Organisaation on ylläpidettävä selkeää ja dokumentoitua menettelyä niitä tapauksia varten, joissa henkilötietoja käsitellään muuhun tarkoitukseen kuin siihen, jota varten ne alun perin kerättiin. Menettelyllä on varmistettava, että mahdollinen lisäkäsittely pysyy laillisena, tarpeellisena ja läpinäkyvänä.

Vaatimustenmukaisuuden varmistamiseksi menettelyn on oltava

• Määriteltävä, perusteltava ja dokumentoitava selkeästi uudet käsittelytarkoitukset.
• Käytettävä välineitä, kuten tietojen kartoitusta tai tarpeellisuusarviointeja, sen määrittämiseksi, mitä tietoelementtejä tarvitaan ja miten niitä käsitellään ja suojataan turvallisesti.
• Rajoitettava käsittely siihen vähimmäismäärään henkilötietoja, joka on tarpeen uuden tarkoituksen saavuttamiseksi.
• Käytä asianmukaisia organisatorisia ja teknisiä toimenpiteitä tietojen suojaamiseksi koko käsittelyn ajan.
• Kirjaa kaikki päivitykset tai muutokset organisaation käsittelytoimia koskeviin tietoihin.
• Ilmoitetaan asianomaisille henkilöille uudesta tarkoituksesta ja annetaan kaikki vaaditut tiedot ennen lisätietojen käsittelyn aloittamista.

Organisaation olisi dokumentoitava oikeusperusta ja erityiset lailliset tarkoitukset kaikille palveluissaan käsiteltäville henkilötiedoille. Asiakirjoista olisi käytävä selvästi ilmi sekä tietojen keräämisen että myöhempien henkilötietojen siirtojen laillisuus, ja niissä olisi varmistettava, että ne ovat sovellettavien tietosuojasäännösten mukaisia. Asiakirjojen olisi katettava kaikki olennaiset henkilötietojen osat ja virrat palvelussa.

Rekisteröidyille tulisi tarjota selkeä keino, jolla he voivat esittää vastalauseen henkilötietojen käsittelylle.

Toteutustapa käsittelyn vastustamiseen voi vaihdella, mutta sen tulisi olla linjassa tarjottavan palvelun käyttötavan suhteen (esim. verkkopalveluissa myös käsittelyn vastustamisen tulisi olla mahdollista verkossa).

Kun organisaatio esimerkiksi tarjoaa digipalveluja asiakkaalleen, organisaation ja asiakkaan välisessä sopimuksessa on oltava tarkennettu mm. palvelun tavoite sekä sen toimittamiseen liittyvä aikataulu.

Organisaation on varmistettava, että asiakkaan puolesta käsiteltäviä henkilötietoja käsitellään ainoastaan asiakkaan kirjallisissa ohjeissa esitettyihin tarkoituksiin.

Asiakkaalle on lisäksi tarjottava mahdollisuus todentaa organisaation toiminta suhteessa ohjeisiin. Tällä varmistetaan, että organisaatio ja sen alihankkijat käsittelevät henkilötietoja vain asiakkaan ilmaisemiin tarkoituksiin.

Henkilötietojen käsittelyn käyttötarkoitukset muuttuvat toiminnan kehittyessä. Tietosuojaviestinnän tulee pysyä mukana ja vastata todellista käsittelyn tilaa.

Varmistamme säännöllisesti, että kaikki käyttötarkoitukset on mainittu viestinnässä (esim. tietosuojaselosteissa), käsittely on kuvattu todenmukaisesti ja viestintä toimitetaan rekisteröidyille vaadittujen aikamääreiden puitteissa.