Kaupan liiton ohje henkilötietojen käsittelystä

Transkriptio

1 Kaupan liiton ohje henkilötietojen käsittelystä Kuva: 123RF

2 SISÄLLYS 1 YLEISTÄ TÄRKEIMMÄT MÄÄRITELMÄT Henkilötieto Henkilötietojen käsittely Rekisteri Rekisterinpitäjä Henkilötietojen käsittelijä Rekisteröity Vastaanottaja Rekisteröidyn suostumus HENKILÖTIETOJEN KÄSITTELYN YLEISET EDELLYTYKSET Tietosuojaperiaatteet Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Käyttötarkoitussidonnaisuus Tietojen minimointi Henkilötietojen täsmällisyys Säilytyksen rajoittaminen Henkilötietojen käsittelyn eheys ja luottamuksellisuus Sisäänrakennettu ja oletusarvoinen tietosuoja Osoitusvelvollisuus Käsittelyn lainmukaisuus Suostumus ja sen edellytykset Sopimuksen täytäntöönpano tai sopimuksen tekemistä edeltävät toimet Lakisääteinen velvoite Elintärkeiden etujen suojelu Yleinen etu tai julkisen vallan käyttäminen Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu Erityisiä henkilötietoryhmiä koskeva käsittely LASTEN HENKILÖTIETOJEN KÄSITTELY Lasten erityinen suojan tarve Lapsen suostumus henkilötietojen käsittelyyn Suostumus tarjottaessa tietoyhteiskunnan palveluita Suostumus muissa yhteyksissä Lapsille suunnattu informointi henkilötietojen käsittelystä REKISTERÖIDYN INFORMOINTI HENKILÖTIETOJEN KÄSITTELYSTÄ Rekisteröidylle toimitettavat tiedot Informaation helppo saatavuus Informaation selkeys ja ymmärrettävyys Käsittelyssä tapahtuvista muutoksista ilmoittaminen

3 6 REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMINEN Rekisteröidyn oikeudet Oikeus saada pääsy tietoihin Oikeus tietojen oikaisemiseen Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ) Oikeus peruuttaa suostumus Oikeus siirtää tiedot järjestelmästä toiseen Oikeus vastustaa henkilötietojen käsittelyä Oikeus käsittelyn rajoittamiseen Rekisteröidyn tunnistaminen rekisteröidyn käyttäessä oikeuksiaan Perusteltu syy Lisätietojen pyytäminen Suositeltuja tapoja rekisteröidyn tunnistamiseen Tietopyynnön täsmentäminen Rekisteröidyn pyyntöön vastaaminen Kieltäytyminen suorittamasta rekisteröidyn pyyntöä Poikkeukset, joiden perusteella rekisteröidyn pyynnön toteuttamisesta voidaan kieltäytyä tai siitä voidaan periä kohtuullinen maksu Rekisteröityä ei voida tunnistaa Ilmeisen perusteeton tai kohtuuton pyyntö Kieltäytyminen muiden oikeuksien suojelun perusteella Tietojen toimitustapa AUTOMATISOITU PÄÄTÖKSENTEKO JA PROFILOINTI Automaattiset päätökset, joilla on oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia rekisteröityyn Muu profilointi ja profilointiin perustuva päätöksenteko KÄSITTELYN TURVALLISUUS Riskiperusteinen lähestymistapa Tekniset ja organisatoriset suojatoimet Sisäänrakennettu ja oletusarvoinen tietosuoja Henkilötietojen pseudonymisointi ja anonymisointi Tietosuojaa koskeva vaikutustenarviointi TIETOSUOJAVASTAAVAN NIMITTÄMINEN TIETOTURVALOUKKAUKSET Ilmoitukset valvontaviranomaiselle Ilmoitukset rekisteröidyille HENKILÖTIETOJEN KÄSITTELYN ULKOISTAMINEN HENKILÖTIETOJEN SIIRTO EUROOPAN UNIONIN TAI EUROOPAN TALOUSALUEEN ULKOPUOLELLE

4 1 YLEISTÄ Tämä Kaupan liiton ohje on laadittu ohjeistukseksi henkilötietojen käsittelyyn Kaupan liiton jäsenille. Ohjeen laatimisen taustalla on EU:n yleinen tietosuoja-asetus (jäljempänä tietosuoja-asetus tai asetus ), joka parantaa yksilöiden henkilötietojen suojaa ja asettaa rekisterinpitäjille uudenlaisia velvoitteita. Ohje on laadittu Kaupan liiton tietosuojatyöryhmässä yhdessä liiton jäsenyritysten asiantuntijoiden kanssa. Ohjeen laatimiseen on osallistunut lisäksi asianajotoimisto Castrén & Snellman. Ohjeen tavoitteena on antaa tulkintaohjeita asetuksen käytännön soveltamistilanteisiin sekä edesauttaa yhtenäisten käytäntöjen muodostumista ja yksilöiden oikeuksien tehokasta suojelua Kaupan liiton jäsenten toteuttamassa henkilötietojen käsittelyssä. Tämän ohjeen rinnalla on julkaistu ohje tietosuojaselosteen laatimiseksi, joka on tarkoitettu rekisterinpitäjän apuvälineeksi tietosuoja-asetuksen informointivelvoitteen toteutuksessa erityisesti kaupan alalla. Ohjeessa annetut tulkinnat edustavat ainoastaan Kaupan liiton näkemystä sääntelyn sisällöstä ja soveltamisesta. Ohje ei velvoita Kaupan liiton jäsenyrityksiä, eivätkä siinä esitetyt tulkinnat rajoita toimivaltaisten valvontaviranomaisten valtuuksia. 2 TÄRKEIMMÄT MÄÄRITELMÄT Asetuksen 4 artiklassa on useita määritelmiä. Seuraavassa käydään läpi tämän ohjeen ymmärrettävyyden ja luettavuuden kannalta näistä keskeisimmät. 2.1 Henkilötieto Tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, eli rekisteröityyn, liittyvä tieto. Henkilö voi olla tunnistettavissa suoraan tai epäsuorasti esimerkiksi nimen, osoitteen, henkilötunnuksen, sijaintitiedon tai verkkotunnistetietojen avulla. Määritelmä on laaja ja henkilötiedoksi katsotaan kaikki tiedot, jotka voidaan liittää tunnistettuun tai tunnistettavissa olevaan henkilöön. Myös pseudonymisoidut henkilötiedot, joita ei voi yhdistää tiettyyn henkilöön käyttämättä erikseen säilytettäviä lisätietoja, ovat henkilötietoja. Pysyvällä tavalla anonymisoidut tiedot eivät ole henkilötietoja. 2.2 Henkilötietojen käsittely Toiminnot, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti sellaisiin henkilötietoihin, jotka ovat rekisterissä. Käsittelyä on mm. henkilötietojen kerääminen, tallentaminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttamista, hakeminen, käyttö tai poistaminen. Myös henkilötietojen passiivinen säilyttäminen, esimerkiksi osana arkistoa, on henkilötietojen käsittelyä. 2.3 Rekisteri Henkilötietoja sisältävä tietojoukko, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Saman rekisterin tiedot on voitu esimerkiksi teknisesti hajauttaa, jolloin kyse on saman tietojoukon osarekistereistä. Esimerkiksi asiakasrekisteristä tiettyä jakelua varten tehty poiminta ei muodosta automaattisesti itsenäistä rekisteriä, vaikka poiminnassa kerätyt tiedot sijoitettaisiinkin eri järjestelmään. 2.4 Rekisterinpitäjä Luonnollinen henkilö tai oikeushenkilö, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tiettyjen henkilötietojen käsittelyn osalta henkilötietojen käsittelyn tarkoitusta määrittää myös lainsäädäntö. Rekisterinpitäjällä viitataan tässä ohjeessa rekisterinpitäjänä toimivaan Kaupan liiton jäseneen. 4

