Vastaus
Kun henkilötietojen käsittely edellyttää suostumusta, suostumus on pätevä seuraavien ehtojen täyttyessä:
- sen on oltava vapaaehtoinen
- sen on oltava tietoinen
- se annetaan tiettyyn tarkoitukseen
- kaikki käsittelyn syyt on ilmoitettava selkeästi
- se on nimenomainen ja se annetaan selkeästi suostumusta ilmaisevalla toimella (esimerkiksi henkilö rastittaa ruudun verkossa tai allekirjoittaa lomakkeen)
- siinä käytetään selkeää ja yksinkertaista kieltä ja se on selkeästi näkyvissä
- suostumus on mahdollista peruuttaa ja tämä tosiasia on selitetty (esimerkiksi peruuttamislinkki sähköpostitse lähetettävän uutiskirjeen lopussa).
Jotta suostumus on vapaaehtoinen, henkilöllä on oltava mahdollisuus valita ja hänen on voitava kieltäytyä tai peruuttaa suostumus ilman, että siitä aiheutuu hänelle vahinkoa. Suostumus ei ole vapaaehtoinen, jos esimerkiksi yksilön ja yrityksen/organisaation välinen suhde on selkeästi epätasapainossa (esimerkiksi työnantajan ja työntekijän välinen suhde) tai yritys/organisaatio asettaa suostumuksen antamisen ei-välttämättömien henkilötietojen käsittelylle ehdoksi sopimuksen tekemiseksi tai palvelun käyttämiseksi.
Jotta suostumus on tietoinen, yksilölle on annettava vähintään seuraavat tiedot:
- tietoja käsittelevän organisaation identiteetti
- tietojenkäsittelyn tarkoitus
- käsiteltävien tietojen tyyppi
- mahdollisuus peruuttaa annettu suostumus (esimerkiksi peruuttamislinkki sähköpostiviestin lopussa)
- tarvittaessa ilmoitus siitä, että tietoja käytetään ainoastaan automaattisessa päätöksenteossa, kuten profiloinnissa
- jos suostumus koskee tietojen siirtämistä kansainvälisesti, tietoa riskeistä, joita liittyy tietojen siirtämiseen kolmansiin maihin, jos päätöksentekoprosessi ei ole asianmukainen tai jos käytössä ei ole asianmukaisia suojatoimia.
Muista: kun suostumus henkilötietojen käsittelylle on annettu, voit käsitellä tietoja vain ilmoitettuun tarkoitukseen.
Esimerkkejä
Vapaaehtoinen suostumus
Yrityksesi on lentoyhtiö, ja yrityksesi tietosuojaselosteessa ilmoitetaan, että asiakkaiden henkilötietoja voidaan käsitellä yhtiösi järjestämässä kilpailussa, jossa on palkintona ilmainen lento. Asiakkaat, jotka ovat rastittaneet ruudun, jossa he suostuvat osallistumaan kilpailuun ovat ilmaisseet siten selkeästi, että he haluavat henkilötietojaan käsiteltävän kilpailun tarkoituksessa. He ovat antaneet suostumuksensa tietojen käsittelyyn kilpailun tarkoituksessa, mutta ei muihin tarkoituksiin.
Suostumus ei ole vapaa
Yrityksesi/organisaatiosi tarjoaa elokuvapalveluja verkossa. Kun keräät sopimukseen tarvittavia tietoja, kysyt myös lisätietoja, kuten seksuaalista suuntautumista tai poliittista mielipidettä. Henkilö todennäköisesti luulee, että suostumus tämäntyyppisten tietojen käsittelylle on välttämätön elokuvien katsomiseksi. Suostumus ei ole tässä yhteydessä vapaaehtoinen, koska se on pakottamalla saatu suostumus].
Viitteet
Examples
Free consent
You're an airline company and your Privacy Notice indicates that the personal data of customers can be processed for a competition organised by your company offering a free flight as a prize. The customers who ticked the box in agreeing to participate in the competition have clearly signalled their wish to have their personal data processed for the purpose of the competition. There is consent to process data for the purpose of the competition but not for other purposes.
Consent not free
Your company/organisation offers online movie services. When collecting the data needed for this contract you also ask for additional data, such as the sexual orientation or the political beliefs of a person. That person may believe that their consent for the processing of this type of data is necessary to access to the movies they request. The consent in this case isn’t free consent, it is a ‘tied consent’.