Valmiiksi täytetty PIA-malli, joka noudattaa TBS:n tietosuojavaikutusten arviointia koskevaa direktiiviä Kanadan liittovaltion ministeriöille, jotka ottavat käyttöön AccessPointin

Last updated: July 12, 2026 by Steve

GC:n tietosuojavaikutusten arviointi (PIA)

Tämä sivu on ohjelmiston julkaisijan (Realizer Services Inc.) AccessPointille laatiman tietosuojaa koskevan vaikutustenarvioinnin (PIA) julkinen yhteenveto, joka noudattaa Treasury Board of Canada Secretariatin (TBS) tietosuojavaikutusten arviointia koskevaa direktiiviä. Se dokumentoi tuotteeseen sisäänrakennetut henkilötietovarannot, tietovirrat, tietosuojariskit ja suojatoimet.

Julkaisijan PIA kattaa tekniset ja arkkitehtuuriset osiot, ja sen tarkoitus on auttaa Kanadan liittovaltion laitoksia täydentämään omaa PIA:taan. Käyttöönottava laitos täydentää institutionaaliset tiedot (institutionaalinen yleiskatsaus, säilytysaikataulut, tietojenvaihtosopimukset ja hyväksyntä) ja toimittaa valmiin PIA:n TBS:lle ja tietosuojavaltuutetun virastolle (Office of the Privacy Commissioner, OPC). Täydellinen PIA on asiakkaiden saatavilla pyynnöstä — katso päätössivun huomautus.

Täydellinen tekninen arkkitehtuuri on kuvattu sivulla Tekninen arkkitehtuuri. ITSG-33-turvallisuuskontrollien kartoitus löytyy sivulta GC-turvallisuuskontrolliviite.

Tarkoitus ja soveltamisala

AccessPoint on tietopyyntöjen ja tietosuojan hallinta-alusta, joka auttaa valtion laitoksia hallinnoimaan tietopyyntö- ja tietosuojaohjelmia Access to Information Actin (ATIA), Privacy Actin ja vastaavien provinssi-/kansainvälisten säädösten mukaisesti. Sen ensisijainen toiminto on rekisteröidyn tietopyyntöjen / tietopyyntöjen hallinta — koko elinkaari vastaanotosta tehtävänjakoon, asiakirjojen keräykseen, tarkastukseen, peittämiseen ja vastauksen paketointiin.

Pyyntöjen käsittelyn lisäksi AccessPoint tukee myös ympäröivää tietosuojaohjelmaa: tietosuojavaikutusten arviointeja (PIA-/AIA-/Security-arvioinnit), tietosuojapoikkeamien ja tietoturvaloukkausten hallintaa (mukaan lukien ilmoitusvelvollisuuden työnkulut), valituksia ja muutoksenhakuja, tietosuojan riskirekisteriä ja sitoumusrekisteriä sekä käsittelytoimien selosteita (ROPA). Nämä moduulit käsittelevät lisäkategorioita henkilötietoja, ja niitä koskevat samat suojatoimet, roolit, tarkastusloki ja tietojen sijaintitakuut kuin pyyntöjen hallinnan ydintä.

Liiketoimintaprosessi: vastaanotto (SAO luo pyynnön) → tehtävänjako (haltijat saavat puhdistetut ohjeet ilman pyytäjän henkilötietoja) → asiakirjojen keräys → tarkastus ja peittäminen → vastauksen paketointi → sulkeminen (säilytysaika alkaa).

Vaikutuksen kohteena olevat henkilöt: pyytäjät; laitoksen työntekijät (SAOt, pääkäyttäjät), joiden toimet kirjataan tarkastuslokiin; haltijat ja avustajat (joilla ei ole pääsyä pyytäjän henkilötietoihin); kolmannet osapuolet, joiden henkilötietoja voi esiintyä tarkastettavissa asiakirjoissa; rekisteröidyt, jotka on kuvattu kategoriatasolla ROPA:ssa ja arvioinneissa; tietosuojapoikkeaman kohteena olevat henkilöt; valittajat ja valituksen osapuolet; sekä konsultaatioyhteyshenkilöt.

Oikeudellinen valtuutus: keräys ja käyttö perustuvat ensisijaisesti ATIA:aan (s.4, 6, 9, 19) ja Privacy Actiin (s.4, 5, 7, 8(2)(m) sekä yksilön oikeus tutustua omiin tietoihinsa).