5 2.5 Henkilötietojen käsittelijä Käsittelee henkilötietoja rekisterinpitäjän lukuun. Tyypillisesti kyse on IT-järjestelmää koskevasta palvelusta, jonka rekisterinpitäjä ostaa henkilötietojen käsittelijältä ja jossa käsitellään henkilötietoja. 2.6 Rekisteröity Rekisteröidyllä tarkoitetaan luonnollista henkilöä, johon käsiteltävät henkilötiedot liittyvät. 2.7 Vastaanottaja Luonnollinen henkilö tai oikeushenkilö, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Rekisterinpitäjät, yhteisrekisterinpitäjät ja henkilötietojen käsittelijät, joille henkilötiedot siirretään tai luovutetaan, ovat siis vastaanottajia. Rekisteröityä tulee informoida henkilötietojen vastaanottajista tai vastaanottajaryhmistä. 2.8 Rekisteröidyn suostumus Suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen edellytyksiä on käsitelty tarkemmin alla. 3 HENKILÖTIETOJEN KÄSITTELYN YLEISET EDELLYTYKSET 3.1 Tietosuojaperiaatteet Tietosuojaperiaatteet muodostavat henkilötietojen käsittelyn perustan. Tietosuojaperiaatteita on noudatettava kaikessa henkilötietojen käsittelyssä Käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista, kohtuullista ja läpinäkyvää. Läpinäkyvyyden vaatimus vaikuttaa erityisesti rekisteröidylle toimitettaviin henkilötietojen käsittelyä koskeviin tietoihin, rekisteröidyn informointiin hänen oikeuksistaan sekä toimenpiteisiin, joita rekisterinpitäjä toteuttaa taatakseen rekisteröidylle tehokkaat mahdollisuudet oikeuksiensa käyttämiseen. Käsittelyn läpinäkyvyys liittyy olennaisesti myös rekisterinpitäjän osoitusvelvollisuuteen, sillä käsittelyn läpinäkyvyys on edellytys sille, että rekisterinpitäjä kykenee osoittamaan tietosuoja-asetuksen vaatimusten noudattamisen toiminnassaan Käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Käsittelyn tarkoitus tai tarkoitukset tulee määritellä ennen henkilötietojen keräämistä. Henkilötietoja ei siten saa kerätä ilman, että rekisterinpitäjä on tunnistanut ja määritellyt tarkoituksen, joihin kyseisiä henkilötietoja tarvitaan. Henkilötietoja voidaan lähtökohtaisesti käsitellä ainoastaan niihin tarkoituksiin, joihin tiedot alun perin kerättiin. Mikäli henkilötietoja käsitellään myöhemmin alkuperäisestä poikkeaviin tarkoituksiin, kyseisten tarkoitusten on oltava yhteensopivia alkuperäisten tarkoitusten kanssa. Alkuperäisten ja myöhempien tarkoitusten yhteensopivuuden arvioinnissa on otettava huomioon esimerkiksi alkuperäisten ja myöhempien tarkoitusten väliset yhteydet, henkilötietojen keruun asiayhteys, rekisterinpitäjän ja rekisteröidyn välinen suhde, henkilötietojen luonne, myöhemmän käsittelyn mahdolliset seuraukset rekisteröidylle sekä rekisterinpitäjän mahdollisesti soveltamat suojatoimet, kuten henkilötietojen pseudonymisointi. 5

6 3.1.3 Tietojen minimointi Henkilötietojen sisältö ja määrä tulee rajata siihen, mikä käsittelylle määriteltyjen tarkoitusten kannalta on tarpeellista ja asianmukaista. Kerättävien henkilötietojen on oltava olennaisia niille määritellyn käyttötarkoituksen toteuttamisen kannalta. Henkilötietoja ei tule esimerkiksi kerätä tai säilyttää varmuuden vuoksi. Tietojen minimoinnin toteutuminen edellyttää, että rekisterinpitäjä arvioi säännöllisin väliajoin keräämiään henkilötietoja ja niiden tarpeellisuutta suhteessa määriteltyihin käsittelytarkoituksiin. Jos liiketoiminnan tarpeet on mahdollista täyttää tehokkaasti myös anonyymeillä tiedoilla, rekisterinpitäjän tulee käyttää tällaisia tietoja henkilötietojen sijaan. Esimerkiksi tilastointitarkoitusten toteuttaminen on usein mahdollista myös ilman henkilötietoja. Henkilötunnusta tulee puolestaan käsitellä ainoastaan lain sallimissa tilanteissa esimerkiksi silloin, kun rekisteröidyn yksilöinti on välttämätöntä rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamista varten Henkilötietojen täsmällisyys Rekisterinpitäjän tulee huolehtia henkilötietojen täsmällisyydestä ja toteuttaa kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että henkilötietojen käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Täsmällisyyden varmistamiseen pyrkiviä toimenpiteitä voivat olla esimerkiksi rekisteröidylle toimitettavat pyynnöt päivittää henkilötiedot. Mitä merkittävämpiä vaikutuksia henkilötietojen käsittelyllä voi olla rekisteröidylle, sitä aktiivisemmin rekisterinpitäjän tulisi pyrkiä varmistamaan henkilötietojen täsmällisyys. Esimerkiksi laskutukseen käytettävien tietojen täsmällisyys on tärkeämpää, kuin suoramarkkinoinnin toteuttamiseksi käsiteltävien tietojen täsmällisyys. Virheelliset henkilötiedot on korjattava ilman aiheetonta viivytystä sen jälkeen, kun rekisterinpitäjä on tullut tietoiseksi virheellisyydestä Säilytyksen rajoittaminen Henkilötietoja ei tule säilyttää pidempään kuin on tarpeen niiden käyttötarkoitusten toteuttamiseksi tai esimerkiksi lakisääteisen velvoitteen noudattamiseksi. Velvollisuus säilytyksen rajoittamiseen koskee myös rekistereistä otettuja varmuuskopioita ja passiivista käsittelyä, kuten arkistointia. Rekisterinpitäjän tulee määritellä käsiteltävien henkilötietojen säilytysajat tai perusteet säilytysaikojen määräytymiselle ja varmistaa, että henkilötietoja sisältävät järjestelmät tukevat säilytysaikojen noudattamista. Kaikkien tietojen poistamisen sijaan henkilötiedot on myös mahdollista anonymisoida pysyvällä tavalla, jolloin säilytyksen rajoittamista koskeva periaate ei enää sovellu tietoihin. Säilytysaikoja määriteltäessä tulee ottaa huomioon henkilötietojen käsittelyn tarkoitukset ja soveltuvat lakisääteiset säilytysvelvoitteet. Velvollisuus säilyttää henkilötietoja niiden käyttötarkoitusten edellyttämää aikaa pidempään voi johtua esimerkiksi lainsäädännössä määritellyistä kanneajoista tai kirjanpitoaineistoa koskevista velvoitteista Henkilötietojen käsittelyn eheys ja luottamuksellisuus Rekisterinpitäjän tulee pyrkiä varmistamaan henkilötietojen turvallisuus asianmukaisten teknisten ja organisatoristen suojatoimien avulla. Rekisterinpitäjän tulee esimerkiksi varmistaa, että henkilötiedot on suojattu luvattomalta ja lainvastaiselta käsittelyltä, sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Henkilötietojen turvallisuus on taattava koko niiden elinkaaren ajan. Sovellettavat suojatoimet tulee suhteuttaa henkilötietojen luonteeseen ja käsittelystä rekisteröidyn yksityisyydelle aiheutuvaan riskiin, sekä saatavilla olevaan tekniikkaan ja toimenpiteistä aiheutuviin kustannuksiin. Joissain tapauksissa henkilötietojen turvallisuuden takaaminen saattaa edellyttää esimerkiksi lokien käyttöönottoa ja niiden seurantaa. Lokit voivat olla tarpeellisia erityisesti käsiteltäessä arkaluonteisia tietoja. 6

