GDPR:stä ja salassapitovelvollisuudesta johtuva tiedonantovelvollisuus

Palvelus

Toimittajat, lakimiehet, oikeudelliset neuvonantajat, lääkärit ... - ovat salassapitovelvollisia. Tarkoittaako se, että GDPR (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27. huhtikuuta 2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta sekä sen kumoamisesta direktiivi 95/46/EY ) ei koske niitä? Entä tietojenkäsittelyn valvonta ja tiedonantovelvoitteet? Lue artikkelimme ja selvitä, mitä tekemistä salassapitovelvollisuudella on GDPR:n tiedonantovelvollisuuden kanssa!

Ammatillinen salassapito

Kansallisessa tai EU:n lainsäädännössä ei ole salassapitovelvollisuuden määritelmää. Tämä käsite löytyy kuitenkin lukuisista yksittäisten ammattiryhmien toimintaa säätelevistä laeista.

Salassapitovelvollisuus on laissa säädetty muun muassa:

- asianajajat

- lakimiehiä

- notaarit

- ulosottomiehet

- Patenttiasiamiehet

- ammattisotilaat

- työsuojelutarkastajat

-psykiatrit

-psykologit

- kiinteistön arvioijat

-toimittajat

- lääkärit

- sairaanhoitajat

- farmaseutit

- lakisääteiset tilintarkastajat

- veroneuvojat

- vakuutusedustajat

- postialan toimijat

Salassapitovelvollisuus ja GDPR

GDPR koskee henkilötietojen käsittelyä, joka liittyy rekisterinpitäjän tai käsittelijän organisaatioyksikön Euroopan unionissa suorittamaan toimintaan. Tällaisen toiminnan oikeudellisella muodolla tai suoritustavalla ei ole merkitystä.

Näin ollen, jos jokin taho käsittelee henkilötietoja osana ammattiaan, jota sitoo salassapitovelvollisuus, sen on noudatettava GDPR:stä johtuvia suojaperiaatteita. Yksi tärkeimmistä velvollisuuksista, joita GDPR asettaa rekisterinpitäjille ja käsittelijöille, on tiedonantovelvollisuus.

Tietovelvollisuuden sisältö

Tietovelvollisuuden sisältö salassapitovelvollisuuden piiriin kuuluvien tahojen osalta on pääsääntöisesti sama kuin kunkin henkilötietojen ylläpitäjän (käsittelijän) osalta.

Tämä velvollisuus sisältää tiedot rekisterinpitäjän henkilöllisyydestä ja yhteystiedoista sekä soveltuvin osin hänen edustajansa henkilöllisyydestä ja yhteystiedoista, tietosuojavastaavan yhteystiedoista, henkilötietojen käsittelyn tarkoituksista ja käsittelyn oikeusperustasta, rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu koskien henkilötietojen vastaanottajia tai vastaanottajaryhmiä, jos sellaisia ​​on, sekä aikomuksesta siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle.

Lisäksi tähän velvollisuuteen sisältyy myös tietojen antaminen henkilötietojen säilytysajasta, oikeus pyytää rekisterinpitäjältä pääsy rekisteröityä koskeviin henkilötietoihin, oikaista ne, poistaa ne tai rajoittaa käsittelyä tai oikeus vastustaa käsittelyä sekä oikeus siirtää tietoja, oikeus peruuttaa suostumus milloin tahansa vaikuttamatta sen käsittelyn lainmukaisuuteen, joka on tehty suostumuksen perusteella ennen sen peruuttamista, oikeus tehdä valitus valvojalle viranomainen ja automatisoitu päätöksenteko, mukaan lukien profilointi . Lisäksi on ilmoitettava, onko henkilötietojen toimittaminen lakisääteinen tai sopimukseen perustuva vaatimus tai ehto sopimuksen tekemiselle ja onko rekisteröidyllä velvollisuus toimittaa ne ja mitkä ovat mahdolliset seuraukset tietojen toimittamatta jättämisestä.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Tietoluokat ja tiedonantovelvollisuus

GDPR:n mukaisen tiedonantovelvollisuuden täyttämisen tapa ja laajuus liittyvät henkilötietojen alkuperän lähteeseen ja hankintatapaan. Tämä on erityisen tärkeää yhteisöille, jotka ovat velvollisia säilyttämään salassapitovelvollisuutensa, koska niiden GDPR:n mukaiset velvoitteensa on erotettu näiden kriteerien perusteella.

