Käsittelyn peruste

21.9.2022Ohjesivut

Tietosuoja-asetus edellyttää, että kaikelle henkilötietojen käsittelylle on tunnistettu jokin laissa säädetty peruste, kuten lakisääteinen velvoite, sopimus tai rekisteröidyn antama suostumus. Peruste on määritettävä ennen käsittelyn aloittamista.

Lue lisää käsittelyn perusteista tietosuojavaltuutetun toimiston verkkosivuilta:

Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.

Euroopan tietosuojaneuvoston ohjeet

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.

Tietosuojavaltuutetun toimiston päätökset

Käsittelyn oikeusperusteisiin on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:

  • Asiakkaiden henkilötietojen kerääminen asiakkaita tarkkailemalla Rekisterinpitäjän verkkosivuilla oli lomake, joka vireillesaattajan arvion mukaan oli todennäköisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseksi. Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi esimerkiksi tiedoille seuraaville tiedoille parisuhdedynamiikasta, omistajien elämäntilanteesta ja rahatilanteesta. Tietosuojavaltuutetun mukaan asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi ollut kyseisessä tapauksessa, ilman lainmukaista käsittelyperustetta ja rekisteröityjen informointia, yleisen tietosuoja-asetuksen läpinäkyvyyttä ja käsittelyn oikeusperustetta koskevien säännösten vastaista (5417/163/20).
  • Asuinrakennuksen yleisiin oviin asennettuun sähkölukkojärjestelmään liittyvä henkilötietojen käsittely Apulaistietosuojavaltuutettu katsoi, että henkilötietojen käsittelylle ei ollut määritelty lainmukaista käsittelyperustetta. Apulaistietosuojavaltuutettu katsoi myös, että henkilötietojen säilytysaika oli säilyttämisen rajoittamista koskevan periaatteen vastainen, eikä rekisteröityjä ollut informoitu tietosuoja-asetuksen edellyttämällä tavalla (1809/452/18).
  • Suoramarkkinointitarkoituksiin kerättävä suostumus ja rekisteröidyn vastustamisoikeuden toteuttaminen Rekisterinpitäjä oli edellyttänyt verkkopalvelussaan markkinointiviestinnän hyväksymistä, eikä rekisterinpitäjä tarjonnut mahdollisuutta kieltäytyä viestinnästä. Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjän pyytämä suostumus ei ollut täyttänyt yleisen tietosuoja-asetuksen edellytyksiä. Lisäksi rekisterinpitäjä ei ollut mahdollistanut sitä, että rekisteröity voi käyttää vastustamisoikeuttaan tietosuoja-asetuksen mukaisesti (6465/182/2018).
  • Henkilötietojen käsittelyn vaikutustenarviointi, käsittelyperuste ja rekisteröityjen informointi Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut pystynyt osoittamaan, että henkilötietojen käsittely turvakameravalvonnan yhteydessä vastasi yleisen tietosuoja-asetuksen oikeutettua etua koskevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä oli informoinut puutteellisesti kanta-asiakasohjelman yhteydessä tapahtuvan automaattisen päätöksen olemassaolosta ja sitä koskevasta henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut osoittanut täyttäneensä yleisen tietosuoja-asetuksen velvoitteet koskien vaikutustenarviointia ja selostetta käsittelytoimista. Apulaistietosuojavaltuutettu havaitsi puutteita myös osapuolten roolien määrittelyä, käsittelyn informointia ja tietojen minimointia koskevien tietosuoja-asetuksen velvoitteiden toteuttamisessa (8393/161/2019).