7 Rekisterinpitäjän tulee aina ennen henkilötietojen luovuttamista kolmannelle taholle varmistua siitä, että vastaanottajalla on oikeus käsitellä tietoja. Lisäksi rekisterinpitäjän tulee varmistua siitä, että myös sen henkilöstö ja henkilötietojen käsittelijät ovat sitoutuneet huolehtimaan henkilötietojen eheydestä ja luottamuksellisuudesta Sisäänrakennettu ja oletusarvoinen tietosuoja Asetuksen 25 artiklassa säädetty sisäänrakennetun tietosuojan velvoite edellyttää, että edellä mainitut periaatteet otetaan osaksi henkilötietojen käsittelyä, ja periaatteiden täytäntöönpanoa varten toteutetaan asianmukaiset tekniset ja organisatoriset toimenpiteet. Oletusarvoisen tietosuojan velvoite puolestaan edellyttää, että rekisterinpitäjä käsittelee vain käsittelyn tarkoituksen kannalta tarpeellisia henkilötietoja ja toteuttaa toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. Asetuksen tarkoittamia teknisiä ja organisatorisia toimenpiteitä voivat olla esimerkiksi henkilöstölle annettava ohjeistus ja tarvittaessa henkilötietoja käsittelevän henkilöstön koulutus, salassapitositoumukset ja toimet, joilla varmistetaan it-järjestelmien tietoturvallisuus Osoitusvelvollisuus Rekisterinpitäjä on vastuussa siitä, että se kykenee osoittamaan tietosuojaperiaatteiden ja muiden tietosuojalainsäädännön velvoitteiden noudattamisen toiminnassaan. Osoitusvelvollisuutta toteutetaan mm. riittävällä sisäisellä dokumentaatiolla. 3.2 Käsittelyn lainmukaisuus Henkilötietojen käsittely on lainmukaista ainoastaan, kun vähintään yksi alla mainituista edellytyksistä täyttyy. Käsittely on kunkin käsittelyperusteen osalta sallittua vain siltä osin kuin se on yhteensopivaa kyseisen käyttötarkoituksen kanssa. Toisin sanoen käsittely sopimuksen täytäntöönpanemiseksi ei oikeuta esimerkiksi sellaiseen käsittelyyn, joka tyypillisesti edellyttäisi suostumusta, kuten kuluttajille kohdennettu sähköinen suoramarkkinointi. Rekisterinpitäjän tulee ennen käsittelyn aloittamista ratkaista, mikä käsittelyperuste soveltuu kyseiseen käyttötarkoitukseen. Kun henkilötietojen käsittely sidotaan johonkin käsittelyperusteeseen, perustetta ei voi enää vaihtaa toiseen. Jos käsittely on esimerkiksi tietyiltä osin alun perin perustunut rekisteröidyn antamaan suostumukseen ja rekisteröity on myöhemmin peruuttanut suostumuksensa, ei käsittelyä tule lähtökohtaisesti tältä osin jatkaa muuhun käsittelyperusteeseen nojautuen. Henkilötietojen käsittelyssä sovellettavista lainmukaisista perusteista tulee kertoa rekisteröidyille toimitettavissa tiedoissa selkeästi, jotta myös rekisteröity kykenee ymmärtämään perusteet. Käsittelyn lainmukaisuuden perusteet on kuvattu seuraavissa alakappaleissa Suostumus ja sen edellytykset Rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella tai suullisella lausumalla. Toimi voi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten erikseen. Jos rekisteröity antaa suos- 7

