) vaatimat asiat. Kun henkilötietoja eri ole kerätty rekisteröidyltä itseltään, selosteissa on kerrottava perussisällön lisäksi:

• mistä tiedot on saatu
• mitä henkilötietoryhmiä käsittely koskee

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Processing of personal data is only lawful when supported by a valid legal basis established under the applicable data protection framework. The organization must be able to communicate both the purpose of the processing and the corresponding legal basis to the data subject and, where required, to the relevant supervisory authority.

The documentation shall include at least:

• the legal basis for the processing and all necessary supplementary information
• the parties to whom the processing has been outsourced
• related data sets

The organization must establish a clear and consistent process to inform individuals about how their personal data is collected and used. Before or at the time of collection, individuals should be provided with all essential details, the controller's detail, the purpose and legal basis of processing, how long the data will be retained, and how they can exercise or withdraw consent for processing. The organization must also clarify whether providing data is optional or mandatory.

The procedure must also specify how individuals are informed of their ability to withdraw consent and the implications of doing so. In cases where the data subject already possesses this information or disclosure would breach legal restrictions, the organization may justifiably withhold notification while maintaining a record of that decision for accountability.

When personal data is collected from sources other than the individual, including publicly available sources, the organization must ensure transparency, fairness, and lawful processing and disclosure.

• Inform the data subject within a reasonable time after collection, including the categories and sources of data.
• Ensure the processing or disclosure serves a specific, lawful purpose and is limited to the minimum data necessary.
• Take appropriate measures to protect the privacy and rights of all individuals.
• Confirm that any disclosure of publicly available data complies with applicable laws and does not breach data protection requirements.
• Notification is not required if the individual already has the information, disclosure is impractical or excessive, or processing occurs under legal, confidentiality, or public interest obligations.

The above conditions do not apply if the data subject already has the information, disclosure is impossible or disproportionate, the data is collected under legal or confidentiality obligations, or processed by a public authority for security, judicial, or public interest purposes.