Henkilötietojen käsittelyn tulee aina perustua lakiin. Ilman laista löytyvää oikeusperustetta, on henkilötietojen käsittely kielletty. Suostumus on yksi yleisimmistä oikeusperusteista, ja se antaa rekisterinpitäjälle valtuudet käsitellä henkilötietoja siinä laajuudessa, kuin rekisteröity on antanut suostumuksen henkilötietojen käsittelyyn. On kuitenkin hyvä muistaa, että tietosuojaperiaatteet pätevät myös suostumustilanteissa. Näin ollen rekisterinpitäjä ei voi esimerkiksi kerätä henkilötietoja laajemmin kuin mitä on tarpeellista käyttötarkoituksen kannalta.
suostumuksen antaminen
Suostumusperusteesta säännellään yleisessä tietosuoja-asetuksessa (GDPR). Asetuksen mukaan rekisteröidyn tulee ensinnäkin antaa suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa tarkoitusta varten. Mitä useampia tarkoituksia varten tietoja kerätään, sitä tärkeämpää on ilmaista nämä tarkoitukset selkeästi, jotta rekisteröity varmasti ymmärtää, mihin kaikkeen hänen tietojaan käytetään. Tämän lisäksi suostumuksen tulee olla:
Vapaaehtoisuus: Vapaaehtoisuuden periaate edellyttää ensisijaisesti sitä, että rekisteröidyllä on todellinen valinnan mahdollisuus päättää, salliiko hän henkilötietojensa käsittelyn vai ei. Näin ollen aiemmin yleisesti käytössä ollut tapa, jossa internet-sivustolle eteneminen ei ollut mahdollista ilman ’hyväksyn evästeiden käytön’ -ruudun klikkaamista, ei ole vapaaehtoisuusperusteen mukainen.
Jos rekisterinpitäjän ja rekisteröidyn välillä on valta-asemaan perustuvaa epätasapainoa, kuten silloin kun rekisterinpitäjä on viranomainen tai rekisteröidyn työnantaja, rekisteröidyn suostumusta ei yleensä voida pitää vapaaehtoisena. Tämä johtuu siitä, että tällaisessa asemassa rekisteröity voi kokea painostusta tai pelkoa negatiivisista seurauksista, jos hän kieltäytyy antamasta suostumusta. Tietyissä tilanteissa suostumusperuste voi kuitenkin tulla kyseeseen, kuten esimerkiksi silloin, jos työnantaja suunnittelee toimitilojensa kuvaamista mainostarkoituksiin ja pyytää mahdollisesti videolla näkyviltä työntekijöiltä luvan kuvaamiseen. Jos työnantaja tarjoaa työntekijöilleen realistisen mahdollisuuden kieltäytyä kuvauksista ja jatkaa työskentelyä muualla ilman negatiivisia seurauksia, suostumuksen voidaan katsoa perustuvan vapaaehtoisuuteen.
Lisäksi vapaaehtoisuus edellyttää, että rekisteröity voi peruuttaa jo antamansa suostumuksen yhtä helposti kuin sen alun perin antoi. Suostumuksen peruuttamisesta ei myöskään saa syntyä negatiivia seurauksia, kuten korkeampia palvelumaksuja. Jos esimerkiksi ruokakauppa tarjoaa asiakkaalle kohdennettuja alennuksia tämän ostoskäyttäytymiseen perustuen, asiakas voi menettää nämä alennukset peruessaan suostumuksensa henkilötietojensa käsittelyyn. Tässä tapauksessa ruokakaupan tulisi kuitenkin edelleen tarjota yleisiä alennuksia, jotta henkilötietojen käsittely olisi alun perin ollut aidosti vapaaehtoista rekisteröidylle.
Vapaaehtoisuutta arvioitaessa on myös otettava huomioon se, että rekisteröidylle tulee taata mahdollisuus valita, mitä tarkoituksia varten hän sallii henkilötietojensa käsittelyn. Rekisterinpitäjän tulee siis selvästi erotella eri tarkoitukset ja mahdollistaa aito valinnanvapaus niiden suhteen. Jos esimerkiksi karttasovellus ilmoittaa, että sijaintitietojen kerääminen on osa sen ydinpalvelua ja että näitä tietoja käytetään myös kohdennettuun mainontaan, suostumusta ei voida pitää vapaaehtoisena, ellei näitä kahta tarkoitusta ole eroteltu toisistaan. Rekisteröidylle on annettava mahdollisuus valita, haluaako hän sallia tietojensa käytön kumpaankin tarkoitukseen erikseen.
Yksilöity: Jotta suostumus olisi pätevä, rekisterinpitäjän on hankittava se selkeästi ja tiettyä käyttötarkoitusta varten. Lisäksi henkilötietoja ei saa vähitellen alkaa käyttää alkuperäisen suostumuksen jälkeen muihin tarkoituksiin. Esimerkiksi jos verkkokauppa alun perin kerää henkilötietoja alennuskoodien lähettämistä varten, ei henkilötietoja saa myöhemmin käyttää markkinointitarkoituksiin ilman rekisteröidyn erillistä suostumusta. Uuteen henkilötietojen käsittelytarkoitukseen on aina pyydettävä rekisteröidyltä uusi yksilöity suostumus. Tällä varmistetaan se, että rekisteröity pystyy seuraamaan, mitä tietoja hänestä käsitellään mihinkin tarkoitukseen.
