Henkilötietoja koskeva tiedonantovelvollisuus GDPR:n voimaantulon jälkeen

Palvelus

Rekisterinpitäjät kohtaavat hyvin usein dilemman, miten ja missä muodossa ne täyttävät tietojenkäsittelyvelvollisuutensa henkilöitä kohtaan, joiden tietoja he käsittelevät. Valitettavasti se ei aina ole niin yksinkertaista. Jokainen ylläpitäjä on erilainen, samoin kuin tietojenkäsittelyn olosuhteet, tarkoitukset ja menetelmät. On tärkeää muistaa perusperiaate – henkilön, jonka tietoja käsittelemme, on tiedettävä, miksi teemme niin ja mistä se johtuu.

Milloin tiedonantovelvollisuus on voimassa?

Aina kun me rekisterinpitäjänä ryhdymme käsittelemään luonnollisen henkilön tietoja, olemme velvollisia täyttämään tiedonantovelvollisuuden häntä kohtaan. Meidän tulee tehdä tämä ennen käsittelyn aloittamista, esimerkiksi kun haemme suostumusta tietojen käsittelyyn. Jos saamme henkilötiedot eri tavalla kuin rekisteröidyltä - viimeistään kuukauden kuluessa niiden keräämisestä tai ensimmäisen yhteydenoton yhteydessä henkilöön tai aiomme siirtää nämä tiedot toiselle vastaanottajalle - viimeistään ensimmäinen siirto.

Henkilölle, jonka tietoja aloitamme käsittelemään, tulee hyvissä ajoin antaa täydelliset tiedot rekisterinpitäjästä, käsittelyn tarkoituksesta, tietojen vastaanottajista tai oikeuksista, joihin hänellä tässä yhteydessä on. Tämä on edellytys tietoisen suostumuksen antamiselle tietojen käsittelyyn [Bielak-Jomaa Edyta (toim.), Lubasz Dominik (toim.), GDPR. Yleinen tietosuoja-asetus. Kommentti, Art. 13 sek. 8].

Tietojen esittämisen muoto

Pääsääntöisesti tiedot on annettava kirjallisesti tai sähköisessä muodossa, esimerkiksi laittamalla linkki verkkosivustolle tai lähettämällä se sähköpostitse. Voit törmätä termiin tietolauseke, joka on asiakirja, joka sisältää kaikki alla kuvatut tiedot. Jos rekisteröity haluaa tehdä niin, voimme antaa hänelle kaikki tiedot suullisesti (GDPR 12 artiklan 1 kohta).

Tietolausekkeen tulee olla:

- ytimekäs,

- asia selvä,

- hän ymmärsi,

- ilmaistaan ​​helposti saatavilla olevassa muodossa, selkeällä ja selkeällä kielellä.

Tämä tarkoittaa, että on erittäin tärkeää, miten kirjoitamme tietoja tietojenkäsittelystä. Se on suunniteltava siten, ettei ole epäilystäkään siitä, että henkilö, jolle se on osoitettu, ymmärtää sen oikein. Varsinkin, että sen vastaanottajat voivat olla myös lapsia - esimerkiksi heille osoitettujen verkkosivustojen tapauksessa. Tärkeää ei ole vain kieli, vaan myös grafiikka, jonka tulee olla silmäystävällinen. Käytä riittävän suurta fonttia, pisteitä, välilyöntejä, lihavointia. Sen on myös oltava riittävän lyhyt, jotta siihen tutustuminen ei ole ongelma vastaanottajalle. Ei ole olemassa yhtä oikeaa kaavaa. On hyvä käytäntö antaa muutaman ystävän lukea nämä tiedot, jotta he kiinnittävät huomiomme epäselvyyksiin, joita emme huomaa.

Mitä tietolausekkeen tulee sisältää?

Tietolausekkeen sisällössä on eroja sen mukaan, saammeko tiedot rekisteröidyltä vai muista lähteistä.

