Tietoja ei luovuteta EUn tai Euroopan talousalueen ulkopuolelle.

ATK:lle talletetut tiedot säilytetään lukitussa tilassa ja käyttöoikeus niihin on vain yhdistyksen erikseen valtuuttamilla henkilöillä. Rekisteritiedoista otetaan säännöllisin aikavälein varmuuskopiot, joita säilytetään lukitussa tilassa.

1. Henkilörekisteriselosteeseen merkittävien tietojen vähimmäistaso määritellään henkilötietolain 10 §:ssä. Tarkoituksenmukaista on kuitenkin merkitä myös esim. rekisterin säännönmukaiset tietolähteet, koska ne tulee esittää rekisteröidylle tarkastusoikeuden käytön yhteydessä. Rekisteriselostetta voidaan käyttää apuna rekisteröidyn informoinnissa, jos sitä on täydennetty henkilötietolain 24 §:ssä säädetyillä tiedoilla.

2. Rekisterinpitäjällä tarkoitetaan henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä. Rekisterinpitäjänä toimii siis asianomainen yritys, viranomainen tai säätiö, ei sen sijaan tietty osasto tai työntekijä taikka henkilörekisterin teknisestä ylläpidosta huolehtiva atk-alan palveluyritys.
Kun rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin alueella, mutta rekisterinpitäjä käyttää Suomessa sijaitsevia laitteita muuhunkin henkilötietojen käsittelyyn kuin vain siirtoon tämän alueen kautta, on rekisterinpitäjän tällöin nimettävä Suomessa oleva edustaja. Tämä edustaja yhteystietoineen merkitään rekisterinpitäjän nimen ohella tähän kohtaan.
Rekisteriasioita hoitavana henkilönä ilmoitetaan henkilö, joka voi antaa rekisteristä rekisteröidylle tarkempia tietoja ja jolle rekisteröity voi osoittaa esim. virheenoikaisua ja tarkastusoikeuden käyttämistä koskevat pyynnöt.

3. Henkilörekisterille on annettava nimi, joka erottaa sen muista rekisterinpitäjän henkilörekistereistä. Suositeltavaa on, että nimi lyhyesti ilmaisee rekisteröitävän ilmiön ja/tai rekisterin käyttötarkoituksen. Rekisteristä yleisesti käytetty lyhenne on syytä myös merkitä lomakkeeseen. Samaan henkilörekisteriin luetaan kuuluviksi teknisesti erikseen pidetyt henkilörekisterit, jos niitä käytetään saman tehtävän hoitamiseksi (looginen rekisteri). Nämä osarekisterit voivat olla sekä atk:lla että manuaalisesti ylläpidettäviä.

4. Tähän kohtaan merkitään yksiselitteisesti, mitä rekisterinpitäjän tehtävää varten (henkilötietojen käsittelyn tarkoitus/rekisterin käyttötarkoitus) rekisteri perustetaan (esim. asiakassuhteen hoito, laissa asianomaiselle säädetty nimetty tehtävä). Käyttötarkoitus on määriteltävä ennen rekisterin perustamista. Henkilötietojen käsittelyn tarkoitus voi perustua henkilötietolain 8 §:n mukaisiin käsittelyn yleisiin edellytyksiin tai henkilötietolain 4. luvussa mainittuihin erityisiin tarkoituksiin. Lisäksi henkilötietojen käsittelyn tarkoitus voi perustua suoraan erityislain säännöksiin: selosteessa on syytä mainita sekä varsinainen käsittelyn tarkoitus että lain säännös, johon tehtävä perustuu.

5. Henkilörekisterin tietosisältö on määriteltävä ennen rekisterin perustamista. Selosteeseen merkitään henkilörekisteriin talletetut tietotyypit, ts. se, mitä tietoja rekisteröidystä talletetaan. Merkinnät tehdään niin yksiselitteisesti, että lukija tietää, mitä tietoja hänestä on talletettu. Henkilön yksilöintitiedot on syytä eritellä, esim. henkilön nimi, syntymäaika (henkilötunnus), osoite. Muilta osin voi riittää tietotyyppien tai ryhmien kuvaus (esim. hoitotiedot, tutkimustiedot). Kerättävien henkilötietojen tulee olla käsittelyn tarkoituksen kannalta tarpeellisia. Käytä tarpeen vaatiessa erillistä liitettä tietosisällön luettelemiseen. Jos rekisterissä on useita osatiedostoja, eri osatiedostoihin kuuluvat tiedot ryhmitellään väliotsikoiden avulla. Tässä tarkoituksessa tietosisältöä voidaan myös kuvata esimerkiksi jaottelemalla ne eri toiminnot, joihin rekisteriä käytetään (esim. tilauksen toimittaminen, laskutus).

6. Rekisterin tietosisältö voidaan kuvata asianmukaisesti vain ilmoittamalla myös rekisterin säännönmukaisista tietolähteistä (keneltä, mitä tietoja ja millä perusteella /rekisteröidyn suostumus, nimetyn lain säännös). HetiL 10 § ei edellytä nimenomaisesti tiedon merkitsemistä, mutta se on tarkoituksenmukaista merkitä rekisteröidyn tiedonsaantioikeuksien kannalta. Se myös kuvaa osaltaan rekisterin tietosisältöä.

7. Säännönmukaiset tietojen luovutukset kuvataan ilmoittamalla kenelle, mitä tarkoitusta varten ja mitä tietoja luovutetaan. Lisäksi ilmoitetaan tietojen luovutuksen peruste (esim. suostumus tai lainsäännös). Tarvittaessa ilmoitetaan peruste vastaanottajan oikeudelle käsitellä tietoja. Edelleen on tarpeen ilmoittaa luovuttamistapa (teknisen käyttöyhteyden avulla, teknisenä tallenteena, tarra- tai paperitulosteena tms.).

8. Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle on säännelty henkilötietolain 5. luvussa. Mikäli tarkoituksena on siirtää tietoja mainitun luvun yleisten edellytysten (22 §) tai jokin poikkeusperusteen (23 §) vallitessa, on asia mainittava tässä kohdassa. Tähän kohtaan merkitään tiedot rekisterin suojauksen periaatteista, ei siis yksityiskohtaisia tietoja suojaamisesta, joita ei luonnollisestikaan saa kertoa ulkopuolisille tai edes rekisteröidyille. Kohtaan on hyvä merkitä myös, onko rekisteriin talletetut henkilötiedot säädetty salassa pidettäviksi (vaitiolovelvollisuutta koskeva ja/tai asiakirjasalaisuutta koskeva säännökset). Tietojen suojaamisen periaatteet on tarpeen merkitä sen arvioimiseksi, onko suojaamisvelvoitteista huolehdittu.