8 tumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä ja tiiviisti esitetty eikä se saa tarpeettomasti häiritä sen palvelun käyttöä, jota varten se annetaan. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Rekisteröidyllä on myös oikeus peruuttaa suostumuksensa milloin tahansa. Jos rekisteröity peruuttaa suostumuksensa, ei henkilötietoja voida enää käsitellä suostumuksen perusteella. Suostumuksen peruuttaminen ei kuitenkaan tarkoita sitä, että rekisterinpitäjän on poistettava kaikki tiedot ko. rekisteröidystä. Henkilötietojen käsittely voi edelleen olla lainmukaista mm. sopimuksen täytäntöön panemiseksi ja/tai lakisääteisen velvoitteen noudattamiseksi. Osoitusvelvollisuuteen perustuen rekisterinpitäjä voi olla oikeutettu käsittelemään tietoja suostumuksesta sen peruuttamisen jälkeenkin, jotta suostumuksen pätevyys voidaan tarvittaessa osoittaa myöhemmin. Suostumustiedon säilyttäminen voi em. tilanteessa tulla kyseeseen, jos tiedon käsittely on osa asiakassuhteen hallintaa. Asiaa arvioidaan tapauskohtaisesti riippuen mm. henkilötietojen käsittelyyn sovellettavan järjestelmän toteutuksesta Vapaaehtoinen Suostumusta on pidettävä pätevänä vain, jos henkilöllä on ollut todellinen vaihtoehto sen antamiseen. Jos sopimuksen täytäntöönpanon edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi, ei suostumusta voida pitää vapaaehtoisena. Jos siis esimerkiksi sovelluksen käyttämisen ehtona on suostumuksen antaminen henkilötietojen käyttämiseen mainonnassa, ei suostumusta ole pätevä. Suostumus ei lähtökohtaisesti ole vapaaehtoisesti annettu myöskään tilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Vapaaehtoisuus edellyttää myös mahdollisuutta antaa erillinen suostumus kaikkiin käsittelytarkoituksiin. Esimerkiksi jos kaupan alan yritys pyytää asiakkaan suostumusta sekä sähköpostimarkkinointiin että sijaintitietojen käsittelyyn, tulee asiakkaan antaa erillinen suostumus molempiin käsittelytarkoituksiin. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröity ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa. Kaupan alan yritys voi esimerkiksi tarjota sähköpostitse kohdennettua mainontaa kuluttajan suostumuksen nojalla tämän ostohistorian ja rekisterinpitäjälle ilmoittamien mieltymysten perusteella. Jos kuluttaja myöhemmin peruu suostumuksensa, saa hän jatkossa vain personoimatonta mainospostia. Tästä ei voida katsoa aiheutuvan kuluttajalla sellaista haittaa, jonka nojalla suostumus ei olisi pätevä Yksilöity Suostumuksen tulee olla yksilöity ollakseen pätevä. Jotta tämä vaatimus täyttyisi, rekisterinpitäjän tulee huolehtia, että rekisteröity saa tiedon täsmällisestä käsittelytarkoituksesta, johon suostumusta pyydetään. Suostumuspyyntöjen tulisi olla yksityiskohtaisia siten, että henkilöllä on mahdollisuus antaa erikseen suostumus kunkin käsittelytarkoituksen osalta. Rekisterinpitäjän tulee lisäksi informoida rekisteröityä siitä, mitä tietoja ja mihin tarkoituksiin suostumuksen nojalla käsitellään. 8

9 Tietoinen Suostumuksen pätevyyden edellytyksenä on, että suostumus on tietoinen. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Rekisteröidyn informointia suostumuksen osalta on käsitelty liitteenä olevassa tietosuojaselosteessa. Jos rekisteröity antaa suostumuksensa sähköisen pyynnön perusteella, pyynnön on oltava selkeä, tiiviisti esitetty ja helposti tunnistettavissa muista palvelua koskevista käyttöehdoista Yksiselitteinen Suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella. Toimi voi olla esimerkiksi kirjallinen, sähköinen tai suullinen. Kuten yllä on todettu, suostumusta ei pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Tällainen suostumus ei lähtökohtaisesti ole yksiselitteinen eikä pätevä. Kun suostumusta sovelletaan käsittelyperusteena ja kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja, eli tyypillisesti huoltaja, on antanut siihen suostumuksen tai valtuutuksen. Lasten suostumusta on käsitelty tarkemmin jäljempänä kappaleessa Ennen asetuksen soveltamista kerätyt suostumukset Jos käsittely perustuu direktiivin 95/46/EY ja Suomen henkilötietolain mukaiseen suostumukseen, rekisteröidyn ei automaattisesti tarvitse antaa henkilötietojen käsittelijälle uudestaan suostumustaan käsittelyn jatkamiseen tämän asetuksen soveltamisen alkamispäivän jälkeen. Tämä edellyttää kuitenkin sitä, että suostumuksen antamistapa on ollut tämän asetuksen edellytysten mukainen. Asetus mm. edellyttää, että rekisterinpitäjän tulee pystyä osoittamaan, että rekisteröity on pätevästi antanut suostumuksen henkilötietojensa käsittelyyn. Tämä vaatimus koskee mm. ylläkäsiteltyä suostumuksen yksiselitteisyyttä. Mikäli vanhoja suostumuksia on kerätty olettamiin perustuen, esim. esitäytetyillä verkkolomakkeilla, tulee suostumus pyytää uudelleen Sopimuksen täytäntöönpano tai sopimuksen tekemistä edeltävät toimet Henkilötietoja voidaan käsitellä, jos käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Sopimuksen täytäntöönpaneminen on tyypillinen käsittelyperuste niin B2B- kuin B2C-suhteissa, kun henkilötietoja käsitellään esimerkiksi tilauksia, osamaksukauppaa tai laskutusta varten Lakisääteinen velvoite Henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Lakisääteisiä velvoitteita henkilötietojen käsittelyyn tulee mm. kirjanpitolainsäädännöstä Elintärkeiden etujen suojelu Henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi. Kaupan alalla henkilötietojen käsittely elintärkeiden etujen suojaamiseksi voi tulla kyseeseen esimerkiksi tuotteiden takaisinvetojen yhteydessä. Mahdollisesti hengenvaarallisiksi osoittautuneista tuotteista (allergeenit, sähköturvallisuus jne.) tulee saada tieto 9

10 asiakkaille nopeasti, ja tätä varten tietoja voidaan käyttää eri käyttötarkoituksessa, kuin mihin ne on alun perin kerätty. Käsittelyn tarkoituksesta ja oikeusperusteesta tulee informoida rekisteröityä joko ennakkoon tietosuojaselosteessa tai jatkokäsittelyn yhteydessä, kun henkilötietoja käsitellään elintärkeiden etujen suojelemiseksi Yleinen etu tai julkisen vallan käyttäminen Henkilötietoja voidaan käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu Henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi. Oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös rekisterinpitäjän oikeutetun edun mukaista. Oikeutetut edut on tunnistettava ja yksilöitävä. Rekisterinpitäjän on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Rekisteröidyn edut ja perusoikeudet voivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Kyse on intressipunninnasta, jota arvioidaan ns. tasapainotestillä. Siinä rekisterinpitäjän tai kolmannen osapuolen intressiä punnitaan rekisteröidyn intressejä ja perusoikeuksia vasten. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna. Suoramarkkinointiin ei siten jatkossakaan tarvitse pyytää rekisteröidyn suostumusta, mutta rekisteröidyllä on oikeus kieltää tietojensa käsittely suoramarkkinointitarkoituksia varten. Sähköinen suoramarkkinointi kuluttajille sen sijaan edellyttää lähtökohtaisesti etukäteistä suostumusta. Henkilötietojen käsittely oikeutetun edun nojalla on yleensä sallittua myös toteutettaessa kameravalvontaa tai käsiteltäessä franchising-sopimukseen liittyviä henkilötietoja Erityisiä henkilötietoryhmiä koskeva käsittely Erityisten henkilötietoryhmien ( arkaluontoiset tiedot ) käsittely on lähtökohtaisesti kiellettyä. Tällaisia tietoja ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tiedot. Erityisten henkilötietoryhmien käsittely on kuitenkin sallittua asetuksessa säädetyin perustein mm. mikäli rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn; käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista; 10

