Page contents Page contents Vastaus Yrityksesi/organisaatiosi voi käsitellä henkilötietoja ainoastaan seuraavissa tapauksissa: kyseisiltä yksilöiltä on saatu suostumus tietojen antaminen on sopimukseen perustuva vaatimus (yrityksesi/organisaatiosi ja sen asiakkaan välinen sopimus) tietojen antaminen on lakisääteinen vaatimus (EU-lainsäädännön tai kansallisen lain perusteella) käsittely on välttämätöntä (EU-lainsäädännön tai kansallisen lainsäädännön perusteella) yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi yksilön elintärkeiden etujen suojaaminen organisaatiosi oikeutettujen etujen vuoksi, mutta vain kun se on tarkistanut, ettei käsittely vaikuta kyseisen henkilön perusoikeuksiin ja vapauksiin. Jos henkilön oikeudet syrjäyttävät organisaatiosi edut, se ei voi käsitellä tietoja 'oikeutetun edun' perusteella. Sen arviointi, onko yritykselläsi/organisaatiollasi oikeutettu etu, riippuu yksittäisen tapauksen olosuhteista. Esimerkkejä SuostumusYritykselläsi/organisaatiollasi on musiikkisovellus, jonka puitteissa pyydät kansalaisilta suostumusta käsitellä heidän musiikkimieltymyksiään, jotta sovellus voi suositella heitä kiinnostavia kappaleita ja konsertteja. Sopimukseen perustuva vaatimusYrityksesi/organisaatiosi myy tuotteita verkossa. Se voi käsitellä tietoja, jotka ovat välttämättömiä, jotta voit tehdä yksilön kanssa sopimuksen ja toteuttaa sitä. Tietoja, joita se voi käsitellä, ovat muun muassa nimi, toimitusosoite ja luottokorttinumero. Lakisääteinen velvoiteSinulla on yritys, joka työllistää työntekijöitä. Sosiaaliturvan vuoksi laki velvoittaa sinua antamaan viranomaisille henkilötietoja (esimerkiksi työntekijöiden viikkopalkka). Yleinen etuEsimerkki: ammatillinen yhdistys, kuten julkista valtaa käyttävä asianajajaliitto tai lääkäriliitto, voi ryhtyä kurinpitotoimiin jäseniään vastaan. Henkilön elintärkeät edutSairaala hoitaa potilasta vakavan liikenneonnettomuuden jälkeen. Sairaala ei tarvitse potilaan suostumusta tarkistaakseen tämän henkilötodistuksesta, onko hänestä terveystietoja tietokannassa, tai ottaakseen yhteyttä tämän lähiomaiseen. Organisaation oikeutetut edutYrityksesi /organisaatiosi seuraa työntekijöidensä IT-laitteita verkon tietoturvan varmistamiseksi. Henkilötietojen käsittely tätä tarkoitusta varten on laillista ainoastaan menetelmällä, joka vähiten loukkaa työntekijöiden yksityisyyttä ja tietosuojaoikeuksia. Tällainen menetelmä voi olla esimerkiksi pääsyn estäminen joillekin verkkosivustoille. (Huomaa, että seuranta ei ole mahdollista EU:n jäsenvaltioissa, joiden kansallinen lainsäädäntö asettaa tiukemmat säännöt työntekijöiden tietojen käsittelylle.) Viitteet Artikla 6; johdanto-osan kappaleet 40–49 Artiklan 29 mukaisen työryhmän lausunto 06/2014 direktiivin 95/46/EY 7 artiklan mukaisesta rekisterinpitäjän oikeutettujen etujen käsitteestä Examples Consent Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. Contractual obligation Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc. Legal obligation You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority. Public interest Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members. Vital interests of a person A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin. Your organisation’s legitimate interests Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context). References Article 6 and Recitals (40) to (49) of the GDPR Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E