Jos keräämme tietoja rekisteröidyltä, niiden tulee sisältää (GDPR:n artikla 13):

  • rekisterinpitäjän henkilöllisyys ja yhteystietomme (nimemme, osoitteemme, sähköpostiosoitteemme, puhelinnumeromme),

  • tietosuojavastaavan yhteystiedot (joillakin tahoilla on velvollisuus nimetä tällainen henkilö, mutta useimmissa tapauksissa se ei ole pakollista),

  • henkilötietojen käsittelyn tarkoitukset ja tämän käsittelyn oikeusperusta (eli maininta oikeudellisista säännöksistä, jotka sallivat näiden tietojen käsittelyn),

  • jos tietoja käsitellään rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen perusteella, nämä edut on mainittava, esim. valvonnan kuvaa käsitellään omaisuuden ja henkilöiden suojelemiseksi, jotka sijaitsevat rekisterinpitäjän tiloissa/rakennuksessa. hoitaja, ja omaisuuden ja henkilöiden suojelu on oikeutetun edun selvittäjä,

  • tiedot henkilötietojen vastaanottajista (tietyt yritykset, joille uskomme tai toimitamme henkilötietoja, esim. "Janina Kowalska - lakisääteinen tilintarkastaja") tai tiedot tietojen vastaanottajaluokista, kuten tilitoimistot, vakuutusyhtiöt, verkkosivustojen liikenneanalyysiä käsittelevät yritykset,

  • tiedot siirrämmekö nämä tiedot kolmanteen maahan vai kansainväliselle järjestölle (tässä tapauksessa tulee myös varmistaa asianmukainen tietosuojan taso - sen määrittää Euroopan komissio Euroopan unionin ulkopuolisille maille. Ilmoita lisäksi näiden tietojen turvallisuudesta ja ilmoittaa mahdollisuudesta saada kopio tai paikasta, jossa ne asetetaan saataville),

  • ajanjakso, jolle näitä tietoja säilytetään, tai tämän ajanjakson laskentatapa, esim. tietoja säilytetään enintään 5 vuotta; tietoja säilytetään 10 vuoden ajan takuuajan päättymispäivästä,

  • tiedot rekisteröityjen oikeuksista (oikeus päästä käsiksi, oikaista, poistaa tai rajoittaa käsittelyä, oikeus vastustaa käsittelyä, oikeus siirtää tietoja),

  • jos käsittelemme tietoja henkilön suostumuksen perusteella, on tarpeen ilmoittaa oikeudesta peruuttaa tämä suostumus milloin tahansa ja että suostumuksen peruuttaminen ei vaikuta sen perusteella suoritetun käsittelyn lainmukaisuuteen. suostumuksesta ennen sen peruuttamista, esim. suostumus annettiin 1. huhtikuuta, henkilö peruutti suostumuksensa 30. kesäkuuta - 1. huhtikuuta - 30. kesäkuuta, käsittelimme tietoja lain mukaisesti antaman suostumuksen perusteella, 30. kesäkuuta jälkeen emme voi käsitellä tietoja, joiden käsittelyyn suostumus on peruutettu,

  • tiedot oikeudesta tehdä valitus henkilötietojen käsittelyyn liittyvästä toimistamme henkilötietosuojaviraston pääjohtajalle,

  • tietoa profiloimmeko ihmisiä, eli määritämmekö (esim. IT-järjestelmän avulla) heidän ominaisuuksiaan ja mieltymyksiään kerättyjen tietojen perusteella, esim. uuden asuinalueen sijainnin tietojen perusteella ja ison jääkaapin oston jälkeen netistä myymälässä, se voidaan näyttää tälle henkilölle ilmoitus kalliimman pesukoneen ostosta, koska se on luultavasti juuri muuttanut ja jos se tarvitsee jääkaapin, sillä ei välttämättä ole muita varusteita ja jos sillä olisi varaa kalliiseen jääkaappi, se voi olla kiinnostunut myös kalliimmasta pesukoneesta (tämä on profilointia),

  • jos käytämme automatisoitua päätöksentekoa henkilöille, joiden tietoja käsittelemme, sinun tulee kertoa näiden päätösten tekemisen periaatteista - joita usein käyttävät rahoitus- ja vakuutuslaitokset laskeessaan luottokelpoisuutta tai vakuutuksen määrää verkkosivustolle syötettyjen tietojen perusteella.

