Aikaisemmin julkaistussa GDPR kevät koittaa – oletko valmis? -blogissa käsiteltiin GDPR:n tuomia muutoksia yrityksien toimintaan sekä sitä, miten tähän asetukseen voidaan valmistautua. Blogissa kuvatun mukaisesti yrityksissä pitää pystyä vastaamaan ainakin muutamiin olennaisiin kysymyksiin liittyen henkilötietojen käsittelyyn. Tässä blogissa arvioidaan toista kysymystä: Millä perusteella keräät tietoja?
Tietosuoja-asetuksen mukaisesti henkilötietoja tulee käsitellä 5 artiklassa lueteltujen periaatteiden mukaisesti, joita on muun muassa lainmukaisuus, käyttötarkoitussidonnaisuus ja tietojen minimoinnin periaate. Tietoja kerättäessä kerääminen tulee tehdä lainmukaisella perusteella tiettyä tarkoitusta varten. Tietoja ei siis saa kerätä sen takia, että ne saattaisivat olla hyödyllisiä tulevaisuudessa, vaan niiden keräämiselle tulee aina olla jokin lainmukainen peruste. Tietosuoja-asetuksen 6 artiklassa on lueteltu 6 perustetta, joiden mukaan tietoja saa käsitellä. Jotta voisit vastata, miksi keräät kyseisiä henkilötietoja, tulee siis jonkin näistä perusteista täyttyä.
Rekisteröidyn suostumus
Henkilötietoja saa käsitellä, mikäli rekisteröity on antanut vapaaehtoisen tietoisen ja yksilöidyn suostumuksensa henkilötietojen käsittelyyn. Tämän perusteen ei voi katsoa täyttyvän tilanteessa, jossa suostumus henkilötietojen käsittelyyn on osana laajempaa sopimusta. Suostumuspyynnön täytyykin olla selkeästi erillään näistä.
Sopimuksen täytäntöönpaneminen
Henkilötietoja saa käsitellä, mikäli se on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena. Työnantajan ja työntekijän välillä solmittava työsopimus on esimerkki tällaisesta sopimuksesta. Työsopimusta ei olisi mahdollista solmia, ellei työnantaja käsittele työntekijän henkilötietoja.
Rekisterinpitäjän lakisääteinen velvoite
Henkilötietoja saa käsitellä, mikäli se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Kun käsittelyperusteena on lakisääteinen velvollisuus, tulee sille olla peruste Euroopan unionin tai jäsenvaltion lainsäädännössä. Esimerkiksi työsuhteessa työnantajan tulee säilyttää ja käsitellä työntekijöiden henkilötietoja noudattaakseen erinäisiä työnantajavelvoitteitaan.
Elintärkeä etu tai yleinen etu
Henkilötietoja saa käsitellä, kun käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Henkilötietojen käsittely on myös sallittua silloin, kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Rekisteröidyn elintärkeä etu ja yleinen etu saattavat olla olla syynä samalle käsittelylle. Tietosuoja-asetuksen johdanto-osan mukaisesti tällainen käsittely voi tulla kyseeseen esimerkiksi epidemioiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, kuten luonnonkatastrofien yhteydessä.
Oikeutettu etu
Henkilötietoja saa käsitellä, mikäli käsittely on tarpeen rekisterinpitäjän tai kolmannen oikeutettujen etujen toteuttamiseksi, paitsi tilanteissa, joissa henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. Tällaisen oikeutetun edun olemassaoloa tuleekin arvioida huolellisesti. Esimerkiksi henkilötietojen käsittely markkinointitarkoituksissa voidaan katsoa suoritetun rekisterinpitäjän oikeutetun edun nojalla.
Kun siis keräät tietoja, mieti onko kyseinen tieto tarpeellinen ja varmista että tiedon keräämiseen on jokin näistä laillisista perusteista. Kun olet varma tiedon keräämisen laillisuudesta, muista huolehtia asianmukaisesta dokumentoinnista.
Yhteystiedot:
Piia Hoffsten
Chief Operating Officer
piia.hoffsten@isletgroup.fi
+358 40 5877 303
#GDPR #tietosuoja #tietoturva #IsletGroup