11 käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi; tai käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään. 4 LASTEN HENKILÖTIETOJEN KÄSITTELY 4.1 Lasten erityinen suojan tarve Lasten henkilötietojen käsittely on osa usean Kaupan liiton jäsenen toimintaa. Yritysten on tärkeä tiedostaa lasten erityisen suojelun tarve henkilötietojen käsittelyssä. Etenkin nuoret lapset eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista tai omista oikeuksistaan. Yritysten tulisi pyrkiä vaikuttamaan siihen, että käsiteltäessä lasten henkilötietoja lapset ymmärtävät käsittelyyn liittyvät riskit ja seurauksen mahdollisimman hyvin, ja kykenevät tehokkaasti käyttämään heille kuuluvia oikeuksiaan. Rekisterinpitäjä ottaa lapsen erityisen suojelun tarpeen huomioon jo henkilötietojen käsittelyä suunniteltaessa. Rekisterinpitäjä pyrkii tarjoamaan erityisen tehokasta suojaa etenkin, kun lasten henkilötietoja käytetään markkinointitarkoituksiin, henkilö- tai käyttäjäprofiilien luomiseen tai kun henkilötietoja kerätään suoraan lapselle tarjottavan palvelun yhteydessä. Esimerkiksi kappaleessa kuvattu rekisteröidyn oikeus tulla unohdetuksi tulee kyseeseen erityisesti silloin, kun rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn lapsena, eikä rekisteröity ole tästä syystä ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä. 4.2 Lapsen suostumus henkilötietojen käsittelyyn Suostumus tarjottaessa tietoyhteiskunnan palveluita Tietoyhteiskunnan palvelulla tarkoitetaan sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä toimitettavaa palvelua, kuten viihdepalvelua, sosiaalisen median palvelua ja tietokoneohjelmaa. Tietoyhteiskunnan palvelut ovat usein maksullisia, mutta maksuttomuus ei kuitenkaan rajaa palvelua käsitteen ulkopuolelle. Tarjottaessa tietoyhteiskunnan palveluita alle 13-vuotiaalle lapselle, on lapsen vanhemmalta tai muulta vanhempainvastuunkantajalta saatava suostumus henkilötietojen käsittelyyn. Tietoyhteiskunnan palveluita alle 13-vuotiaalle lapselle tarjoavan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet vanhempainvastuunkantajan suostumuksen todenperäisyyden varmistamiseksi. Esimerkiksi käyttäjän antamaan sähköpostiin lähetettävä vahvistusviesti on usein riittämätön tapa suostumuksen todenperäisyyden varmistamiseen. Toimenpiteiden riittävyyttä on kuitenkin arvioitava tapauskohtaisesti, käsittelyyn liittyvät seikat ja olosuhteet huomioon ottaen. Kun suostumusta pyydetään 13-vuotiasta vanhemmalta lapselta, tulee rekisterinpitäjän toteuttaa tarvittavia toimenpiteitä varmistaakseen, että lapsi ymmärtää antamansa suostumuksen ja sen merkityksen. Tämä tarkoittaa esimerkiksi käsittelyä koskevan informaation laatimista nimenomaan lapsen ymmärryskyvyn lähtökohdista Suostumus muissa yhteyksissä Lapsen suostumukselle henkilötietojen käsittelyyn muussa yhteydessä kuin tietoyhteiskunnan palveluita tarjottaessa ei ole asetettu ikärajaa tietosuoja-asetuksessa tai kansallisessa lainsäädännössä. Rekisterinpitäjien on pyrittävä suojelemaan lasten oikeutta yksityisyyteen ja henkilötietojen suojaan huomioiden ja toteuttaen kuitenkin samalla lasten oikeutta tasa-arvoiseen 11

12 kohteluun ja mahdollisuuteen vaikuttaa itseään koskeviin päätöksiin. Kun lapsen henkilötietoja aiotaan käsitellä suostumuksen perusteella muussa kuin tietoyhteiskunnan palvelun yhteydessä, rekisterinpitäjän on tapauskohtaisesti arvioitava lapsen mahdollisuus ymmärtää suostumuksen merkitys ja tarve pyytää lapsen itsensä sijaan hänen vanhempainvastuunkantajansa suostumus käsittelyyn. 4.3 Lapsille suunnattu informointi henkilötietojen käsittelystä Koska lapset tarvitsevat erityistä suojelua, kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä. Lapsen erityinen tarve selkeään ja helposti ymmärrettävään informaatioon tulee ottaa huomioon paitsi silloin, kun rekisterinpitäjä tietoisesti kohdistaa käsittelytoimia lapsiin, myös silloin, kun rekisterinpitäjä katsoo todennäköiseksi, että rekisteröidyt voivat olla myös lapsia. Kun kyse on tietoyhteiskunnan palvelusta, rekisterinpitäjän tulee pyrkiä henkilötietojen käsittelyä koskevien tietojen lisäksi tarjoamaan lapsille selkeää ja ymmärrettävää tietoa myös internetin varovaisuus- ja käyttäytymissäännöistä. 5 REKISTERÖIDYN INFORMOINTI HENKILÖTIETOJEN KÄSITTELYSTÄ Henkilötietojen käsittelyn läpinäkyvyys on yksi keskeisimmistä tietosuojaperiaatteista. Läpinäkyvyyden periaatteen tehokas toteutuminen edellyttää, että rekisterinpitäjä viestii rekisteröidyille henkilötietojen käsittelystä aktiivisesti ja siten, että rekisteröidylle on selvää, miten häntä koskevia henkilötietoja kerätään ja käsitellään, ja miten laajaa käsittely on tai tulee olemaan. Kaupan liitto suosittelee lähtökohtaisesti käyttämään tietosuojaselosteita, joiden sisältö antaa rekisteröidyille selkeät ja riittävät tiedot henkilötietojen käsittelytoimista. Kaupan liitto on laatinut näiden ohjeiden liitteeksi mallin tietosuojaselosteesta. 5.1 Rekisteröidylle toimitettavat tiedot Tiedot, jotka rekisterinpitäjä on velvollinen toimittamaan rekisteröidylle, vaihtelevat hieman sen mukaan, onko tiedot kerätty rekisteröidyltä itseltään vai muista lähteistä. Rekisteröidyltä itseltään kerättyjä tietoja ovat paitsi tiedot, jotka rekisteröity itse antaa rekisterinpitäjälle esimerkiksi lomakkeen täytön yhteydessä, myös tiedot, jotka rekisterinpitäjä kerää rekisteröidyltä tätä tarkkailemalla. Rekisteröidyltä itseltään kerättyjä tietoja ovat siten esimerkiksi kameravalvontatallenteet tai verkkosivun selailun yhteydessä kerätyt tiedot. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muihin tarkoituksiin kuin niihin, joita varten henkilötiedot alun perin kerättiin, rekisterinpitäjän on ilmoitettava tällaisesta jatkokäsittelystä ennen sen aloittamista, ja toimitetta rekisteröidylle tarpeelliset lisätiedot kyseisestä käsittelystä. Rekisteröidylle toimitettavat tiedot on kuvattu myös tämän ohjeen liitteenä olevassa tietosuojaselostemallissa. Kun henkilötiedot on kerätty rekisteröidyltä, on tälle toimitettava seuraavat tiedot: rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot; mahdollisen tietosuojavastaavan yhteystiedot; henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste; rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu oikeutettuun etuun; henkilötietojen vastaanottajat tai vastaanottajaryhmät; 12

