• Tietotilinpäätös tietojenkäsittelyn nykytilasta
  • Voidaan käyttää myös viestintämekanismina sidosryhmille
• Lista tarvittavista konkreettisista teknisistä ja organisatorisista muutostoimenpiteistä ja niiden läpivienti
  • Tietosuojaperiaatteiden huomiointi
  • Osoitusvelvollisuuden toteuttaminen (aiemmin riitti noudattaminen)
    • Dokumentointi, sertifikaatit, käytännesäännöt
    • rekisterinpitäjien ja henkilötietojen käsittelijöiden ylläpidettävä selostetta vastuullaan olevista käsittelytoimista
• Tietosuojavastaava
  • Konserni, samoin kuin useampi viranomainen tai julkishallinnon elin, voi tietyin edellytyksin nimittää vain yhden tietosuojavastaavan
• Rekisterinpitäjä ja muut henkilötietojen käsittelijät
  • Asetus säätää rekisterinpitäjän ja toimeksisaajan välisissä toimeksiantosopimuksissa erityisesti sovittavista seikoista

Riskiarvio ja tietoturva

• Riskit ovat henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen
• Korkeampi riski kohdistuu mm. erityisryhmiin kuten lapsiin tai suurten henkilötietomassojen käsittelyyn --> tehtävä vaikutustenarviointi ml. toimenpiteet riskien pienentämiseksi
• Tietoturvaloukkaukset
  • Vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin
  • Laadittava toimintaohjelma
  • Rekisterinpitäjällä velvollisuus ilmoittaa loukkauksista tietosuojaviranomaiselle ja rekisteröidylle 72 h kuluessa
  • Henkilötietojen käsittelijän ilmoitettava loukkauksista rekisterinpitäjälle ilman aiheetonta viivytystä

Henkilötietojen käsittelyn oikeusperusteen tunnistaminen

• Lainsäädännössä säädetty peruste käsitellä henkilötietoja
• Tieteelliset ja historialliset tukimustarkoitukset sekä tilastointi (asetuksessa kansallinen joustovara)
• Oikeutettu etu (kuten asiakassuhde, palvelussuhde)
• Suostumus ( ja erityisryhmiltä, kuten lapset, nimenomainen suostumus)
• Lisäksi omat henkilökohtaiset tarkoitukset (esim. oma osoitekirja ja syntymäpäiväluettelo)

Rekisteröidyn oikeudet; poimintoja

• Tietojen toimitus rekisteröidylle kuukauden määräajassa
  • Suoraan rekisteröidyltä kerätyt henkilötiedot
  • Muualta kuin rekisteröidyltä itseltään kerätyt henkilötiedot
• Oikeus siirtää tiedot järjestelmästä toiseen
  • Rekisteröidyllä on oikeus siirtää rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot rekisterinpitäjältä toiselle sen rekisterinpitäjän estämättä, jolle tiedot on toimitettu jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.
  • Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista. Rekisteröidyllä on oikeus siirtoon vain silloin, jos käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely suoritetaan automaattisesti.
• Rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Rekisteröidyn oikeus ei saa myöskään vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.