Rekisteröidyn suostumus
Suostumus on yksi mahdollinen oikeusperuste henkilötietojen käsittelylle. Suostumus antaa rekisteröidylle mahdollisuuden valvoa henkilötietojensa käsittelyä ja vaikuttaa henkilötietojen käsittelyyn peruuttamalla suostumuksen.
Suostumuksen edellytykset
Jotta suostumus on pätevä, sen on oltava
- yksilöity
- tietoinen
- aidosti vapaaehtoinen ja
- yksiselitteinen tahdonilmaisu.
Rekisteröity voi antaa suostumuksen ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen. Jos henkilötietojen käsittelyn tarkoitus muuttuu, sinun on pyydettävä uusi suostumus ennen käsittelyn aloittamista.
Suostumuksen yksilöinti
Kun pyydät suostumusta, sinun on yksilöitävä käyttötarkoitus, johon tietoja kerätään. Jos käsittelet henkilötietoja useaan eri tarkoitukseen, rekisteröidyn on voitava valita, mihin käyttötarkoituksiin hän haluaa antaa suostumuksensa. Eri käyttötarkoituksia varten on pyydettävä erilliset suostumukset. Uutta käyttötarkoitusta varten on lähtökohtaisesti pyydettävä aina uusi suostumus.
Suostumuksen vapaaehtoisuus
Suostumus ei ole aidosti vapaaehtoinen, jos rekisteröity on heikommassa asemassa suhteessa rekisterinpitäjään. Rekisteröity voi olla heikommassa asemassa esimerkiksi silloin, jos olet rekisteröidyn työnantaja tai viranomainen.
Suostumuksen antamisesta on oltava mahdollisuus kieltäytyä, ja se on voitava peruuttaa ilman haitallisia seurauksia. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.
Osoitusvelvollisuus ja tietosuojaperiaatteiden huomioiminen
Sinun on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn, ja että annettu suostumus täyttää sille laissa säädetyt edellytykset.
Suostumus ei koskaan syrjäytä tietosuojaperiaatteita. Et voi esimerkiksi kerätä tietoja laajemmin kuin käyttötarkoituksen kannalta on tarpeen tai poiketa henkilötietojen suojaamisvelvoitteista.
Suostumuksen pyytäminen
Suostumus on yksiselitteinen ja selkeä tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Rekisteröity ei voi antaa suostumustaan vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä.
Jos pyydät suostumusta sähköisesti, pyynnön on oltava selkeä ja tiivis, eikä se saa tarpeettomasti häiritä palvelun käyttöä. Esimerkiksi ruudun rastittaminen verkkosivustolla on tarpeeksi yksiselitteinen ja selkeä tahdonilmaisu.
Kerro suostumuksesta selkeästi ja erillään muusta tiedosta. Älä sido tai upota suostumusta käyttö- ja sopimusehtoihin niin, ettei rekisteröidyllä ole todellista mahdollisuutta vaikuttaa suostumuksen antamiseen.
Jos pyydät suostumusta esimerkiksi palvelun käyttöehtojen yhteydessä, pyyntö on esitettävä
- selvästi erillään muista asioista
- selkeällä ja yksinkertaisella kielellä
- helposti ymmärrettävässä muodossa.
Mitä rekisteröidylle on kerrottava suostumusta pyytäessä?
Kun pyydät rekisteröidyn suostumusta henkilötietojen käsittelylle, sinun on ilmoitettava vähintään
- rekisterinpitäjä tai rekisterinpitäjät (yhteisrekisterinpitäjyys) ja muut mahdolliset tahot, joille tietoja luovutetaan
- kaikki erilliset käyttötarkoitukset, joita varten suostumus on pyydetty
- mitä tietoja rekisteröidyltä kerätään
- rekisteröidyn oikeus peruuttaa suostumus
- tietojen käyttäminen automatisoitujen yksittäispäätösten tekemiseen ja profilointiin
- riskit tietojen siirrosta EU:n ulkopuolisiin maihin, kun maan osalta ei ole tehty päätöstä tietosuojan tason riittävyyden osalta ja asianmukaisia suojatoimia ei ole toteutettu.
Rekisterinpitäjän lukuun henkilötietoja käsitteleviä käsittelijöitä ei tarvitse yksilöidä osana suostumuksen pyytämistä. Suostumuksen pyytämisen yhteydessä on kuitenkin huomioitava myös yleisempi informointivelvollisuus ja se, mitä tietoja on toimitettava, kun henkilötietoja kerätään rekisteröidyltä. Yleinen informointivelvoite edellyttää vastaanottajien yksilöintiä (mukaan lukien rekisterinpitäjän lukuun toimivat henkilötietojen käsittelijät).
Milloin tarvitsen rekisteröidyn nimenomaisen suostumuksen henkilötietojen käsittelylle?
Nimenomainen suostumus on mahdollinen oikeusperuste, kun
- käsittelet erityisiin henkilötietoryhmiin kuuluvia tietoja (esimerkiksi terveystietoja tai etnistä alkuperää)
- siirrät henkilötietoja kolmansiin maihin tai kansainväliselle järjestölle
- teet automatisoituja yksittäispäätöksiä tai profilointia.
