Pyydätkö oikein suostumuksen henkilötietojen käsittelylle?
Suostumus on yksi kuudesta laillisesta perusteesta, joilla henkilötietoja voidaan EU:n tietosuoja-asetuksen (GDPR) mukaan käsitellä. Suostumus voi kuitenkin olla lainmukainen käsittelyperuste vain, jos se on pyydetty asianmukaisesti ja jos se voidaan peruuttaa yhtä helposti kuin se on annettu. Jos suostumusta ei ole pyydetty oikein eikä henkilötietojen käsittelylle ole muuta perustetta, tiedot on poistettava.
Suostumus on yksi kuudesta laillisesta perusteesta, joilla henkilötietoja voidaan EU:n tietosuoja-asetuksen (GDPR) mukaan käsitellä. Suostumus voi kuitenkin olla lainmukainen käsittelyperuste vain, jos se on pyydetty asianmukaisesti ja jos se voidaan peruuttaa yhtä helposti kuin se on annettu. Jos suostumusta ei ole pyydetty oikein eikä henkilötietojen käsittelylle ole muuta perustetta, tiedot on poistettava.
Vaatimukset suostumuksen antamiselle
Tietosuoja-asetuksen mukaan suostumus henkilötietojen käsittelylle on voitava antaa vapaaehtoisesti nimenomaista tiettyä tarkoitusta varten. Lisäksi rekisteröidylle pitää antaa etukäteen tarpeellinen informaatio hänen henkilötietojensa käsittelystä ja käsittelyn tarkoituksista.
Vapaaehtoisesti annettu
Vapaaehtoisuus tarkoittaa, että rekisteröidyllä on tosiasiallinen mahdollisuus päättää, antaako hän suostumuksen henkilötietojensa käsittelylle vaiko ei. Jos henkilöllä ei ole tosiasiallista valinnan mahdollisuutta tai hän kokee olevansa pakotettu suostumuksen antamiseen, suostumuksen ei katsota olevan vapaaehtoisesti annettu. Jos henkilö ei voi olla antamatta suostumusta ilman negatiivisia seuraamuksia tai jos suostumusta ei voi peruuttaa, sitä ei katsota annetun vapaaehtoisesti.
Esimerkki*):
Palveluntarjoaja pyytää käyttäjiltä suostumuksen sijaintitietojen tallentamiseen sekä käyttäytymiseen perustuvan mainonnan tuottamiseen ja kohdistamiseen käyttäjään. Sijaintitietojen käyttäminen ja käyttäytymiseen perustuvan mainonnan tuottaminen ja kohdistaminen eivät ole tarpeellisia palvelun kannalta. Jos palvelun käyttäjät eivät voi käyttää kyseessä olevaa palvelua ilman, että olisivat antaneet suostumuksen myös mainittuihin muihin kuin palvelun käyttämistä koskeviin tarkoituksiin, suostumuksen noihin muihin tarkoituksiin ei katsota olevan vapaaehtoisesti annettu.
Esimerkki*):
Verkkosivujen käyttö ei ole mahdollista ilman, että käyttäjä painaa ”hyväksyn evästeiden käytön” -nappia, ja sivusto ei tarjoa mahdollisuutta olla hyväksymättä evästeiden käyttöä. Suostumus ei ole vapaaehtoisesti annettu eikä näin ollen pätevä.
Myös epätasapaino rekisterinpitäjän ja rekisteröidyn valtasuhteissa voi johtaa siihen, että suostumus ei tosiasiassa olisi vapaaehtoinen. Tästä syystä esimerkiksi viranomaiset eivät lähtökohtaisesti voi vedota suostumukseen käsittelyperusteena. Myös työsuhteessa henkilötietojen käsittely voi vain harvoin perustua rekisteröidyn suostumukseen.
Tiettyä tarkoitusta varten annettu
Jotta suostumus olisi pätevästi annettu, se on voitava antaa tiettyä käyttötarkoitusta varten. Toisinaan palvelut saattavat sisältää useita käyttötarkoituksia. Näissä tapauksissa suostumus pitää pyytää kutakin tarkoitusta varten erikseen, eikä suostumusta saa pyytää yhteisesti kaikkiin tarkoituksiin esimerkiksi osana yleisten sopimusehtojen hyväksymistä.
Esimerkki:
Palveluntarjoaja tuottaa rekisteröidyille näiden suostumuksen perusteella käyttäytymiseen perustuvaa, personoitua palvelua. Jotta palveluntarjoaja voisi jakaa rekisteröityjen tiedot kolmannen osapuolen kanssa, joka tuottaisi rekisteröityihin kohdistuvaa personoitua mainontaa, palvelun tarjoajan tulee pyytää rekisteröidyiltä erillinen suostumus mainontatarkoitusta varten.
Riittävän tiedon perusteella annettu
Rekisterinpitäjän on annettava rekisteröidylle riittävät tiedot henkilötietojen käsittelystä ennen suostumuksen saamista. Vähintään on annettava tiedot
- rekisterinpitäjästä, mukaan lukien yhteystiedot
- käsittelyn tarkoituksesta
- kerättävistä ja käsiteltävistä henkilötiedoista
- oikeudesta peruuttaa suostumus.
Lisäksi tarvittaessa on annettava vielä tieto tietojen käyttämisestä automaattisessa päätöksenteossa sekä tiedonsiirroista.
