Millä perusteilla henkilötietoja voidaan käsitellä?
Rekisterinpitäjällä on lainmukainen velvollisuus varmistua käsittelemiensä henkilötietojen oikeellisuudesta ja siitä, että käsittelylle on lainmukainen peruste. Näyttötaakka siitä, että henkilötietojen käsittely on lainmukaista, on rekisterinpitäjällä.
Tietosuojaa koskevaa sääntelyä sovelletaan riippumatta tietojen teknisestä tallennusmuodosta. Esimerkiksi verkkopalvelun käytön yhteydessä palveluntarjoajan tallentama käyttödata samoin kuin verkkopalvelun käyttäjien palveluun syöttämät tiedot ovat henkilötietoja, mikäli ne voidaan yhdistää tunnistettavaan henkilöön tai ne sisältävät tunnistettavaa henkilöä koskevia merkintöjä. Mikäli verkosta kerätään henkilötietoja, on rekisteröidyllä oikeus saada tieto siitä, mihin tarkoitukseen kyseiset tiedot on kerätty ja miten niitä käsitellään.
Tietosuoja-asetuksen mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Jos käsiteltävänä on erityisiä henkilötietoryhmiä (nk. arkaluontoiset henkilötiedot, esim. henkilön terveyttä koskevat tiedot), tulee käsittelyssä noudattaa lisäksi 9 artiklassa säädettyjä erityisiä vaatimuksia. Katso aiheesta lisää kohdasta Jos käsiteltävänä on erityisiä henkilötietoryhmiä (nk. arkaluontoiset henkilötiedot, esim. henkilön terveyttä koskevat tiedot), tulee käsittelyssä noudattaa lisäksi 9 artiklassa säädettyjä erityisiä vaatimuksia. Katso aiheesta lisää kohdasta [10.1.4 Erityiset henkilötietoryhmät, rikostuomiot ja henkilötunnus].
Kansallisessa tietosuojalaissa on tarkennettu edellä mainitun kohdan e käsittelyn perusteita sekä erityisten henkilötietoryhmien ja rikostuomioiden käsittelyn perusteita.
Jotta suostumus henkilötietojen käsittelyyn on pätevä, sen on oltava:
yksilöity
tietoinen
aidosti vapaaehtoinen ja
yksiselitteinen tahdonilmaisu.
Rekisteröity voi antaa suostumuksensa ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen. Jos henkilötietojen käsittelyn tarkoitus muuttuu, rekisterinpitäjän on pyydettävä uusi suostumus ennen käsittelyn aloittamista. Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn, ja että annettu suostumus täyttää sille laissa säädetyt edellytykset. Ennen kuin rekisteröity antaa suostumuksen, rekisterinpitäjän on kerrottava oikeudesta peruuttaa suostumus sekä kuinka peruuttaminen käytännössä tehdään. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen. Suostumuksen voi peruuttaa milloin tahansa ilmaiseksi.