Käsittelyn peruste

21.9.2022Ohjesivut

Tietosuoja-asetus edellyttää, että kaikelle henkilötietojen käsittelylle on tunnistettu jokin laissa säädetty peruste, kuten lakisääteinen velvoite, sopimus tai rekisteröidyn antama suostumus. Peruste on määritettävä ennen käsittelyn aloittamista.

  • Lue lisää käsittelyn perusteista tietosuojavaltuutetun toimiston verkkosivuilta: https://tietosuoja.fi/kasittelyperusteet Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.
  • Tutustu myös Euroopan tietosuojaneuvoston suostumusta koskeviin ohjeisiin: Guidelines 05/2020 on consent under Regulation 2016/679  Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. 
  • Käsittelyn oikeusperusteisiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:
    • Asiakkaiden henkilötietojen kerääminen asiakkaita tarkkailemalla Rekisterinpitäjän verkkosivuilla oli lomake, joka vireillesaattajan arvion mukaan oli todennäköisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseksi. Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi esimerkiksi tiedoille seuraaville tiedoille parisuhdedynamiikasta, omistajien elämäntilanteesta ja rahatilanteesta. Tietosuojavaltuutetun mukaan asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi ollut kyseisessä tapauksessa, ilman lainmukaista käsittelyperustetta ja rekisteröityjen informointia, yleisen tietosuoja-asetuksen läpinäkyvyyttä ja käsittelyn oikeusperustetta koskevien säännösten vastaisia. (5417/163/20)
    • Asuinrakennuksen yleisiin oviin asennettuun sähkölukkojärjestelmään liittyvä henkilötietojen käsittely Asukas epäili, etteivät asunto-osakeyhtiön sähkölukkojärjestelmä ja sen käyttöönottomenettely täytä tietosuojasääntelystä tulevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi, että henkilötietojen käsittelylle ei ollut määritelty lainmukaista käsittelyperustetta. Apulaistietosuojavaltuutettu katsoi myös, että henkilötietojen säilytysaika oli säilyttämisen rajoittamista koskevan periaatteen vastainen, eikä rekisteröityjä ollut informoitu tietosuoja-asetuksen edellyttämällä tavalla. (1809/452/18)
    • Suoramarkkinointitarkoituksiin kerättävä suostumus ja rekisteröidyn vastustamisoikeuden toteuttaminen Rekisterinpitäjä oli edellyttänyt verkkopalvelussaan markkinointiviestinnän hyväksymistä, eikä rekisterinpitäjä tarjonnut mahdollisuutta kieltäytyä viestinnästä. Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjän pyytämä suostumus ei ollut täyttänyt yleisen tietosuoja-asetuksen edellytyksiä. Lisäksi rekisterinpitäjä ei ollut mahdollistanut sitä, että rekisteröity voi käyttää vastustamisoikeuttaan tietosuoja-asetuksen mukaisesti (6465/182/2018).
    • Henkilötietojen käsittelyn vaikutustenarviointi, käsittelyperuste ja rekisteröityjen informointi Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut pystynyt osoittamaan, että henkilötietojen käsittely turvakameravalvonnan yhteydessä vastasi yleisen tietosuoja-asetuksen oikeutettua etua koskevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä oli informoinut puutteellisesti kanta-asiakasohjelman yhteydessä tapahtuvan automaattisen päätöksen olemassaolosta ja sitä koskevasta henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut osoittanut täyttäneensä yleisen tietosuoja-asetuksen velvoitteita koskien vaikutustenarviointia ja selostetta käsittelytoimista. Apulaistietosuojavaltuutettu havaitsi puutteita myös osapuolten roolien määrittelyä, käsittelyn informointia ja tietojen minimointia koskevien tietosuoja-asetuksen velvoitteiden toteuttamisessa (8393/161/2019).