Lainmukaisuus, asianmukaisuus ja läpinäkyvyys

Henkilötietojen käsittelyn on oltava lainmukaista, asianmukaista ja läpinäkyvää.

Lainmukaisuus

Henkilötietojen käsittelyssä on noudatettava EU:n yleistä tietosuoja-asetusta ja muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä.

Jotta henkilötietojen käsittely olisi lainmukaista, sille on oltava sopiva käsittelyperuste.

Peruste voi olla

Henkilötietojen käsittelyn tulee olla myös muuten lainmukaista. Käsittelyn yhteydessä on aina varmistettava kaikkien tietosuojaperiaatteiden sekä muiden käsittelyä koskevien vaatimusten, kuten henkilötietojen suojaustoimenpiteiden, asianmukainen toteutuminen.

Asianmukaisuus

Henkilötietojen käsittelyn on oltava asianmukaista ja kohtuullista suhteessa käsittelyn tarkoitukseen.

Henkilötietojen käsittelystä on kerrottava ymmärrettävällä tavalla, eikä annettu tieto henkilötietojen käsittelystä saa olla harhaanjohtavaa. Henkilötietojen käsittelyä ei saa peitellä, eikä käsittelystä saa antaa tietoa valikoivasti rekisteröityä manipuloivalla tavalla.

Henkilötietoja ei saa käsitellä tavalla, joka on ennalta arvaamatonta ja odottamatonta rekisteröidyn kannalta.  Käsittely olisi odottamatonta esimerkiksi seuraavassa tapauksessa: Henkilö osallistuu arvontaan, jossa rekisterinpitäjä ilmoittaa käsittelevänsä henkilötietoja vain arvonnan suorittamiseksi ja voittajan tavoittamiseksi. Jos rekisterinpitäjä käyttää näitä henkilötietoja kuitenkin muuhun tarkoitukseen, esimerkiksi suoramarkkinointiin, henkilötietojen käsittely on rekisteröidyn näkökulmasta odottamatonta ja ennalta arvaamatonta, koska tästä käyttötarkoituksesta ei kerrottu henkilötietojen keräämisen yhteydessä.

Joskus henkilötietojen käsittely saattaa olla rekisteröidyn näkökulmasta yllättävää esimerkiksi informointivelvollisuuteen ja käyttötarkoitussidonnaisuuteen säädetyistä poikkeuksista johtuen.  Tällaisessa tapauksessa rekisterinpitäjän on osattava kertoa rekisteröidylle, miksi käsittely on ollut oikeutettua ja lainmukaista.

Tietosuojasäännösten tehtävänä on varmistaa tasapaino rekisterinpitäjän henkilötietojen käsittelytarpeen ja rekisteröidyn henkilötietojen suojan välillä. Rekisterinpitäjän on arvioitava, millaisia vaikutuksia henkilötietojen käsittely aiheuttaa rekisteröidylle. Henkilötietojen käsittelystä ei saa aiheutua enempää haittaa kuin on käsittelyn tarkoituksen kannalta välttämätöntä. Rekisteröidyn oikeuksien käyttöä on pyrittävä helpottamaan, ja rekisteröityjä on kohdeltava asianmukaisesti, kun he käyttävät oikeuksiaan.

Läpinäkyvyys

Henkilötietojen käsittelystä on kerrottava selkeästi ja ymmärrettävästi.

Rekisteröidylle on kerrottava

  • mitä henkilötietoja hänestä kerätään
  • mihin tarkoitukseen hänen henkilötietojaan käsitellään
  • millä tavoin hänen henkilötietojaan käsitellään
  • millaisia oikeuksia hänellä on.

Tietosuoja-asetuksessa sanotaan yksityiskohtaisemmin, mitä tietoja rekisterinpitäjän on kerrottava rekisteröidylle.

Henkilötietojen käsittelystä kertovien tietojen on oltava helposti saatavilla, ja kielen yksinkertaista ja ymmärrettävää. Jos rekisterinpitäjä käsittelee lasten henkilötietoja, ymmärrettävyyteen on kiinnitettävä erityistä huomiota.

Avoimuus ja ymmärrettävyys henkilötietojen käsittelyssä lisäävät myös luottamusta rekisterinpitäjään.

Lue lisää:
Lainsäädäntöä
Henkilötietojen käsittely
Osoita noudattavasi tietosuojasäännöksiä
Milloin henkilötietoja saa käsitellä?
Rekisteröidyn oikeudet
Kerro käsittelystä rekisteröidylle