inaki-del-olmo-602632-unsplash

Tietojenkäsittelyn Oikeudellinen Perusta

Tietojenkäsittelyn oikeudellinen perusta on määritelty yleisessä tietosuoja-asetuksessa Artikkelissa  6. Vähintään yhtä seuraavista ehdoista tulee soveltaa henkilötietoja käsiteltäessä.

Suostumus

Henkilö on antanut selkeän suostumuksen yrityksille henkilötietojensa käsittelyyn tiettyä tarkoitusta varten. Suostumus on erotettava muista asioista, jotta henkilö voi ymmärtää mitä tietoja hänestä kerätään ja miten tietoja tullaan käyttämään. Henkilöt voivat perua suostumuksensa milloin tahansa ja yrityksien on tällöin lopetettava kyseisen tiedon käsittely. Suostumuksen perumisen pitää tapahtua samalla tavalla kuin sen antaminen ja olla mahdollisimman yksinkertaista. Yrityksen vastuulla on osoittaa, että henkilö on selkeästi antanut suostumuksensa tietojensa käsittelyyn. Jos tietoja käytetään useampaan tarkoitukseen, tulee jokaisesta tarkoituksesta pyytää suostumus erikseen.

Sopimus

Tietojen käsittely on välttämätöntä yrityksen ja henkilön välillä olevan sopimuksen kannalta. Sopimuksen tekeminen, jossa tietojenkäsittely on oleellinen osa sopimusta on pätevä peruste tietojen käsittelylle. Yrityksien pitää kuitenkin kertoa henkilöille siitä, mitä tietoa heistä kerätään ja miten tietoa käytetään ja käsitellään.

Laillinen velvoite

Joissakin tapauksissa tietojen käsittely ja säilyttäminen on laillinen velvoite, mutta ei sisällä sopimusvelvoitteita. Kansallinen lainsäädäntö voi velvoittaa säilyttämään ja käsittelemään joitakin tietoja määräajaksi, esimerkiksi: Suomen kirjanpitoaineiston säilytysajat, jotka ovat määritelty kirjanpitolaissa on 6-14 vuotta riippuen kirjanpitoaineistosta. Näin ollen, yrityksillä on laillinen velvoite säilyttää ja käsitellä tietoja tietyn määräajan loppuun saakka.

Yksilön etu

Tietojen käsittely on välttämätöntä henkilön turvallisuuden takaamiseksi, hengen pelastamiseksi tai fyysisen koskemattomuuden takaamiseksi näiden ollessa uhattuna jos suostumusta ei voida antaa. Esimerkiksi: Ambulanssi/ ensihoitajat voivat käsitellä henkilön potilastietoja onnettomuuden sattuessa henkilön ollessa tajuton. Tietojen käsittelyä vedoten yksilön etuihin käytetään lähinnä äärimmäisissä olosuhteissa.

Yhteiskunnan etu

Tietojen käsittely on välttämätöntä tehtävän suorittamiseksi yleisen edun tai virallisten tehtävien perusteella ja tehtävällä tai tehtävillä on selkeä peruste lainsäädännössä. Yksityishenkilöiden tietojen käsittely yleisen edun vuoksi voidaan käsittää yhteiskunnan etuna. Julkisten virkamiesten kohdalla yleinen etu tarkoittaa heille asetettua virallista tehtävää. Esimerkiksi: Verohallinto, poliisi tai finanssivalvonta.

Yrityksen etu

Tietojen käsittely on välttämätöntä yrityksen oman edun tai kolmannen osapuolen edun kannalta, ellei ole perusteltua syytä suojella yksilön henkilötietoja yrityksen oikeutettujen etujen yli. Yrityksen oikeutettua etua voidaan soveltaa vain tilanteissa, joissa yksilön ja tietojen käsittelijän välillä on asianmukainen suhde. Tällaiset tilanteet voivat olla esimerkiksi asiakas- ja palveluntarjoajan suhde, jossa asiakas voi kohtuudella odottaa, että hänen tietonsa käsitellään. Jos yritys kuuluu useamman yrityksen muodostamaan kokonaisuuteen, tietojen välitys sisäisti hallinnollisiin tarkoituksiin on oikeutettua etua. Oikeutettua etua ei sovelleta viranomaisiin, jotka käsittelevät henkilötietoja tehtäviensä suorittamiseksi.