Tietosuoja-asetuksessa ei määrätä tiettyä tapaa tai muotoa, jolla tiedot tulisi antaa. Tiedot voidaan näin ollen antaa kirjallisesti, suullisesti tai ääni- tai videoviesteinä. Viestin, onpa se annettu missä muodossa tahansa, on kuitenkin oltava selkeä ja niin sanotusti tavallisen ihmisen, ei vain juristin, ymmärrettävissä. Lisäksi tiedot on annettava erillään muista tiedoista, eivätkä ne saa olla esimerkiksi ainoastaan osana yleisiä ehtoja. Tietojen on myös oltava helposti saatavilla.
Esimerkki*):
Yhtiö käsittelee henkilötietoja suostumuksen perusteella ja antaa kaikki GDPR:n edellyttämät tiedot kerrostetusti verkkosivuillaan olevalla tietosuojailmoituksella. Vaikka tietosuojasta vastaavan henkilön yhteystietoja ei näytetä tietosuojailmoituksen ensimmäisellä sivulla, tietojen katsotaan olevan GDPR:n edellyttämällä tavalla annettu ja suostumuksen pätevästi saatu.
Yksiselitteisesti annettu
Tietosuoja-asetus edellyttää, että suostumus annetaan yksiselitteisesti. Tämä tarkoittaa, että rekisteröidyn on ilmaistava suostumus selkeällä, aktiivisella toimella tai teolla. Esimerkiksi pelkkä palvelun jatkaminen ei ole aktiivinen teko, jolla suostumus olisi annettu. Myöskään reagoimattomuus valmiiksi merkittyihin valintaruutuihin ei tarkoita sitä, että rekisteröity olisi antanut suostumuksensa valintaruuduissa kuvattuun henkilötietojensa käsittelyyn.
Esimerkki*):
Ohjelmistoa asennettaessa sovellus pyytää rekisteröidyltä ”virheraportit”-suostumusta ohjelmiston parantamiseksi. Samalla rekisteröity ohjataan ohjelmistoyrityksen tietosuojaselosteelle, joka sisältää kaikki GDPR:n edellyttämät tiedot. Kun rekisteröidyllä on mahdollisuus valita tai olla valitsematta ruutu, jolla suostumus ”virheraportit” ohjelmiston parantamiseksi annetaan, suostumus on pätevästi pyydetty.
Suostumuksen peruuttaminen
Tietosuoja-asetus edellyttää, että rekisteröity voi peruuttaa suostumuksensa milloin tahansa yhtä helposti kuin se voitiin antaa. Asetus ei sinänsä edellytä, että suostumus olisi voitava peruuttaa täsmälleen samalla tavalla kuin se on annettu. Euroopan tietosuojaneuvoston ohjeistuksessa*) kuitenkin katsotaan, että jos suostumus on voitu antaa esimerkiksi yhdellä hiiren napsautuksella, peruuttaminen on voitava tehdä samalla tavalla. Samoin jos suostumus on annettu tietyn käyttöliittymän kautta, myös peruuttaminen on voitava tehdä saman käyttöliittymän kautta. Suostumus tulisi myös voida peruuttaa ilman haittaa, mikä tarkoittaa muun muassa sitä, että suostumuksen peruuttamisen olisi oltava maksutonta eikä sen pitäisi alentaa palvelutasoa.
Esimerkki*):
Musiikkifestivaali myy lippuja online-palvelun kautta. Jokaisen ostotapahtuman yhteydessä ostaja voi antaa suostumuksensa henkilötietojensa käyttämiseen markkinointitarkoituksiin valitsemalla kyllä- tai ei-ruudun. Suostumuksen peruuttaminen sen sijaan olisi mahdollista vain ottamalla maksutta yhteyttä puhelinkeskukseen arkipäivisin klo 8–17. Koska suostumuksen peruuttaminen soittamalla puhelinkeskukseen sen aukioloaikoina ei ole yhtä helppoa kuin suostumuksen antaminen yhdellä hiiren napsautuksella, suostumus ei täytä GDPR:n vaatimuksia.
Lopuksi
Suostumus on asianmukainen ja laillinen peruste käsitellä henkilötietoja vain, jos rekisteröidyllä on aito mahdollisuus hyväksyä tai hylätä suostumuspyyntö. Pyytäessään suostumusta rekisterinpitäjän on arvioitava, täyttääkö suostumuksen pyytäminen kaikki pätevän suostumuksen edellytykset. Jos suostumus on GDPR:n mukainen, rekisteröity voi päättää, käsitelläänkö häntä koskevia henkilötietoja vai ei. Jos rekisteröidyllä ei ole tätä päätäntävaltaa, suostumus on näennäinen ja pätemätön peruste henkilötietojen käsittelylle.
Lisäksi on huomattava, että suostumuksen saaminen ei poista tai vähennä rekisterinpitäjän velvollisuuksia noudattaa tietosuojalainsäädännön periaatteita ja vaatimuksia kaikilta muilta osin. Toisin sanoen: vaikka käsittely perustuisi suostumukseen, rekisterinpitäjä ei voi esimerkiksi kerätä tietoja enempää kuin on tarpeellista (tietojen minimoinnin periaate) eikä käyttää niitä muihin tarkoituksiin kuin mihin ne on kerätty (käyttötarkoitussidonnaisuuden periaate).
*) Euroopan tietosuojaneuvosto, suostumusta koskevat ohjeet, 2016/679