Tietoinen: Jotta rekisteröity voisi antaa tietoisen suostumuksen henkilötietojensa käsittelyyn, tulee hänellä olla mahdollisuus perehtyä seuraaviin minimitietoihin ennen suostumuksensa antamista:
- rekisterinpitäjän henkilöllisyys
- mihin tarkoitukseen suostumusta pyydetään
- mitä henkilötietoja käsitellään
- kuinka annettu suostumus voidaan peruuttaa
- henkilötietojen mahdollinen käyttö automatisoidussa päätöksenteossa
- tiedot mahdollisista tiedonsiirron riskeistä
Usein nämä tiedot toimitetaan tietosuojaselosteen muodossa yrityksen verkkosivuilla, mutta selosteen käyttö ei ole pakollista. Tietoja voidaan tarjota myös muussa kirjallisessa muodossa, tai esimerkiksi suullisesti tai ääniviestillä. Tärkeintä on, että tarvittavat tiedot välitetään selkeästi ja helposti ymmärrettävässä muodossa, jotta suostumus olisi pätevä.
Yksiselitteinen: Rekisteröidyn antaman suostumuksen tulee olla yksiselitteistä, ja sen voi antaa ensinnäkin kirjallisella tai suullisella lausumalla. Koska rekisterinpitäjällä on osoitusvelvollisuus, on suullisen suostumus on hyvä tallentaa nauhalle, jotta suostumuksen olemassaolo voidaan myös myöhemmin osoittaa.
Tämän lisäksi yksiselitteisen suostumuksen voi antaa tekemällä jonkin sellaisen toimen, joka ilmaisee suostumuksen antamista. Tällainen toimi voi olla esimerkiksi tietosuojaselosteen yhteydessä olevan ”hyväksyn” -ruudun klikkaaminen. Koska pätevän suostumuksen edellytyksenä on aktiivinen toiminta, suostumusta ei voida katsoa annetuksi pelkän passiivisuuden perusteella. Siksi esimerkiksi internet-sivuston ponnahdusikkuna, joka ilmoittaa: ”jatkamalla sivuston käyttöä hyväksyt ehdot”, ei riitä pätevän suostumuksen antamiseksi. Lisäksi internetsivusto ei saa ennalta rastittaa ”hyväksyn” -ruutua, koska suostumuksen tulee perustua käyttäjän aktiiviseen valintaan eikä valmiiksi tehtyihin valintoihin, passiivisuuteen tai vaikenemiseen.
nimenomainen suostumus
Tietyissä tilanteissa rekisterinpitäjän tulee hankkia rekisteröidyn nimenomainen suostumus. Tällaisissa tilanteissa on yleensä vakava tietoturvariski, ja niihin lukeutuvat:
- Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. Erityiset henkilötiedot ovat arkaluonteisia tietoja, kuten terveystiedot, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, biometriset tiedot tai ammattiliiton jäsenyys.
- Henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille.
- Automatisoidut yksittäispäätökset ja profilointi. Automatisoidulla päätöksenteolla tarkoitetaan päätöksentekoa, joka perustuu automaattiseen henkilötietojen käsittelyyn ja jolla on merkittävä vaikutus rekisteröityyn. Esimerkiksi autoilijalle voidaan määrätä automaattisesti ylinopeussakko nopeuskamerasta saadun datan perusteella. Profiloinnilla puolestaan tarkoitetaan automaattista henkilötietojen käsittelyä, jonka yhteydessä henkilön ominaisuuksia arvioidaan. Profilointi liittyy usein automatisoituun päätöksentekoon. Esimerkiksi jos ylinopeussakon määrässä otettaisiin huomioon henkilön pidempiaikainen ajotapa ja mahdolliset aiemmat liikennerikkomukset, liittyisi päätöksentekoon profilointia.
Nimenomaisen suostumuksen voi usein ilmaista allekirjoittamalla kirjallisen lausuman suostumuksen antamiseksi. Muita tapoja voivat olla esimerkiksi sähköinen allekirjoitus, kaksivaiheinen varmistaminen, lomakkeen täyttäminen tai sähköpostin lähettäminen. Myös rastiruutuja voidaan pitää pätevinä nimenomaisen suostumuksen ilmaisemiseen, kunhan suostumus ilmaistaan riittävän selkeästi. Näin ollen ”hyväksyn” -ruudulla ei välttämättä voida ilmaista nimenomaista suostumusta, mutta ”annan suostumuksen henkilötietojeni käsittelyyn” -ruutua voitaisiin käyttää pätevästi nimenomaisen suostumuksen antamiseen.
Suostumus on yksi kuudesta henkilötietojen käsittelyn oikeusperusteesta. Lue täältä lisää muista oikeusperusteista.
Lähde §: yleinen tietosuoja-asetus (GDPR)
24.02.2017
Päivitetty 06.07.2024
Suomen Juristit lakimies
Nopeaa apua lakiasioihin.