(EN) WP29, Guidelines on consent under Regulation 2016/679 (2018).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
1. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
(EN) EDPB, Guidelines 2/2019 on the Processing of Personal Data under Article 6(1)(b) GDPR in the Context of the Provision of Online Services to Data Subjects (2019).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
Payment services are always provided on a contractual basis between the payment services user and the payment services provider.
Controllers have to assess what processing of personal data is objectively necessary to perform the contract. Justification of the necessity is dependent on:
- the nature of the service;
- the mutual perspectives and expectations of the parties to the contract;
- the rationale of the contract; and
- the essential elements of the contract.
The controller should be able to demonstrate how the main object of the specific contract with the data subject cannot be performed if the specific processing of the personal data in question does not occur. Merely referencing or mentioning data processing in a contract is not enough to bring the processing in question within the scope of Article 6(1)(b) of the GDPR.
(45) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kyseisessä oikeudessa tai lainsäädännössä voitaisiin myös täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.
d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;
(46) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.
e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;
(EN) EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
(115) Jotkut kolmannet maat hyväksyvät lakeja, asetuksia ja muita säädöksiä, joiden tarkoituksena on suoraan säännellä jäsenvaltioiden lainkäyttövallan alaisuuteen kuuluvien luonnollisten henkilöiden ja oikeushenkilöiden käsittelytoimia. Näihin voi kuulua kolmansien maiden tuomioistuinten tai hallintoviranomaisten päätöksiä, joissa rekisterinpitäjältä tai henkilötietojen käsittelijältä vaaditaan henkilötietojen siirtämistä tai luovuttamista ja jotka eivät perustu pyynnön esittäneen kolmannen maan ja unionin tai sen jäsenvaltion väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäiseen oikeusapusopimukseen. Tällaisten lakien, asetusten ja muiden säädösten soveltaminen näiden kolmansien maiden alueen ulkopuolella voi olla kansainvälisen oikeuden vastaista ja estää tähän asetukseen perustuvan luonnollisten henkilöiden suojan toteutumisen unionissa. Tiedonsiirrot olisi sallittava vain jos tässä asetuksessa vahvistetut edellytykset tietojen siirtämiseksi kolmansiin maihin täyttyvät. Näin voi olla esimerkiksi silloin, kun tietojen luovuttaminen on tarpeen unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä tunnustetun tärkeän yleistä etua koskevan syyn vuoksi.
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
(EN)
WP29, Opinion on the ”Notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” (2014).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020):
44. For what concerns the legitimate interest lawful basis, the EDPB recalls that in Fashion ID, the CJEU reiterated that in order for processing to rely on the legitimate interest, three cumulative conditions should be met, namely
- the pursuit of a legitimate interest by the data controller or by the third party or parties to whom the data are disclosed,
- the need to process personal data for the purposes of the legitimate interests pursued, and
- the condition that the fundamental rights and freedoms of the data subject whose data require protection do not take precedence.
The CJEU also specified that in a situation of joint controllership “it is necessary that each of those controllers should pursue a legitimate interest […] through those processing operations in order for those operations to be justified in respect of each of them”.
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR (2020).
The GDPR may allow for the processing of silent party data when this processing is necessary for purposes of the legitimate interests pursued by a controller or by a third party.
A lawful basis for the processing of silent party data by PISPs and AISPs – in the context of the provision of payment services under the PSD2 – could thus be the legitimate interest of a controller or a third party to perform the contract with the payment service user. The necessity to process personal data of the silent party is limited and determined by the reasonable expectations of these data subjects.
Effective and appropriate measures have to be established by all parties involved. In this respect, the controller has to establish the necessary safeguards for the processing, including technical measures. If feasible, also encryption or other techniques must be applied to achieve an appropriate level of security and data minimisation.
CJEU, TK v Asociaţia de Proprietari bloc M5A-ScaraA, Case C-708/18 (2018).
(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.
(48) Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen.
(49) On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.