Nimenomaisuuden vaatimuksella tarkoitetaan tapaa, jolla rekisteröity ilmaisee suostumuksensa. Nimenomaisen suostumuksen voi antaa esimerkiksi allekirjoittamalla kirjallisen lausuman, sähköisellä allekirjoituksella tai kaksivaiheisella varmistuksella. Rekisteröity voi esimerkiksi ensin vastata lähettämääsi sähköpostiin, minkä jälkeen hänelle lähetetään vielä vahvistuslinkki tai -koodi tekstiviestillä.
Velvollisuutesi rekisterinpitäjänä kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy.
Suostumuksen peruuttaminen
Ennen kuin rekisteröity antaa suostumuksen, rekisterinpitäjän on kerrottava
- oikeudesta peruuttaa suostumus
- kuinka peruuttaminen käytännössä tehdään.
Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen. Suostumuksen voi peruuttaa milloin tahansa ilmaiseksi.
Suostumuksen peruuttamisen jälkeen sinun on lopetettava henkilötietojen käsittely niiltä osin kuin käsittely on perustunut suostumukseen. Informoi rekisteröityä kaikista käsittelyperusteista, jotta hän tietää, miten suostumuksen peruuttaminen vaikuttaa henkilötietojen käsittelyyn.
Poista suostumuksen perusteella käsiteltävät tiedot peruuttamisen jälkeen, jollei tietojen säilyttämiselle ole muuta lainmukaista perustetta. Kun henkilötietojen käsittely on päättynyt, säilytä todisteet suostumuksen olemassaolosta vain niin kauan kuin on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Lapsen henkilötietojen käsittely suostumuksen perusteella
Tietosuojalainsäädännön mukaan lapsi tarvitsee yleensä huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden, esimerkiksi sosiaalisen median ja erilaisten sovellusten käyttöön. Suomessa ikäraja on 13 vuotta. Lapsi voi kuitenkin käyttää neuvonta- ja tukipalveluja sekä ennalta ehkäiseviä palveluja ilman huoltajan suostumusta.
Pyri selvittämään lapsen ikä ja varmentamaan, että suostumuksen on antanut ikärajan ylittänyt lapsi tai lapsen huoltaja. Arvioi suostumuksen antamiseen liittyviä varmentamistoimenpiteitä suhteessa henkilötietojen käsittelyn luonteeseen ja riskeihin. Jos pyydät suostumusta lapselta, kiinnitä erityistä huomiota selkeään ja yksinkertaiseen kieleen.
Kun lapsi on riittävän vanha antamaan oman suostumuksensa tietoyhteiskunnan palveluiden käyttämiseksi, huoltajan antama suostumus ei automaattisesti raukea. Lapsi voi kuitenkin itse perua suostumuksen täytettyään laissa määritellyn ikärajan, ja rekisterinpitäjänä sinun on kerrottava lapselle tästä mahdollisuudesta.
Vastaako pyytämäsi suostumus uuden tietosuojalainsäädännön vaatimuksia?
Jos olet rekisterinpitäjä ja käsittelet henkilötietoja suostumuksen perusteella, arvioi vastaako aiemmin pyydetty suostumus tietosuoja-asetuksen vaatimuksia.
Huomioi, että suostumuksen
- on oltava dokumentoitu osoitusvelvollisuuden toteuttamiseksi
- on oltava yksiselitteinen, joten valmiiksi rastitettu ruutu tai valinnan tekemättä jättäminen eivät vastaa suostumuksen edellytyksiä
- käyttötarkoituksen on oltava ennalta määritelty, nimenomainen ja laillinen
- peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen
- hallinnointia koskevien käytäntöjen on oltava tietosuoja-asetuksen mukaisia.
Tietosuoja-asetuksesta seuraava informointivaatimusten muuttuminen ei automaattisesti johda siihen, että aiemmin pyydetty suostumus muuttuisi pätemättömäksi. Tietosuoja-asetus edellyttää myös käsittelyperusteesta informointia.
Jos suostumus ei vastaa tietosuoja-asetuksen vaatimuksia, arvioi
- voitko pyytää uuden tietosuoja-asetuksen vaatimukset täyttävän suostumuksen
- voiko henkilötietojen käsittely perustua johonkin muuhun tietosuoja-asetuksen käsittelyperusteeseen.
Varmista, että lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskevat periaatteet toteutuvat, jos käsittely jatkuu jollain toisella käsittelyperusteella. Käsittelyperusteen muutoksista tulee informoida rekisteröityä. Kun tietosuoja-asetusta ryhdytään soveltamaan, ei käsittelyperustetta voi enää vaihtaa toiseen.
Jos et voi perustaa käsittelyä toiseen oikeusperusteeseen tai pyytää uutta tietosuoja-asetuksen vaatimukset täyttävää suostumusta, sinun on lopetettava henkilötietojen käsittely.
Lue lisää:
Rekisteröidyn oikeudet, kun käsittelyperusteena on suostumus
Tietosuoja-asetus: artiklat 4 (11), 6 (1.a), 7, 9 (2.a), johdanto-osan kohdat 32‒33 ja 42‒43 (EUR-Lex)
Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat (pdf)