Tietojenkäsittelyn oikeudellinen perusta on määritelty yleisessä tietosuoja-asetuksessa Artikkelissa 6. Vähintään yhtä seuraavista ehdoista tulee soveltaa henkilötietoja käsiteltäessä.
Suostumus
Henkilö on antanut selkeän suostumuksen yrityksille henkilötietojensa käsittelyyn tiettyä tarkoitusta varten. Suostumus on erotettava muista asioista, jotta henkilö voi ymmärtää mitä tietoja hänestä kerätään ja miten tietoja tullaan käyttämään. Henkilöt voivat perua suostumuksensa milloin tahansa ja yrityksien on tällöin lopetettava kyseisen tiedon käsittely. Suostumuksen perumisen pitää tapahtua samalla tavalla kuin sen antaminen ja olla mahdollisimman yksinkertaista. Yrityksen vastuulla on osoittaa, että henkilö on selkeästi antanut suostumuksensa tietojensa käsittelyyn. Jos tietoja käytetään useampaan tarkoitukseen, tulee jokaisesta tarkoituksesta pyytää suostumus erikseen.
Sopimus
Tietojen käsittely on välttämätöntä yrityksen ja henkilön välillä olevan sopimuksen kannalta. Sopimuksen tekeminen, jossa tietojenkäsittely on oleellinen osa sopimusta on pätevä peruste tietojen käsittelylle. Yrityksien pitää kuitenkin kertoa henkilöille siitä, mitä tietoa heistä kerätään ja miten tietoa käytetään ja käsitellään.
Laillinen velvoite
Joissakin tapauksissa tietojen käsittely ja säilyttäminen on laillinen velvoite, mutta ei sisällä sopimusvelvoitteita. Kansallinen lainsäädäntö voi velvoittaa säilyttämään ja käsittelemään joitakin tietoja määräajaksi, esimerkiksi: Suomen kirjanpitoaineiston säilytysajat, jotka ovat määritelty kirjanpitolaissa on 6-14 vuotta riippuen kirjanpitoaineistosta. Näin ollen, yrityksillä on laillinen velvoite säilyttää ja käsitellä tietoja tietyn määräajan loppuun saakka.
Yksilön etu
Tietojen käsittely on välttämätöntä henkilön turvallisuuden takaamiseksi, hengen pelastamiseksi tai fyysisen koskemattomuuden takaamiseksi näiden ollessa uhattuna jos suostumusta ei voida antaa. Esimerkiksi: Ambulanssi/ ensihoitajat voivat käsitellä henkilön potilastietoja onnettomuuden sattuessa henkilön ollessa tajuton. Tietojen käsittelyä vedoten yksilön etuihin käytetään lähinnä äärimmäisissä olosuhteissa.
Yhteiskunnan etu
Tietojen käsittely on välttämätöntä tehtävän suorittamiseksi yleisen edun tai virallisten tehtävien perusteella ja tehtävällä tai tehtävillä on selkeä peruste lainsäädännössä. Yksityishenkilöiden tietojen käsittely yleisen edun vuoksi voidaan käsittää yhteiskunnan etuna. Julkisten virkamiesten kohdalla yleinen etu tarkoittaa heille asetettua virallista tehtävää. Esimerkiksi: Verohallinto, poliisi tai finanssivalvonta.
Yrityksen etu
Tietojen käsittely on välttämätöntä yrityksen oman edun tai kolmannen osapuolen edun kannalta, ellei ole perusteltua syytä suojella yksilön henkilötietoja yrityksen oikeutettujen etujen yli. Yrityksen oikeutettua etua voidaan soveltaa vain tilanteissa, joissa yksilön ja tietojen käsittelijän välillä on asianmukainen suhde. Tällaiset tilanteet voivat olla esimerkiksi asiakas- ja palveluntarjoajan suhde, jossa asiakas voi kohtuudella odottaa, että hänen tietonsa käsitellään. Jos yritys kuuluu useamman yrityksen muodostamaan kokonaisuuteen, tietojen välitys sisäisti hallinnollisiin tarkoituksiin on oikeutettua etua. Oikeutettua etua ei sovelleta viranomaisiin, jotka käsittelevät henkilötietoja tehtäviensä suorittamiseksi.
Ratkaisu oikeudellisen perustan kirjaamiseksi kullekin käsittelytoiminnalle.
Oikeudelliset perusteet tulee kirjata selosteeseen tietojen käsittelytoimista Yleisen tietosuoja-asetuksen Artikkeli 30 mukaisesti.
GDPR Rekisteri tarjoaa selosteen tekemiseen ja ylläpitämiseen yksinkertaisen ja helppokäyttöisen raportointimallin, jonka paikallinen tietosuoja viranomainen hyväksyy.
Helppokäyttöinen GDPR-vaatimustenmukaisuustyökalu
GDPR-rekisterin avulla voit pitää kirjaa seloste käsittelytoimista, luoda ja hallita asiakirjoja sekä raportoida tietosuojavirastolle.