(40) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien tarve noudattaa rekisterinpitäjää koskevaa lakisääteistä velvoitetta tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
(50) Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.
Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan, kuten oikeudesta vastustaa henkilötietojenkäsittelyä. Rekisterinpitäjän oikeutetun edun mukaiseksi on katsottava se, että tämä ilmoittaa mahdollisista rikollisista teoista tai yleiseen turvallisuuteen kohdistuvista uhkista ja toimittaa olennaiset henkilötiedot toimivaltaisille viranomaisille yksittäistapauksissa tai useissa tapauksissa, jotka liittyvät samaan rikolliseen tekoon tai yleiseen turvallisuuteen kohdistuvaan uhkaan. Tällaisen tietojen siirron rekisterinpitäjän oikeutetun edun nimissä tai henkilötietojen myöhemmän käsittelyn olisi kuitenkin oltava kiellettyä, mikäli käsittely on ristiriidassa johonkin oikeudelliseen, ammatilliseen tai muuhun sitovaan salassapitovelvollisuuteen nähden.
2. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään.
Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
(41) Aina kun tässä asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti.
4. Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin:
(EN) Documents
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
a) henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet;
b) henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta;
(EN) The article outlines six legal grounds for lawfulness of processing personal data, including consent, contract, legal obligations, public, vital, and legitimate interests.
The order of the legal grounds has sometimes been seen as a hint about the importance of each ground. But as it was pointed out by European or national supervisory authorities the text doesn’t make a legal distinction between the six grounds or say that one is more important than the other. The order of the legal grounds does not imply any hierarchy.
Instead, “each instance of processing should be based on the legal basis which is most appropriate in the specific circumstances” (DPC, Guidance Note: Legal Bases for Processing Personal Data (2019))
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6 GDPR:
7.2.2 Identify lawful basis
Control
The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.
Implementation guidance
Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.
The legal basis for the processing of PII can include:
…
Sisään
pääset käsiksi koko tekstiin
(40) Jotta henkilötietojen käsittely olisi lainmukaista, sen olisi perustuttava asianomaisen rekisteröidyn suostumukseen tai muuhun oikeutettuun perusteeseen, josta säädetään lainsäädännössä, joko tässä asetuksessa tai tässä asetuksessa tarkoitetussa muussa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien tarve noudattaa rekisterinpitäjää koskevaa lakisääteistä velvoitetta tai tarve panna täytäntöön sopimus, jossa rekisteröity on osapuolena, tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
(41) Aina kun tässä asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista. Kyseisen käsittelyn oikeusperusteen tai lainsäädäntötoimen olisi kuitenkin oltava selkeä ja täsmällinen ja sen soveltamisen henkilöiden kannalta ennakoitavissa olevaa Euroopan unionin tuomioistuimen, jäljempänä ’unionin tuomioistuin’, ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti.
(42) Kun tietojenkäsittely perustuu rekisteröidyn suostumukseen, rekisterinpitäjän olisi voitava osoittaa, että rekisteröity on antanut suostumuksensa käsittelytoimiin. Etenkin jos suostumus annetaan muuta seikkaa koskevan kirjallisen ilmoituksen yhteydessä, olisi varmistettava suojatoimin, että rekisteröity on tietoinen antamastaan suostumuksesta ja siitä, kuinka pitkälle menevästä suostumuksesta on kyse. Neuvoston direktiivin 93/13/ETY [10] mukaisesti rekisterinpitäjän ennalta muotoilema ilmoitus suostumuksesta olisi annettava helposti ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä eikä siihen pitäisi sisältyä kohtuuttomia ehtoja. Tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä. Suostumusta ei voida pitää vapaaehtoisesti annettuna, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta ja jos hän ei voi myöhemmin kieltäytyä suostumuksen antamisesta tai peruuttaa sitä ilman, että siitä aiheutuu hänelle haittaa.
