WP29-kooste: Suostumus

Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.

Suostumusta koskevat ohjeet

Suostumus on yksi kuudesta lainmukaisesta perusteesta GDPR:n mukaiselle henkilötietojen käsittelylle. Jos henkilö antaa organisaatiollenne selkeän suostumuksen tietojensa käyttämiseen tiettyä käsittelytarkoitusta varten, toimitaan siis lähtökohtaisesti oikein.

Suostumukseen käyttämiseen käsittelyperusteena liitttyy kuitenkin monia tarkentavia ohjeita. Suostumuksen pyytämisen yhteydessä on mm. tietoa henkilötietojen käsittelystä on annettava selkeästi rekisteröidylle, suostumuksen peruminen on oltava yhtä helppoa kuin sen antaminen ja myöhemmin on pystyttävä osoittaman, mihin tarkoitukseen suostumus aikanaan saatiin ja mitä tietoja rekisteröity näki suostumuksen antaessaan. Mikäli suostumusta ei ole kerätty näiden teesien mukaisesti, WP29 sanoo jyrkästi henkilötietojen käsittelyn olevan tällöin laitonta ja rekisterinpitäjän rikkovan GDPR:n artiklaa 6 (käsittelyn lainmukaisuus).

Milloin suostumusta sitten käytetään oikein?

Suostumus on vapaasti annettu, eli rekisteröidyllä pitää olla todellinen oikeus olla antamatta suostumustaan eikä siitä saa koitua negatiivisia seurauksia.
Suostumus on kysyttävä selvästi erikseen eri käyttötarkoituksiin.
Suostumus on viestittävä selvästi erillään muista asioista eikä sitä saa esimerkiksi tulla antaneeksi pitkien käyttöehtojen seassa.
Suostumusta varten on määriteltävä tarkasti, millaista henkilötietojen käsittelyä tämän suostumuksen pohjalta tehdään. "Ja muihin käyttötarkoituksiin" ilmaisut eivät tässä kelpaa.
Rekisteröidyltä on saatava elkeä ilmaisu suostumuksen antamisesta, joskin monet tavat kelpaavat (swaippaus ruudulla, laitteen liikuttaminen, valintaruudun klikkaus, allekirjoitus, jne.)

Muita suostumukseen perustuvalle käsittelyllä oleellisia asioita

Myöhempää suostumusten osoittamista varten pitäisi pitää kirjaa etenkin asioista "miten henkilö ilmaisi suostumuksensa", "milloin suostumus saatiin" sekä "mitä tietoa ihminen näki antaessaan suostumuksen". Online-ympäristössä tämä voi tarkoittaa sessiotietojen tallentamista ja offline-maailmassa puolestaan alkuperäisen "suostumuslomakkeen" tallentamista.
Tietojen minimointi kuuluu tiiviisti yhteen suostumuksen kanssa siinä mielessä, että henkilötiedot pitäisi poistaa kun käsittely on päättynyt tai laki ei enää velvoita säilyttämään
Ennen GDPR:n soveltamista saaduista suostumuksista vain ne, jotka on kerätty ja voidaan osoittaa GDPR:n vaatimusten mukaisesti, katsotaan edelleen voimassaoleviksi
Henkilötietojen käsittelyllä samaan tarkoitukseen ei voi olla useaa käsittelyperustetta, joten rekisterinpitäjien tulee tarkkaan harkita, mikä käsittelyperuste on kullekin henkilötietojen käyttötarkoitukselle kaikkein relevantein.

Aiemmin on joskus nojattu suostumuksen pettäessä toiseen käsittelyperusteeseen "varalla", mutta tämä ei siis enää tule kyseeseen.

KATEGORIAT

AIHEET

WP29

Suostumusta koskevat ohjeet

Kommentoi tai kysy muilta!

Data Protection Working Party 29

Jäikö joku mietityttämään?

Kysy ja vastaa Tietosuojayhteisössä >>

1

WP29-kooste: Vaikutustenarviointi

2

WP29-kooste: Läpinäkyvyyttä koskevat ohjeet

3

WP29-kooste: Privacy Shield -järjestely

4

Kooste tietosuojaviranomaisten ohjeista suostumukseen liittyen

5

EU:n tietosuoja-asetus tulee – enää vuosi aikaa valmistautua

1

Periaatteet

2

Vastuu ja seuraamukset

3

Henkilötietojen siirrot

4

Rekisterinpitäjä

5

Rekisteröidyn oikeudet

Tietoa aiheittain

Palvelusta

Opi lisää? Liity ilmaiseksi Akatemiaan

Katso myös: Yhteiso.digiturvamalli.fi

Katso myös: Digiturvamalli.fi

Tilaa Digiturvatulkki-uutiskirje

* Osoitetta ei myydä tai luovuteta eteenpäin. Vahvistusviestissä lisätietoja. Lue lisää

KATEGORIAT

AIHEET