Jos saamme henkilötietoja muulla tavalla kuin rekisteröidyltä, toimita lisäksi (GDPR:n 14 artikla):

  • niiden tahojen nimet, joilta olemme saaneet tietoja tai ilmoittavat, että ne ovat peräisin julkisista lähteistä, esimerkiksi sosiaalisen verkostoitumisen sivustolta,

  • käsittelemämme tietoluokat (henkilö ei tiedä, mitä tietoja olemme saaneet - meidän on ilmoitettava heille niistä), esim. kirjeenvaihtotiedot, puhelintiedot, arkaluonteiset tiedot jne.

Milloin tietovelvollisuutta ei tarvitse soveltaa?

GDPR taiteessa. 14 sek. 5 artiklassa säädetään muutamasta poikkeuksesta yleiseen sääntöön, joka koskee tarvetta ilmoittaa henkilöille, joiden tietoja käsittelemme, ja nämä ovat tapauksia, joissa:

  • rekisteröidyllä on jo nämä tiedot, esim. olemme jo ilmoittaneet hänelle etukäteen (tietovelvollisuutta ei tarvitse toistaa),

  • tällaisten tietojen antaminen on mahdotonta tai vaatisi suhteettomia ponnisteluja, esimerkiksi tietojen käsittelyä yleisen edun mukaista arkistointia varten, tieteellistä, historiallista tai tilastollista tutkimusta varten,

  • tietojen hankkiminen tai luovuttaminen on tiukasti määritelty kansallisessa lainsäädännössä tai Euroopan unionin lainsäädännössä (näissä säännöksissä säädetään asianmukaisista menettelyistä tiedottamiseksi henkilöille, joiden tietoja käsitellään),

  • henkilötietojen tulee pysyä luottamuksellisina esimerkiksi salassapitovelvollisuuden yhteydessä,

  • kun käsittelemämme tiedot anonymisoidaan, ja siksi rekisteröityjä ei ole mahdollista tunnistaa niiden perusteella.

Muut tapaukset, joissa tietovelvollisuus on täytettävä

Saattaa käydä niin, että henkilö, jonka tietoja käsittelemme, pyytää meitä toimittamaan kopion häntä koskevista tiedoista ja kaikista yllä mainituista tiedoista. Tarjoamme ne ilmaiseksi. Mikäli pyynnöt kuitenkin tulevat ilmeisen liian yleisiksi, liiallisiksi tai perusteettomiksi, voimme kieltäytyä tietojen toimittamisesta tai periä maksun, joka kattaa tietojen toimittamisesta ja kirjeenvaihdosta aiheutuvat kulut. Valitettavasti rekisterinpitäjällä on velvollisuus todistaa, että nämä pyynnöt ovat liiallisia tai perusteettomia (GDPR:n 12 artiklan 5 kohta).

Yhteenveto

GDPR tuo täyden läpinäkyvyyden henkilötietojen käsittelyyn. Henkilöllä, jonka tietoja käsittelemme, on oikeus saada tietoa tietojensa käsittelyyn osallistuvista tahoista, näihin tietoihin liittyvistä menettelyistä, turvallisuudesta ja oikeuksistaan ​​tässä suhteessa. Henkilötietojen käsittelyyn annetusta suostumuksesta on ilmoitettava. Tämän edellytyksenä on tietää, mihin suostumme. Rekisterinpitäjä on velvollinen antamaan tiedot siten, että niiden ymmärtäminen ei aiheuta ongelmia. Harkitse kohdeyleisöä - varsinkin jos he ovat lapsia. Tämä ei koske ainoastaan ​​kieltä, jolla se kirjoitetaan (se ei voi olla alan, tekninen tai oikeudellinen kieli), vaan myös sen graafista suunnittelua. Tietolausekkeen sisällön ymmärtämättä jättäminen voi olla perusteena sille, että suostumus henkilötietojen käsittelyyn voidaan katsoa pätemättömäksi.