Henkilötietoluettelo

Kerätyt ja käsitellyt henkilötiedot

Tietoelementti Arkaluonteisuus Lähde Tarkoitus Tallennuspaikka
Pyytäjän koko nimi Keskitaso Pyytäjä (vastaanoton kautta) Pyytäjän tunnistaminen, kirjeenvaihto Azure SQL
Pyytäjän sähköpostiosoite Keskitaso Pyytäjä Sähköpostikirjeenvaihto Azure SQL
Pyytäjän postiosoite Keskitaso Pyytäjä Vastauksen postitse toimittaminen Azure SQL
Pyytäjän puhelinnumero Matala-keskitaso Pyytäjä Puhelinkirjeenvaihto Azure SQL
Pyytäjän organisaatio Matala Pyytäjä Tilastollinen raportointi Azure SQL
Pyynnön kuvaus Keskitaso Pyytäjä Haun laajuuden määrittely Azure SQL
Kohdehenkilön nimi Keskitaso-korkea Pyytäjä (vastaanoton kautta) Pyynnön kohdehenkilön tunnistaminen (voi poiketa pyytäjästä) Azure SQL
Kohdehenkilön syntymäaika Korkea Pyytäjä (vastaanoton kautta) Henkilöllisyyden vahvistaminen tietosuojapyynnöissä Azure SQL
Työntekijöiden nimet, sähköpostit, Entra-objektitunnukset Matala Entra ID Käyttäjätunnistus, ilmoitukset, todennus, tarkastus Azure SQL
Tarkastusketju (käyttäjätoiminnot) Matala-keskitaso Järjestelmän luoma Vastuullisuus, vaatimustenmukaisuus Azure SQL
Tarkastettavat asiakirjat Mahdollisesti korkea Laitoksen tietueet ATIA-vastauksen valmistelu Azure Blob Storage
Peitetyt asiakirjaversiot Keskitaso Järjestelmän luoma Vastauksen paketointi Azure Blob Storage
Vahvistustietueet ja sähköiset allekirjoitukset (kirjoitettu nimi) Matala-keskitaso Haltijat Muodollinen vahvistus täydellisyydestä Azure SQL
IP-osoitteet ja user agent -merkkijonot (vahvistus, asiakirjan käyttö) Matala-keskitaso Järjestelmän tallentama Allekirjoitus-/käyttökontekstin forensinen tarkastus Azure SQL
Pyytäjän viestintä Keskitaso SAO-henkilöstö Kirjeenvaihtotietueet (suunta, menetelmä, päivämäärä, muistiinpanot) Azure SQL
Delegointitietueet Matala-keskitaso SAO/pääkäyttäjä Virkamiehen vastuun delegointi Azure SQL
Konsultaatiotietueet ja yhteystietohakemisto Matala-keskitaso SAO-henkilöstö Osastojen välinen tai ulkoinen konsultaatio Azure SQL
Pyytäjän yhteystietohakemisto Keskitaso Pyytäjä / vastaanottohenkilöstö Uudelleenkäytettävä pyytäjän identiteetti; pyyntö linkittyy yhteystietoon sen sijaan, että henkilötiedot tallennettaisiin suoraan Azure SQL
Poikkeaman vaikuttamien henkilötietojen tiedot Mahdollisesti korkea Tietosuoja-/ATIP-henkilöstö Poikkeaman tosiseikat, vaikuttuneiden henkilötietojen kategoriat, vahinkoarviointi, ilmoitusvelvollisuuden seuranta Azure SQL
Valituksen osapuolet ja kirjeenvaihto Keskitaso Tietosuoja-/ATIP-henkilöstö Valittajan/osapuolen identiteetti ja valituksen käsittely Azure SQL
Käsittelytoimien selosteiden (ROPA) kategoriat Matala-keskitaso Tietosuojahenkilöstö GDPR Article 30 -kuvaukset rekisteröidyn/vastaanottajan kategorian mukaan — ei yksittäisiä tietueita Azure SQL
Arviointikyselyn vastaukset Matala-keskitaso Tietosuojahenkilöstö / valtuutetut PIA-/AIA-/Security-sisältö; voi kuvata ohjelman käsittelemiä henkilötietoja Azure SQL
Microsoft 365:stä talletetut tietueet (valinnainen) Mahdollisesti korkea Haltijan oma M365-data Haltijan tallentama sähköposti, kalenteri, OneNote, Teams-keskustelut tai Copilot-vuorovaikutukset vastauksena olevana tietueena Azure Blob Storage (muunnetut PDF:t)
Hash-ketjutettu tarkastusloki Matala-keskitaso Järjestelmän luoma Peukaloinnin paljastava, vain lisäävä loki toiminnoista kaikissa moduuleissa Azure SQL

