Tämä merkittävä lainsäädäntö on muuttanut tapaa, jolla organisaatiot suhtautuvat tietosuojaan, ja palauttanut kuluttajat takaisin kuljettajan paikalle ja antanut heille paremmat mahdollisuudet valvoa sitä, miten heidän tietojaan tallennetaan ja käsitellään.
Kun yleinen tietosuoja-asetus tuli voimaan 25. toukokuuta 2018, se merkitsi suurinta tietosuojaa koskevien lakien uudistusta 20 vuoteen.
Lainsäädäntö otettiin käyttöön, jotta se vastaisi yhä digitalisoituneempaa maailmaamme ja tunnustaisi yksilöiden oikeudet henkilötietojensa käyttöön.
Lähes jokainen käyttämämme palvelu, olipa kyseessä sitten sosiaalisen median foorumi, jälleenmyyjä tai pankki, kerää, analysoi ja tallentaa henkilötietojamme. Yleisen tietosuoja-asetuksen mukaan organisaatioilla on nyt velvollisuus osoittaa, että ne käsittelevät näitä tietoja laillisesti, oikeudenmukaisesti ja avoimesti.
EU:n määritelmän mukaan henkilötiedoilla tarkoitetaan kaikkia tietoja, joiden avulla voidaan suoraan tai välillisesti tunnistaa henkilö (rekisteröity). Näihin voi sisältyä kaikkea nimestä, sähköpostiosoitteesta, IP-osoitteesta ja kuvista. Siihen sisältyvät myös arkaluonteiset henkilötiedot, kuten biometriset tai geneettiset tiedot, joita voidaan käsitellä yksilön tunnistamiseksi.
Henkilötietojen käsittely on yleensä kielletty, ellei se ole sallittua sovellettavan lain nojalla tai ellei rekisteröity ole antanut suostumustaan käsittelyyn. Suostumus on kuitenkin vain yksi kuudesta laillisesta tarkoituksesta, joita vaaditaan kaikessa henkilötietojen käsittelyssä.
Voimassa oleva GDPR-suostumus
Tietosuoja-asetuksen mukaan "laillinen käsittely" on mahdollista vain silloin, kun:
- Rekisteröity on antanut suostumuksensa
- Käsittely on tarpeen rekisteröidyn kanssa tehdyn sopimuksen täyttämiseksi.
- Käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi
- Käsittely on tarpeen rekisteröidyn tai muun henkilön elintärkeiden etujen suojaamiseksi.
- Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.
- Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi jos rekisteröidyn edut, oikeudet ja vapaudet syrjäyttävät nämä edut.
Mitä on suostumus?
Suostumus on tapa rakentaa luottamusta käyttäjän ja organisaation välille. Kuten tietosuoja-asetuksessa määritellään: "Suostumus on vapaaehtoinen, erityinen, tietoinen ja yksiselitteinen ilmoitus rekisteröidyn tahdosta, jolla hän lausumalla tai selkeällä myönteisellä toiminnalla ilmaisee suostumuksensa häntä koskevien tietojen käsittelyyn."
Suostumus määritellään GDPR:n näkökulmasta melko suppeaksi. Jos esimerkiksi käyttäjä antaa suostumuksensa siihen, että hänen tietojaan käytetään tietoverkkopetosten havaitsemiseen, ja hänen tietojaan käytetään myöhemmin markkinointitarkoituksiin ilman hänen tietämystään tai valintaansa, kyseessä on rekisteröidyn yksityisyyden suojan loukkaus.
Suostumuslomakkeita ei myöskään voida sisällyttää palvelusopimusten pituuteen. Avoimuuden varmistamiseksi suostumuslomakkeiden on oltava erillisiä, täsmällisiä ja nimenomaisia.
Mikä tekee suostumuksesta pätevän?
