Oikeutettu etu henkilötietojen käsittelyperusteena
Yleisen tietosuoja-asetuksen (GDPR) mukaan henkilötietojen käsittely edellyttää GDPR:n 6 artiklan 1 kohdassa mainittua käsittelyperustetta, kuten esimerkiksi rekisteröidyn suostumusta taikka lakisääteistä velvoitetta. Koska kaikkea oikeutettuna ja perusteltuna pidettävää henkilötietojen käsittelyä ei ole voitu etukäteen säännellä, 6 artiklan käsittelyperusteisiin on sisällytetty henkilötietojen käsittely oikeutetun edun perusteella.
GDPR:n 6 artiklan 1 kohdan f alakohdan mukaan henkilötietojen käsittely on lainmukaista, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.
Oikeutetun edun käsittelyperuste on jätetty GDPR:ssä varsin avoimeksi, eikä rekisterinpitäjän ole aina yksinkertaista arvioida käsittelyperusteen olemassaoloa. GDPR:n johdantokappaleisiin on otettu esimerkkejä tilanteista, joissa oikeutettua etua voidaan käyttää käsittelyperusteena. Tällaisia tilanteita ovat henkilötietojen käsittely muun muassa petosten estämistarkoituksiin tai suoramarkkinointitarkoituksiin. Johdantokappaleisiin otetut esimerkit kuvastavat osaltaan sitä, että oikeutetun edun käsitettä voinee tulkita suhteellisen laajasti, mutta mitään selkeää linjaa ne eivät tarjoa.
Näin ollen käsittelyperusteen soveltumisen arvioiminen jää pitkälti rekisterinpitäjän tapauskohtaiseen harkintaan. Rekisterinpitäjän tehtäväksi jää rekisterinpitäjän tai kolmannen osapuolen edun tunnistaminen sekä ns. tasapainotestin tekeminen.
Rekisterinpitäjän tai kolmannen osapuolen etu
Rekisterinpitäjän on ensin tunnistettava etu.
- Kyse tulee olla nimenomaan rekisterinpitäjän tai kolmannen osapuolen oikeutetusta edusta
- Etu on voitava määritellä riittävän tarkasti
- Etu voi olla esimerkiksi oikeudellinen, taloudellinen tai ideologinen
- Edun on oltava lainmukainen ja asianmukainen
- Edun täytyy edustaa todellista tarvetta
Suhde rekisteröidyn etuihin ja oikeuksiin (tasapainotesti)
Oikeutetun edun olemassaolo perustuu aina lopulta huolelliseen ja tapauskohtaiseen kokonaisharkintaan. Kun rekisterinpitäjä on tunnistanut oman tai kolmannen osapuolen edun, tämän on suoritettava ns. tasapainotesti, jossa punnitaan tunnistettua etua suhteessa rekisteröidyn intresseihin ja oikeuksiin.
Seikkoja, jotka puoltavat sitä, että etu on oikeutettu:
- Rekisterinpitäjän ja rekisteröidyn välillä on jokin merkityksellinen suhde, esimerkiksi työ- tai asiakassuhde
- Käsittelyssä edun toteuttamiseksi noudatetaan asianmukaisesti GDPR:n 5 artiklan mukaisia henkilötietojen käsittelyä koskevia periaatteita
- Edun toteuttamiseksi käsiteltävät tiedot eivät ole arkaluonteisia
- Tietojen käsittely edun mukaiseen tarkoitukseen ei ole rekisteröidylle yllättävää
- Käsittelyn vastustaminen edun mukaiseen tarkoitukseen ei olisi todennäköistä
- Käsittely on lähellä asiayhteyttä, johon voidaan soveltaa jotain muuta käsittelyperustetta
- Edun saavuttamiseksi ei ole vähemmän yksityisyyteen puuttuvaa keinoa
Ylle kootut muistilistat toimivat hyvin rekisterinpitäjän apuna, kun ryhdytään arvioimaan, voisiko henkilötietojen käsittely olla mahdollista oikeutetun edun perusteella. Käytännössä oikeutetun edun arviointi ei kuitenkaan monesti muodostu täysin mutkattomaksi, jolloin onkin suositeltavaa kääntyä alan asiantuntijan puoleen.
Kasperi Kökkö