Henkilötiedot, joita EI kerätä

AccessPoint ei kerää eikä käsittele seuraavia: sosiaaliturvatunnuksia (Social Insurance Number); taloustietoja (pankkitilit, luottokortit); terveys- tai potilastietoja rakenteisena datana (niitä voi esiintyä tarkastettavissa asiakirjoissa); biometrisiä tietoja; rikosrekisteritietoja; sijaintitietoja; tai evästeitä/seurantatunnisteita.

Huomautus: IP-osoitteita ja user agent -merkkijonoja tallennetaan vain rajoitetuissa yhteyksissä (vahvistuksen allekirjoitus ja asiakirjan käytön kirjaaminen) forensisia tarkastustarkoituksia varten, kuten edellä on lueteltu. Yleistä selauskäyttäytymistä ja laitteen sormenjälkitietoja ei kerätä.

Arkaluonteiset henkilötiedot asiakirjoissa

ATIA-prosessin aikana kerätyt asiakirjat voivat sisältää minkä tahansa henkilötietoluokan, mukaan lukien arkaluonteisia henkilötietoja kolmansista osapuolista. AccessPoint ei analysoi eikä indeksoi asiakirjojen sisältöä — se tallentaa, esikatselee ja mahdollistaa peittämisen. Asiakirjoissa olevien henkilötietojen luokittelun ja poikkeusten soveltamisen suorittavat koulutetut SAOt sisäänrakennettuja tarkastustyökaluja käyttäen.

Microsoft 365 -tietueiden tallennus (valinnainen, ominaisuuskytkimen takana): haltija voi tallentaa omat Microsoft 365 -tietueensa — Outlook-sähköpostin, Outlook-kalenterin, OneNoten, Teams-keskustelut, Microsoft Listsin tai Copilot-vuorovaikutushistorian — vastauksena olevana tietueena. Tallennus käyttää aina kirjautuneen käyttäjän omaa delegoitua identiteettiä ja rajoittuu kyseisen käyttäjän omaan dataan (Copilot-haku on sovellustasoinen, koska delegoitua Graph-oikeutta ei ole olemassa, mutta se on aina palvelinpuolella rajattu kirjautuneen käyttäjän omaan Entra-objektitunnukseen — ei koskaan koko vuokraajan laajuiseksi). Tallennettu sisältö renderöidään PDF:ksi ja siirtyy normaaliin tarkastus-/peittämistyönkulkuun. Kalenteritallennus jättää oletuksena pois kohteet, jotka on merkitty yksityisiksi/henkilökohtaisiksi/luottamuksellisiksi.

