Oikeutettu etu henkilötietojen käsittelyn perusteena

Oletko rekisterinpitäjänä perustellut henkilötietojen käsittelyä rekisterinpitäjän oikeutetulla edulla? Oletko varma, että teit sen oikein? Miten osoitat sen?

Tietosuoja-asetuksen 6. artikla on varsin selvä siinä, milloin henkilötietojen käsittely on lainmukaista. Olen parin viime vuoden aikana lukenut kymmeniä tietosuojaselosteita ja havaintoni on, että useimmat lainmukaisuusperusteet on hyvin ymmärretty. Mutta paljon virheitä sattuu 6. artiklan 1 kohdan alakohdan f kanssa – joka on siis rekisterinpitäjän oikeutettu etu. Oikeutettua etua pidetään usein joko jonkinlaisena “kaatopykälänä” – jos muuta perustetta käsittelylle ei ole, niin liian helposti vedotaan siihen. Samaten sitä voidaan jopa varoa liikaa silloinkin, kun sen käyttäminen olisi perusteltua.

Jos joudut käyttämään kyseistä lainmukaisuusperustetta, haluan muistuttaa parista käytännön asiasta kyseisen kohdan kanssa.

Älä käytä oikeutettua etua perusteena, jos voi käyttää jotain muuta !

Rekisteröidyllä on aina oikeus artiklan 21 perusteella vastustaa henkilötietojensa käsittelyä, jos käsittely perustuu rekisterinpitäjän oikeutettuun etuun. Jos siis tiedät, että sinulla on selkeä muu peruste – esimerkiksi sopimussuhde tai rekisteröidyltä helposti kerättävä suostumus – käytä niitä. Sopimussuhteen osalta oikeutesi on myös paremmin perusteltu ja käsittelyn kiistämistapauksissa oikeusasemasi rekisterinpitäjänä on vahvempi. Se on myös selkeämpää ja avoimempaa rekisteröidyn suuntaan. Etenkin koska seuraava kohta unohdetaan usein…

Oikeutettu etu on määriteltävä ja nimettävä

Jos kuitenkin käytät oikeuttua etua käsittelyn perusteena, muista kertoa avoimesti, mikä etu on kysymyksessä. Ei riitä, että perustelet asian vain lakipykälällä, vaan rekisteröidyn on kyettävä arvioimaan etu ja sen suhde hänen omiin oikeuksiinsa ja vapauksiinsa, joita käsittely mahdollisesti vaarantaa. Oikeutettu etu on oltava myös todellinen, eikä spekulatiivinen. Jos jonkin käsittelyn tekemättä jättäminen saattaisi ehkä jossain tilanteessa vaikuttaa negatiivisesti rekisterinpitäjän oikeuksiin, ei useinkaan ole kyse riittävästä perustelusta.

Riittääkö tämä…?

Artiklan sanamuoto kokonaisuudessaan on hyvin tärkeä ja sitä ei usein muisteta lukea loppuun asti. Laitanpa sen tähän muistutuksena:

“f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.”

Tekstistä nousee esiin kolme tärkeää kohtaa

  1. “Käsittely on tarpeen”
    • Käsittelylle on siis kyettävä nimeämään todellinen tarve. Käsitettä “tarve” ei voi venyttää siten, että sitä voitaisiin tulkita vaikkapa “luvallisena”, “tavanomaisena”, “toivottavana” tai “kohtuullisena”.
  2. “…paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut”
    • Ei siis riitä, että käsittely on tarpeen rekisterinpitäjälle, vaan rekisterinpitäjän on kyettävä osoittamaan, että käsittely ja sen vaikutukset eivät aiheuta vahinkoa rekisteröityjen oikeuksille ja vapauksille.
    • Tässä on muistettava, että rekisteröityjen oikeuksia ja vapauksia on tulkittava laajasti hänen kaikkien perusoikeuksiensa osalta. Huomioon on otettava siis ainakin oikeus yksityisyyteen, kotirauhaan, kunniaan ja viestinnän luottamuksellisuuteen.
  3. “…erityisesti jos rekisteröity on lapsi”
    • Rekisterinpitäjän on tässäkin huomioitava erityisen tarkasti se, että lapsen asemassa oleva ei aina kykene arvioimaan objektiivisesti omia oikeuksiaan ja vapauksiaan. Yhä teknistyvämmässä maailmassa näin huoltajanakin on joskus vaikea arvioida, mitä seurauksia millaisellakin käsittelyllä voi olla lapseen esimerkiksi vuosien kuluttua.