[10] Neuvoston direktiivi 93/13/ETY, annettu 5 päivänä huhtikuuta 1993, kuluttajasopimusten kohtuuttomista ehdoista (EYVL L 95, 21.4.1993, s. 29). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:1993:095:TOC
(43) Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa. Suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.
(44) Käsittelyä olisi pidettävä lainmukaisena, kun se on tarpeen sopimuksen yhteydessä tai suunnitellun sopimuksen tekemistä varten.
(45) Kun käsittely tapahtuu rekisterinpitäjää koskevan lakisääteisen velvoitteen mukaisesti tai kun se on tarpeen yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, käsittelyllä olisi oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tässä asetuksessa ei edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan suorittamiseksi tai julkisen vallan käyttämiseksi. Käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kyseisessä oikeudessa tai lainsäädännössä voitaisiin myös täsmentää tässä asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat henkilötietojen käsittelyn lainmukaisuutta sekä tarkat vaatimukset, joilla määritetään rekisterinpitäjä, käsiteltävien henkilötietojen tyyppi, asianomaiset rekisteröidyt, yhteisöt, joille henkilötietoja voidaan luovuttaa, tarkoituksen rajoitukset, säilyttämisaika ja muut toimenpiteet, joilla varmistetaan laillinen ja asianmukainen käsittely. Unionin oikeudessa tai jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, esimerkiksi ammatillinen yhteenliittymä, kun se on perusteltua yleistä etua koskevien syiden, kuten terveyteen liittyvien syiden vuoksi, esimerkiksi kansanterveyden ja sosiaalisen suojelun alalla ja terveydenhuoltopalvelujen hallintoa varten.
(46) Henkilötietojen käsittelyä olisi pidettävä lainmukaisena myös silloin, kun se on tarpeen rekisteröidyn tai toisen luonnollisen henkilön hengen kannalta olennaisten etujen suojelemiseksi. Henkilötietoja olisi lähtökohtaisesti voitava käsitellä ainoastaan toisen luonnollisen henkilön elintärkeän edun perusteella, silloin kun käsittelyllä ei ole muuta ilmeistä käsittelyn oikeusperustetta. Tietyntyyppinen käsittely voi palvella sekä yleistä etua että rekisteröidyn elintärkeää etua koskevia tärkeitä syitä esimerkiksi silloin, kun tietojenkäsittely on tärkeää humanitaarisista syistä, kuten epidemioiden ja niiden leviämisen seuraamiseksi tai humanitaarisissa hätätilanteissa, erityisesti luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä.
(47) Rekisterinpitäjän, myös sellaisen rekisterinpitäjän, jolle henkilötiedot voidaan luovuttaa, tai kolmannen osapuolen oikeutetut edut voivat muodostaa käsittelyn oikeusperusteen edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen. Tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa, voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä. Koska lainsäätäjän tehtävä on vahvistaa lailla käsittelyn oikeusperuste, jonka nojalla viranomaiset voivat käsitellä henkilötietoja, tätä käsittelyn oikeusperustetta ei olisi sovellettava viranomaisten tehtäviensä yhteydessä suorittamaan tietojenkäsittelyyn. Ehdottoman välttämätön henkilötietojen käsittely petosten estämistarkoituksissa on myös asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Henkilötietojen käsittelyä suoramarkkinointitarkoituksissa voidaan pitää oikeutetun edun toteuttamiseksi suoritettuna.
(48) Rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen.