Henkilötietovirtojen analyysi

Vaihe Yhteenveto
Keräys Henkilötietoja kerätään ATIA:n s.6 (pyynnön jättäminen edellyttää nimeä ja osoitetta) ja Privacy Actin s.4 (keräys liittyen operatiiviseen ohjelmaan) nojalla. Vain pyynnön käsittelyyn tarpeelliset henkilötiedot kerätään suoraan pyytäjältä, ja SAO-henkilöstö syöttää ne järjestelmään. Kentät ovat laitoksen konfiguroitavissa.
Käyttö Pyytäjän henkilötietoja käytetään yksinomaan ATIA-/Privacy Act -pyynnön käsittelyyn. Vain pääkäyttäjä-, SAO- ja tarkastaja-roolit voivat nähdä pyytäjän henkilötiedot — haltijat ja avustajat eivät koskaan näe niitä (pakotettu palvelinpuolella henkilötietosuodattimen väliohjelmistolla). Automatisoitua päätöksentekoa, profilointia tai algoritmista käsittelyä ei tapahdu; kaikki päätökset tekee koulutettu henkilöstö. Tilastoraportit ovat vain koosteita.
Luovutus Vastauspaketti toimitetaan pyytäjälle (ATIA s.7). Sisäinen luovutus SAO-/tarkastajahenkilöstölle on rooliohjattua; haltijat/avustajat saavat vain puhdistetut ohjeet. Sähköposti- ja Teams-ilmoitukset haltijoille/avustajille eivät sisällä pyytäjän henkilötietoja. Julkaisija vastaanottaa vain vuokraajatunnuksen (lisenssin vahvistus), ilmoitusmetatiedot (vastaanottajan käyttäjätunnus, aktiviteettityyppi, toimijan näyttönimi, pyyntönumero, esikatselu-/aiheteksti, liittyvän tietueen viite) ja määrityspaketin asennusraportit — ei pyytäjän henkilötietoja. Microsoft käsittelee tietoja alikäsittelijänä laitoksen omassa vuokraajassa.
Säilytys ja hävittäminen Sisäänrakennettu säilytystarkastusominaisuus soveltaa konfiguroitavia säilytysaikoja pyyntötyypeittäin. Puhdistus poistaa pysyvästi pyyntötietueet, asiakirjat, tehtävänannot, tehtävät, vahvistukset ja tarkastushistorian, ja se kirjataan RetentionPurgeLog-tauluun. Azure SQL:n automaattiset varmuuskopiot säilyttävät tietoja 7–35 päivää tasosta riippuen (konfiguroitava pitkäaikaissäilytys).
Tarkkuus Pyytäjän henkilötiedot syötetään alkuperäisestä pyyntölomakkeesta; työntekijän henkilötiedot haetaan Entra ID:stä ja päivitetään jokaisella kirjautumiskerralla. Henkilötiedot tallennetaan sellaisenaan kuin ne on syötetty — järjestelmä ei muunna, päättele tai johda lisähenkilötietoja.

Ilmoitusreitti havainnollistaa "ei pyytäjän henkilötietoja julkaisijalle" -kontrollia:

Event (e.g., assignment created)
        │
        ▼
  API Notification Dispatch Service
        │
        ├── PII Filter: strips requestor PI for Custodian/Contributor templates
        │
        ├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
        │    (via managed identity or institution's app registration)
        │
        └──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
             (sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)

Tietosuojariskien arviointi

Riski Todennäköisyys Vaikutus Lieventäminen Jäännösriski
Luvaton pääsy pyytäjän henkilötietoihin Matala Keskitaso Kuusiportainen RBAC palvelinpuolen pakottamisella; haltijat/avustajat arkkitehtuurisesti suljettu henkilötietojen ulkopuolelle; Entra ID MFA; roolitarkistukset jokaisessa pyynnössä. Matala
Henkilötietoloukkaus asiakirjojen paljastumisen kautta Matala-keskitaso Keskitaso-korkea Lepotilan salaus (TDE, AES-256); roolipohjainen valtuutus; ei julkista pääsyä asiakirjoihin; peittämistyökalut poistavat henkilötiedot ennen vastauksen paketointia. Matala-keskitaso
Henkilötiedot ilmoituksissa Erittäin matala Matala Haltija-/avustajamallit poistavat henkilötiedot automaattisesti; SAO-ilmoitukset sisältävät pyyntönumeron mutta eivät pyytäjän henkilöllisyyttä; Teams-ilmoitukset sisältävät vain ilmoitustyypin, pyyntönumeron ja tehtävän/toimeksiannon nimen. Erittäin matala
Henkilötietojen välittäminen julkaisijalle Erittäin matala Matala Julkaisija vastaanottaa vain vuokraajatunnuksen (lisenssi) ja ilmoitusmetatiedot — ei henkilötietoja, asiakirjoja tai pyyntötietoja — eikä sillä ole pysyvää pääsyä laitoksen Azure-resursseihin. Erittäin matala
Henkilötiedot Kanadan lainkäyttöalueen ulkopuolella Konfiguraatioriippuvainen Keskitaso Tiedot tallennetaan laitoksen valitsemalle Azure-alueelle (Canada Central/East suositeltu); Microsoft Cloud Agreement käsittelee tietojen sijaintia. Laitoksen arvioitava
Puutteellinen säilytys/hävittäminen Matala-keskitaso Keskitaso Sisäänrakennettu säilytystarkastus konfiguroitavilla jaksoilla ja puhdistuskirjauksella; laitos sovittaa aikataulut yhteen Library and Archives Canadan hävittämisvaltuutusten kanssa. Matala (asianmukaisella konfiguraatiolla)
Sisäinen uhka (valtuutetun käyttäjän väärinkäyttö) Matala Keskitaso Kattava tarkastusketju käyttäjäattribuutiolla ja aikaleimoilla; roolipohjainen pääsy rajoittaa altistumista; pääkäyttäjät hallitsevat roolimäärityksiä. Matala