 

Tee tasapainotesti omien oikeuksiesi sekä rekisteröidyn oikeuksien ja vapauksien välillä

Kohta kaksi korostuu edellisestä listasta siksi, että 5. artikla edellyttää rekisterinpitäjältä osoitusvelvollisuutta asetuksen periaatteiden noudattamisesta. Niinpä pelkää oikeutetun edun määrittely ei vielä riitä siihen, että olet arvioinut vaikutukset myös rekisteröityjen oikeuksiin ja vapauksiin. Että voit osoittaa noudattaneesi asetuksen periaatteita ja velvoitteita on seuraavaksi paneuduttava edellisen listan 2. kohtaan tarkemmin. Sitä varten on hyvä tehdä dokumentoitu ja kirjallinen arvio osapuolten oikeuksien ja vapauksien tasapainosta.

  1. Määrittele, onko rekisterinpitäjän etu oikeutettu
    1. Edun täytyy olla lainmukainen
    2. Edun pitää olla konkreettinen, selkeä sekä todellinen
  2. Arvioi käsittelyn laajuuden tarve
    1. Arvioi, voisiko saman edun voisi saada suppeammalla tai vähemmän tunkeilevalla henkilötietojen käsittelyllä.
  3. Arvioi rekisterinpitäjän ja rekisteröityjen oikeuksia ja vapauksia
    1. Onko kysymys esimerkiksi perusoikeuksista tai yleisestä edusta?
    2. Arvioi vaikutuksia, jos henkilötietojen käsittelyä ei suoritettaisi
    3. Ota huomioon käsiteltävän henkilötiedon luonne, esimerkiksi arkaluonteisuus sekä sen laajuus sekä käsittelyn luonne ja toteutustapa
    4. Arvioi rekisterinpitäjän valta-asemaa ja sen tasapainoa rekisteröityihin nähden
    5. Määrittele ja nimeä rekisteröityjen oikeudet ja vapaudet, joita käsittely mahdollisesti loukkaa
    6. Arvioi rekisteröityjen odotuksia henkilötietojen käsittelyn osalta
    7. Määrittele, mitä vaikutuksia rekisteröidyille voi käsittelystä aiheutua
  4. Arvioi, miten vaikutuksiin voidaan vaikuttaa
    1. Miten teknisillä ja organisatorisilla suojatoimilla voidaan pienentää käsittelyn riskejä ja vaikutuksia rekisteröityihin
    2. Miten käsittelyn läpinäkyvyyttä voi parantaa siten, että rekisteröidyllä on mahdollisuus suojata itse omia oikeuksia ja vapauksiaan tehokkaasti
  5. Dokumentoi ja informoi
    1. Kirjaa päätökset, joita käsittelyn suojaamiseksi voidaan toteuttaa ja miten ne tullaan toteuttamaan
    2. Informoi rekisteröityjä olennaisista havainnoista
    3. Informoi rekisteröityjä avoimesti ja selkeästi, miten he voivat käyttää oikeuksiaan tai esimerkiksi vastustaa käsittelyä – laadi tähän selkeä ja helppo prosessi, etenkin, jos rekisteröidyillä ei ole muuta mahdollisuutta suojautua vaikutuksilta kuin käsittelyn vastustaminen
  6. Kirjaa kaikki ja säilytä dokumentaatio valvontaviranomaista varten

 

Edellä oleva on WP29:n suositukset tasapainotestin tai intressipunninnan sisällöstä yksinkertaistetusti ja hiukan soveltaen. Tämän tarkoitus on antaa vain kuva siitä, mihin on varauduttava. Tarkemman kuvauksen löydät WP29:n julkaisusta “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (älä hämmenny siitä, että dokumentissa puhutaan direktiivistä ja artiklasta 7. 2014 ei ollut vielä nykyistä tietosuoja-asetusta, jossa sama asia on nyt artiklassa 6.)

-Jari Ala-Varvi, tietosuojavastaava, Opsec Oy