Ratkaisu oikeudellisen perustan kirjaamiseksi kullekin käsittelytoiminnalle.

Oikeudelliset perusteet tulee kirjata selosteeseen tietojen käsittelytoimista Yleisen tietosuoja-asetuksen  Artikkeli 30 mukaisesti.

GDPR Rekisteri tarjoaa selosteen tekemiseen ja ylläpitämiseen yksinkertaisen ja helppokäyttöisen  raportointimallin, jonka paikallinen tietosuoja viranomainen hyväksyy.

 

Katso Tietosuoja-asetuksen Artikkelin 6 sisältö.

Easy to use GDPR compliance tool

With GDPR Register you can keep a record of processing activities, create & manage documents, report to the Data Protection Agency.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Tietosuojavaltuutettu määräsi Svea Ekonomia muuttamaan käytäntöjään henkilötietojen käsittelyssä

Helsingin sanomat julkaisi hiljattain artikkelin, jossa kerrottiin tietosuojavaltuutetun määränneen rahoitusyhtiö Svea Ekonomin muuttamaan henkilötietojen käsittelyä koskevia käytäntöjään.   Tietosuojavaltuutettu aloitti tutkinnan...
GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

GDPR ja verkkohyökkäykset: Kiristyshaittaohjelmat

Kiristyshaittaohjelmat ja Yleinen Tietosuoja-asetus Lähes jokaisella yrityksellä on käytössä erilaisia digitaalisia ratkaisuja. Jos yrityksen IT infrastruktuuria ja sisäisiä käytäntöjä ei...
Terveydenhuoltoala ja GDPR

Terveydenhuoltoala ja GDPR

Yleisen tietosuoja-asetuksen voimaantulon jälkeen henkilötietojen suojaaminen on osoittautunut yhä haastavammaksi terveydenhuoltoalalle. Tietoja tulisi käsitellä kokonaisvaltaisemmin sekä ymmärtää tiedon liikkuvuuden rakenteita....
Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala: Kuinka noudattaa Yleistä tietosuoja-asetusta?

Hotelli ja matkailuala (majoitus, ravintolat, matkailu) on yksi suurimmista yksittäisistä aloista, jotka keräävät eniten henkilötietoja. Näin ollen on tärkeää, että...
IP – osoitteen Anonymisaatio – Google Analytics

IP – osoitteen Anonymisaatio – Google Analytics

Monet yritykset käyttävät Google Analyticsia apuvälineenään saadakseen tärkeää tietoa asiakkaiden käyttäytymisestä verkkosivustoilla, mobiilisovelluksissa jne. Google Analytics käyttää verkkosivustojen käyttäjien IP-...
Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Suomessa aloitetaan ensimmäiset GDPR-tarkastukset – Tietosuoja-asetuksen rikkomisesta voi seurata miljoonien sanktiot

Tietosuojavaltuutetun toimisto on saanut suuren määrän valituksia mahdollisista tietoturvaloukkauksista yleisen tietosuoja-asetuksen astuessa voimaan 25 toukokuuta 2018. Suomen tietosuojaviranomaiset ovat aloittamassa...
GDPR: Oikeutettu etu

GDPR: Oikeutettu etu

Oikeutettu etu MITÄ TARKOITTAA OIKEUTETTU ETU? GDPR määrittelee kuusi laillista perustaa henkilötietojen käsittelylle → oikeutettu etu on yksi niistä Oikeutettu...
Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Kanta-asiakasohjelmat Tietosuoja-Asetuksen tarkastelun alla

Liettuan tietosuojaviranomainen on äskettäin saanut valmiiksi selvityksen liittyen henkilötietojen käsittelyyn suoramarkkinointitarkoituksissa. Selvityksen kohteina olivat tärkeimmät elintarvike, lääketeollisuus sekä kotitalouden alat,...
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen yleisen tietosuoja-asetuksen mukaisesti

Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset...
Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin?

Miten GDPR vaikuttaa suoramarkkinointiin ja profilointiin? Suoramarkkinointi ja kuluttajien käyttäytymismallit (profilointi) ovat keskeisiä työkaluja, joita yritys käyttää tuotteidensa tai palveluidensa...