13 tieto mahdollisista suunnitelluista siirroista EU:n tai ETA:n ulkopuolelle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta ja siirtoon sovelletuista asianmukaisista suojatoimista, sekä tieto siitä, miten suojatoimista saa jäljennöksen tai minne ne on asetettu saataville; henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit, mikäli tarkan säilytysajan ilmaiseminen ei ole mahdollista; kappaleessa 6.1 kuvatut rekisteröidyn oikeudet, mukaan lukien oikeus peruuttaa suostumus, mikäli rekisterinpitäjä käsittelee henkilötietoja suostumuksen perusteella; rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle; onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset; ja automaattisen päätöksenteon, mukaan lukien tietosuoja-asetuksen 22 artiklassa tarkoitetun profiloinnin olemassaolo, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta, sekä tieto kyseisen käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidylle. Kun henkilötietoja kerätään muualta kuin rekisteröidyltä itseltään, tulee rekisteröidylle toimittaa kaikki muut yllä kuvatut tiedot, paitsi tieto siitä, onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus. Muiden yllä kuvattujen tietojen lisäksi rekisterinpitäjän on toimitettava seuraavat tiedot: kyseessä olevat henkilötietoryhmät; ja mistä henkilötiedot on saatu, ja tarvittaessa tieto siitä, että henkilötiedot on saatu yleisesti saatavilla olevista lähteistä. 5.2 Informaation helppo saatavuus Henkilötietojen käsittelyä koskevan informaation tulee olla rekisteröidylle helposti saatavilla. Helppo saatavuus ei kuitenkaan tarkoita, että käsittelyä koskeva informaatio tulisi kaikissa tapauksissa toimittaa rekisteröidylle suoraan esimerkiksi sähköpostin liitteenä toimitettavan tietosuojaselosteen muodossa. Sen sijaan rekisteröidyn muilla tavoin tapahtuva selkeä ohjaaminen informaation sisältävään paikkaan on usein riittävää. Olennaista on, ettei rekisteröity joudu etsimään informaatiota, vaan rekisterinpitäjä kertoo rekisteröidylle selkeästi, mistä informaatio on saatavilla. Toimittaessaan rekisteröidylle sähköisen linkin tietosuojaselosteeseen tai muuhun henkilötietojen käsittelyä koskevaan informaatioon, rekisterinpitäjän tulee pyrkiä käyttämään mahdollisimman suoria linkkejä, jotta rekisteröidyn on helppo löytää tiedot. On suositeltavaa, että rekisterinpitäjä lisää henkilötietojen käsittelyä koskevia tietoja julkisille verkkosivuilleen tai muulle rekisteröityjen tai tietyn rekisteröityjen ryhmän käytettävissä olevalle alustalle, kuten verkkokauppaan taikka intra- tai extranetiin. Henkilötietojen käsittelyä koskevan verkkosivujen osion tulee olla helposti löydettävissä jo verkkosivun etusivun kautta. Henkilötietojen käsittelyä koskevaan tietoon vievän polun otsikon tulisi selkeästi viestittää rekisteröidylle, että kyse on henkilötietojen käsittelyä koskevista tiedoista. Suositus lisätä henkilötietojen käsittelyä koskevaa tietoa rekisterinpitäjän julkisille verkkosivuille ei kuitenkaan tarkoita, että rekisterinpitäjän tulisi kuvata kaikki käsittelykokonaisuudet verkkosivuilla. Sen sijaan verkkosivuilla tulisi kuvata vähintään verkkosivun käytöstä suoraan ja epäsuorasti käyttäjältä kerättävät henkilötiedot ja niiden käyttötarkoitukset. Verkkosivuilla tulisi lisäksi selkeästi kertoa rekisteröidylle hänen henkilötietojen käsittelyyn liittyvistä oikeuksistaan. 13