Riskialuepisteet

TBS:n standardoidun kehyksen mukaisesti:

Riskialue Pisteet Perustelu
Ohjelman tai toiminnan tyyppi 2 Ohjelman/toiminnan hallinnointi (ATIA-hallinnointi)
Henkilötietojen tyyppi 3 Yhteystiedot ja mahdollisesti arkaluonteiset tietueet asiakirjoissa
Ohjelmakumppanit 2 Microsoft (alikäsittelijä); Realizer (ei pääsyä henkilötietoihin)
Ohjelman kesto 4 Pitkäaikainen/jatkuva lakisääteinen velvoite
Ohjelman kohdeväestö 3 Ulkopuoliset henkilöt, jotka käyttävät lakisääteisiä oikeuksiaan
Henkilötietojen välittäminen 2 Salattu pilvi-infrastruktuuri Kanadan lainkäyttöalueella
Teknologia ja tietosuoja 2 Vakiomuotoinen verkkosovellus — ei tekoälyä, valvontaa tai biometriikkaa
Mahdollinen vaikutus yksilöön 2-3 Mahdollinen häpeä tai mainehaitta, jos pyytäjän henkilöllisyys paljastuu

Kokonaisriskitaso: Kohtalainen — tyypillinen hallinnolliselle ohjelmalle, joka käsittelee ulkopuolisten henkilöiden henkilötietoja, lievennettynä vahvoilla teknisillä kontrolleilla (salaus, RBAC, henkilötietosuodatus, tietojen suvereniteetti).

Tekniset ja hallinnolliset suojatoimet

Todennus ja pääsynhallinta

Suojatoimi Toteutus
Todennus Microsoft Entra ID JWT-bearer-tokeneilla. Ei paikallisia käyttäjätilejä eikä salasanoja.
Monivaiheinen todennus Pakotettu laitoksen Entra ID Conditional Access -käytännöillä.
Jatkuva pääsynarviointi (Continuous Access Evaluation) Tuettu — tokenin validointi tapahtuu jokaisessa API-pyynnössä.
Roolipohjainen pääsynhallinta Kuusi roolia pakotettu palvelinpuolella kaikissa API-päätepisteissä.
Henkilötietosuodatus Palvelinpuolen väliohjelmisto poistaa pyytäjän henkilötiedot vastauksista Haltija-, Avustaja- ja Lukija-rooleilta; asiakaspää ei voi ohittaa tätä.
Istunnonhallinta Tokenipohjainen; elinikä Entra ID -käytäntöjen ohjaama.
Ensimmäisen käyttäjän alustus Ensimmäinen käyttäjä saa Pääkäyttäjä- ja SAO-roolit. Oletus- tai jaettuja tunnistetietoja ei ole olemassa.

Salaus

Kerros Toteutus
Siirron aikana TLS 1.3 vähimmäisvaatimuksena App Servicen etuovella; TLS 1.2 tai uudempi Azure SQL:ssä ja Blob Storagessa; FTPS poistettu käytöstä.
Levossa — tietokanta Azure SQL Transparent Data Encryption (TDE) Microsoftin hallinnoimilla avaimilla.
Levossa — asiakirjat Azure Blob Storage AES-256-salaus; asiakkaan hallinnoimat avaimet (CMK) saatavilla.
Levossa — salaisuudet Azure Key Vault, käytetään hallitun identiteetin kautta.

Verkkoturvallisuus

Suojatoimi Toteutus
Vain HTTPS Kaikki HTTP-liikenne hylätään; HTTP/2 käytössä.
CORS Rajattu laitoksen SharePoint-verkkotunnukseen.
Pyyntöjen rajoitus 600 pyyntöä/minuutti todennettua käyttäjää kohden.
Tietoturvaotsikot X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy.
Hallintataso SCM/FTP-perustodennus poistettu käytöstä; hallinta vain Azure-portaalin kautta Entra ID:llä + MFA:lla.

