9. Osoita noudattavasi tietosuojalainsäädäntöä
Rekisterinpitäjän on pystyttävä osoittamaan, että se noudattaa tietosuojalainsäädäntöä. Tätä kutsutaan osoitusvelvollisuudeksi. Osoitusvelvollisuus tarkoittaa myös, että tehdyt toimenpiteet on kirjattava ylös eli dokumentoitava.
Rekisterinpitäjän on toteutettava kaikki tarpeelliset toimenpiteet osoitusvelvollisuuden vaatimusten täyttämiseksi. Tällaisia teknisiä ja organisatorisia toimenpiteitä on esimerkiksi henkilöiden kouluttaminen, annettavat ohjeet ja määräykset, tilavalvonta, henkilötietojen käytön valvonta, tietojärjestelmien tietoturva, tietojen salaus, tekniset rajoitukset sekä tarkastus- ja valvontajärjestelmät.
Osoitusvelvollisuuden laajuus riippuu muun muassa organisaation koosta, henkilötietojen määrästä ja siitä, millaisia henkilötietoja rekisterinpitäjä käsittelee. Rekisterinpitäjän on varmistettava jo henkilötietojen käsittelyn suunnitteluvaiheessa, että osoitusvelvollisuutta noudatetaan.
Osoitusvelvollisuuden tarkoituksena on näyttää, miten rekisterinpitäjä kunnioittaa niiden henkilöiden tietosuojaa, joiden tietoja se käsittelee. Velvollisuuden noudattaminen lisää luottamusta rekisterinpitäjään.
Dokumentaation ja toimenpiteiden riittävyyttä on arvioitava säännöllisesti esimerkiksi hallituksen kokousten yhteydessä vuosittain.