Rekisterinpitäjien on tukeuduttava niin sanottuun oikeusperusteeseen, jotta he voivat käsitellä henkilötietoja lainmukaisesti. Henkilötietojen käsittelylle on tärkeää määrittää asianmukainen peruste, koska siihen voi liittyä erityisiä vaatimuksia (esim. suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen) ja sillä voi olla vaikutuksia yksilöiden oikeuksiin (esim. oikeutta tietojen siirtämiseen järjestelmästä toiseen sovelletaan vain silloin, kun käsittelyperusteena on suostumus tai sopimus).
Tältä sivulta löydät lisätietoa yleisen tietosuoja-asetuksen eri oikeusperusteista: lue lisää oikeuksista kunkin käsittelyperusteen osalta.
Mitkä ovat tietosuoja-asetuksen mukaiset mahdolliset käsittelyperusteet?
Rekisterinpitäjät voivat käsitellä henkilötietoja vain seuraavilla perusteilla:
- henkilön suostumuksella
- sopimuksen perusteella (organisaation ja yksityishenkilön välinen sopimus)
- EU:n tai kansallisen lainsäädännön mukaisen lakisääteisen velvoitteen täyttämiseksi
- yleistä etua koskevan tehtävän suorittamiseksi EU:n tai kansallisen lainsäädännön mukaisesti
- yksilön elintärkeiden etujen suojelemiseksi
- organisaation oikeutetun edun perusteella (paitsi jos yksilöiden edut tai perusoikeudet syrjäyttävät ne).
Lisäksi yleisessä tietosuoja-asetuksessa asetetaan lisäehtoja arkaluonteisten tietojen käsittelylle.
Suostumus
Yrityksesi voi päättää käsitellä henkilötietoja suostumuksen perusteella.
Jos rekisterinpitäjä käyttää suostumusta henkilötietojen käsittelyperusteena, sen on varmistettava, että suostumus on vapaaehtoinen, tietoinen, yksilöity ja yksiselitteinen. Tämä tarkoittaa, että henkilöiden on voitava aidosti vapaasti valita, suostuvatko he henkilötietojensa käsittelyyn vai eivät. Henkilöt tarvitsevat riittävästi tietoa, jotta he voivat ymmärtää, mitä tietoja heistä käsitellään, mihin tarkoitukseen ja millä tavalla. Heidän on voitava vapaasti peruuttaa suostumuksensa ilman kielteisiä seurauksia, jos he muuttavat mieltään myöhemmin.
Jos yrityksesi on käsiteltävä tietoja eikä se voi antaa henkilöille tosiasiallista mahdollisuutta peruuttaa suostumustaan, on tämä osoitus siitä, että suostumus ei ole asianmukainen peruste henkilötietojen käsittelylle. Tällöin yrityksesi on tarpeen arvioida, voiko se soveltaa jotakin toista käsittelyperustetta.
Suostumuksen ehdot
Vapaaehtoinen
Suostumus on vapaaehtoinen, kun henkilö voi kieltäytyä ja peruuttaa suostumuksensa ilman riskiä ulkoiseen painostukseen tai kielteisille seurauksille. Henkilöillä on myös oltava oikeus peruuttaa suostumuksensa milloin tahansa. Peruuttaminen on tehtävä helpoksi: sen tulisi olla yhtä helppoa kuin suostumuksen antamisen. Suostumuksen peruuttaminen ei saa vaikuttaa henkilön henkilötietojen käsittelyyn, joka on tehty ennen peruuttamista, kun suostumus oli vielä voimassa.
Yksilöity
Jotta suostumus olisi pätevä, sen on oltava annettu tiettyä tarkoitusta varten. Henkilöille on ilmoitettava henkilötietojen käsittelyn tarkoituksista selkeällä ja helposti ymmärrettävällä kielellä, jotta heillä on selkeä käsitys siitä, mihin tarkoituksiin heidän tietojaan käsitellään. Tämä tarkoittaa myös sitä, että jos käsittelytoimen tarkoitus muuttuu tai jos siihen lisätään muunlaista käsittelyä, henkilöiltä tulisi pyytää suostumus uudelleen. Samoin, jos käsittelytoimilla on useita tarkoituksia, suostumus tulisi antaa jokaiselle niistä.
