Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.
Suostumusta koskevat ohjeet
Suostumus on yksi kuudesta lainmukaisesta perusteesta GDPR:n mukaiselle henkilötietojen käsittelylle. Jos henkilö antaa organisaatiollenne selkeän suostumuksen tietojensa käyttämiseen tiettyä käsittelytarkoitusta varten, toimitaan siis lähtökohtaisesti oikein.
Suostumukseen käyttämiseen käsittelyperusteena liitttyy kuitenkin monia tarkentavia ohjeita. Suostumuksen pyytämisen yhteydessä on mm. tietoa henkilötietojen käsittelystä on annettava selkeästi rekisteröidylle, suostumuksen peruminen on oltava yhtä helppoa kuin sen antaminen ja myöhemmin on pystyttävä osoittaman, mihin tarkoitukseen suostumus aikanaan saatiin ja mitä tietoja rekisteröity näki suostumuksen antaessaan. Mikäli suostumusta ei ole kerätty näiden teesien mukaisesti, WP29 sanoo jyrkästi henkilötietojen käsittelyn olevan tällöin laitonta ja rekisterinpitäjän rikkovan GDPR:n artiklaa 6 (käsittelyn lainmukaisuus).
Milloin suostumusta sitten käytetään oikein?
- Suostumus on vapaasti annettu, eli rekisteröidyllä pitää olla todellinen oikeus olla antamatta suostumustaan eikä siitä saa koitua negatiivisia seurauksia.
- Suostumus on kysyttävä selvästi erikseen eri käyttötarkoituksiin.
- Suostumus on viestittävä selvästi erillään muista asioista eikä sitä saa esimerkiksi tulla antaneeksi pitkien käyttöehtojen seassa.
- Suostumusta varten on määriteltävä tarkasti, millaista henkilötietojen käsittelyä tämän suostumuksen pohjalta tehdään. "Ja muihin käyttötarkoituksiin" ilmaisut eivät tässä kelpaa.
- Rekisteröidyltä on saatava elkeä ilmaisu suostumuksen antamisesta, joskin monet tavat kelpaavat (swaippaus ruudulla, laitteen liikuttaminen, valintaruudun klikkaus, allekirjoitus, jne.)
Muita suostumukseen perustuvalle käsittelyllä oleellisia asioita
- Myöhempää suostumusten osoittamista varten pitäisi pitää kirjaa etenkin asioista "miten henkilö ilmaisi suostumuksensa", "milloin suostumus saatiin" sekä "mitä tietoa ihminen näki antaessaan suostumuksen". Online-ympäristössä tämä voi tarkoittaa sessiotietojen tallentamista ja offline-maailmassa puolestaan alkuperäisen "suostumuslomakkeen" tallentamista.
- Tietojen minimointi kuuluu tiiviisti yhteen suostumuksen kanssa siinä mielessä, että henkilötiedot pitäisi poistaa kun käsittely on päättynyt tai laki ei enää velvoita säilyttämään
- Ennen GDPR:n soveltamista saaduista suostumuksista vain ne, jotka on kerätty ja voidaan osoittaa GDPR:n vaatimusten mukaisesti, katsotaan edelleen voimassaoleviksi
- Henkilötietojen käsittelyllä samaan tarkoitukseen ei voi olla useaa käsittelyperustetta, joten rekisterinpitäjien tulee tarkkaan harkita, mikä käsittelyperuste on kullekin henkilötietojen käyttötarkoitukselle kaikkein relevantein.
Aiemmin on joskus nojattu suostumuksen pettäessä toiseen käsittelyperusteeseen "varalla", mutta tämä ei siis enää tule kyseeseen.
Katso täysimittainen lähde
Data Protection Working Party 29
Data Protection Working Party 29 koostuu eri EU-maiden tietosuojaviranomaisista ja työskentelee säännöllisesti antaakseen tarkentavia ohjeita mm. GDPR-asetuksen soveltamiseen.
Kommentoi tai kysy muilta!