Perustuuko tekemäsi henkilötietojen käsittely suostumukseen? Tarkista, että suostumus vastaa tietosuoja-asetuksen vaatimuksia

EU:n yleinen tietosuoja-asetus ei automaattisesti johda aiemmin pyydetyn suostumuksen pätemättömyyteen. Rekisterinpitäjän on kuitenkin varmistettava 25. toukokuuta mennessä, että suostumus täyttää tietosuoja-asetuksen vaatimukset.

Suostumus henkilötietojen käsittelyn oikeusperusteena pyysyy vaatimuksiltaan hyvin samankaltaisena kuin nykyisin. Jotta suostumus olisi pätevä, sen on oltava yksilöity, tietoinen, aidosti vapaaehtoinen ja yksiselitteinen tahdonilmaisu.

Tietosuoja-asetuksen myötä täsmentyvät ne menettelytavat, joita rekisterinpitäjän on noudatettava, jotta pyydetty suostumus voidaan katsoa päteväksi käsittelyperusteeksi. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojen käsittelyyn. Suostumus on pyydettävä erillään muista asioista, helposti ymmärrettävässä, saatavilla olevassa muodossa ja yksinkertaisella kielellä. Suostumuksen antamisesta on oltava mahdollisuus kieltäytyä, ja se on voitava peruuttaa ilman haitallisia seurauksia.

Jos suostumus ei vastaa tietosuoja-asetuksen vaatimuksia, rekisterinpitäjän on arvioitava

• voiko se pyytää uuden tietosuoja-asetuksen vaatimukset täyttävän suostumuksen
• voiko henkilötietojen käsittely perustua johonkin muuhun tietosuoja-asetuksen käsittelyperusteeseen.

Jos käsittely jatkuu jollain toisella käsittelyperusteella, rekisterinpitäjän on varmistettava, että lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskevat periaatteet toteutuvat. Käsittelyperusteen muutoksista on kerrottava rekisteröidylle. Kun tietosuoja-asetusta ryhdytään soveltamaan, ei käsittelyperustetta voi enää vaihtaa toiseen.

Jos rekisterinpitäjä ei voi perustaa käsittelyä toiseen oikeusperusteeseen tai pyytää uutta tietosuoja-asetuksen vaatimukset täyttävää suostumusta, sen on lopetettava henkilötietojen käsittely.

Lue lisää:

Rekisteröidyn suostumus
Milloin henkilötietoja saa käsitellä?