Kun henkilötietojen käsittelyyn tarvitaan suostumus, seuraavien ehtojen on täytyttävä, jotta suostumus on pätevä:
1. Suostumus on annettava vapaasti
Jotta suostumus olisi vapaasti annettu, henkilön on voitava valita, haluaako hän, että hänen tietojaan käsitellään vai ei. Jos henkilöllä ei ole valinnanvaraa tietojen käsittelyssä, suostumusta ei ole annettu vapaaehtoisesti, ja se katsotaan pätemättömäksi. Yksilön olisi myös voitava kieltäytyä suostumuksesta ilman kielteisiä seurauksia, ja hänellä olisi oltava mahdollisuus peruuttaa suostumuksensa milloin tahansa. Suostumus olisi mahdollisuuksien mukaan erotettava muista ehdoista.
2. Suostumuksen on oltava täsmällinen
Suostumuksen olisi koskettava nimenomaisesti niitä todellisia tarkoituksia, joihin tietoja käytetään. Kuten tietosuoja-asetuksessa täsmennetään: "pätevän suostumuksen saaminen on mahdollista vasta sen jälkeen, kun rekisterinpitäjä on määrittänyt aiotulle käsittelytoiminnalle erityisen, nimenomaisen ja laillisen tarkoituksen." Jos käsittelyllä on useita tarkoituksia, suostumus on annettava vain niihin tarkoituksiin, jotka perustuvat suostumukseen.
3. Suostumuksen on oltava tietoinen
Jotta suostumusta voidaan pitää pätevänä, henkilön on tiedettävä:
- Tietoja käsittelevän organisaation henkilöllisyys
- tarkoitukset, joita varten tietoja käsitellään
- Käsiteltävien tietojen tyyppi
- Mahdollisuus peruuttaa suostumus
4. Suostumuksen on oltava yksiselitteinen
Suostumus olisi annettava selkeällä myöntävällä toimella, jotta henkilön toiveet ovat selvät. Suostumuspyynnön on oltava selkeällä ja yksinkertaisella kielellä, ymmärrettävä ja helposti saatavilla. Tämä voi tapahtua kirjallisesti tai suullisesti. Vaikeneminen, valmiiksi rastitetut ruudut tai passiivisuus eivät ole pätevä suostumus.
Mitkä ovat lasten suostumusta koskevat säännöt?
Alle 16-vuotiailta vaaditaan yleensä vanhempien suostumus, mutta suostumukseen vaadittava ikä vaihtelee EU:n osallistujamaittain. Lisäksi on toteutettava kohtuullisia toimia sen henkilön henkilöllisyyden tarkistamiseksi, joka antaa suostumuksen lapsen puolesta.
Suostumusprosessi voi olla tiukempi GDPR:n myötä, mutta se tarjoaa organisaatioille mahdollisuuden kehittää suurempaa luottamusta ja avoimuutta asiakkaidensa kanssa.
MetaPrivacy on suunniteltu tarjoamaan parhaita käytäntöjä yksityisyydensuojan noudattamiseen. Ota meihin yhteyttä, jos haluat lisätietoja siitä, miten voimme auttaa organisaatiotasi parantamaan vaatimustenmukaisuusrakennettaan.
Lisälukemista:
Miten GDPR vaikuttaa oikeuteen tulla unohdetuksi?
Viisi tapaa, joilla yrityksesi voi hyötyä GDPR:stä
VASTUUVAPAUTUS: Tämän blogin sisältö ja mielipiteet on tarkoitettu vain tiedoksi. Niitä ei ole tarkoitettu oikeudelliseksi tai muuksi ammatilliseksi neuvonnaksi, eikä niihin pidä luottaa eikä niitä pidä käsitellä yksittäisiin olosuhteisiin, tietosuojalakiin tai muuhun nykyiseen tai tulevaan lainsäädäntöön liittyvien erityisneuvojen korvikkeena. MetaCompliance ei ota vastuuta mistään virheistä, laiminlyönneistä tai harhaanjohtavista lausunnoista eikä mistään tappioista, jotka voivat aiheutua tämän blogin sisältämän aineiston käyttämisestä.