Esimerkki: Suoratoistopalvelu kerää asiakkaidensa henkilötietoja tarjotakseen heille räätälöityjä katseluehdotuksia. Jonkin ajan kuluttua suoratoistopalvelu päättää jakaa asiakkaidensa henkilötietoja kolmansien osapuolten kanssa, jotta ne voivat lähettää kohdennettua mainontaa asiakkaille heidän katselutottumustensa perusteella. Koska kyseessä on uusi tarkoitus, suoratoistopalvelun on pyydettävä tähän asiakkaansa suostumus.
Tietoinen
Kun yrityksesi pyytää suostumusta henkilöltä, sen on varmistettava, että pyyntö toimitetaan tälle ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Yrityksesi on annettava henkilölle tiedot käsittelyn tarkoituksista, siitä kuka on rekisterinpitäjä, käsiteltävien henkilötietojen tyypeistä, tietojen vastaanottajista ja oikeudesta peruuttaa suostumus.
Yksiselitteinen
Jotta suostumus olisi yksiselitteinen, se tulisi antaa selkeällä myönteisellä toimenpiteellä. Tällaista suostumusta ei voi antaa valmiiksi rastitetulla kohdalla, ja suostumus pitää voida antaa erillään yleisten ehtojen hyväksynnästä.
On suositeltavaa päivittää suostumus säännöllisin väliajoin. Lisäksi yrityksesi on kyettävä osoittamaan, että henkilö, jonka tietoja käsitellään, on antanut suostumuksensa esimerkiksi kirjallisella tai allekirjoitetulla ilmoituksella tai tietoisella toiminnalla, kuten rastittamalla ruudun.
Lasten suostumukseen sovellettavat ehdot
Rekisterinpitäjän on ryhdyttävä kohtuullisiin toimiin henkilön iän tarkistamiseksi.
Vähintään 16-vuotiaiden lasten katsotaan pystyvän antamaan suostumuksensa itse.
Alle 16-vuotiaiden lasten kohdalla suostumus on pyydettävä lapsen vanhemmalta tai huoltajalta. Tällöin yrityksesi on ryhdyttävä kohtuullisiin toimiin tarkistaakseen, että lapsen puolesta suostumuksen antavalla henkilöllä on laillinen vastuu lapsesta. Huomaa kuitenkin, että yleinen tietosuoja-asetus antaa EU-maille mahdollisuuden asettaa kansallisessa lainsäädännössään ikäraja suostumuksen antamiseen 13–16 ikävuoteen verkossa tarjottaviin palveluihin. Siksi kannattaa tarkistaa ensin kansalliset suostumusta koskevat säännökset.
Silloin kun lapsi voi itse antaa suostumuksensa, palvelun tietojen välittämisessä käytetyn kielen tulisi olla heidän ikäänsä sopivaa.
Sopimuksen täytäntöönpano
Henkilötietojen käsittely sopimuksen täytäntöönpanoa varten on pätevä oikeusperuste esimerkiksi seuraavissa tapauksissa:
- Organisaation on käsiteltävä henkilön henkilötietoja palvelun tarjoamiseksi.
- Potentiaalinen asiakas on pyytänyt organisaatiota tekemään jotain ennen sopimuksen tekemistä. Hän voi esimerkiksi haluta saada tarjouksen tarjoamistasi palveluista, jota varten organisaatiollasi voi olla tarve käsitellä joitakin hänen henkilötietojaan.
Henkilötietojen käsittelyn on oltava tarpeen sopimuksen täytäntöönpanemiseksi. Käytännössä tämä tarkoittaa, että organisaatiosi ei voi jatkaa sopimuksen tai palvelun toteuttamista ilman kyseisiä henkilötietoja. On suositeltavaa, että yrityksesi dokumentoi syyt siihen, miksi henkilön tietojen käsittely on tarpeen sopimuksen täytäntöönpanemiseksi.
Henkilötietoja, jotka ovat tarpeen sopimusperusteisen palvelun toteuttamiseksi tai sopimusta edeltäviä toimia varten, on pyrittävä keräämään mahdollisimman vähän. Sopimukseen ei voi vedota käsiteltävien henkilötietojen tyyppien tai käsittelytapojen keinotekoiseksi laajentamiseksi. Sen sijaan organisaation on varmistettava, että sopimuksen tarkoituksesta vallitsee todellinen keskinäinen ymmärrys, joka perustuu keskimääräisen henkilön odotuksiin sopimusta tehtäessä.