14 Kysymys: Täyttääkö tietosuojakäytäntöjä koskevan linkin lisääminen verkkosivun tai sovelluksen ylä- tai alatunnisteeseen aktiivisen informoinnin vaatimuksen? Läpinäkyvyyden periaate edellyttää, että rekisterinpitäjä aktiivisesti joko toimittaa käsittelyä kos kevia tietoja rekisteröidylle tai osoittaa rekisteröidylle paikan, josta tiedot löytyvät. Henkilötietojen käsittelyä koskevan informaation on siten oltava selkeästi esillä rekisterinpitäjän verkkosivuilla tai sovelluksessa, jotta verkkosivun tai sovelluksen käyttäjillä on mahdollista löytää helposti tietoa käsittelystä. Rekisterinpitäjältä ei kuitenkaan edellytetä esimerkiksi rekisteröidyn toimintaa vaativien ponnahdusikkunoiden käyttöä. Sen sijaan henkilötietojen käsittelyä koskeviin tietoihin vievä linkki voidaan lisätä esimerkiksi etusivun ylä- tai alalaitaan, ja linkkiä voidaan tarvittaessa korostaa väreillä. Linkki on syytä otsikoida selkeästi, esimerkiksi käyttämällä jotain seuraavista termeistä: henkilötietojen käsittely, tietosuoja, tietosuojaperiaatteet, tietosuojaseloste, yksityisyys, yksityisyyden suoja. Kysymys: Kun kyse on pitkään aktiivisesti käytettävästä palvelusta, tuleeko rekisterinpitäjän informoida rekisteröityä aktiivisesti palvelun käyttöönoton lisäksi myös pitkään jatkuvan käytön aikana? Käyttäessään pitkään samaa palvelua, rekisteröity unohtaa helposti henkilötietojen käsittelyä koskevat tiedot, jotka hänelle on annettu palvelun käyttöönoton yhteydessä. Rekisterinpitäjän tulisikin varmistaa, että henkilötietojen käsittelyä koskevat tiedot ovat helposti rekisteröidyn saatavilla myös palvelun käytön aikana. Tämä voidaan toteuttaa esimerkiksi lisäämällä selkeästi merkitty tietosuojaosio rekisteröidyn käyttämään palveluun, kuten sovellukseen tai verkkopalveluun. Rekisterinpitäjällä ei kuitenkaan ole automaattisesti velvollisuutta käyttää esimerkiksi ponnahdusikkunoita tai muita interaktiivisia keinoja rekisteröidyn muistuttamiseksi henkilötietojen käsittelyä koskevasta informaatiosta edes pitkään jatkuvan palvelun käytön aikana. Rekisterinpitäjän tulisi arvioida tarvetta edellä kuvatun kaltaisten interaktiivisten muistutusten käyttämiseen aina tapauskohtaisesti. Jos rekisterinpitäjä katsoo muistutuksen olevan tarpeellinen esimerkiksi kerättävien tietojen arkaluonteisuuden tai käsittelyn laajamittaisuuden vuoksi, voi rekisterinpitäjä määrittää itse asianmukaiset keinot ja aikavälin muistutusten antamiseen. Kappaleessa 5.4 kuvattu velvollisuus informoida rekisteröityä käsittelyssä tapahtuvista muutoksista koskee myös pitkään aktiivisesti käytettäviä palveluita. 5.3 Informaation selkeys ja ymmärrettävyys Henkilötietojen käsittelyä koskevassa viestinnässä on käytettävä selkeää ja yksinkertaista kieltä. Varsinkin henkilötietojen käsittelyn tarkoitukset on määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Viestinnässä, mukaan lukien tietosuojaselosteissa, on pyrittävä välttämään monimutkaisten lauserakenteiden ja vaikeaselkoisten oikeudellisten termien käyttöä. Henkilötietojen käsittelyä koskeva informaation on lisäksi esitettävä tiiviisti ja siten, että vältytään aiheuttamasta rekisteröidylle informaatioähkyä. Rekisterinpitäjän tulee tapauskohtaisesti arvioida, kuinka yksityiskohtaisella tasolla käsittely on tarkoituksenmukaista kuvata. Informaation selkeyttä voidaan parantaa myös esimerkiksi kerrostamalla tietosuojaselosteet. Kerrostaminen on usein tarpeen esimerkiksi sellaisessa tilanteessa, jossa rekisteröidylle tarjotaan samalla verkkosivulla tai sovelluksen osiossa tietoa useissa eri yhteyksissä tapahtuvasta henkilötietojen käsittelystä. Läpinäkyvyyden periaatteen tehokas toteutuminen edellyttää lisäksi, että rekisterinpitäjä ottaa huomioon kohderyhmään liittyvät erityispiirteet informaatiota laatiessaan. Esimerkiksi rekisterinpitäjän työntekijöillä on usein parempi kyky ymmärtää henkilötietojen käsittelyyn liittyvää informaatiota kuin vanhoilla ihmisillä tai lapsilla. Lapsille suunnattavaa informaatiota on käsitelty tarkemmin edellä kappaleessa Käsittelyssä tapahtuvista muutoksista ilmoittaminen Mikäli kesken käsittelyn rekisterinpitäjän käsittelytoimet, kuten kerättävät henkilötiedot, niiden käyttötarkoitukset tai käsittelyn tavat, muuttuvat siten, etteivät rekisteröidylle esimerkiksi tietojen 14

15 keruun yhteydessä välitetyt tiedot pidä enää paikkaansa, tulee rekisterinpitäjän pyrkiä tiedottamaan rekisteröidylle muutoksista ja niiden vaikutuksista käsittelyyn. Ei ole riittävää, että rekisteröidylle ilmoitetaan henkilötietojen keruun yhteydessä tietosuojaselosteen muuttumisen mahdollisuudesta, ja kehotetaan rekisteröityä seuraamaan muutoksia rekisterinpitäjän verkkosivuilla. Tällainen informointi ei täytä aktiivisuuden vaatimusta. Tapa, jolla käsittelyssä tapahtuvat muutokset kommunikoidaan rekisteröidylle, tulee kuitenkin sovittaa muutosten merkittävyyteen rekisteröidyn kannalta, rekisteröidyn odotuksiin sekä käytettävissä oleviin kommunikointikeinoihin ja niihin liittyviin hallinnollisiin kustannuksiin. Rekisteröidyn henkilökohtainen informointi ei siten kaikissa tilanteissa ole välttämätöntä, vaan muutoksista voidaan viestittää myös muilla tavoin. Näin on erityisesti, kun kyse on muusta kuin merkittäviä vaikutuksia omaavasta muutoksesta, ja rekisteröity voi kohtuudella odottaa muutosta. Tällaisia muita informoinnin tapoja voivat olla esimerkiksi asiasta tiedottaminen näkyvällä tavalla rekisterinpitäjän verkkosivuilla ja muissa kanavissa. Informointitapaa valitessaan rekisterinpitäjän tulee arvioida rekisteröityjen tosiasiallisia mahdollisuuksia huomata muutosta koskeva ilmoitus. 6 REKISTERÖIDYN OIKEUKSIEN TOTEUTTAMINEN Rekisteröidyllä on useita henkilötietojen käsittelyä koskevia oikeuksia. Rekisteröidyn oikeudet riippuvat osin siitä, mihin oikeusperusteeseen käsittely perustuu. Käsittelyn asianmukaisuuden ja läpinäkyvyyden toteutuminen edellyttää, että rekisterinpitäjä kertoo rekisteröidylle hänelle kuuluvista oikeuksista ja tavoista oikeuksien toteuttamiseen, ja pyrkii asianmukaisin toimenpitein mahdollistamaan oikeuksien tehokkaan käytön. Tietojen toimittaminen ja pyynnöistä aiheutuvat toimenpiteet ovat lähtökohtaisesti rekisteröidylle maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai kieltäytyä suorittamasta pyydettyä toimenpidettä. Rekisteröidyn oikeuksien, kuten tietoihin pääsyä koskevan oikeuden, toteuttaminen ei myöskään saisi johtaa muiden tahojen oikeuksien loukkaamiseen. 6.1 Rekisteröidyn oikeudet Oikeus saada pääsy tietoihin Rekisteröidyllä on oikeus saada tieto siitä, käsitteleekö rekisterinpitäjä hänen henkilötietojaan. Mikäli henkilötietoja käsitellään, rekisteröidyllä on oikeus saada tietoa käsiteltävistä henkilötiedoista sekä jäljennös tällaisista tiedoista. Tähän oikeuteen viitataan näissä ohjeissa termillä tarkastusoikeus. Tarkastusoikeuden tarkoitus on taata rekisteröidyille mahdollisuus itse arvioida rekisterinpitäjän toteuttaman käsittelyn lainmukaisuutta ja tarvetta rekisteröidyn muiden oikeuksien käyttämiseksi. Vaikka tarkastusoikeus on henkilötietojen suojan kulmakivi, ja rekisterinpitäjän tulee aina pyrkiä toteuttamaan rekisteröidyn tarkastusoikeus, ei oikeus kuitenkaan ole ehdoton. Tarkastusoikeuden käyttäminen ei saisi vaikuttaa muiden tahojen oikeuksiin epäedullisesti. Tällaisia mahdollisesti vaarantuvia oikeuksia voivat olla esimerkiksi ohjelmistojen tekijänoikeudet ja muut immateriaalioikeudet tai liikesalaisuudet, joita esimerkiksi automaattisen päätöksenteon logiikkaa ja algoritmeja koskevat tiedot saattavat joissain tapauksissa paljastaa. Vastaavasti rekisteröidyn tarkastusoikeuden toteuttaminen ei saa johtaa jonkun muun tahon yksityisyyden tai turvallisuuden vaarantumiseen. Tarvetta kieltäytyä rekisteröidyn tarkastusoikeuden toteuttamisesta muiden oikeuksien negatiivisten vaikutusten torjumisen perusteella on arvioitava aina tapauskohtaisesti. Arvioinnissa tulee huomioida, että tarkastusoikeuden mahdollisilla negatiivisilla vaikutuksilla pelkkiin intresseihin ei ole merkitystä, vaan vaikutusten on kohdistuttava nimenomaan toisen tahon oikeuksiin ja vapauksiin. Rekisteröidyn tarkastusoikeus tulee joka tapauksessa toteuttaa siltä osin, kuin se on mahdollista vaarantamatta muiden oikeuksia. Tämä voi tarkoittaa esimerkiksi liikesalaisuuksia tai muiden henkilöiden kuin rekisteröidyn itsensä henkilötietoja sisältävien kohtien peittämistä rekisteröidylle toi- 15