GDPR:n mukainen tiedonantovelvollisuus voi koskea rekisteröidyiltä suoraan kerättyjä tietoja (esim. asianajotoimiston asiakkaan henkilötiedot, potilaan henkilötiedot) ja epäsuorasti saatuja tietoja (esim. todistajan henkilötiedot, oikeudenkäynnin henkilötiedot) vastustaja).

Jos rekisteröidyn henkilötiedot kerätään kyseiseltä henkilöltä, rekisterinpitäjä antaa rekisteröidylle kaikki lain edellyttämät tiedot henkilötietoja kerättäessä.

Toisaalta, jos henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjä antaa rekisteröidylle GDPR:n edellyttämät tiedot:

  • kohtuullisen ajan kuluessa henkilötietojen saamisesta - viimeistään kuukauden kuluessa - ottaen huomioon henkilötietojen käsittelyn erityisolosuhteet,

  • jos henkilötietoja on tarkoitus käyttää kommunikointiin rekisteröidyn kanssa - viimeistään silloin, kun rekisteröidyn kanssa käydään ensimmäistä kertaa

  • jos henkilötietoja aiotaan luovuttaa toiselle vastaanottajalle - viimeistään ensimmäisen luovutuksen yhteydessä.

Salassapitovelvollisuuden piiriin kuuluvien tahojen osalta olisi lisäksi erotettava kaksi muuta tietoluokkaa:

  • ammatin harjoittamisen yhteydessä kerätyt tiedot (esim. potilaan henkilötiedot, todistajan henkilötiedot siviiliasiassa),

  • kerätään taloudellisena yksikkönä toimimisen yhteydessä (esim. työntekijöiden henkilötiedot, urakoitsijoiden ja tavarantoimittajien henkilötiedot).

Tietovelvollisuuden laajuus ja salassapitovelvollisuus

Siksi meillä on kaksi tapaa hankkia tietoja - suoraa ja epäsuoraa sekä kaksi tietoluokkaa - kerätään ammatin harjoittamisen ja taloudellisena yksikkönä toimimisen yhteydessä.

Tätä taustaa vasten 1 artiklassa otetaan käyttöön poikkeukselliset säännöt. 14 sek. 5 lit. d) GDPR, joka sulkee pois GDPR:n mukaisen tiedonantovelvollisuuden, jos epäsuorasti kerättyjen henkilötietojen tulee pysyä luottamuksellisina EU-lainsäädännössä tai jäsenvaltion lainsäädännössä säädetyn salassapitovelvollisuuden, mukaan lukien lakisääteisen salassapitovelvollisuuden, mukaisesti.

Salassapitovelvollisuus sulkee pois tiedonantovelvollisuuden ammatin harjoittamisen yhteydessä välillisesti kerätyistä tiedoista.

Yllä oleva johtuu siitä, että salassapitovelvollisuuden on tarkoitus tarjota GDPR:ssä säädettyä enemmän suojaa.

Lisäksi GDPR:n salassapitovelvollisuutta koskevat säännökset antavat useimmiten valtuudet tunnustaa, että kun salassapitovelvollisuuden piiriin kuuluvalle taholle toimitetaan epäsuorasti sen kattamia henkilötietoja, sitä tulee tältä osin pitää rekisterinpitäjänä (ja ei näitä tietoja käsittelevä taho). Tämä johtuu niiden oikeuksien laajuudesta, jotka ovat välttämättömiä salassapitovelvollisuuden suojelemiseksi ammatin eettisten periaatteiden mukaisesti (esim. oikeudellisen neuvonantajan tai asianajajan tapauksessa).

Muualla GDPR:n säännöt toimivat samalla tavalla kuin muiden järjestelmänvalvojien tapauksessa.