Vastaus
Suostumuspyynnön on oltava selkeä, ja se on esitettävä tiiviisti ja selkeästi erillään muista tiedoista, kuten ehdoista, helposti ymmärrettävällä kielellä. Pyynnössä pitää määritellä, mihin henkilötietoja käytetään, ja siinä on oltava tietoja käsittelevän yrityksen yhteystiedot. Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. ”Tietoinen suostumus” tarkoittaa sitä, että sinulle pitää antaa henkilötietojesi käsittelystä vähintään seuraavat tiedot:
- tietoja käsittelevän organisaation identiteetti
- tietojenkäsittelyn tarkoitus
- käsiteltävien tietojen tyyppi
- mahdollisuus peruuttaa suostumus (esimerkiksi suostumuksen peruuttaminen sähköpostitse)
- tarvittaessa ilmoitus siitä, että tietoja käytetään ainoastaan automaattisessa päätöksenteossa, kuten profiloinnissa
- tieto siitä, koskeeko suostumus tietojesi siirtämistä kansainvälisesti, tietoa mahdollisista riskeistä, jotka liittyvät tietojen siirtämiseen EU:n ulkopuolisiin maihin, jos komissio ei ole tehnyt päätöstä kyseisten maiden suojatoimien riittävyydestä ja vastaavia suojatoimia ei ole.
Esimerkkejä
Suostumusta ei lain mukaan vaadita
Ilmoittaudut musiikkikoulun pianotunneille. Ilmoittautumislomake on pienellä tekstillä kirjoitettu pitkä asiakirja, jossa on käytetty erittäin vaikeaa ja teknistä lakikieltä. Ehtojen mukaan koulu voi siirtää henkilötietojasi soitinten jälleenmyyjille. Koulu rikkoo lakia, sillä suostumustasi vastaanottaa markkinointimateriaalia (mahdollisesti soitinmyyjiltä) ei ole pyydetty laissa määritellyllä tavalla.
Olet avaamassa pankkitiliä verkossa ja haluat vahvistaa pyyntösi. Sinulle näytetään sivu, jossa on kaksi rastittavaa kohtaa: ”Hyväksyn ehdot” ja ”Hyväksyn, että luottokorttihakemukseni päätös perustuu ainoastaan profilointiin ilman ihmisen osallistumista”. Molemmat kohdat on rastittu oletuksena. Sinun pitää poistaa rasti, jos et halua, että luottokorttihakemuksesi päätös tehdään ainoastaan profiloinnin perusteella. Vaikka et poistaisikaan rastia, pankki ei ole saanut suostumustasi lainmukaisesti, koska yleisen tietosuoja-asetuksen mukaan valmiiksi rastitetut ruudut eivät ole päteviä.
Viitteet
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.