(49) On asianomaisen rekisterinpitäjän oikeutetun edun mukaista rajoittaa henkilötietojen käsittely siihen, mikä on ehdottoman välttämätöntä ja oikeasuhteista, jotta viranomaiset, tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvät CERT-ryhmät (Computer Emergency Response Teams), tietoturvaloukkauksiin reagoivat ja niitä tutkivat CSIRT-toimijat (Computer Security Incident Response Teams), sähköisten viestintäverkkojen ja -palvelujen tarjoajat sekä turvallisuusteknologian ja -palvelujen tarjoajat voivat varmistaa verkko- ja tietoturvallisuuden eli verkon tai tietojärjestelmän kyvyn suojautua tietyllä suojatasolla onnettomuuksilta tai laittomilta taikka ilkivaltaisilta toimilta, jotka vaarantavat tallennettujen tai siirrettävien henkilötietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden ja niihin liittyvien, verkoissa ja tietojärjestelmissä tarjottujen tai välitettävien palvelujen turvallisuuden. Tähän voisi kuulua esimerkiksi luvattoman sähköisiin viestintäverkkoihin pääsyn ja vahingollisen koodin jakamisen ehkäiseminen sekä palvelunestohyökkäysten ja tietokoneille ja sähköisille viestintäjärjestelmille koituvien vahinkojen estäminen.
(50) Henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myöhempi käsittely yleisen edun mukaisiin arkistointitarkoituksiin taikka tieteellisiä tai historiallisia tutkimustarkoituksia varten tai tilastollisiin tarkoituksiin olisi katsottava yhteensopiviksi laillisiksi käsittelytoimiksi. Myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.
Jos rekisteröity on antanut suostumuksensa tai käsittely perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tässä asetuksessa vahvistettuja periaatteita ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan, kuten oikeudesta vastustaa henkilötietojenkäsittelyä. Rekisterinpitäjän oikeutetun edun mukaiseksi on katsottava se, että tämä ilmoittaa mahdollisista rikollisista teoista tai yleiseen turvallisuuteen kohdistuvista uhkista ja toimittaa olennaiset henkilötiedot toimivaltaisille viranomaisille yksittäistapauksissa tai useissa tapauksissa, jotka liittyvät samaan rikolliseen tekoon tai yleiseen turvallisuuteen kohdistuvaan uhkaan. Tällaisen tietojen siirron rekisterinpitäjän oikeutetun edun nimissä tai henkilötietojen myöhemmän käsittelyn olisi kuitenkin oltava kiellettyä, mikäli käsittely on ristiriidassa johonkin oikeudelliseen, ammatilliseen tai muuhun sitovaan salassapitovelvollisuuteen nähden.
(155) Jäsenvaltion lainsäädännöllä tai työehtosopimuksilla, mukaan lukien ”paikalliset sopimukset”, voidaan vahvistaa erityissäännöksiä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä, erityisesti niistä edellytyksistä, joiden mukaisesti henkilötietoja voidaan käsitellä työsuhteen yhteydessä työntekijän suostumuksen perusteella taikka palvelukseenottamista tai työsopimuksen täytäntöönpanoa varten, mukaan lukien lakisääteisten tai työehtosopimukseen perustuvien velvollisuuksien suorittaminen, työn johto, suunnittelu ja organisointi, yhdenvertaisuuden ja monimuotoisuuden toteutuminen työpaikalla, työterveys ja -turvallisuus, sekä työntekoon liittyvien oikeuksien ja etuuksien yksilöllistä tai kollektiivista käyttöä ja nautintaa sekä työsuhteen päättämistä varten.
(EN)
Article 29 Working Party, Opinion 6/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC (2014).
EDPB, Assessing the Necessity of Measures That Limit the Fundamental Right to the Protection of Personal Data: A Toolkit (2017).
WP29, Opinion on data processing at work (2017).
Data Protection Commission of Ireland, Guidance Note: Legal Bases for Processing Personal Data (2019).
Data Protection Commission (Ireland), Data Protection Considerations Relating to Receivership (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEC, Rechnungshof/Österreichischer Rundfunk, C-465/00, C-138/01 and C-139/01 (2003).
CJEC, Huber/Germany, C-524/06 (2008).
CJEU, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs, C-70/10 (2011).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
ECHR, Antović and Mirković v. Montenegro, no. 70838/13 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Norwegian DPA, issues fine to Aquateknikk AS (2021).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 6(4)(e) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
…
Sisään
pääset käsiksi koko tekstiin