Valvonta ja tarkastus

Suojatoimi Toteutus
Sovelluksen tarkastusketju Kaikki luonti-/päivitys-/poistotoiminnot kirjataan käyttäjätunnuksella, aikaleimalla, muutetulla kentällä sekä vanhalla/uudella arvolla.
Peukaloinnin paljastava tarkastusloki Hash-ketjutettu (SHA-256), vain lisäävä loki tallentaa toiminnot kaikissa moduuleissa; eheys on tarkistettavissa palvelinpuolella, ja pyyntöä varten voidaan viedä oikeuskelpoinen todistepaketti.
Asiakirjan käyttöloki Esikatselu- ja latapahtumat kirjataan käyttäjätunnuksella, aikaleimalla, IP-osoitteella ja user agentilla. Vain lisäys.
Säilytyksen puhdistusloki Kaikki puhdistustoiminnot kirjataan käyttäjäattribuutiolla.
Sovellusvalvonta Azure Application Insights tallentaa HTTP-pyynnöt, poikkeukset ja riippuvuuskutsut (90 päivän säilytys).
Hälytyssäännöt Konfiguroitavat mittarihälytykset HTTP 5xx -virheille ja korkealle latenssille.
Log Analytics Keskitetty lokien tallennus KQL-kyselymahdollisuudella tietoturvatutkimuksia varten.

Hallinnolliset suojatoimet

Pääkäyttäjät määrittävät roolit Asetukset-osiossa; roolimuutokset tulevat voimaan välittömästi. Application Access Policy rajaa Mail.Send-oikeuden vain nimettyyn jaettuun postilaatikkoon. Konfiguraatiomuutokset otetaan käyttöön versioitujen konfigurointipakettien kautta asennuksen tarkastuskirjauksella. Henkilöstökoulutuksen, hyväksyttävän käytön periaatteet ja tietoturvaloukkauksiin reagoinnin menettelyt määrittää laitos.

Kolmansien osapuolten palvelut ja tietojen jakaminen

Palvelu Rooli Vastaanotetut henkilötiedot Tietojen sijainti
Microsoft Azure Alikäsittelijä (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) Kaikki sovellustiedot Laitoksen Azure-alue
Microsoft 365 Käsittelijä (Graph Mail.Send, Teams-aktiviteettisyöte) ja valinnaisesti haltijan tallentamien tietueiden lähde Sähköposti-/Teams-ilmoitusten sisältö; valinnaisessa tallennuksessa kyseisen haltijan oma M365-sisältö Laitoksen M365-vuokraaja
Realizer Services (julkaisija) Ohjelmiston julkaisija — ei käsittelijän roolia asiakkaan henkilötietoihin nähden Ei mitään — vain vuokraajatunnus + ilmoitusmetatiedot + konfigurointipaketin asennusraportit Julkaisijan Azure (Kanada)
Syncfusion Upotettu kirjasto (ei palvelu) Ei mitään — muunnos tapahtuu laitoksen App Servicessä Laitoksen App Service

Keskeinen huomio: Pyytäjän henkilötietoja, asiakirjojen sisältöä tai pyyntötietoja ei välitetä Realizer Servicesille tai millekään ulkopuoliselle osapuolelle. Kaikki asiakirjojen käsittely (muunnos, peittäminen) tapahtuu laitoksen omassa App Servicessä.

Sovellettavat henkilötietorekisterit

PIB Rekisteröintinumero Kuvaus
Access to Information Act and Privacy Act Requests PSU 901 ATIP-pyyntöihin liittyvät tietueet
Employee Personnel Records PSE 901 Työntekijöiden nimet ja roolit tarkastusketjussa

Laitosten tulee vahvistaa sovellettavat PIB:t ja selvittää, tarvitaanko uusia PIB:ejä niiden omaan käyttöönottoon.

Täydellisen PIA:n saatavuus

Täydellinen tietosuojaa koskeva vaikutustenarviointi — mukaan lukien täydellinen henkilötietoluettelo, yksityiskohtainen keräys-/käyttö-/luovutus-/säilytys-/tarkkuusanalyysi, oikeudelliset valtuutukset ja tietovirtakaaviot — on asiakkaiden ja mahdollisten asiakkaiden saatavilla pyynnöstä. Käyttöönottavat laitokset käyttävät sitä oman PIA:nsa teknisenä ja arkkitehtuurisena perustana, täydentäen institutionaalisen yleiskatsauksen, säilytysaikataulut, tietojenvaihtosopimukset ja hyväksynnän ennen toimittamista TBS:lle ja tietosuojavaltuutetun virastolle.