-->

GDPR — Mihin perus­tuen hen­ki­lö­tie­to­ja saa kerätä?

Aikai­sem­min jul­kais­tus­sa GDPR kevät koit­taa – olet­ko val­mis? ‑blo­gis­sa käsi­tel­tiin GDPR:n tuo­mia muu­tok­sia yri­tyk­sien toi­min­taan sekä sitä, miten tähän ase­tuk­seen voi­daan val­mis­tau­tua. Blo­gis­sa kuva­tun mukai­ses­ti yri­tyk­sis­sä pitää pys­tyä vas­taa­maan aina­kin muu­ta­miin olen­nai­siin kysy­myk­siin liit­tyen hen­ki­lö­tie­to­jen käsit­te­lyyn. Täs­sä blo­gis­sa arvioi­daan tois­ta kysy­mys­tä: Mil­lä perus­teel­la keräät tietoja?

Tie­to­suo­ja-ase­tuk­sen mukai­ses­ti hen­ki­lö­tie­to­ja tulee käsi­tel­lä 5 artiklas­sa lue­tel­tu­jen peri­aat­tei­den mukai­ses­ti, joi­ta on muun muas­sa lain­mu­kai­suus, käyt­tö­tar­koi­tus­si­don­nai­suus ja tie­to­jen mini­moin­nin peri­aa­te. Tie­to­ja kerät­täes­sä kerää­mi­nen tulee teh­dä lain­mu­kai­sel­la perus­teel­la tiet­tyä tar­koi­tus­ta var­ten. Tie­to­ja ei siis saa kerä­tä sen takia, että ne saat­tai­si­vat olla hyö­dyl­li­siä tule­vai­suu­des­sa, vaan nii­den kerää­mi­sel­le tulee aina olla jokin lain­mu­kai­nen perus­te. Tie­to­suo­ja-ase­tuk­sen 6 artiklas­sa on lue­tel­tu 6 perus­tet­ta, joi­den mukaan tie­to­ja saa käsi­tel­lä. Jot­ta voi­sit vas­ta­ta, mik­si keräät kysei­siä hen­ki­lö­tie­to­ja, tulee siis jon­kin näis­tä perus­teis­ta täyttyä.

Rekis­te­röi­dyn suostumus

Hen­ki­lö­tie­to­ja saa käsi­tel­lä, mikä­li rekis­te­röi­ty on anta­nut vapaa­eh­toi­sen tie­toi­sen ja yksi­löi­dyn suos­tu­muk­sen­sa hen­ki­lö­tie­to­jen käsit­te­lyyn. Tämän perus­teen ei voi kat­soa täyt­ty­vän tilan­tees­sa, jos­sa suos­tu­mus hen­ki­lö­tie­to­jen käsit­te­lyyn on osa­na laa­jem­paa sopi­mus­ta. Suos­tu­mus­pyyn­nön täy­tyy­kin olla sel­keäs­ti eril­lään näistä.

Sopi­muk­sen täytäntöönpaneminen

Hen­ki­lö­tie­to­ja saa käsi­tel­lä, mikä­li se on tar­peen sel­lai­sen sopi­muk­sen täy­tän­töön­pa­ne­mi­sek­si, jos­sa rekis­te­röi­ty on osa­puo­le­na. Työ­nan­ta­jan ja työn­te­ki­jän välil­lä sol­mit­ta­va työ­so­pi­mus on esi­merk­ki täl­lai­ses­ta sopi­muk­ses­ta. Työ­so­pi­mus­ta ei oli­si mah­dol­lis­ta sol­mia, ellei työ­nan­ta­ja käsit­te­le työn­te­ki­jän henkilötietoja.

Rekis­te­rin­pi­tä­jän laki­sää­tei­nen velvoite

Hen­ki­lö­tie­to­ja saa käsi­tel­lä, mikä­li se on tar­peen rekis­te­rin­pi­tä­jän laki­sää­tei­sen vel­voit­teen nou­dat­ta­mi­sek­si. Kun käsit­te­ly­pe­rus­tee­na on laki­sää­tei­nen vel­vol­li­suus, tulee sil­le olla perus­te Euroo­pan unio­nin tai jäsen­val­tion lain­sää­dän­nös­sä. Esi­mer­kik­si työ­suh­tees­sa työ­nan­ta­jan tulee säi­lyt­tää ja käsi­tel­lä työn­te­ki­jöi­den hen­ki­lö­tie­to­ja nou­dat­taak­seen eri­näi­siä työnantajavelvoitteitaan.

Elin­tär­keä etu tai ylei­nen etu

Hen­ki­lö­tie­to­ja saa käsi­tel­lä, kun käsit­te­ly on tar­peen rekis­te­röi­dyn tai toi­sen luon­nol­li­sen hen­ki­lön elin­tär­kei­den etu­jen suo­jaa­mi­sek­si. Hen­ki­lö­tie­to­jen käsit­te­ly on myös sal­lit­tua sil­loin, kun käsit­te­ly on tar­peen yleis­tä etua kos­ke­van teh­tä­vän suo­rit­ta­mi­sek­si tai jul­ki­sen val­lan käyt­tä­mi­sek­si. Rekis­te­röi­dyn elin­tär­keä etu ja ylei­nen etu saat­ta­vat olla olla syy­nä samal­le käsit­te­lyl­le. Tie­to­suo­ja-ase­tuk­sen joh­dan­to-osan mukai­ses­ti täl­lai­nen käsit­te­ly voi tul­la kysee­seen esi­mer­kik­si epi­de­mioi­den leviä­mi­sen seu­raa­mi­sek­si tai huma­ni­taa­ri­sis­sa hätä­ti­lan­teis­sa, kuten luon­non­ka­ta­stro­fien yhteydessä.

Oikeu­tet­tu etu

Hen­ki­lö­tie­to­ja saa käsi­tel­lä, mikä­li käsit­te­ly on tar­peen rekis­te­rin­pi­tä­jän tai kol­man­nen oikeu­tet­tu­jen etu­jen toteut­ta­mi­sek­si, pait­si tilan­teis­sa, jois­sa hen­ki­lö­tie­to­jen suo­jaa edel­lyt­tä­vät rekis­te­röi­dyn edut tai perus­oi­keu­det ja ‑vapau­det syr­jäyt­tä­vät täl­lai­set edut, eri­tyi­ses­ti jos rekis­te­röi­ty on lap­si. Täl­lai­sen oikeu­te­tun edun ole­mas­sao­loa tulee­kin arvioi­da huo­lel­li­ses­ti. Esi­mer­kik­si hen­ki­lö­tie­to­jen käsit­te­ly mark­ki­noin­ti­tar­koi­tuk­sis­sa voi­daan kat­soa suo­ri­te­tun rekis­te­rin­pi­tä­jän oikeu­te­tun edun nojalla.

Kun siis keräät tie­to­ja, mie­ti onko kysei­nen tie­to tar­peel­li­nen ja var­mis­ta että tie­don kerää­mi­seen on jokin näis­tä lail­li­sis­ta perus­teis­ta. Kun olet var­ma tie­don kerää­mi­sen lail­li­suu­des­ta, muis­ta huo­leh­tia asian­mu­kai­ses­ta dokumentoinnista.

Yhteys­tie­dot:
Piia Hoffs­ten
Chief Ope­ra­ting Officer
piia.​hoffsten@​isletgroup.​fi
+358 40 5877 303

#GDPR #tie­to­suo­ja #tie­to­tur­va #IsletGroup

Like what you read? Sha­re this!