The organization must maintain a clear and documented procedure for cases where personal data is processed for a purpose other than the one for which it was originally collected. This procedure should ensure that any additional processing remains lawful, necessary, and transparent.

To ensure compliance, the procedure must:

• Clearly define, justify, and document new processing purposes.
• Use tools such as data mapping or necessity assessments to identify which data elements are needed and how they will be securely processed and safeguarded.
• Limit processing to the minimal amount of personal data required to achieve the new purpose.
• Apply appropriate organizational and technical measures to protect the data throughout processing.
• Record all updates or changes in the organization’s processing activity records.
• Inform affected individuals of the new purpose and provide all required details before beginning additional processing.

Organisaation olisi dokumentoitava oikeusperusta ja erityiset lailliset tarkoitukset kaikille palveluissaan käsiteltäville henkilötiedoille. Asiakirjoista olisi käytävä selvästi ilmi sekä tietojen keräämisen että myöhempien henkilötietojen siirtojen laillisuus, ja niissä olisi varmistettava, että ne ovat sovellettavien tietosuojasäännösten mukaisia. Asiakirjojen olisi katettava kaikki olennaiset henkilötietojen osat ja virrat palvelussa.

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.