Tätä käsittelyperustetta voidaan soveltaa myös tiettyihin sopimustakuuseen liittyviin toimiin sekä sellaisiin toimiin, jotka ovat kohtuudella ennakoitavissa ja tarpeellisia tavanomaisessa sopimussuhteessa. Tällaisia tilanteita voivat olla muistutusten lähettäminen maksamattomista maksuista tai virheiden tai viivästysten korjaaminen sopimuksen täytäntöönpanossa.
Tätä käsittelyperustetta ei kuitenkaan sovelleta, jos haluat käsitellä henkilötietoja markkinointiin, petosten torjuntaan, kohdennettuun mainontaan tai muihin organisaatiosi liiketoimintaan liittyviin tarkoituksiin. Tällaisissa tapauksissa voi olla käytettävissä muita käsittelyperusteita, kuten suostumus tai oikeutettu etu, kunhan niiden edellytykset täyttyvät.
Lainsäädännössä voidaan myös säätää henkilötietojen käsittelystä sopimuksen päättymisen jälkeen (esimerkiksi kirjanpitoa varten).
Sopimuksen on luonnollisesti oltava myös voimassa sovellettavan lain perusteella.
Käytännössä
- Yrityksesi myy vaatteita sekä verkossa että kivajalkakaupassa. Saatat joutua käsittelemään joitakin asiakkaidesi henkilötietoja, kuten luottokorttitietoja, jotta voit käsitellä heidän tekemiään vaateostoksia. Tällöin asiakkaan henkilötietojen käsittely voi olla tarpeen sopimuksen täytäntöön panemiseksi.
- Yrityksesi tarjoaa kotivakuutuksia. Potentiaalinen asiakas on pyytänyt tarjousta kotivakuutuksestaan. Siksi voi olla tarpeen käsitellä tiettyjä henkilötietoja, jotta voit tarjota hänelle tarkan hinnan kotivakuutuksesta.
- Yrityksesi myy kirjoja. Kun asiakkaat ovat ostaneet kirjoja, yrityksesi on saattanut kerätä joitakin heidän henkilötietojaan, jotka ovat olleet välttämättömiä ostoksen käsittelemiseksi. Haluat nyt käsitellä tiettyjen asiakkaiden henkilötietoja, myös tietoja heidän aiemmista ostoksistaan, jotta voit suositella heille muita kirjoja, joista he saattavat pitää. Et voi vedota henkilötietojen käsittelyyn sopimuksen perusteella, koska asiakkaan tietojen käsittely muiden kirjojen mainostamista varten ei ole tarpeen sopimuksen täytäntöönpanemiseksi.
Tämän vuoksi yrityksesi on pyydettävä asiakkaiden suostumusta, jotta voit mainostaa heille muita kirjoja, tai tilanteen mukaan voit vedota yrityksen oikeutettuun etuun.
Rekisterinpitäjän lakisääteisen velvoitteen noudattaminen
Yleisessä tietosuoja-asetuksessa säädetään käsittelyperusteesta, jonka mukaan tietoja voi käsitellä, kun se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
Tähän käsittelyperusteeseen voidaan vedota silloin, kun henkilötietojen käsittelystä määrätään EU:n tai kansallisessa lainsäädännössä. Tällöin neljän edellytyksen on täytyttävä:
- oikeudellisesta velvoitteesta on säädettävä rekisterinpitäjään sovellettavassa EU:n tai kansallisessa lainsäädännössä
- tässä lainsäädännössä on säädettävä selkeästä ja erityisestä velvoitteesta käsitellä kyseisiä henkilötietoja
- näissä säännöksissä on määriteltävä vähintään käsittelyn tarkoitus
- velvoite on asetettu rekisterinpitäjälle eikä rekisteröidyille.
Jos nämä edellytykset eivät täyty, henkilötietoja ei voi käsitellä lakiin perustuvan velvoitteen nojalla, ja siihen on löydettävä toinen käsittelyperuste.
Yleisessä tietosuoja-asetuksessa säädetään monista eri tilanteista, joissa rekisterinpitäjillä on lakisääteinen velvollisuus käsitellä asiakkaidensa tai muiden henkilöiden henkilötietoja. Esimerkiksi työnantajien on yleensä käsiteltävä työntekijöidensä henkilötietoja palkanmaksua varten, ja yrityksen on usein käsiteltävä asiakkaidensa henkilötietoja verotuksellisia tarkoituksia varten.