16 mitettavista tiedoista. Rekisteröidyn pyynnön toteuttamisesta kieltäytymiseen liittyvää arviointia on kuvattu tarkemmin jäljempänä kappaleessa 6.3. Kysymys: Koskeeko tarkastusoikeus kaikkia tietoja, kuten liikesalaisuuksia? Vaikka tarkastusoikeus tulee kaikissa tilanteissa pyrkiä toteuttamaan mahdollisimman täysimääräisesti, tarkastusoikeus ei ole ehdoton tai rajoittamaton. Tarkastusoikeuden toteuttaminen ei saisi vaikuttaa epäedullisesti muiden tahojen oikeuksiin ja vapauksiin, kuten liikesalaisuuksiin. Tämä ei kuitenkaan tarkoita, että liikesalaisuuden vaarantuminen merkitsisi automaattisesti rekisterinpitäjän oikeutta kieltäytyä tarkastusoikeuden toteuttamisesta. Kilpailevat oikeudet on pyrittävä tasapainottamaan, ja rekisterinpitäjän on toteutettava rekisteröidyn tarkastusoikeus siltä osin, kuin oikeuden toteuttaminen on mahdollista ilman muiden oikeuksien vaarantumista. Rekisterinpitäjän tulee siis tapauskohtaisesti arvioida, voiko se esimerkiksi liikesalaisuuden suojelun perusteella kieltäytyä toteuttamasta rekisteröidyn pyyntöä kokonaisuudessaan Oikeus tietojen oikaisemiseen Rekisteröidyllä on oikeus saada oikaistua häntä koskevat epätarkat ja virheelliset henkilötiedot. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen oikaisemisesta tahoille, joille henkilötietoja on luovutettu, ellei ilmoittaminen osoittaudu mahdottomaksi tai vaadi kohtuutonta vaivaa. Rekisterinpitäjän ilmoitusvelvollisuus koskee myös henkilötietojen käsittelijöitä. Kysymys: Milloin henkilötietojen oikaisemisesta ilmoittaminen henkilötietoja saaneille tahoille voi vaatia kohtuutonta vaivaa? Rekisterinpitäjän tulee toteuttaa kaikki kohtuulliset toimet henkilötietojen oikaisemisesta ilmoittamiseksi. Oikaisemisesta ilmoittaminen henkilötietoja saaneille tahoille henkilökohtaisesti voi osoittautua mahdottomaksi tai vähintään vaatia kohtuutonta vaivaa esimerkiksi silloin, kun oikaisun kohteena olevat henkilötiedot on rekisteröidyn suostumuksella tai muulla lainmukaisella perusteella saatettu julkiseksi. Tällöin rekisterinpitäjän on usein mahdoton varmistua siitä, keille kaikille henkilötietoja on luovutettu. Tällöin voidaan pitää riittävänä, että rekisterinpitäjä oikaisee julkiset henkilötiedot ja tiedottaa oikaisusta esimerkiksi kyseiset henkilötiedot sisältävällä verkkosivulla tai julkaisussa Oikeus tietojen poistamiseen ( oikeus tulla unohdetuksi ) Rekisteröidyllä on tietyin edellytyksin oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä. Rekisteröidyllä on kyseinen oikeus esimerkiksi silloin, kun rekisterinpitäjän käsittelemät rekisteröidyn henkilötiedot eivät enää ole tarpeellisia niihin tarkoituksiin, joita varten ne kerättiin tai kun rekisteröity peruuttaa käsittelyyn antamansa suostumuksen, eikä mikään muu lainmukainen peruste mahdollista käsittelyä. Rekisterinpitäjä on velvollinen ilmoittamaan henkilötietojen poistamisesta tahoille, joille henkilötietoja on luovutettu, ellei ilmoittaminen osoittaudu mahdottomaksi tai vaadi kohtuutonta vaivaa. Rekisterinpitäjän ilmoitusvelvollisuus koskee myös henkilötietojen käsittelijöitä. Tämä oikeus tulee kyseeseen erityisesti silloin kun rekisteröity on antanut suostumuksensa lapsena, eikä ole ollut täysin tietoinen tietojenkäsittelyyn liittyvistä riskeistä, ja haluaa myöhemmin poistaa tällaiset tiedot erityisesti internetistä Oikeus peruuttaa suostumus Jotta suostumus on pätevä, sen on oltava peruutettavissa, ja rekisteröidyllä on milloin tahansa oikeus tällaiseen peruutukseen. Rekisteröidylle on kerrottava kyseisestä oikeudesta ennen suostumuk- 16