Lue lisää
Yksilön elintärkeiden etujen suojaaminen
Tietojen käsittelyyn yksilön elintärkeiden etujen suojaamiseksi voidaan nojautua vain harvoissa ja erityistapauksissa. Näin voi olla esimerkiksi, jos sinun on käsiteltävä henkilötietoja jonkun hengen suojaamiseksi. Yleisen tietosuoja-asetuksen perusteella tämän oikeusperustan soveltamisala on kuitenkin hyvin rajallinen, ja siihen voidaan nojautua vain hätätilanteissa.
Käytännössä
Yrityksesi tarjoaa koskenlaskumatkoja. Järjestämiesi matkojen aikana yksi osallistujista loukkaantuu vakavasti. Tämän seurauksena osallistuja on tajuton ja hänen on saatava kiireellistä sairaanhoitoa. Yrityksenä saatat joutua ilmoittamaan kyseisen henkilön henkilötietoja sairaalaan, jonka on käsiteltävä tietoja henkilön hengen pelastamiseksi. Tässä yhteydessä saatat voida käsitellä henkilön tietoja hänen elintärkeiden etujensa suojaamiseksi.
Yleinen etu
Joissakin erityistapauksissa yrityksesi saattaa pystyä käsittelemään henkilöiden henkilötietoja yleisen edun mukaista tehtävää varten. Tällöin käsittelyn on perustuttava EU:n lainsäädäntöön tai kansalliseen lainsäädäntöön. Sen tarkoitus on määritettävä tässä oikeusperustassa tai se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Näin ollen tällä oikeusperustalla voi olla merkitystä erityisesti viranomaisten suorittamien käsittelytoimien kannalta niiden tehtävien suorittamiseksi.
Käytännössä
Organisaatiosi on terveydenhuollon yritys, jossa työskentelee hammaslääkäri ja yleislääkäri. Yrityksesi on käsiteltävä sekä hammaslääkärin että yleislääkärin henkilötietoja sen varmistamiseksi, että heidän pätevyytensä ja käyttäytymisensä täyttävät siinä maassa asetetut vaatimukset, jossa terveydenhuoltoyrityksesi sijaitsee.
Oikeutettu etu
Yrityksesi saattaa pystyä käsittelemään henkilöiden tietoja oikeutetun edun perusteella (esim. kaupallinen intressi tai omaisuuden suojaaminen). Se on mahdollista vain, jos yksilöiden edut ja oikeudet eivät syrjäytä yrityksen etuja.
Vaikka tietosuoja-asetuksessa ja EU-tuomioistuimen oikeuskäytännössä annetaan esimerkkejä oikeutetuista eduista, tyhjentävää luetteloa ei ole.
Varmista, että oikeutettu etu täyttää nämä vaatimukset:
- Sen on oltava lainmukainen ja selkeästi ilmaistu. Edulle täytyy olla todellinen ja välitön tarve.
- Henkilötietojen käsittelyn on oltava tarpeen edun saavuttamiseksi.
- Oikeutetun edun käytössä on huomioitava ihmisten oikeus tietosuojaan. Sitä ei voida syrjäyttää. Yrityksen on punnittava oikeutettua etuaan yksilöiden etuja ja oikeuksia vasten. Etujen punninta tehdään niin kutsutulla tasapainotestillä, jolla arvioidaan henkilötietojen käsittelyn vaikutusta ihmisiin. Punninta tehdään niiden tilanteiden ja olosuhteiden pohjalta, joissa henkilötietoja käsitellään. Samalla on otettava huomioon, mitä ihmiset voivat kohtuudella odottaa henkilötietojen käsittelyltä.
Käytännössä
Johdat remonttiyhtiötä. Yksi asiakkaistasi valittaa keittiöremontin laadusta ja kieltäytyy maksamasta laskua kokonaisuudessaan. Siirrät ensi vaiheessa asiakkaan tiedot asianajajallesi, jotta voit neuvotella asiakkaan kanssa sovinnosta. Koska asiakas kieltäytyy edelleen maksamasta, otat mukaan perintätoimiston. Siirrät ainoastaan menettelyssä tarvittavat henkilötiedot perintätoimistolle. Perintätoimisto tarkastaa ainoastaan tarvittavilla tavoilla asiakkaan yhteystiedot, jotta se voi vahvistaa ne ja aloittaa tuomioistuinmenettelyn.
Vaikka ensimmäinen vaihe voi olla sopimuksen täytäntöönpanon kannalta välttämätöntä henkilötietojen käsittelyä, lisätoimien, kuten perintätoimiston palkkaamisen, voitaisiin katsoa kuuluvan rekisterinpitäjän oikeutetun edun piiriin. Koska perintätoimiston toimet eivät ole liian tungettelevia ja vaikutukset asiakkaaseen ovat rajalliset, oikeutettu etu voisi olla asianmukainen käsittelyperuste.
Arkaluonteisten henkilötietojen käsittely
Henkilötietojen käsittelylle on lisävaatimuksia, jos aiot käsitellä tietoja, joista ilmenee henkilön etninen tausta, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, geneettisiä tai biometrisiä tietoja tunnistamista varten, ihmisen terveystietoja tai sukupuolielämään tai seksuaaliseen suuntautumiseen liittyviä tietoja. Näitä erityisiä tietoryhmiä kutsutaan yleisesti ”arkaluontoisiksi tiedoiksi”.
Arkaluonteisten tietojen käsittely on yleensä kielletty, lukuun ottamatta seuraavia erityistapauksia.
- Henkilö on antanut nimenomaisen suostumuksensa arkaluonteisten tietojensa käsittelyyn.
- Arkaluonteisten tietojen käsittely on tarpeen, jotta rekisterinpitäjä voi täyttää velvoitteensa erityisesti työllisyyden, sosiaaliturvan ja sosiaalisen suojelun alalla. Rekisterinpitäjä voi esimerkiksi joutua käsittelemään henkilön arkaluontoisia tietoja voidakseen määrittää, onko hänellä oikeus tiettyihin sosiaaliturvaetuuksiin.
- Arkaluonteisten tietojen käsittely on tarpeen henkilön elintärkeiden etujen suojaamiseksi, jos henkilö on fyysisesti tai oikeudellisesti kykenemätön antamaan suostumustaan. Jos henkilö esimerkiksi jää tajuttomaksi onnettomuuden seurauksena ja tilanne vaatii välitöntä sairaanhoitoa, henkilön arkaluonteisia tietoja voidaan joutua käsittelemään sairaanhoitoa varten.
- Arkaluonteisten tietojen käsittely tapahtuu sellaisen säätiön, yhdistyksen tai muun voittoa tavoittelemattoman järjestön laillisen toiminnan yhteydessä, jonka tavoitteena on poliittinen, filosofinen, uskonnollinen tai ammattiyhdistystoiminta, ja ainoastaan niiden jäsenten, entisten jäsenten tai niihin säännöllisesti yhteydessä olevien henkilöiden henkilötietojen käsittelyä varten.
- Arkaluonteiset tiedot on julkistettu selvästi yksityishenkilöiden toimesta.
- Arkaluonteisten tietojen käsittely on tarpeen oikeudenkäynnin yhteydessä.
- Arkaluonteisten tietojen käsittely on tarpeen yleistä etua koskevissa asioissa.
- Arkaluonteisten tietojen käsittely on välttämätöntä ennaltaehkäisevän tai työlääketieteen yhteydessä. Esimerkiksi henkilön arkaluontoisten tietojen, kuten terveystietojen, arviointi voi olla tarpeen työntekijän työkyvyn määrittämiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen kansanterveyttä koskevissa asioissa EU:n tai kansallisen lainsäädännön perusteella. Henkilöiden arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi terveydenhuollon ja lääkkeiden korkean laadun varmistamiseksi tai vakavien terveysuhkien, kuten virusten, torjumiseksi.
- Arkaluonteisten tietojen käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia tai tieteellisiä, tilastollisia, historiallisia tai tutkimustarkoituksia varten. Arkaluonteisten tietojen käsittely voi olla tarpeen esimerkiksi tiettyjä kansallisia tilastoja varten.
Tarkistuslista arkaluonteisten henkilötietojen käsittelyyn
- Varmista, onko sinun käsiteltävä henkilön erityisiin henkilötietoryhmiin kuuluvia tietoja suunniteltuja tarkoituksia varten.
- Määrittele henkilötietojen käsittelyn peruste (oikeusperuste) yleisen tietosuoja-asetuksen 6 artiklan mukaisesti.
- Määrittele, noudatetaanko arkaluontoisten tietojen käsittelyä koskevia edellytyksiä yleisen tietosuoja-asetuksen 9 artiklan mukaisesti.
- Tunnista riskit ja suojatoimet, kuten tekniset ja organisatoriset toimenpiteet, jotka yrityksesi voi joutua ottamaan käyttöön, kun se käsittelee erityisiin henkilötietoryhmiin kuuluvia tietoja.
- Muista pitää kirjaa erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn syistä, mahdollisista riskeistä ja toimenpiteistä, joita olet tehnyt riskien lieventämiseksi.